개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확하게 이해하고 있지 못한 기업이나 공공기관도 있습니다. 사실 조금만 관심을 갖고 법령을 찾아보면 되는데 특별히 보안에 관심이 있는 사람이 아니면 그냥 해야한다더라 정도로 이해하고 있는 경우가 많습니다. 그리고 정보보안기사나 ISMS인증심사원, PIMS 혹은 PIA 자격 시험을 준비한다면 관련 법령을 꼼꼼히 알고 있는게 좋습니다.
개인정보의 보호와 관련된 법률은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)과 개인정보보호법이 대표적입니다. 그 중에서 망분리와 관련된 조항을 갖고 있는 것은 정보통신망법 입니다. 개인정보보호법과 하위 규정에는 명시적으로 망분리에 관한 조항은 존재하지 않습니다. 다만 “내부망”이 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간임을 명시하고 내부망과 인터넷 망에 개인정보를 저장할 때 암호화 필요성을 언급하고 있을 뿐입니다.
정보통신망법의 망분리 관련 조항
망분리는 정보통신망법에서 언급되는데… 사실 정보통신망법 본문조항에서는 직접적으로 언급되지 않습니다. 다만 제28조에서 개인정보보호를 위한 관리적·기술적 보호조치에 대해 다음과 같이 언급하고 있습니다.
제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다. <개정 2016.3.22.>
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다. <개정 2016.3.22.>
[전문개정 2008.6.13.]
대통령령으로 정하는 기술적·관리적 보호조치에 “망분리”에 대한 내용이 언급되어 있겠죠? 그럼 대통령령을 들여다 보겠습니다.
대통령령 제27951호(2017.3.22) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보보호 조치)입니다.
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다. <개정 2016.9.22>
1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항
2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. <개정 2012.8.17>
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. <개정 2014.11.28, 2017.3.22>
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
[전문개정 2009.1.28.]
위에서 제②항 3호에서 “개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단” 조치를 취할 것을 규정하고 있습니다. 이 조항이 바로 숱하게 많은 “망분리” 이슈를 만든 조항입니다. 그리고 제⑥항에서 상세한 보호조치의 내용을 방송통신위원회에서 정하여 고시하도록 규정하고 있습니다.
그렇다면 해당 고시를 찾아봐야 합니다. 보다 상세한 망분리에 대한 언급이 있을테니까요. 그 고시는 바로 방송통신위원회고시 2015-3호(2015.5.19) 개인정보의 기술적·관리적 보호조치 기준 입니다. 이 고시의 제2조(정의)를 보면 정보통신망법에서의 망분리에 대한 정의가 명시되어 있습니다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보관리책임자”란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
2. “개인정보취급자”란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
3. “내부관리계획”이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
4. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
5. “망분리”라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
6. “비밀번호”라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
7. “접속기록”이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
8. “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
9. “P2P(Peer to Peer)”라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
10. “공유설정”이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
11. “보안서버”라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
12. “인증정보”라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
13. “모바일 기기”란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.
14. “보조저장매체”란 이동형 하드디스크(HDD), USB메모리, CD (Compact Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리·접속할 수 있는 저장매체를 말한다.
간단하게 말에 개인정보처리시스템에 접속하는 업무망과 인터넷망을 분리하라는 것이죠. 하지만 이 정의만으로는 정확하게 무엇을 어떻게 하라는 것인지 조금 부족합니다. 조금 더 자세한 규정은 제4조(접근통제)에 명시되어 있습니다.
제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.
⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
제⑥항에서 망분리 의무 대상을 규정하고 있습니다. 이용자수 100만명(전년도 말 기준 직전 3개월간 일일평균)이거나 정보통신서비스 부문 매출액 100억원 이상인 정보통신서비스 제공자가 대상입니다. 그리고 대상 기관(기업)의 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터가 망분리 대상임을 확실하게 규정하고 있습니다. 또한 망분리의 방법은 물리적 또는 논리적이라고 규정하고 있습니다.
하지만 아쉽게도 물리적 망분리와 논리적 망분리에 대한 상세한 설명은 없습니다. 알아서 하라는 것일까요? 맞습니다. 알아서 해야합니다. 하지만 주입식 교육에 찌든 대한민국의 어른들은 알아서 하라고 하면 참 힘들어 하고 자신의 생각과 다르게 망분리를 수행하면 싸웁니다. ^^ 그래서 한국인터넷진흥원에서는 “개인정보의 기술적·관리적 보호조치 기준 해설서”를 만들어서 배포하고 있습니다. 참 친절하죠? ^^ 그 해설서에서는 망분리에 대해 다음과 같이 해설해주고 있습니다.
이 이상의 해석은 스스로 알아서 하시길 바랍니다. ^^