<정보보호 관리체계 수립>
1. IT 보안관리
(1) IT 보안관리
| ISO/IEC 27000 | 정보보안 관리체계 - 개관 및 용어 |
| 27001 | ISMS 요구사항 |
| 27002 | 정보보안관리를 위한 실행 규약 |
| 27003 | ISMS 구현 지침 |
| 27004 | 정보보안관리 지표 및 지표 프레임워크를 위한 지침 |
| 27005 | 정보보안 위험관리 지침 |
(2) 정보보호관리체계의 프로세스(27005) - PDCA 사이클
계획(Plan) : 보안 정책, 목적 프로세스 및 절차 수립
실행(Do) : 위험처리 계획의 이행
점검(Check) : 위험처리계획을 모니터링하고 유지보수
처리(Act) : 사건, 검토 또는 인지된 변화에 대응하여 정보보안 위험관리를 유지보수, 개선
(3) ISO 27001
2. 정보보호 정책
(1) 정보보호 정책, 절차, 표준, 지침, 기준선
- 보안 정책 : 조직 내에서 보안이 어떤 종류의 역할을 수행하는지 규정하기 위해 최고경영진에 의한 일반적인 선언
- 정보보호 정책의 역할 : 임직원에게 책임할당 및 책임추적성을 제공하고 기업비밀 및 지적재산권 보호하며 기업의 컴퓨팅 자원낭비를 방지하게 한다. 임직원의 가치판단 기준이 되고 경영진의 목표를 직원들이 공유할 수 있게 한다.
- 정보보호 정책 구현하기 위한 요건 : 정책은 주로 정보보호 관리자가 개발한다. 정책은 모든 임직원이 이해가능한 수준으로 작성되고 의사소통되어야 한다. 경영진에 의해 승인되어야 한다. 문서화되어야 한다. 포괄적, 일반적, 개괄적으로 기술되어야 한다.
(2) 정보보호 정책을 구현하기 위한 요소
- 표준(Standards) : 정책이 기업과 조직이 가야할 미션과 비전을 제시하는 것이라면, 표준은 요구사항을 정의한 것
- 기준선(Baseline) : 미래의 변경에 대한 비교로 사용되는 현재 시점
- 지침(Guidelines) : 권장행동과 운영적 안내사항. 예측할 수 없는 상황에 유연성을 제공
- 절차(Procedure) : 특정한 목표를 성취하기 위해 수행되는 단계적인 작업을 자세히 설명
(3) 구성원의 역할과 책임
- 최고 경영자 : 정보보호를 위한 총괄책임이 있다.
- 정보보호 관리자 : 조직의 정보보호 정책, 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임이 있다.
- 데이터 관리자 : 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 중요성 및 분류를 결정할 책임이 있다.
- 프로세스 관리자 : 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있다.
- 기술지원 인력 : 보안대책 구현에 대하여 조언할 책임이 있다.
- 사용자 : 조직의 정보보호 정책에 따라 수립된 절차를 준수할 책임이 있다.
- 정보시스템 감사자 : 보안목적이 적절하며 정보보호 정책, 표준, 대책, 실무 절차가 조직의 보안목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임이 있다.
3. 인적자원
- 고용과정 : 배경 검사 및 심사, 레퍼런스 체크, 고용협정
- 고용기간 : 최소권한, 직무분리, 핵심 직원에 대한 제한된 의존, 직무순환(예방, 탐지통제), 강제휴가(탐지통제)
- 고용종료 : 해고의 경우에는 해고 직원에게 해고 사실을 알리기 전에 접근권한을 즉시 삭제해야 한다.
<정보보호 위험관리>
1. 위험관리(Risk Management)
(1) 정의
조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고, 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정을 말한다.
