정보통신서비스 제공자등을 위한 망분리 해설
1) 개요
- 망분리란 외부 인터넷 망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
2) 망분리 적용대상 및 범위
- 적용대상 : 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등, 정보보호 관리체계 인증 의무 대상자, 정보통신기반시설로 지정된 기관(사회에 지대한 영향 미치는 기관은 고려 X)
- 적용범위 : 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등/개인정보처리시스템에서 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등
3) 주요 망분리 방식
| 구분 | 물리적 망분리 | 논리적 망분리 |
| 운영방법 | 업무용 망과 인터넷용 망을 물리적으로 분리 | 가상화 등의 기술을 이용하여 논리적으로 분리 |
| 도입비용 | 높음 | 구축환경에 따라 상이 |
| 보안성 | 높음 | 상대적으로 낮음 |
| 효율성 | 업무환경의 효율성 저하 | 상대적으로 관리 용이 |
4) 물리적 망분리
- 업무망과 인터넷망을 물리적으로 분리할 뿐만 아니라 각 망에 접속하는 컴퓨터도 물리적으로 분리하여 망간 접근경로를 차단하는 방식
- 2 PC를 이용한 물리적 망분리 : 업무용 컴퓨터와 인터넷용 컴퓨터를 구분, 물리적으로 차단하여 보안성 높지만 별도 네트워크 구축, 컴퓨터 추가 구매 등에 따라 비용 증가 및 관리 어려움 존재
- 1 PC를 이용한 물리적 망분리 : 망 전환장치를 사용하여 선택적으로 접속, 협소한 사무공간에 적합, 망 전환시 재부팅 등이 필요할 수 있기에 이용자 불편 및 업무 지연 초래가능
5) 논리적 망분리
- 가상화 기술을 이용하여 서버 또는 컴퓨터를 가상화함으로써 논맂거으로 분리하는 방식
- 서버기반 논리적 망분리(SBC) : 인터넷 접속,업무수행 등 기존에 수행하던 작업을 가상화 서버에 접속하여 수행함으로써 논리적으로 업무망과 인터넷망을 분리, 인터넷망 가상화와 업무망 가상화로 구분가능, 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터는 인터넷망 가상화 방식으로 적용해야한다.
| 인터넷망 가상화 | 업무망 가상화 |
| 가상화 서버환경에서 사용자 통제 및 관리정책 일괄적용 가능 가상화된 인터넷 환경제공으로 인한 악성코드 감염 최소화 인터넷 환경이 악성코드 감염되거나 해킹당해도 업무환경은 안전하게 유지가능 |
가상화 서버환경에 사용자 통제 및 관리정책 일괄적용 가능 가상화 서버환경에 업무정보 저장됨에 따라 업무 데이터에 중앙관리 및 백업용이, 내부정보 유출방지효과 증대 |
| 가상화 서버 구축비용 발생 가상화 서버 성능 및 용량에 따라 속도저하, 업무지연 발생가능 |
|
- 컴퓨터기반 논리적 망분리(CBC) : 인터넷 접속 등의 작업을 컴퓨터(클라이언트)기반 가상화 기술이 적용된 영역에서 수행함으로써 논리적으로 망분리
제1장 총칙
제1조(목적)
이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
- 정보통신망법은 방송통신위원회가 수립
제2조(정의)
- 정보통신망 : 전기통신사업법에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송수신하는 정보통신체제
- 정보통신서비스 : 전기통신사업법에 따른 전기통신역무와 이를 이용하여 정보를 제공 또는 매개하는 것
- 정보통신서비스 제공자 : 전기통신사업법에 따른 전기통신사업자와 영리목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 매개하는 자
- 전자문서 : 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것
* 정보통신망법 적용 대상자 도식화
| 정보통신서비스 제공자등 |
정보통신서비스 제공자 |
전기통신사업자 | 기간통신사업자 |
| 별정통신사업자 | |||
| 부가통신사업자 | |||
| 영리를 목적으로 전기통신 사업자의 전기통신역무를 이용해 정보를 제공하거나 매개하는 자 | |||
| 정보통신서비스 제공자로부터 개인정보를 제공받은 자 | |||
| 방송 사업자 | |||
| 개인정보 처리 업무를 위탁받은 자 | |||
| 다른 법률에서 해당 법 적용 받은 자 | |||
제3조(정보통신서비스 제공자 및 이용자의 책무)
① 정보통신서비스 제공자는 이용자를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다.
