인터넷망의 차단 조치(망분리) 관련 법령
대한민국의 개인정보 보호법은 공공기관과 사업자 및 단체의 무분별한 개인정보 수집과 처리로 인한 개인정보의 유출, 오용, 남용을 막기 위해 제정되었으며 정보 주체의 개인정보 자기 결정권을 보장하면서도 안전한 개인정보의 처리 기준을 수립하여 개인정보처리자와 정보주체 간 사회적 신뢰를 구축하는 것을 목적으로 한다.
개인정보 보호법에는 많은 조항들이 있지만 개인정보처리자가 가장 어려움을 토로하는 내용 중 하나가 바로 “인터넷망 접속 차단”이다. 흔히 망분리로 불리기도 한다. IT기술이 고도로 발전한 현대의 인터넷 및 네트워크 환경에서 인터넷과의 연결을 차단하라는 요구는 당연하게도 많은 논란을 유발하고 있으며 인터넷망 차단 조치의 방법을 두고도 혼란스러워하기 일쑤다.
구체적으로 인터넷망 차단 조치가 언급되는 개인정보 보호법의 관련 조항은 “개인정보의 안전성 확보조치 기준” 고시의 제6조의 2다.
제6조의2(인터넷망의 차단 조치 등) ① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자
2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자
② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다.
1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우
2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다. 고시의 이 조항은 천천히 꼼꼼하게 곱씹으며 여러번 읽어보길 권한다. 그리고 몇 가지 정확하게 이해해야 하는 것들이 있다. 그리고 고시는 법적 의무가 아니라고 하시는 분들도 있는데 이 개인정보의 안전성 확보 조치 기준 고시는 법률과 시행령에서 위임을 받은 내용들이기 때문에 법적 준수 의무가 있는 고시라는 점도 명확하게 해둘 필요가 있다.
인터넷망 이란?
대상이 뭔지는 모르겠지만 일단 “인터넷망”을 차단하라고 하고 있다. 그렇다면 개인정보처리자의 “인터넷망”은 어떤 망(네트워크)일까? 인터넷망의 정의에 대해서 개인정보 보호법 및 이하 영 및 고시에 정의되어 있지 않다. 따라서 인터넷망이란 어떤 망인지 상식에 기반하여 판단해야 한다.
개인정보처리자의 인터넷망은 말 그대로 개인정보처리자가 운영하는 네트워크 중에서 어떤 방법으로든 외부 인터넷에 위치한 다른 컴퓨터와 통신이 가능한 네트워크는 모두 “인터넷망”이다. 즉 조직의 내부망과 인터넷 구간의 경계에 방화벽이 있어 불필요한 외부와의 통신을 차단하고 있더라도 외부와 직간접적으로 정보통신망을 통해 데이터를 주고 받거나 통신을 할 수 있다면 그 네트워크는 “인터넷망”에 해당된다.
예를 들어 어떤 개인정보 취급자가 사용하는 업무용 PC를 A 라고 하자. A PC에서는 직접 외부와 통신이 불가능 하도록 인터넷과의 접점에 있는 방화벽에서 차단하고 있다. 하지만 조직의 메일서버 또는 파일서버 등을 통해 외부의 어떤 컴퓨터와 파일을 주고 받거나 데이터 통신을 할 수 있다면 그 업무용 PC A는 “인터넷망”과 연결되어 있다고 판단해야 한다.
심지어 그 업무용 PC A가 외부 인터넷 접속도 차단되어 있고 외부와의 이메일도 주고받을 수 있는 방법이 없다고 가정하자. 그런데 그 업무용 PC A에서는 조직의 내부에서만 사용하는 그룹웨어에 접속이 가능하다고 가정하자. 그리고 이 그룹웨어는 내부망에 있고 방화벽에서 외부로 부터의 접속도 차단하고 있다, 그런데 조직 내부 네트워크에서 사용하고 있는 인터넷 접속이 가능한 다른 업무용 PC B에서 업무용 PC A와 동일한 그룹웨어에 접속하고 있어 업무용 PC A에서 그룹웨어의 게시판에 글을 작성하고 파일을 첨부하면 인터넷 접속이 가능한 업무용 PC B에서 그 게시판의 글이나 파일을 다운로드 받을 수 있다면 그 업무용 PC A는 “인터넷망”과 연결되어 있는 것이다. 그룹웨어를 통해 간접적으로 인터넷망과 연결되어 있어 파일 전송 등 데이터를 주고받을 수 있기 때문이다.
결론적으로 업무용 PC A는 인터넷망 차단 조치가 되지 않은 업무용 PC다.
이제 개인정보 보호법의 하위 개인정보의 안전성 확보조치 기분 고시에서 언급하고 있는 “인터넷망”의 무시무시한 의미를 이해되는가?
