태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

정보통신망법 (4)



얼마 전 ISMS-P 인증심사원 자격전환 (구ISMS에서 신ISMS-P로) 시험에 합격하면서 6월에 첫 ISMS-P 인증심사를 나가게 되었다. 아무래도 ISMS에 구)PIMS의 개인정보라이프사이클 및 법적 요구사항에 대해 더 깊이 있게 살펴봐야 하기 때문에 조금은 더 까다로운 심사가 될 듯 하다.


그러면서 다시 한번..(글로만 보면 자꾸 잊는다.) 정보통신망법과 개인정보보호법을 정리한 내용들을 살펴보고 있는 중이다.


그 와중에 자격전환 시험 준비를 하면서 정리해두었던 자료들 중에 정보통신망법의 하위 고시인 [기술적ㆍ관리적 보호조치 기준]과 개인정보보호법의 하위 고시인 [개인정보의 안전성 확보조치 기준]을 비교했던 자료를 포스팅 한다.


내부관리계획 수립


 [정통망법] 기술적ㆍ관리적 보호조치 기준

 [개보법] 안전성 확보조치 기준

 제3조(내부관리계획의 수립·시행) ① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성·운영하여야 한다.

1.개인정보관리책임자의 자격요건 및 지정에 관한 사항

2.개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항

3.개인정보 내부관리계획의 수립 및 승인에 관한사항

4.개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항

5.개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

6.개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항

7.그 밖에 개인정보보호를 위해 필요한 사항

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법

③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다.

 제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야한다.

1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보취급자에 대한 교육에 관한 사항

4. 접근 권한의 관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보 보호를 위하여 필요한 사항

② [별표]의 유형1(1만명 미만/소상공인,단체,개인)에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할수 있다.

③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을수정하여 시행하고, 그 수정 이ㅑ력을 관리하여야 한다.

④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.


※ 안전성 확보 조치 기준의 내부관리계획 수립 의무대상 분석


유형

개인정보처리자 유형

내부관리계획 수립의무 

유형1(완화)

1만 명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

 없음
유형2(표준)

100만 명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
10만 명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
1만 명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

 의무

유형3(강화)

10만 명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
100만 명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체
 의무



개인정보처리시스템에 대한 "접근권한 관리"


 [정통망법] 기술적ㆍ관리적 보호조치 기준

 [개보법] 안전성 확보조치 기준

제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

~

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이경

제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호작성규칙을 수립하여 적용하여야 한다.

⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.


※ 전자금융감독규정에서는 사용자 비밀번호를 90일(분기) 1회 변경하도록 하고 있음

※ 망법대상의 경우 개인정보처리시스템 접근권한을 외부인력에게 부여하지 않도록 규정하고 있으며 개보법 대상의 경우 "업무수행에 최소한의 범위로 차등 부여"하도록 규정하고 있음

※ 개보법의 안전성 확보조치 기준에서는 개인별 계정 부여(1인1계정) 및 공유 금지와 로그인 실패 횟수 제한을 추가적으로 규정하고 있음

※ 또한 개보법의 안전성 확보조치 기분에서는 비빌번호의 조합 규칙에 대해서는 구체적으로 언급하지 않고 있음

※ 장기 미사용 계정에 대한 식별 및 통제 방안 - 접속기록 보관 및 주기적인 검토 여부

※ 접근권한의 세분화 여부 중요함 (Download 및 like 검색 권한에 대한 제한 및 이력 기록과 검토)

※ 로그인 실패 횟수 기준 적용 여부 및 계정 잠금 이후 조치 절차

※ 사용자의 개인정보처리시스템 미 사용 시 접속 차단(타임아웃)은 "접근통제"항목에 있음 (망법 및 개보법에 모두 있음)

※ 비밀번호 작성 규칙 적용의 일관성 및 적용 누락 존재 여부

※ [별표]의 유형1 - 정보주체 1만 명 미만의 개인정보를 보유한 소상공인, 단체 및 개인


개인정보처리시스템의 "접근 통제"


[정통망법]기술적ㆍ관리적 보호조치 기준

[개보법]안전성 확보조치 기준

제4조(접근통제) ⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다

② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.

⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.

③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
 

④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대접속시간 제한 등의 조치를 취하여야 한다.

⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다. (타임아웃:Time Out)

 ⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
 

⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다. 

⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

 


개인정보의 암호화


[정통망법]기술적ㆍ관리적 보호조치 기준

[개보법]안전성 확보조치 기준

제6조(개인정보의 암호화) ③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다


③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다. 

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

2. 암호화 미적용시 위험도 분석에 따른 결과 

※부칙 제2조(적용례) 영 제21조의제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조2의4항을 적용하지 아니한다. 

⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. 

⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

⑦ 개인정보처리자는 업무    용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.


⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.



접속기록의 검토

 [정통망법]기술적ㆍ관리적 보호조치 기준

 [개보법]안전성 확보조치 기준

제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존·관리하여야 한다.

② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.

제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야 한다.

② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.

③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.

 ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.






지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다.

온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 있습니다. 그래선지 정보보호관련 컨설팅을 받았다고 하는 여러 기업이나 기관의 홈페이지나 오프라인 회원가입 신청서를 보면 개인정보 처리업무의 위탁에 대한 동의 부분이 전혀 다른 경우가 종종 발견됩니다.

과연 개인정보 위탁 시 별도동의를 받아야 하는지 법 조문을 추적해보겠습니다.


개인정보보호법의 개인정보 수집·이용 동의 규정


먼저 개인정보보호법의 개인정보 수집·이용 동의를 받는 방법에 대한 규정입니다.

제22조(동의를 받는 방법) ① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.  <개정 2017. 4. 18.>

제22조 제①항에서 정보주체(이용자)에게 동의를 받을 때는 각각의 동의 사항을 구분하여 알리고 각각 동의를 받으라고 하고 있습니다. 이 조항만 보면 수집·이용 동의와 위탁에 대한 동의를 구분하여 알리고 별도 동의를 받아야하지 않나 생각됩니다만 구분하여야 하는 각각의 동의 사항이 무엇인지는 포함하고 있지 않습니다.

다음은 제22조 제③항에 또 동의를 받아야 하는 대상에 대해 설명합니다.

③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.  <개정 2016. 3. 29., 2017. 4. 18.>

이 조항에서는 동의를 받아야 하는 네 개의 경우를 명시하고 이 네 가지 법조항에 따라 개인정보 수집단계에서 정보주체(이용자)의 동의를 받으라고 합니다. 그리고 그 중에서 정보주체(이용자)와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하라고 하고 있습니다. 

이 4개의 법조항에서 의미하는 동의가 각각 무엇인지 알아보면...

제15조 제1항 제1호는 개인정보의 수집·이용에 대한 정보주체(이용자)의 동의를 의미합니다. 즉 일반적인 개인정보를 수집할 때 받아야 하는 동의죠.

제17조 제1항 제1호는 개인정보의 제3자 제공에 대한 정보주체(이용자)의 동의를 뜻합니다. 즉 수집한 개인정보를 제3자에게 제공할 때 필요한  동의 입니다.

제23조 제1항 제1호는 민감정보를 수집·이용하기 위한 정보주체(이용자)의 동의를 가리킵니다. 즉 민감정보처리에 대한 동의입니다.

제24조 제1항 제1호는 고유식별정보를 수집·이용하기 위한 정보주체(이용자)의 동의입니다.

그리고 정보주체의 동의없이 처리할 수 있는 개인정보가 있다면 동의를 받지 않아도 된다고 이야기 하는 듯 합니다. 하지만 동의 없이 처리할 수 있는 개인정보라는 것을 개인정보처리자가 입증해야 한다고 명시합니다. 법률에서 동의 없이 수집 및 처리할 수 있다고 명확하게 명시해준 케이스는 몇 개 없습니다. 해당 케이스를 제외하곤 정보주체(이용자) 동의 없이 수집할 수 있다는 것을 개인정보처리자가 입증해야 한다는 이야기인데... 그런 위험을 감수할 필요가 있을까요? 

즉 위의 4개 케이스는 각각 분리하여 고지하고 별도 동의를 받는 것이 준거성 측면에서 가장 안전하고 편합니다. 

그런데... 개인정보 처리업무 위탁에 대해서 별도 동의를 받으라는 규정은 아직 없습니다. 다만 개인정보의 수집·이용 목적을 달성하기 위해 개인정보 처리업무를 위탁할 때에는 문서에 의할 것이며 개인정보처리업무를 위탁받은 수탁사에 대해 교육하고 감독할 것 그리고 위탁현황을 정보주체(이용자)에게 고지할 것을 명시하는 규정만 있습니다.