② 이용자는 건전한 정보사회가 정착되도록 노력하여야 한다.
③ 정부는 정보통신서비스 제공자단체 또는 이용자단체의 정보보호 및 정보통신망에서의 청소년 보호 등을 위한 활동을 지원할 수 있다.
제4조(정보통신망 이용촉진 및 정보보호등에 관한 시책의 마련)
① 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리ㆍ운영과 이용자 보호 등(정보통신망 이용촉진 및 정보보호등)을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.
② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다.
1. 정보통신망에 관련된 기술의 개발ㆍ보급
2. 정보통신망의 표준화
3. 정보내용물 및 제11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
4. 정보통신망을 이용한 정보의 공동활용 촉진
5. 인터넷 이용의 활성화
7. 정보통신망에서의 청소년 보호
7의2. 정보통신망을 통하여 유통되는 정보 중 인공지능 기술을 이용하여 만든 거짓의 음향ㆍ화상
또는 영상 등의 정보를 식별하는 기술의 개발ㆍ보급
8. 정보통신망의 안전성 및 신뢰성 제고
9. 그 밖에 정보통신망 이용촉진 및 정보보호등을 위하여 필요한 사항
③ 과학기술정보통신부장관 또는 방송통신위원회는 제1항에 따른 시책을 마련할 때에는 「지능정보화 기본법」 제6조에 따른 지능정보사회 종합계획과 연계되도록 하여야 한다.
제5조(다른 법률과의 관계)
정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 다만, 제7장의 통신과금서비스에 관하여 이 법과 「전자금융거래법」의 적용이 경합하는 때에는 이 법을 우선 적용한다.
- 정보통신망법은 일반법 성격을 가진다.
제5조의2(국외행위에 대한 적용)
이 법은 국외에서 이루어진 행위라도 국내 시장 또는 이용자에게 영향을 미치는 경우에는 적용한다.
제2장 정보통신망의 이용촉진
제4장 정보통신서비스의 안전한 이용환경 조성
제22조의2(접근권한에 대한 동의)
① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(접근권한)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.
④ 방송통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다.
⑤ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.
제23조의2(주민등록번호의 사용 제한)
① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집ㆍ이용할 수 없다.
1. 제23조의3에 따라 본인확인기관으로 지정받은 경우
3. 「전기통신사업법」 제38조제1항에 따라 기간통신사업자로부터 이동통신서비스 등을 제공받아
재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의
본인확인업무 수행과 관련하여 이용자의 주민등록번호를 수집ㆍ이용하는 경우
② 제1항제3호에 따라 주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(대체수단)을 제공하여야 한다.
- 정보통신서비스 제공자는 본인확인기관 또는 본인확인업무와 관련된 경우만 주민등록번호 수집 이용 가능하다.
제23조의3(본인확인기관의 지정 등)
① 방송통신위원회는 다음 각 호의 사항을 심사하여 대체수단의 개발ㆍ제공ㆍ관리 업무(본인확인업무)를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있다.
1. 본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획
2. 본인확인업무의 수행을 위한 기술적ㆍ재정적 능력
3. 본인확인업무 관련 설비규모의 적정성
② 본인확인기관이 본인확인업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다. 이 경우 휴지기간은 6개월을 초과할 수 없다.
③ 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다.
④ 제1항부터 제3항까지의 규정에 따른 심사사항별 세부 심사기준ㆍ지정절차 및 휴지ㆍ폐지 등에 관하여 필요한 사항은 대통령령으로 정한다.
