정보보호 정책·지침과 개인정보 내부 관리계획의 차이

필자는 거의 전업으로 활동하고 있는 9년 차 ISMS-P 인증심사원이다. 꽤 많은 기업과 일부 공기업 그리고 공공기관에 ISMS 및 ISMS-P 인증심사 그리고 내부 감사 등을 위해 방문해 보면 많이 궁금해하는 것 중 하나가 바로 이 글에서 설명하고자 하는 정보보호 정책·지침과 개인정보보호법에서 언급되고 있는 개인정보 내부 관리계획의 차이가 무엇인가 하는 점이다.

사실 본인도 이 두 문서의 차이가 무엇일까를 많이 고민했다. 사실 고민할 수 밖에 없다. 그 어떤 책자나 법령해설서 등에서도 기업 및 조직 자체적으로 수립하고 있는 (개인)정보보호 정책 및 지침과 개인정보보호법에서 개인정보처리자에게 수립하고 이행할 것을 요구하고 있는 “개인정보 내부 관리계획”이 어떻게 다른 것인지, 어떻게 작성해야 하는지 구체적인 설명이 없기 때문이다.

그래서 그런지 (개인)정보보호 정책·지침과 별도로 개인정보 내부 관리계획을 수립하여 문서로 작성한 경우에도 정보보호 정책·지침과 그 내용이 별반 다르지 않은 경우가 대부분이다. 정보보호 정책·지침을 그대로 짜깁기만 할 거면 왜 개인정보 내부 관리계획을 별도로 작성하도록 요구하고 있을까?

10여년의 ISMS-P 인증심사원 활동을 수행하면서 개인정보보호법 및 관련 법령과 수 많은 기업 및 조직의 내부 관리계획 등 다양한 지침서들을 탐구하면서 정리한 실효성 있는 “개인정보 내부 관리계획”의 작성을 위한 방법을 설명하고자 한다.

개인정보 내부 관리계획을 수립해야 하는 법적 근거

개인정보처리자가 개인정보 내부 관리계획을 수립해야 하는 법적인 근거는 개인정보 보호법 제4장 개인정보의 안전한 관리의 제29조(안전조치의무)에 두고 있다.

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

개인정보처리자에게 개인정보 내부 관리계획을 수립할 것을 요구하고 있다. 그리고 본 조항에서 대통령령을 참고할 것 또한 언급하고 있다. 이 대통령령은 개인정보 보호법 시행령 제30조(개인정보의 안전성 확보 조치)다. 내용이 조금 길다.

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. <개정 2023. 9. 12.>

1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부 관리계획의 수립ㆍ시행 및 점검
가. 법 제28조제1항에 따른 개인정보취급자(이하 “개인정보취급자”라 한다)에 대한 관리ㆍ감독 및 교육에 관한 사항
나. 법 제31조에 따른 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
다. 제2호부터 제8호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항

2. 개인정보에 대한 접근 권한을 제한하기 위한 다음 각 목의 조치
가. 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
나. 정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영
다. 그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치

3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치
가. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
나. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. 다만, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당한다.
다. 그 밖에 개인정보에 대한 접근을 통제하기 위하여 필요한 조치

4. 개인정보를 안전하게 저장ㆍ전송하는데 필요한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치
나. 주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치
다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신ㆍ수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치
라. 그 밖에 암호화 또는 이에 상응하는 기술을 이용한 보안조치

5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 다음 각 목의 조치
가. 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독
나. 개인정보처리시스템에 대한 접속기록의 안전한 보관
다. 그 밖에 접속기록 보관 및 위조ㆍ변조 방지를 위하여 필요한 조치

6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치

7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

시행령 제30조 제①항에서는 개인정보 보호법 제29조(안전조치의무)에 따라 1호에서 내부 관리계획을 수립하고 시행하며 점검할 것을 요구하고 있다. 1호의 가목에서는 개인정보취급자에 대한 관리·감독 및 교육에 대한 사항을, 나목에서는 개인정보 보호책임자의 지정 및 개인정보 보호 조직의 구성에 대한 사항을 내부 관리계획에 수립해야 하며 다목에서는 제①항의 2호에서 8호가지의 사항을 모두 내부 관리계획에 수립하도록 하고 있다.

그렇다면 무엇을 개인정보 내부 관리계획에 작성해야 할까? 내부 관리계획에는 개인정보의 안전성 확보 조치 기준에서 요구하는 세부 기준을 조직에서 어떤 방법을 통해서 준수할 것인지(계획 및 현황)를 구체적으로 수립하고 작성해야 하는 것이다.

잘못 작성된 내부 관리계획의 사례

가장 흔하게 볼 수 있는 잘못된 내부 관리계획의 사례는 바로 개인정보 안전성 확보조치 기준 고시 내용을 그대로 내부 관리계획 문서에 복사하여 붙여넣은 문서들이다. 사실 99%의 기업 및 조직에서 흔히 볼 수 있는 개인정보 내부 관리계획이 그렇게 작성되어 있다.

예를 들어 보자면,

개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)의 제①항에는 내부 관리계획에 담겨야 하는 18개의 주요 사항들이 있는데 제4호에는 다음과 같은 내용이 있다.

제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. <중간생략>
5. 접근 권한의 관리에 관한 사항 
<이하생략>

그리고 제5조(접근 권한의 관리)에서는 구체적인 기준을 제시하고 있다.

제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. 
② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. 
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 
④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. 
⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. 

그런데 대부분의 기업 및 조직에서 수립하고 있는 내부 관리계획의 문서를 보면 “기준”을 그대로 내부 관리계획이라고 다음과 같이 작성하고 있다. 뭐, 조항의 숫자는 조금씩 다르다.