즉 개인정보보호법에서는 개인정보 처리업무를 위탁할 때 별도의 구분된 동의는 필요 없습니다. 개인정보처리방침에 위탁 현황을 상세하게 알리기만 하면 됩니다.

하지만 정보통신망법은 조금 복잡하게 개인정보 처리위탁에 대해 다루고 있습니다.


정보통신망법의 개인정보 처리위탁 동의 관련 규정


정보통신망법에서는 개인정보의 처리를 위탁할 때 이용자(정보주체)의 동의를 받아야 하는지를 명확하게 규정하고 있습니다.

제25조(개인정보의 처리위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.  <개정 2016. 3. 22.>

1. 개인정보 처리위탁을 받는 자(이하 "수탁자"라 한다)

2. 개인정보 처리위탁을 하는 업무의 내용

② 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.  <개정 2014. 5. 28., 2016. 3. 22.>

제25조 제1항에서 개인정보 처리업무를 위탁하는 경우 이용자에게 개인정보를 위탁받는자와 위탁하는 업무의 내용을 알리고 동의를 받으라고 규정하고 있습니다. 다만 개인정보의 수집·이용 동의와 분리하여 별도 동의를 받으라고는 하지 않고 있습니다.

그런데 제2항에 보면 예외 규정이 있습니다. 엄격하게 해석해보면 수집·이용 목적에 해당하는 계약 이행을 할 때 이용자 편의 증진 등을 위해 필요한 경우 개인정보처리방침(제27조의2제1항)에 위탁관련 사항을 고지할 경우 고지절차와 동의 절차를 생략할 수 있다고 해석할 수 있습니다.

다만 주의할 점이 있는데, 바로 제24조의2항의 내용입니다. 제24조의2항은 동 법에서 서술한 이용자(정보주체)의 동의 없이 개인정보를 수집할 수 있는 경우 외에는 개인정보를 제3자에게 제공할 때 이용자에게 알리고 동의를 받아야 한다는 규정입니다. 그런데 문제는 이 조항에서 언급하는 제3자가 업무를 위탁하기 위한 제3자인지 목적외 이용을 위해 제공하는 제3자인지가 명확하지 않다는 점입니다. 문맥상으로는 목적외 이용을 위해 제공하는 제3자로 보입니다.

제24조의2(개인정보의 제공 동의 등) ① 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

② 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다.

③ 제25조제1항에 따른 정보통신서비스 제공자등은 제1항에 따른 제공에 대한 동의와 제25조제1항에 따른 개인정보 처리위탁에 대한 동의를 받을 때에는 제22조에 따른 개인정보의 수집ㆍ이용에 대한 동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니 된다.  <신설 2011. 4. 5., 2016. 3. 22.>

그런데 3항에 보면 정보통신서비스 제공자등은 제1항에 따른 제공 즉 개인정보의 제3자 제공 동의와 개인정보 처리위탁 동의(제25조제1항)를 받을 때에는 개인정보의 수집·이용 동의와 구분하여 받아야 한다고 규정하고 있습니다. 언뜻 보면 개인정보 처리위탁을 별도 동의 받아야 하는 것처럼 해석될 소지가 많습니다. 

결론적으로 제25조는 개인정보 처리위탁에 대한 내용이고 제24조는 목적외 이용 제한에 대한 내용이므로 제24조의2 제3항은 약간 오류가 있는 조항이 아닌가 생각됩니다. (순전히 개인적인 판단임) 제24조는 전체적으로 목적외 이용을 위한 제3자 제공 동의에 대한 내용인데 제3항에서 뜬금없이 제25조제1항 즉 개인정보처리 위탁 동의를 제22조의 개인정보 수집·이용 동의와 분리하라는 조항이 삽입된 것입니다. 

원래 제3항에서 하고자하는 이야기는 "개인정보 처리업무를 위탁하고자 하는 정보통신 서비스 제공자는 목적 외 이용을 위한 제3자 제공 동의를 받을 때 개인정보처리 위탁에 대한 동의 및 개인정보 수집·이용 동의와 분리하여 받아야 한다"는 이야기를 하고 싶은 것이 아닌가 싶습니다.

결국 정보통신망법에서 별도동의를 받아야 하는가 말 것인가의 결정은 개인정보 처리위탁이 서비스의 본질적 목적을 수행하는 업무이고 명백하게 이용자 편의 증진등을 위한 것이라는 것을 입증할 수 있느냐 없느냐에 따른다고 볼 수 있습니다.