(2) 위험의 구성요소
- 자산(Asset) : 조직이 보유한 가치를 지닌 것. 인적, 물리적, S/W, Paper, 정보, 서비스, 평판
- 위협(Threat) : 자산에 손실을 초래할 수 있는 사건의 잠재적 원인이나 행위자
- 취약점(Vulnerability) : 위협 요소로 남용할 수 있는 일개 자산 또는 자산들이 지닌 약점. 오류, 버그+접근가능+나쁜 짓을 할 수 있는 것을 말한다.
cf) 위협은 취약점을 공격하여 이용하게 되며, 취약점은 자산을 노출시킨다.
cf) 우려사항(Concern) : 위협과 취약점을 구분하지 않고 일련의 시나리오 형태로 도출 가능
(3) 절차
자산식별 -> 위험분석 및 평가 -> 정보보호 대책수립 -> 정보보호 계획수립 -> 주기적 검토
(4) 전체위험(Total risk)과 잔여위험(Residual risk)
- 자산*위협*취약점 = 전체위험
- (자산*위협*취약점)*통제격차(controls gap) = 잔여위험
- 전체위험 - 보안대책 = 잔여위험
2. 위험분석(Risk Analysis)
(1) 개요
- 정의 : 자산의 취약점을 식별하고 존재하는 위협을 분석하여 이들의 발생 가능성 및 위협이 미칠 수 있는 영향을 파악하여 보안위험의 내용과 정도를 결정하는 과정이다. 위험분석의 결과는 적절한 보호대책 선정의 근거가 된다.
- 사전 위험분석 : 효과적인 위험분석 수행위해, 현재 네트워크 및 시스템 환경에 적합한 위험분석 수준 결정하는 것
(2) 위험분석 방법론(요구성격에 따른 분류)
| 구분 | 설명 | 특징 및 장점 | 단점 |
| 기준 접근법(Baseline Approach) | 가장 기본적이고 일반적인 수준에서의 보안 통제사항들을 구현 | 체크리스트 형태, 소규모 조직 적합, 비용 및 시간 절약, 위험분석을 위한 자원 불필요 | 계량화 불가, 과보호 또는 부족보호 발생가능 |
| 전문가 접근법(Informal Approach) | 분석을 수행하는 개개인들의 지식과 전문성을 활용 | 중소규모 조직 적합, 비용대비 효과 우수 | 누락 가능성, 측정의 완전도 떨어짐 |
| 상세 위험분석(Detailed risk analysis) | 정형화되고 구조화된 프로세스를 사용하여 조직 IT 시스템에 대해 상세한 위험평가를 수행 정보시스템의 업무중요도가 높거나 자산가치가 높은 경우에 적용 |
대규모 조직 적합, 계량적 수치화 가능 | 시간 및 노력 많이 소요 |
| 통합된 접근법(Combined Approach) | 고위험 영역을 식별하여, 이 영역은 상세위험분석 수행하고 다른 영역은 기준접근법을 사용하는 방식 가능한 한 빨리 적절한 수준의 보안을 제공하여 중요 시스템에 운용될 보안통제를 살피고 조정하는 것이 목표 |
부분적 계량화 가능, 비용 및 자원 효율적, 중요한 자원 투입 전 필요한 정보 얻기 위함에 적합 | 고위험 영역 잘못 식별하면 비용낭비 가능 |
(3) 상세 위험분석
- 자산 분석 : 조직의 자산규모를 파악하고 가치 및 중요도를 산출하며 자산과 업무처리와의 관계도 알아낼 수 있다.
