ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 내가 보려고 정리하는 개인정보보호법 (1) - 개인정보 안정성 확보 조치
    AND.../정보보안 2021. 5. 27. 19:47
    반응형

    법은 쉬운 말도 어렵게 풀어내는 신기한 능력을 가졌습니다. 눈에 안들어오는 법 용어를 그림으로 이해해 봅시다.
    소설책을 읽다 보면 등장인물 이름이 어려워도 이미지를 떠올리면서 점차 눈에 익게 되죠?
    같은 원리로 개인정보보호법에 나오는 등장인물들을 이미지화 해보았습니다.

     

    용어 설명
    개인정보처리자 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
    개인정보취급자 개인정보처리자의 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자
    개인정보 보호책임자 개인정보보호 업무를 총괄하거나 업무 처리를 최종 결정하는 임직원
    정보통신서비스 제공자 정보통신서비스를 제공하는 자
    정보보호 최고책임자 ISMS, 취약점 분석, 침해사고 대응 등 정보통신시스템에 대한 보안을 관리하는 임원. 과기부장관에게 신고
    개인정보처리시스템 개인정보를 처리하는 데이터베이스
    정보주체 내 개인정보
    고유식별정보 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

     

    전체적인 그림을 봤을 때 개인정보취급자"의심스러운 인물"로 인식하는 것 같습니다. 개인정보처리자가 업무를 분담하려고 고용한 시간제 근로자라고 생각하면 편한데, 개인정보처리자는 개인정보취급자가 하는 일마다 기록하고 관리합니다.


    개인정보보호법 시행령 제 30조 개인정보 안전성 확보 조치 방안

     

    개인정보처리자모두 도맡아 일합니다.

    1. 내부 의사결정 절차를 통해 내부 관리계획을 수립·시행

    1. 개인정보 보호책임자의 자격요건 및 지정
    2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임
    3. 개인정보취급자에 대한 교육에 관한 사항
    4. 안정성 확보 조치 항목에 관한 사항
    5. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
    6.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
    7. 위험도 분석 및 대응방안 마련에 관한 사항
    8. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
    9. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

    개인정보처리자수정 및 수정이력을 관리하고, 개인정보 보호책임자는 연1회 이상 내부 관리계획의 이행 실태를 점검·관리합니다.

     

    2. 개인정보에 대한 접근통제 및 접근권한의 제한 조치

    2-1. 접근권한 정책

    개인정보처리시스템에 접속하는 개인정보취급자에 대한 접근 권한을 관리하는 정책입니다.

    1. 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
    2. 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 접근 권한을 변경 또는 말소하여야 한다.
    3. 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
    4. 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 한다.
    5. 개인정보취급자 또는 정보주체의 비밀번호 작성규칙을 수립하여 적용하여야 한다.
    6. 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한한다.

    2-2. 접근통제 정책

    개인정보처리시스템에 접속하는 개인정보취급자 및 불법침입자에 대한 접근을 통제하는 정책입니다.

    1. IP주소로 접속 권한을 제한하여 비인가자 차단
    2. 접속한 IP주소를 분석하여 개인정보 유출 시도 탐지 및 대응
    3. 개인정보취급자가 외부에서 개인정보처리시스템에 접속하려는 경우 VPN 또는 전용선 등 안전한 접속수단과 인증수단을 적용
    4. 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제
    5. 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검
    6. 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 설정

     

    3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 적용

    기본적으로 저장하거나 전송할 때 모두 암호화합니다.

    1. 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달 시 암호화한다.
    2. 비밀번호 및 바이오정보 암호화하여 저장한다. 다만, 비밀번호를 저장하는 경우 일방향 암호화한다.
    3. 인터넷 및 DMZ에 고유식별정보를 저장하는 경우 암호화한다.
    4. 내부망에 고유식별정보를 저장하는 경우 결과에 따라 암호화한다.

    - 개인정보 영향평가 대상 공공기관의 경우에는 해당 개인정보 영향평가의 결과
    - 암호화 미적용시 위험도 분석에 따른 결과

     

    4. 접속기록 보관 및 위변조 방지 조치

    개인정보취급자 개인정보처리시스템에 접속 시 접속기록이 남습니다. 불법을 저지르지 않는지 검사합니다. 😳
    접속기록 : 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무

    1. 접속기록을 1년 이상 보관·관리한다. 다만, 5만명 이상 / 고유식별정보 / 민감정보 처리 시 2년 이상 보관·관리한다.
    2. 접속기록 등을 월 1회 이상 점검한다. 개인정보를 다운로드한 것이 발견되었을 경우 내부관리 계획에 따라 사유를 반드시 확인한다.
    3. 접속기록이 위·변조 및 도난, 분실되지 않도록 안전하게 보관한다.

     

    5. 보안프로그램 설치 및 갱신

    1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시
    2. 악성프로그램 관련 경보가 발령된 경우 또는 보안 업데이트 공지가 있는 경우 즉시 업데이트
    3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치

     

    6. 물리적 안전 조치

    1. 전산실, 자료보관실 등 물리적 보관 장소를 별도로 두고 있는 경우 출입통제 절차를 수립·운영한다.
    2. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관한다.
    3. 개인정보처리시스템 사용 시 보조저장매체의 반출·입 통제를 위한 보안대책을 마련한다.


    앞서 개인정보처리자가 수행하는 안정성 확보 조치를 살펴봤습니다. 정보통신서비스 제공자 또한 개인정보를 제공받으므로 안전하게 관리해야 할 의무가 있습니다.
    개인정보처리자는 정부24(공공기관)의 정보보안담당부서, 정보통신서비스 제공자는 네이버(기업)의 정보보안담당부서라고 생각하니 이해가 수월했습니다. 따라서 둘 다 개인정보취급자를 고용하고 개인정보처리시스템을 이용합니다.