실제 사례


실제로 ISMS인증과 PIMS 인증을 받은 기업의 회원가입 페이지를 들여다 보면 두가지 케이스가 모두 존재합니다.

개인정보 처리위탁에 대한 동의를 별도로 구분하여 받은 곳(고지도 함께 함)과 개인정보처리방침에 개인정보 처리위탁에 대한 현황을 자세하게 고지하고 실제 회원가입시에는 처리위탁에 대해서는 일언반구도 언급하지 않고 동의를 받지 않는 곳도 있는 것이 현실입니다.


  • 2019.03.11 00:39

    비밀댓글입니다

    • taeho Tae-Ho 2019.03.11 11:32 신고

      안녕하세요.

      망법과 개보법은 law.go.kr 에서 최신버전으로 검색해보실 수 있구요. (법률, 시행령, 고시 등)
      ISMS 인증기준은 isms.kisa.or.kr에 가시면 ISMS-P 인증기준 안내서를 다운로드 받으실 수 있습니다.
      인증기준 안내서에 보시면 통제항목에 대한 세부 설명과 법적 근거가 있는 경우 조항까지 안내되어 있습니다.
      그리고 각종 가이드들도 다운로드 받아 꼼꼼히 읽어보시면 도움이 됩니다.
      1. 2017년 개인정보보호 상담 사례집
      2. 141231_CCTV_설치·운영_가이드라인_개정안(참고2_민간_가이드)
      3. 개인정보 실태점검 및 행정처분 사례집(2017)
      4. 개인정보 처리 위ㆍ수탁 안내서(18.6)
      5. 개인정보_비식별_조치_가이드라인(2016.6)
      6. 개인정보_수집_최소화_가이드라인
      7. 개인정보_수집제공_동의서_작성_가이드라인-2.0(18.3 개정)
      8. 개인정보처리방침_작성예시(민간용)
      9. 암호정책수립기준안내서_2013
      10. 온라인 개인정보 처리 가이드라인(2018.9)

  • 2019.03.11 11:40

    비밀댓글입니다

  • 2019.03.11 14:51

    비밀댓글입니다

  • 식스센스 2019.06.19 13:15

    좋은 자료 감사합니다.

  • 김영준 2019.08.06 09:16

    마지막 문장의
    개인정보 처리위탁에 대한 동의를 별도로 구분하여 받은 곳(고지도 함께 함)과 개인정보처리방침에 개인정보 처리위탁에 대한 현황을 자세하게 고지하고 실제 회원가입시에는 처리위탁에 대해서는 일언반구도 언급하지 않고 동의를 받지 않는 곳도 있는 것이 현실입니다.

    라는 말은 곧 개인정보 수집이용 제공 동의를 할때 처리위탁에 관한 사항이 포함되어야 한다는 말인가요?


개인정보를 취급하는 많은 기업과 공공기관들은 항상 망분리 이슈에 시달리게 됩니다. 하지만 망분리를 누가 왜 해야하는지를 정확하게 이해하고 있는 기업이나 공공기관도 있는 반면 정확하게 이해하고 있지 못한 기업이나 공공기관도 있습니다. 사실 조금만 관심을 갖고 법령을 찾아보면 되는데 특별히 보안에 관심이 있는 사람이 아니면 그냥 해야한다더라 정도로 이해하고 있는 경우가 많습니다. 그리고 정보보안기사나 ISMS인증심사원, PIMS 혹은 PIA 자격 시험을 준비한다면 관련 법령을 꼼꼼히 알고 있는게 좋습니다.


개인정보의 보호와 관련된 법률은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)과 개인정보보호법이 대표적입니다. 그 중에서 망분리와 관련된 조항을 갖고 있는 것은 정보통신망법 입니다. 개인정보보호법과 하위 규정에는 명시적으로 망분리에 관한 조항은 존재하지 않습니다. 다만 "내부망"이 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간임을 명시하고 내부망과 인터넷 망에 개인정보를 저장할 때 암호화 필요성을 언급하고 있을 뿐입니다.

정보통신망법의 망분리 관련 조항

망분리는 정보통신망법에서 언급되는데... 사실 정보통신망법 본문조항에서는 직접적으로 언급되지 않습니다. 다만 제28조에서 개인정보보호를 위한 관리적·기술적 보호조치에 대해 다음과 같이 언급하고 있습니다.