인터넷망의 차단 조치란?
앞의 “개인정보의 안전성 확보조치 기준” 고시의 제6조의 2 제1항에서 명시한 조건에 해당하는 개인정보처리자는 동 조항 제1호와 2호에 해당되는 개인정보취급자의 컴퓨터를 인터넷망 차단 조치를 하라고 요구하고 있다. 즉 그 개인정보취급자의 컴퓨터를 인터넷망과 연결되지 않도록 차단하라는 의미다.
여기서 차단은 직·간접적으로 인터넷망과 연결되지 않도록 하라는 의미다. 직접 통신이 가능하면 당연히 안되고 파일서버, 그룹웨어 게시판, 이메일 등을 통해서도 인터넷망에 위치한 컴퓨터와 통신 또는 파일 등의 전송이 가능하면 안된다. 가능하다면 인터넷망 차단 조치가 완전하게 적용되지 않은 것이라고 판단한다.
실제 ISMS-P 인증심사에서 다양한 방법에 의한 인터넷망 연결이 차단되고 있는지 확인하게 된다.
인터넷망의 차단 조치를 적용해야 하는 컴퓨터는?
인터넷망 차단 조치를 적용해야 하는 컴퓨터는 “개인정보취급자의 업무용 컴퓨터” 즉 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 취급하는 업무를 수행하기 위해 사용하는 컴퓨터다. “서버”가 아니라는 점을 명심하자. 아주 가끔 민간의 개인정보처리자, 정보통신서비스 제공자의 심사에서 서버에 대한 망분리를 왜 하지 않냐고 하는 분들이 계신데 그건 인터넷망 차단 조치에 대해 잘못 이해하고 있는 것이다.
인터넷망의 차단 조치를 적용해야 하는 개인정보취급자의 컴퓨터는 두 종류의 컴퓨터다.
먼저 개인정보처리시스템에 대한 접근 권한을 설정하는데 사용하는 개인정보취급자의 컴퓨터다. 그리고 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터가 인터넷망 차단 조치를 적용해야 하는 컴퓨터다. 즉 업무용 PC가 대부분이다.
그리고 2025년 10월 31일 전 까지는 이 개인정보취급자의 컴퓨터는 예외없이 인터넷망 차단 조치를 적용해야 했다.
하지만 2025년 10월 31일 개정된 고시에 의하면 개인정보처리시스템에서 개인정보를 다운로드 하거나 파기할 수 있는 컴퓨터는 내부관리계획에서 정하는 방법에 따라 실시하는 위험평가를 거쳐 인터넷망 차단 조치를 적용할지 말지를 스스로 평가하여 결정할 수 있게 되었다.
즉 위험평가 결과 위험이 무시해도 될 정도로 현저하게 낮거나 위험이 높다 하더라도 해당 위험을 감소시킬 수 있는 보호조치를 충분하게 적용한 경우에는 인터넷망 차단 조치를 하지 않을 수 있는 것이다.
인터넷망 차단 조치를 피할 수 없는 경우
먼저 개인정보처리시스템의 접근 권한을 설정하는데 사용하는 개인정보취급자의 컴퓨터는 위험평가를 통한 인터넷 차단 조치의 예외를 적용할 수 없다. 즉 무조건 인터넷망 차단 조치를 적용해야 한다.
그리고 개인정보처리시스템에서 개인정보를 다운로드 하거나 파기하는데 그 대상이 되는 개인정보가 개인정보 보호법 제23조에서 정의한 민감정보 이거나 개인정보의 안전성 확보 조치 기준 고시 제7조 제1항과 제2항에서 암호화 의무 대상으로 삼고 있는 개인정보인 경우에는 그 예외를 적용할 수 없다. (주민등록번호 등 고유식별정보와 신용카드 계좌번호 등)
위험을 감소시킬 수 있는 보호조치의 예시
고시에서는 내부관리계획에서 정한 위험분석 결과에 따라 위험이 무시할 수 있는 수준보다 높다면 위험을 감소시킬 수 있는 보호조치를 적용하라고 하고 있으며 [별표]에 보호조치의 예시를 안내하고 있다.
이 예시는 단지 예시일 뿐이다. 위험을 무시할 수 있는 수준으로 감소 시킬 수 있는지 여부는 개인정보처리자가 제3자에게 설명하여 충분히 설득이 가능해야 한다. 인증심사를 받고 있는 중이라면 심사팀의 대부분의 심사원이 보호조치를 통해 위험이 충분히 감소되었다고 인정할만 하여야 한다.
#개인정보보호법 #개인정보의안전상확보조치기준 #인터넷망차단조치
답글 남기기