- 위협 분석 : 자산에 피해를 가할 수 있는 위협 파악하고 분석하는 과정
- 취약점 분석 : 자산 분석을 통하여 도출된 자산의 속성과 중요도를 바탕으로 자산이 가지고 있는 취약점을 식별하고, 취약점이 전체적인 위험에 미칠 수 있는 영향을 분석
- 대응책 분석 : 네트워크 및 시스템을 새로 구축하는 경우와 운영 중인 자산에 필요한 대응책을 조사하여 이들 대응책들의 기본 기능 수행여부를 파악
- 위험평가 : 자산 분석, 위협 분석, 취약점 분석, 대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 대응책을 제시해주는 위험분석의 최종단계
- 잔류 위험평가 : 대응책 적용할 때 보안정책에 명시되어 있는 허용 위험수준을 만족하는지 검증
(4) 위험처리 전략
| 위험도<=목표 위험수준 | 구분 | 설명 |
| YES | 위험 수용(Risk Acceptance) | 현재의 위험을 받아들이고 잠재적 손실비용을 감수하는 것 |
| NO | 위험 감소(Risk Redution) | 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것 |
| NO, 대책 무, 대상 유 | 위험 전가(Risk Transition) | 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당 |
| NO | 위험 회피(Risk Avoidance) | 위험이 존재하는 프로세스나 사업을 포기하는 것 |
- 무조건적인 위험수용은 지양하여야 한다. 또한 법률위반에 해당하는 위험은 수용가능한 위험에 포함되지 않도록 주의
(5) 정량적 위험분석(결과성격에 따른 분류)
1) 정의
위험분석 프로세스의 모든 요소에 대하여 금전적 가치와 숫자값을 부여하는데 사용, 객관적으로 분석
2) 단계
- 자산에 가치 부여
- 각각의 위협에 대한 잠재적 손실 계산 : 노출계수(%) 계산, SLE(한번의 침해로 발생한 손실액, =자산*노출계수) 계산
- 위협분석 수행 : ARO(연간 특정 위협 발생률) 계산
- 개별 위협마다 전체 손실 예상액 도출 : ALE(=ARO*SLE) 계산
- 위험 수용, 위험 감소, 위험 전가
cf) 안전장치 가치(정보보호 대책효과) = 안전장치 구현 전 ALE - 구현 후 ALE - 안전장치 비용
3) 장점 및 단점
- 장점 : 객관적인 평가기준이 적용, 정보의 가치가 논리적으로 평가, 화폐로 표현, 위험관리 성능평가가 용이, 이해 용이
- 단점 : 계산 복잡하여 분석하는데 시간, 노력, 비용이 소요, 자동화 도구 사용시 신뢰도가 벤더에 의존
4) 종류
- 과거자료 분석법 : 과거자료를 통해 위험발생 가능성 예측, 과거자료 많을수록 정확도 높음, 발생빈도 낮은 자료에 대해서는 적용이 어려움
- 수학공식 접근법 : 위험 정량화하여 간결하게 표현가능, 기대손실을 추정하는 자료의 양이 적다는 단점
- 확률 분포법 : 확률적 편차를 이용하여 최저, 보통, 최고 위험평가 예측, 정확성 낮음
- 점수법 : 가중치를 두어 위험 추정, 소요 시간 적고 분석해야 할 자원 양 적음, 정확도 낮음
(6) 정성적 위험분석(결과성격에 따른 분류)
1) 정의
다양한 위험 가능성의 시나리오에 정성적 방법을 투영시켜 위협의 심각성과 자산 중요성의 순위를 정한다.
판단, 직관, 경험을 포함한다.
2) 장점 및 단점
- 장점 : 계산에 대한 노력이 적게 든다. 정보자산에 대한 가치 평가 불필요, 비용 및 이익 평가 불필요
- 단점 : 지극히 주관적, 화폐가치로 표현하기 어렵다. 근거가 없다. 위험관리 성능을 추적할 수 없다.