제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.  <개정 2016.3.22.>

1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.  <개정 2016.3.22.>

[전문개정 2008.6.13.]


대통령령으로 정하는 기술적·관리적 보호조치에 "망분리"에 대한 내용이 언급되어 있겠죠? 그럼 대통령령을 들여다 보겠습니다. 

대통령령 제27951호(2017.3.22) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보보호 조치)입니다.


제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다.  <개정 2016.9.22>

1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항

2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항

3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.  <개정 2012.8.17>

1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행

2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.

1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독

2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관

④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.  <개정 2014.11.28, 2017.3.22>

1. 비밀번호의 일방향 암호화 저장

2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치

4. 그 밖에 암호화 기술을 이용한 보안조치

⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.

⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.

[전문개정 2009.1.28.]


위에서 제②항 3호에서 "개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단" 조치를 취할 것을 규정하고 있습니다. 이 조항이 바로 숱하게 많은 "망분리" 이슈를 만든 조항입니다. 그리고 제⑥항에서 상세한 보호조치의 내용을 방송통신위원회에서 정하여 고시하도록 규정하고 있습니다. 



그렇다면 해당 고시를 찾아봐야 합니다. 보다 상세한 망분리에 대한 언급이 있을테니까요. 그 고시는 바로 방송통신위원회고시 2015-3호(2015.5.19) 개인정보의 기술적·관리적 보호조치 기준 입니다. 이 고시의 제2조(정의)를 보면 정보통신망법에서의 망분리에 대한 정의가 명시되어 있습니다.


제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. "개인정보관리책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.

2. "개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.

3. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.

4. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.

6. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.

8. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

9. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.

10. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.

11. "보안서버"라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.

12. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.

13. "모바일 기기"란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.

14. "보조저장매체"란 이동형 하드디스크(HDD), USB메모리, CD (Compact Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리·접속할 수 있는 저장매체를 말한다.


간단하게 말에 개인정보처리시스템에 접속하는 업무망과 인터넷망을 분리하라는 것이죠. 하지만 이 정의만으로는 정확하게 무엇을 어떻게 하라는 것인지 조금 부족합니다. 조금 더 자세한 규정은 제4조(접근통제)에 명시되어 있습니다.


제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.


제⑥항에서 망분리 의무 대상을 규정하고 있습니다. 이용자수 100만명(전년도 말 기준 직전 3개월간 일일평균)이거나 정보통신서비스 부문 매출액 100억원 이상인 정보통신서비스 제공자가 대상입니다. 그리고 대상 기관(기업)의 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터가 망분리 대상임을 확실하게 규정하고 있습니다. 또한 망분리의 방법은 물리적 또는 논리적이라고 규정하고 있습니다.


하지만 아쉽게도 물리적 망분리와 논리적 망분리에 대한 상세한 설명은 없습니다. 알아서 하라는 것일까요? 맞습니다. 알아서 해야합니다. 하지만 주입식 교육에 찌든 대한민국의 어른들은 알아서 하라고 하면 참 힘들어 하고 자신의 생각과 다르게 망분리를 수행하면 싸웁니다.  ^^ 그래서 한국인터넷진흥원에서는 "개인정보의 기술적·관리적 보호조치 기준 해설서"를 만들어서 배포하고 있습니다. 참 친절하죠? ^^ 그 해설서에서는 망분리에 대해 다음과 같이 해설해주고 있습니다.


망분리망분리


이 이상의 해석은 스스로 알아서 하시길 바랍니다. ^^



  • 베짱이 2017.07.20 08:35 신고

    랜섬웨어 등의 보안이슈로 금융권에서는 망분리를 하더군요.

    • taeho Tae-Ho 2017.07.20 11:17 신고

      네.. 금융권은 비교적 철저하게 망분리를 하는 편인데... 그래도 이리저리 구멍은 있더라구요. ^^ 찾기가 어려워서 그렇지..

  • 나롱이★ 2017.07.23 01:19 신고

    오잉? 혹시 제 페친은 아니시져~?ㅎㅎ 글 잘읽고 갑니다.^^

    • taeho Tae-Ho 2017.07.23 13:27 신고

      ㅎㅎ첨 뵙는 듯 한데... 혹시 안면이 있는 분일지도.. 그리구.. 어쩜 저랑 비슷한 의도의 글을.. ^^ 저보다 먼저 쓰신 듯 하네요.