제4조(접근 권한의 관리) ① 회사는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. 
② 회사는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. 
③ 회사는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 
④ 회사는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 
⑤ 회사는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. 
⑥ 회사는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. 

그렇다. “개인정보처리자”를 “회사”로 바꿔놓은 수준의 짜깁기다. 내부 관리계획의 내용이 개인정보 안전선 확보조치 기준 고시와 거의 완벽하게 일치한다. 그리고는 이게 수립한 내부 관리계획이라고 제출한다. 사실 이건 ISMS-P 인증 컨설팅을 수행해주는 많은 컨설팅 업체의 문제이기도 하다. 법령에서 요구하는 내부 관리계획에 어떤 내용을 담아야 하는지에 대한 고민을 하지 않거나 한다해도 충분한 경험과 고민이 부족해 방법론을 수립하지 못했기 때문이다. 심지어 개인정보 포털(privacy.go.kr)에 공개되어 있는 (별첨자료)_개인정보_내부_관리계획_및_처리_위탁_계약서_등.hwp와 같은 가이드에서도 그렇다. (그래서 내부 관리계획의 문제점을 지적하면 “KISA의 내부 관리계획 작성 방법 안내서에 이렇게 되어 있는데요?”라는 반박이 돌아온다.)

이건 내부 관리계획의 기준인 안전성 확보조치 기준 고시를 그대로 베낀것에 지나지 않는다. 그렇다면 개인정보 내부 관리계획은 어떻게 작성해야 할까?

개인정보 내부 관리계획 작성 방법

개인정보 내부 관리계획에는 개인정보 보호법과 시행령 그리고 그 하위 고시인 안전성 확보조치 기준에서 요구하고 있는 다양한 사항을 우리 기업 및 조직에서 어떻게 준수하고 있는지, 또는 어떻게 준수할 것 인지를 정리해 담으면 되는 것이다.

먼저 개인정보 내부 관리계획은 개인정보처리시스템과 개인정보취급자를 그 적용 대상으로 한다. 즉 다른 정보보호시스템이나 다른 정보시스템은 기본적으로 적용대상이 아니다. 따라서 대상이 아닌 정보시스템이나 구성원에 대한 언급이나 고려는 불필요하다. 따라서 운영하고 있는 개인정보처리시스템과 개인정보취급자 현황이 포함되어 있어야 한다.

그리고 앞에서 언급한 제5조(접근 권한의 관리)를 예로 들자면,

먼저 제①항에서 언급하고 있는 “업무 수행에 필요한 최소한의 범위로 차등 부여”하기 위해 어떻게 구현할 것인지를 구체적으로 서술해야 한다. 따라서 개인정보처리시스템에서 개인정보취급자에게만 개인정보에 접근할 수 있도록 권한을 세분화하기 위해 개인정보취급자의 직무를 어떻게 분리할 것인지, 분리된 개인정보취급자 직무별로 부여할 접근가능한 메뉴를 어떻게 그룹화할 것인지 권한 분류 체계를 수립해야 한다. 또한 개인정보취급자가 개인정보를 조회할 때 원칙적으로 단건 조회만 가능하게 하며 목록으로 조회할 경우에는 표시제한 조치를 적용할 것인지 등도 내부관리 계획의 접근 권한의 관리를 위한 방안으로 담아야 한다.

또한 제②항의 개인정보취급자의 접근 권한 관리를 위한 신청과 승인 및 변경과 말소 절차도 구체적으로 수립하여 기술해야 한다. 예를 들어 개인정보처리시스템에 접근 권한을 신청하기 위해서는 어떤 양식 또는 그룹웨어의 어떤 메뉴에서 신청해야 하며 누구, 누구의 승인을 받아야 하는지 기술해야 한다. 또한 업무 및 부서의 변경에 따라 즉시 권한을 회수하기 위해 인사시스템 연동하거나 여의치 않을 경우 짧은 주기의 권한 검토를 통해 권한 회수가 누락될 때를 대비한 방안도 담아야 한다.

제③항의 권한 부여, 변경 또는 말소에 대한 기록도 어떻게 기록하고 내역을 3년간 안전하게 보관하기 위한 기록의 백업 등 방안도 개인정보 내부 관리계획에 담아야 한다.

제④항의 개인정보처리시스템 사용자 계정의 공유 금지를 준수하기 위해 개인정보처리시스템에서는 반드시 1인 1계정을 사용하고 어떤 경우(정당한 사유)에만 부득이하게 책임자 승인 후 사용할 수 있는지도 구체적으로 계획을 수립해 작성해야 하며 이러한 경우 공용계정의 실사용자를 추적하기 위한 방안도 담아야 한다.

제⑤항에서 언급하고 있는 “인증수단을 안전하게 적용하고 관리”를 준수하기 위해 비밀번호 규칙은 어떻게 할 것인지, MFA를 적용할 것인지, 적용한다면 어떤 MFA를 적용할 것인지도 구체적으로 언급해야 한다. (당연히 계획이므로~~) 또한 비밀번호 분실 및 MFA 분실 시 재발급은 어떻게 안전하게 처리할 것인지도 언급하는 것이 바람직하겠다.

다시 한번 개인정보 내부 관리계획의 중요 포인트를 설명하자면 개인정보보호법과 동법 시행령 그리고 개인정보의 안전성 확보조치 기준에서 요구하고 있는 사항을 “어떻게” 준수할 것인지를 작성하면 된다는 것이다.

#isms #isms-p #개인정보내부관리계획