얼마 전 ISMS-P 인증심사원 자격전환 (구ISMS에서 신ISMS-P로) 시험에 합격하면서 6월에 첫 ISMS-P 인증심사를 나가게 되었다. 아무래도 ISMS에 구)PIMS의 개인정보라이프사이클 및 법적 요구사항에 대해 더 깊이 있게 살펴봐야 하기 때문에 조금은 더 까다로운 심사가 될 듯 하다.
그러면서 다시 한번..(글로만 보면 자꾸 잊는다.) 정보통신망법과 개인정보보호법을 정리한 내용들을 살펴보고 있는 중이다.
그 와중에 자격전환 시험 준비를 하면서 정리해두었던 자료들 중에 정보통신망법의 하위 고시인 [기술적ㆍ관리적 보호조치 기준]과 개인정보보호법의 하위 고시인 [개인정보의 안전성 확보조치 기준]을 비교했던 자료를 포스팅 한다.
내부관리계획 수립
| [정통망법] 기술적ㆍ관리적 보호조치 기준 | [개보법] 안전성 확보조치 기준 |
| 제3조(내부관리계획의 수립·시행) ① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성·운영하여야 한다.
1.개인정보관리책임자의 자격요건 및 지정에 관한 사항 2.개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3.개인정보 내부관리계획의 수립 및 승인에 관한사항 4.개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5.개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6.개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 7.그 밖에 개인정보보호를 위해 필요한 사항 ② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 ③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다. |
제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야한다.
1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보취급자에 대한 교육에 관한 사항 4. 접근 권한의 관리에 관한 사항 5. 접근 통제에 관한 사항 6. 개인정보의 암호화 조치에 관한 사항 7. 접속기록 보관 및 점검에 관한 사항 8. 악성프로그램 등 방지에 관한 사항 9. 물리적 안전조치에 관한 사항 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항 12. 위험도 분석 및 대응방안 마련에 관한 사항 13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 그 밖에 개인정보 보호를 위하여 필요한 사항 ② [별표]의 ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을수정하여 시행하고, 그 수정 이ㅑ력을 관리하여야 한다. ④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다. |
※ 안전성 확보 조치 기준의 내부관리계획 수립 의무대상 분석
|
유형 |
개인정보처리자 유형 |
내부관리계획 수립의무 |
| 유형1(완화) | 1만 명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 | 없음 |
| 유형2(표준) | 100만 명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
10만 명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 1만 명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
의무 |
| 유형3(강화) | 10만 명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
100만 명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
의무 |
개인정보처리시스템에 대한 “접근권한 관리”
| [정통망법] 기술적ㆍ관리적 보호조치 기준 | [개보법] 안전성 확보조치 기준 |
| 제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여 한다.② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동 이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소 한다. ③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 ~ ⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 ⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다. 1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 3. 비밀번호에 유효기간을 설정하여 |
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 한다.② 개인정보처리자는 전보 또는 퇴직 등 인사이동 이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소 하여야 한다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 ④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 ⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 ⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다. |
※ 전자금융감독규정에서는 사용자 비밀번호를 90일(분기) 1회 변경하도록 하고 있음
※ 망법대상의 경우 개인정보처리시스템 접근권한을 외부인력에게 부여하지 않도록 규정하고 있으며 개보법 대상의 경우 “업무수행에 최소한의 범위로 차등 부여”하도록 규정하고 있음
※ 개보법의 안전성 확보조치 기준에서는 개인별 계정 부여(1인1계정) 및 공유 금지와 로그인 실패 횟수 제한을 추가적으로 규정하고 있음
※ 또한 개보법의 안전성 확보조치 기분에서는 비빌번호의 조합 규칙에 대해서는 구체적으로 언급하지 않고 있음
※ 장기 미사용 계정에 대한 식별 및 통제 방안 – 접속기록 보관 및 주기적인 검토 여부
※ 접근권한의 세분화 여부 중요함 (Download 및 like 검색 권한에 대한 제한 및 이력 기록과 검토)
※ 로그인 실패 횟수 기준 적용 여부 및 계정 잠금 이후 조치 절차
※ 사용자의 개인정보처리시스템 미 사용 시 접속 차단(타임아웃)은 “접근통제”항목에 있음 (망법 및 개보법에 모두 있음)
※ 비밀번호 작성 규칙 적용의 일관성 및 적용 누락 존재 여부
※ [별표]의 유형1 – 정보주체 1만 명 미만의 개인정보를 보유한 소상공인, 단체 및 개인
개인정보처리시스템의 “접근 통제”
|
[정통망법]기술적ㆍ관리적 보호조치 기준 |
[개보법]안전성 확보조치 기준 |
| 제4조(접근통제) ⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 |
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
|
| ④ 정보통신서비스 제공자등은 개인정보취급자 가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 이 필요한 경우에는 안전한 인증 수단 을 적용하여야 한다 |
② 개인정보처리자는 개인정보취급자 가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속 하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단 을 적용하거나 안전한 인증수단을 적용 하여야 한다. |
| ⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. | ③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다. |
| ④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다. | |
| ⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대접속시간 제한 등의 조치를 취하여야 한다. | ⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다. (타임아웃:Time Out) |
| ⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다. | |
| ⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다. |
|
| ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. |
개인정보의 암호화
|
[정통망법]기술적ㆍ관리적 보호조치 기준 |
[개보법]안전성 확보조치 기준 |
| 제6조(개인정보의 암호화) ③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능 |
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다. |
| ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 바이오정보 |
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다 |
| ③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 암호화 미적용시 위험도 분석에 따른 결과 ※부칙 제2조(적용례) 영 제21조의제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조2의4항을 적용하지 아니한다. ⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. ⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다. |
|
| ④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다. | ⑦ 개인정보처리자는 업무 용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다. |
| ⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다. |
접속기록의 검토
<table “=”” border=”0″ cellpadding=”10″ cellspacing=”10″ class=”txc-table”>
[정통망법]기술적ㆍ관리적 보호조치 기준
[개보법]안전성 확보조치 기준
제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을
월 1회 이상 정기적으로 확인·감독
하여야 하며, 시스템 이상 유무의 확인 등을 위해
최소 6개월 이상 접속기록을 보존·관리
하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른
기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년
으로 한다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에
접속한 기록을 6개월 이상 보관·관리
하여야 한다.
② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을
반기별로 1회 이상 점검
하여야 한다.
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록
별도의 물리적인 저장 장치에 보관
하여야 하며
정기적인 백업을 수행
하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록
해당 접속기록을 안전하게 보관
하여야 한다.