제23조의4(본인확인업무의 정지 및 지정취소)
① 방송통신위원회는 본인확인기관이 다음 각 호의 어느 하나에 해당하는 때에는 6개월 이내의 기간을 정하여 본인확인업무의 전부 또는 일부의 정지를 명하거나 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 때에는 그 지정을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 본인확인기관의 지정을 받은 경우
2. 본인확인업무의 정지명령을 받은 자가 그 명령을 위반하여 업무를 정지하지 아니한 경우
3. 지정받은 날부터 6개월 이내에 본인확인업무를 개시하지 아니하거나 6개월 이상 계속하여
본인확인업무를 휴지한 경우
4. 제23조의3제4항에 따른 지정기준에 적합하지 아니하게 된 경우
② 제1항에 따른 처분의 기준, 절차 및 그 밖에 필요한 사항은 대통령령으로 정한다.
제32조의5(국내대리인의 지정)
① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(국내대리인)를 서면으로 지정하여야 한다.
3. 제64조제1항에 따른 관계 물품ㆍ서류 등의 제출
② 국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다.
③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 인터넷 사이트 등에 공개하여야 한다.
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.
제5장 정보통신망에서의 이용자 보호 등
제6장 정보통신망의 안전성 확보 등
제45조(정보통신망의 안정성 확보 등)
① 다음 각 호의 어느 하나에 해당하는 자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.
1. 정보통신서비스 제공자
2. 정보통신망에 연결되어 정보를 송ㆍ수신할 수 있는 기기ㆍ설비ㆍ장비 중 대통령령으로 정하는
기기ㆍ설비ㆍ장비(정보통신망연결기기등)를 제조하거나 수입하는 자
② 과학기술정보통신부장관은 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치에 관한 지침(정보보호지침)을 정하여 고시하고 제1항 각 호의 어느 하나에 해당하는 자에게 이를 지키도록 권고할 수 있다.
③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.
1. 정당한 권한이 없는 자가 정보통신망에 접근ㆍ침입하는 것을 방지하거나 대응하기 위한
정보보호시스템의 설치ㆍ운영 등 기술적ㆍ물리적 보호조치
2. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등
관리적 보호조치
5. 정보통신망연결기기등의 정보보호를 위한 기술적 보호조치
④ 과학기술정보통신부장관은 관계 중앙행정기관의 장에게 소관 분야의 정보통신망연결기기등과 관련된 시험ㆍ검사ㆍ인증 등의 기준에 정보보호지침의 내용을 반영할 것을 요청할 수 있다.
제45조의2(정보보호 사전점검)
① 정보통신서비스 제공자는 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하여야 한다.
② 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다.
1. 이 법 또는 다른 법령에 따라 과학기술정보통신부장관의 인가ㆍ허가를 받거나 등록ㆍ신고를
하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업
2. 과학기술정보통신부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서 대통령령으로 정하는
정보통신서비스 또는 전기통신사업
③ 제2항에 따른 정보보호 사전점검의 기준ㆍ방법ㆍ절차ㆍ수수료 등 필요한 사항은 대통령령으로 정한다.
제45조의3(정보보호 최고책임자의 지정 등)
① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 대통령령으로 정하는 기준에 해당하는 임직원을 정보보호 최고책임자로 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 신고하지 아니할 수 있다.
② 제1항에 따른 신고의 방법 및 절차 등에 대해서는 대통령령으로 정한다.
③ 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자(자산총액, 매출액 등 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우로 한정)는 제4항의 업무 외의 다른 업무를 겸직할 수 없다.
④ 정보보호 최고책임자의 업무는 다음 각 호와 같다.
1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.
가. 정보보호 계획의 수립ㆍ시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행
2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.
가. 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무
나. 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무
다. 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무
라. 「개인정보 보호법」 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
⑤ 정보통신서비스 제공자는 침해사고에 대한 공동 예방 및 대응, 필요한 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위하여 제1항에 따른 정보보호 최고책임자를 구성원으로 하는 정보보호 최고책임자 협의회를 구성ㆍ운영할 수 있다.
⑥ 정부는 제5항에 따른 정보보호 최고책임자 협의회의 활동에 필요한 경비의 전부 또는 일부를 지원할 수 있다.
⑦ 정보보호 최고책임자의 자격요건 등에 필요한 사항은 대통령령으로 정한다.