3) 종류
- 델파이법 : 전문가 집단이 위험 분석 및 평가, 정확도 낮음
- 시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거, 적은 정보를 가지고 전반적인 가능성 추론, 이론적 추측에 불과하고 정확도 등이 낮음
- 순위결정법 : 위험 분석 소요시간 및 분석 자원 양 적다는 장점, 정확도 낮음
- 퍼지 행렬법 : 정성적인 언어로 표현된 값을 사용하여 기대손실을 평가
<BCP/DRP>
1. BCP/DRP
(1) 비지니스 연속성 계획(BCP, Business Continuity Planning)
재난 발생시, 비지니스 연속성을 유지하려는 방법을 정의하는 문서
사업 활동, 프로세스의 중단에 대응하는 것에 초점
(2) 재난 복구 계획(DRP, Disaster Recovery Planning)
비상사태 발생 후 대체 사이트에서의 목표 시스템, 응용프로그램, 컴퓨터 설비의 운영재개와 같은 IT중심의 계획
핵심 정보시스템, 데이터의 중단에 대응하는 것에 초점
(3) 공통점
교정통제로 분류, 위험수용에 해당, 목적은 조직의 가용성 확보, 대외비로 관리, 대상은 잔여위험
(4) 용어
| RPO(Recovery Point Objective) | 복구목표시점, 재해시점으로부터 데이터 백업을 해야하는 시점까지의 시간 |
| RTO(Recovery Time Objective) | 복구목표시간, 재해 후 시스템, 응용, 기능들이 반드시 복구완료 되어야 하는 시간 |
| RP(Recovery Period) | 복구기간, 실제 업무기능 복구까지 걸린 시간 |
| MTD(Maximum Tolerable Downtime) | 최대 허용중단시간, 치명적인 손실없이 조직이 운영을 중단하고 견딜 수 있는 최대시간 MTD = RTO + WRT(업무복구시간) |
(5) 테스트
| 종류 | 정보처리수행 사이트 | 특징 | |
| 1차 | 2차 | ||
| 체크리스트 | 없음(문서테스트) |
각각 부서에서 BCP 검토, 체크리스트 이용하여 점검 | |
| 구조적 워크스루 | 각 기능 대표자들의 BCP 검토 회의, 구조적 의사일정에 의거 | ||
| 시뮬레이션 | O | X | 2차 사이트로 재배치까지만, 실제 정보처리는 안함 |
| 병행 테스트 | O | O | 1, 2차 사이트에서 업무 병행처리 |
| 완전중단 테스트 | X | O | 1차 사이트 완전중단, 2차 사이트에서 업무처리, 사고에 대비한 복구계획 필수 |
2. 사업영향분석(BIA, Business Impact Analysis)
(1) BCP 접근방법론(계획->분석->설계->구현->유지)
프로젝트 범위설정 및 기획 -> 사업영향평가 -> 사업연속성 계획 개발, 계획 승인 및 실행
프로젝트 범위설정 및 기획 -> 사업영향평가 -> 복구전략 개발 -> 복구계획 수립 -> 프로젝트 수행테스트 및 유지보수
(2) BIA 정의
발생가능한 모든 재해 고려하고 잠재적인 손실을 추정, 재난을 분류하여 우선순위를 부여하고 실행가능한 대안을 개발
식별된 위협에 대응하기 위해 구현되어야 하는 가장 효율적이고, 비용대비 효과적인 복구 메커니즘 개발을 말한다.
(3) 고려사항
- 수입 상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실
- 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
- 업무 프로세스가 최소한의 수준으로 계속 운영되는데 필요한 최소한의 직원, 시설, 서비스
- 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
- 전체 업무 프로세스를 운영하는데 필요한 직원, 시설, 서비스를 충분히 복구하는데 소요되는 시간
3. 복구전략
(1) 2차 사이트 종류별 특징
| 유형 | 설명 | RTO | 장점 | 단점 |
| 미러 사이트 | - 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축 - Active-Active상태로 실시간 동시 서비스 제공 |
즉시 | 데이터 최신성, 높은 안정성, 신속한 업무재개 | 높은 초기투자 비용, 높은 유지보수 비용, 데이터 업데이트 많은 경우 과부하 초래 |
