내가 보려고 정리하는 개인정보보호법 (1) - 개인정보 안정성 확보 조치

AND.../정보보안 2021. 5. 27. 19:47

법은 쉬운 말도 어렵게 풀어내는 신기한 능력을 가졌습니다. 눈에 안들어오는 법 용어를 그림으로 이해해 봅시다.
소설책을 읽다 보면 등장인물 이름이 어려워도 이미지를 떠올리면서 점차 눈에 익게 되죠?
같은 원리로 개인정보보호법에 나오는 등장인물들을 이미지화 해보았습니다.

용어	설명
개인정보처리자	개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
개인정보취급자	개인정보처리자의 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자
개인정보 보호책임자	개인정보보호 업무를 총괄하거나 업무 처리를 최종 결정하는 임직원
정보통신서비스 제공자	정보통신서비스를 제공하는 자
정보보호 최고책임자	ISMS, 취약점 분석, 침해사고 대응 등 정보통신시스템에 대한 보안을 관리하는 임원. 과기부장관에게 신고
개인정보처리시스템	개인정보를 처리하는 데이터베이스
정보주체	내 개인정보
고유식별정보	주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

전체적인 그림을 봤을 때 개인정보취급자는 "의심스러운 인물"로 인식하는 것 같습니다. 개인정보처리자가 업무를 분담하려고 고용한 시간제 근로자라고 생각하면 편한데, 개인정보처리자는 개인정보취급자가 하는 일마다 기록하고 관리합니다.

개인정보보호법 시행령 제 30조 개인정보 안전성 확보 조치 방안

개인정보처리자가 모두 도맡아 일합니다.

1. 내부 의사결정 절차를 통해 내부 관리계획을 수립·시행

1. 개인정보 보호책임자의 자격요건 및 지정
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임
3. 개인정보취급자에 대한 교육에 관한 사항
4. 안정성 확보 조치 항목에 관한 사항
5. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
6.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
7. 위험도 분석 및 대응방안 마련에 관한 사항
8. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
9. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

개인정보처리자는 수정 및 수정이력을 관리하고, 개인정보 보호책임자는 연1회 이상 내부 관리계획의 이행 실태를 점검·관리합니다.

2. 개인정보에 대한 접근통제 및 접근권한의 제한 조치

2-1. 접근권한 정책

개인정보처리시스템에 접속하는 개인정보취급자에 대한 접근 권한을 관리하는 정책입니다.

1. 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
2. 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 접근 권한을 변경 또는 말소하여야 한다.
3. 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
4. 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 한다.
5. 개인정보취급자 또는 정보주체의 비밀번호 작성규칙을 수립하여 적용하여야 한다.
6. 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한한다.

2-2. 접근통제 정책

개인정보처리시스템에 접속하는 개인정보취급자 및 불법침입자에 대한 접근을 통제하는 정책입니다.

1. IP주소로 접속 권한을 제한하여 비인가자 차단
2. 접속한 IP주소를 분석하여 개인정보 유출 시도 탐지 및 대응
3. 개인정보취급자가 외부에서 개인정보처리시스템에 접속하려는 경우 VPN 또는 전용선 등 안전한 접속수단과 인증수단을 적용
4. 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제
5. 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검
6. 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 설정

3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 적용

기본적으로 저장하거나 전송할 때 모두 암호화합니다.

1. 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달 시 암호화한다.
2. 비밀번호 및 바이오정보 암호화하여 저장한다. 다만, 비밀번호를 저장하는 경우 일방향 암호화한다.
3. 인터넷 및 DMZ에 고유식별정보를 저장하는 경우 암호화한다.
4. 내부망에 고유식별정보를 저장하는 경우 결과에 따라 암호화한다.

- 개인정보 영향평가 대상 공공기관의 경우에는 해당 개인정보 영향평가의 결과
- 암호화 미적용시 위험도 분석에 따른 결과

4. 접속기록 보관 및 위변조 방지 조치

개인정보취급자가 개인정보처리시스템에 접속 시 접속기록이 남습니다. 불법을 저지르지 않는지 검사합니다. 😳
접속기록 : 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무

1. 접속기록을 1년 이상 보관·관리한다. 다만, 5만명 이상 / 고유식별정보 / 민감정보 처리 시 2년 이상 보관·관리한다.
2. 접속기록 등을 월 1회 이상 점검한다. 개인정보를 다운로드한 것이 발견되었을 경우 내부관리 계획에 따라 사유를 반드시 확인한다.
3. 접속기록이 위·변조 및 도난, 분실되지 않도록 안전하게 보관한다.

5. 보안프로그램 설치 및 갱신

1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시
2. 악성프로그램 관련 경보가 발령된 경우 또는 보안 업데이트 공지가 있는 경우 즉시 업데이트
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치

6. 물리적 안전 조치

1. 전산실, 자료보관실 등 물리적 보관 장소를 별도로 두고 있는 경우 출입통제 절차를 수립·운영한다.
2. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관한다.
3. 개인정보처리시스템 사용 시 보조저장매체의 반출·입 통제를 위한 보안대책을 마련한다.

앞서 개인정보처리자가 수행하는 안정성 확보 조치를 살펴봤습니다. 정보통신서비스 제공자 또한 개인정보를 제공받으므로 안전하게 관리해야 할 의무가 있습니다.
개인정보처리자는 정부24(공공기관)의 정보보안담당부서, 정보통신서비스 제공자는 네이버(기업)의 정보보안담당부서라고 생각하니 이해가 수월했습니다. 따라서 둘 다 개인정보취급자를 고용하고 개인정보처리시스템을 이용합니다.

개인정보보호법 시행령 제 48조의2 개인정보 안전성 확보 조치에 대한 특례
개인정보의 기술적·관리적 보호조치 기준

정보통신서비스 제공자가 모두 도맡아 일합니다.