     

    개인정보보호법 시행령 제 48조의2 개인정보 안전성 확보 조치에 대한 특례
    개인정보의 기술적·관리적 보호조치 기준

     

    정보통신서비스 제공자가 모두 도맡아 일합니다.

    1. 내부 의사결정 절차를 통해 내부 관리계획을 수립·시행

    1. 개인정보 보호책임자의 자격요건 및 지정
    2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임
    3. 개인정보 내부관리계획의 수립 및 승인
    4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검
    5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독
    6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법
    7. 개인정보 보호책임자 및 개인정보취급자를 대상으로 교육 (교육목적 및 대상, 교육 내용, 교육 일정 및 방법)

     

    2. 개인정보에 대한 접근통제 및 접근권한의 제한 조치

    1. 개인정보처리시스템에 대한 접근권한을 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
    2. 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 접근 권한을 변경 또는 말소한다.
    3. 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
    4. 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용한다.
    5. 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

    - 접속 권한을 IP주소로 제한하여 비인가자 차단
    - 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

    6. 개인정보처리시스템에서 개인정보취급자의 컴퓨터를 물리적/논리적으로 망분리한다.

    - 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상
    - 정보통신서비스 부문 전년도 매출액이 100억원 이상

    7. 개인정보취급자를 대상으로 비밀번호 작성규칙을 수립하고 적용·운용한다.

    - 영문, 숫자, 특수문자 중 2종류 + 10자리 이상 / 3종류 + 8자리 이상의 길이로 구성
    - 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
    - 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

    8. 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 접근 통제
    9. 개인정보처리시스템에 대한 개인정보취급자의 최대 접속시간을 제한한다.

      제 30조 - 개인정보처리자 제 48조의2 - 정보통신서비스 제공자
    접근권한 부여 업무 담당자에 따라 차등 부여 개인정보 보호책임자 또는 개인정보취급자에게
    개인정보취급자 인사이동 접근권한 변경 / 말소 접근권한 변경 / 말소
    권한 부여, 변경, 말소 기록 최소 3년 이상 보관 최소 5년 이상 보관
    비밀번호 작성규칙 개인정보취급자, 정보주체 개인정보취급자
    접근통제 IP주소로 차단 / 분석하여 유출 시도 탐지 및 대응 IP주소로 차단 / 분석하여 유출 시도 탐지 및 대응
    개인정보취급자의 외부 접속 안전한 접속수단(VPN), 인증수단 안전한 인증수단
    개인정보 외부 유출 방지 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기, 관리용 단말기 개인정보처리시스템, 개인정보취급자 컴퓨터, 모바일 기기
    개인정보취급자 시스템 접속 일정시간 이상 업무처리하지 않는 경우 자동 차단 최대 접속시간 제한

     

    3. 접속기록 보관 및 위변조 방지 조치

    1. 접속기록을 월 1회 이상 정기적으로 확인·감독하고 최소 1년 이상 접속기록을 보존·관리한다.
    2. 기간통신사업자의 경우 보존·관리해야할 최소 기간을 2년으로 한다.
    3. 접속기록을 별도의 물리적인 저장 장치에 보관하고 정기적인 백업을 수행한다.

      제 30조 - 개인정보처리자 제 48조의2 - 정보통신서비스 제공자
    정기 확인·감독 주기 월 1회 이상 월 1회 이상
    보존·관리 기간 최소 1년 이상
    5만명이상 / 고유식별정보 / 민감정보 최소 2년 이상
    최소 1년 이상
    기간통신사업자 최소 2년 이상

     

    4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 적용

    1. 비밀번호는 일방향 암호화하여 저장한다.
    2. 고유식별정보, 신용카드번호, 계좌번호, 바이오정보를 암호화하여 저장한다.
    3. 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 보안서버를 구축하여 암호화한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
    - 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
    - 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
    4. 이용자의 개인정보컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때 암호화한다.

      제 30조 - 개인정보처리자 제 48조의2 - 정보통신서비스 제공자
    정보통신망을 통한 전송 비밀번호, 바이오정보, 고유식별정보 개인정보, 인증정보
    * 웹서버에 SSL 인증서 설치 / 암호화 응용프로그램 설치
    보조저장매체에 저장 비밀번호, 바이오정보, 고유식별정보 개인정보
    개인정보처리시스템에 저장 비밀번호, 바이오정보, 고유식별정보
    * 내부망에 고유식별정보 저장 시 개인정보 영향평가 / 위험도 분석 결과에 따라 저장
    비밀번호, 바이오정보, 신용카드번호, 계좌번호, 고유식별정보

     

    5. 보안프로그램 설치 및 갱신

    1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시
    2. 악성프로그램 관련 경보가 발령된 경우 또는 보안 업데이트 공지가 있는 경우 즉시 업데이트
    3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치

     

    6. 물리적 안전 조치

    1. 전산실, 자료보관실 등 물리적 보관 장소를 별도로 두고 있는 경우 출입통제 절차를 수립·운영한다.
    2. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관한다.
    3. 개인정보처리시스템 사용 시 보조저장매체의 반출·입 통제를 위한 보안대책을 마련한다.


    제 30조와 제 48조의2 둘 중 하나를 눈에 많이 익힌 뒤에 차이점을 확인하면 조금 나은 것 같습니다. 😅
    한 포스팅에 모두 개인정보보호법을 정리하고 싶었는데 무리였네요.

     

    👨‍⚖️ 개인정보보호법 모아보기

    참고

     

    반응형

    댓글

Designed by Tistory.