    • 나롱이★ 2017.07.23 13:49 신고

      아아 정보보안쪽 페친으로 김태호라는 분이 있어서 헷깔렸네요.ㅎㅎ 업무보다가 가끔 궁금한게 생각나면 정리하곤 합니다.^^

    • taeho Tae-Ho 2017.07.23 14:50 신고

      ㅎㅎ 음... 페이스북 주소가 어찌되시는지요?? 혹시..

    • 2017.07.23 14:54

      비밀댓글입니다

    • taeho Tae-Ho 2017.07.24 10:15 신고

      ㅎㅎ 정말 동명이인이네요.. ^^ 페북 구경 잘했습니다~

    • 나롱이★ 2017.07.24 10:16 신고

      아아 넵!!ㅎㅎㅎㅎ 즐거운 하루 되시구요 앞으로 종종 들릴께요.^^ 제 블로그내에 링크는 걸어놨습니다.ㅎ

  • 온천거북 2019.12.03 23:12 신고

    완벽한 법령 분석입니다. 많이 도움 되었습니다. 감사합니다.


정보통신망 이용촉직 및 정보보호 등에 관한 법률(이하 정통망법)과 개인정보 보호법에서는 정보통신서비스의 이용자와 사용자가 안전한 비밀번호를 설정하고 서비스에 로그온 할 수 있도록 법률로서 서비스 제공자에게 의무하화고 있습니다. 하지만 아직도 이에 대한 인식은 많이 부족한 편입니다. 실제로 여러 웹서비스에 구현되어 있는 계정의 비밀번호 관련 기능을 살펴보면 의무적으로 제공되어야 할 기능이 제대로 구현되어 있지 않은 경우가 많습니다.



정보통신망법에 명시된 비밀번호 관련 규정

사실 정보통신망법에는 이용자와 사용자의 비밀번호에 대한 직접적인 규정은 없습니다. 다만 비밀번호와 같은 개인정보의 보호와 관련된 조항은 28조(개인정보의 보호조치)와 45조(정보통신망의 안전성 확보 등)에서 언급되어 있습니다.


제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.  <개정 2016.3.22.>

1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.  <개정 2016.3.22.>

[전문개정 2008.6.13.]


제45조(정보통신망의 안정성 확보 등) ① 정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.

미래창조과학부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다.  <개정 2012.2.17., 2013.3.23.>

③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.  <개정 2016.3.22.>

1. 정당한 권한이 없는 자가 정보통신망에 접근·침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치·운영 등 기술적·물리적 보호조치

2. 정보의 불법 유출·위조·변조·삭제 등을 방지하기 위한 기술적 보호조치

3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적·물리적 보호조치

4. 정보통신망의 안정 및 정보보호를 위한 인력·조직·경비의 확보 



하지만 눈을 씻고 봐도 비밀번호에 대한 직접적인 언급은 없습니다. 비밀번호나 보안기술에 대해 상세하게 법에서 언급하긴 어렵죠. 그래서 미래창조과학부 장관에게 고시를 통해 상세한 규정을 정하라고 되어 있습니다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 ( 약칭: 정보통신망법 시행령 )의 제15조(개인정보의 보호조치)입니다.


제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다.  <개정 2016.9.22.>

1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항

2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항

3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.  <개정 2012.8.17.>

1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행

2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.

1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독

2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관

④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.  <개정 2014.11.28., 2017.3.22.>

1. 비밀번호의 일방향 암호화 저장

2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치

4. 그 밖에 암호화 기술을 이용한 보안조치

⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.

⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.

[전문개정 2009.1.28.]


위에서 보면 시행령 제15조 2항의 4에서 정보통신서비스 제공자에게 비밀번호의 생성 방법과 변경 주기 등의 기준 설정과 운영하라고 하고 있지만 구체적인 기준은 역시나 없습니다. 하지만 6항에서 구체적인 기준을 방송통신위원회가 고시하도록 또~ 위임하고 있습니다.

그렇다면 고시를 봐야겠죠 ? 


방송통신위원회고시 제2015-3호(2015.5.19 일부개정) "개인정보의 기술적·관리적 보호조치 기준입"니다. 


제4조(접근통제) ⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경


위의 8항에서 명시하고 있는 비밀번호 규정은 "개인정보취급자"가 그 대상입니다. 즉 정보통신서비스 "이용자"가 아니라 "사용자"에 해당되는 것이죠. 반면 "이용자"의 비밀번호에 대한 규정은 보이지 않습니다. 다만 7항에서 이용자가 안전한 비밀번호를 이용할 수 있도록 자체적인 비밀번호 작성 규칙을 수립하고 이행하라고만 하고 있습니다. 서비스 제공자 스스로 이용자의 비밀버호 규칙을 수립하고 이행하면 되는 것입니다.


개인정보보호법에 명시된 비밀번호 관련 규정

역시 개인정보보호법에도 직접적으로 비밀번호와 관련된 조항은 없습니다. 정보통신망법과 마찬가지로 관리적, 기술적 보호조치에 대한 조항을 찾아보면 다음과 같은 조항을 찾을 수 있습니다.


제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.  <개정 2015.7.24.>


너무도 씸~플!합니다. 대통령령으로 정할테니 따르라는 것이죠.

그렇다면 그 대통령령을 찾아봐야겠죠 ? 그 대통령령은 "대통령령 제28150호(2017.6.27)  개인정보보호법 시행령" 입니다.


제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치

5. 개인정보에 대한 보안프로그램의 설치 및 갱신

6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

② 행정자치부장관은 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.  <개정 2013.3.23, 2014.11.19>

③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정자치부장관이 정하여 고시한다.  <개정 2013.3.23, 2014.11.19>


그런데 역시나 시행령에도 비밀번호에 관한 조항은 없습니다. 다만 3항에 행정자치부장관에게 위임하는 조항이 있습니다. 그렇습니다. 행정자치부장관의 안전성 확보 조치 관련 고시를 찾아야 합니다. 이 고시는 "행정자치부고시 제2016-35호(2016.9.1) 개인정보의 안전성 확보조치 기준" 입니다.


제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.



제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.


위의 내용을 살펴보면 개인정보의 안전성 확보조치 기준 고시의 제5조 5항과 6항은 사용자가 아닌 이용자의 비밀번호에 대한 작성 규칙을 수립하고 적용할 것을 규정하고 있습니다. 그리고 구체적으로 비밀번호의 길이와 규칙을 명시하고 있지는 않습니다.  다만 "정보주체 즉 이용자가 안전한 비밀번호를 설정하여 이행할 수 있도록" 이라고 선언하고 있습니다. 


결론

앞에서 살펴보았듯 정보통신망법과 개인정보보호법의 이용자 및 사용자 비밀번호와 관련된 규정은 많이 다릅니다. 정보통신망법은 이용자의 개인정보를 취급하는 개인정보 취급자(사용자라고 봄)에 대해서는 3종류 8자 조합 및 2종류 10자 조합의 규칙을 적용하라고 하고 있고 이용자에 대해서는 개인정보보호법과 같이 "안전한 비밀번호 규칙"을 자체적으로 수립하여 적용하도록 하고 있습니다.


사업자의 입장에서 이용자에 대해서는 같은 관점에서 조치하면 되지만 개인정보취급자에 대해서는 정보통신망법의 규정을 적용받는지 아니면 아무런 규정이 없는 개인정보보호법의 적용을 받는 것인지 애매하게 생각할 수 있습니다.


하지만 정보통신망법은 연간 매출액 또는 세입이 1,500억 이상이거나 정보통신서비스 매출액 기준 100억 혹은 최근3개월 간 1일 평균 이용자수 100만명 이상인 경우에만 적용받는 "특별법"이기 때문에 위의 기준에 부합된다면 정보통신망법을 따라야 하며 그렇지 않을 경우 "일반법"인 개인정보 보호법을 따르면 됩니다.



  • 베짱이 2017.07.13 06:15 신고

    쇼핑몰을 하거나 온라인 커머스 사업 등을 할때 필수적인 지식이죠. 잘 보았습니다. ㅋㅋ

    • taeho Tae-Ho 2017.07.13 19:37 신고

      쇼핑몰이라면 매출에 관계 없이 개인정보보호법의 적용을 받죠. 매출100억이 넘거나 직전 3개월 평균 가입자 수가 100만명이 넘으면 정보통신망법의 적용을 추가로~ 받게 되구요. 꼭~알아둬야 할 상식~같은 법이죠.