| 핫 사이트 | - 주 센터와 동일한 수준의 정보기술 자원을 원격지에 구축 - Active-Standby상태로 서비스 제공 |
수시간 이내 | 데이터 최신성, 높은 안정성, 신속한 업무재개, 데이터 업데이트 많은 경우 적합 | 높은 초기투자 비용, 높은 유지보수 비용, 보안문제 |
| 웜 사이트 | - 중요성 높은 정보기술 자원만 부분적으로 재해복구센터에 보유 - 데이터 주기적(수시간~1일)백업 - 부분적 설비를 가지고 있는 백업사이트로서 대개 디스크 드라이브, 테이프 드라이브와 같이 가격저렴한 기기(컴퓨터X) |
수일~수주 | 구축 및 유지비용이 저렴 | 데이터에 다소 손실 발생, 초기 복구수준이 부분적임, 복구소요시간이 길다. |
| 쿨 사이트 | - 데이터만 원격지에 보관, 서비스를 위한 정보자원은 확보하지 않거나 최소한으로만 확보, - 데이터 주기적(수일~수주) 백업 - 재난 발생시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해둔 것(별다른 장비X) |
수주~수개월 | 구축 및 유지비용이 가장 저렴 | 데이터 손실 발생, 복구 매우 긴 시간 소요, 복구 신뢰성 낮음, 테스트가 곤란 |
(2) 하드웨어 및 소프트웨어 백업
- 핵심장비를 MTD 이내에 복구하기 위한 하드웨어 백업 필요
| MTBF(Mean Time Between Failures) | 평균 고장 간격 시간, MTTF+MTTR, 길수록 좋다 |
| MTTF(Mean Time To Failures) | 평균 운영 시간, 총 운영시간/총 고장건수, 길수록 좋다 |
| MTTR(Mean Time To Repair) | 평균 수리 시간, 총 수리시간/총 고장건수, 짧을수록 좋다 |
| 가용성(Availability) | MTTF/MTBF, MTTF/(MTTF+MTTR) |
- 기업 운영 시스템 소프트웨어와 중요 애플리케이션에 대한 복사본은 최소 2개 이상 소유하여야 한다. 하나는 온사이트에 보관하고, 다른 하나는 오프사이트에 보관한다.
(3) RAID(Redundancy array of inexpensive disks)
1) 정의
몇 개의 물리적인 디스크를 묶고 이것들을 논리적 array로 정의하지만, 실제 데이터는 여러 개의 물리적 디스크에 저장
2) 목적
저용량, 저성능, 저가용성인 디스크를 array구조로 중복하여 구성함으로써, 고용량, 고성능, 고가용성 디스크를 대체
데이터의 중복 저장 및 오류 검증을 통해 결함 허용도는 향상
3) 종류
- Level 0 : Striping, 하나의 데이터를 여러 드라이브에 분산 저장함으로써 빠른 입출력 가능
- Level 1 : Mirroring, 동일한 데이터가 두 개 이상의 디스크에 동시저장, 하나의 디스크에 오류발생해도 괜찮음
- Level 2 : 데이터 스트라이핑이 모든 드라이브에서 일어나고, 패리티 데이터는 오류 식별을 위한 해밍코드와 함께 생성
- Level 3 : Level 0과 1을 보완한 방식, Byte 단위로 데이터를 분산 저장, 패리티는 별도 디스크에 저장
- Level 4 : Level 3과 동일한 구조이나 Block 단위로 분산 저장, 패리티는 별도 디스크에 저장
- Level 5 : Level 3과 4를 보완한 방식, 데이터와 패리티가 모든 드라이브의 디스크 섹터 단위에 저장(패리티 저장하는 디스크 따로 필요하지 않음)
(4) 데이터 백업
| 완전백업(Full Backup) | 모든 데이터가 백업되어 어떤 형태의 저장매체에 저장시키는 것, 아카이브 비트는 해제됨 복구과정은 한단계지만, 장시간 소요되고 많은 양의 백업매체가 필요 |
| 차등백업(Differential Backup) | 가장 최근의 완전백업 이후에 수정된 파일만 백업하는 방식, 아카이브 비트 값을 변경하지 않음, 백업 소요시간은 완전백업보다 짧고 증분백업보다 길다. |
| 증분백업(Incremental Backup) | 마지막 완전백업이나 증분백업 이후 변경된 파일을 백업하고 아카이브 비트를 0으로 설정, 복구시 많은 매체의 필요 백업시간이 절감되고 저장매체 효율적 이용가능 |
<정보보호 인증제도>
1. 보안제품 평가방법 및 기준
(1) 개요
보증평가란 시스템에서 보안과 관계되는 부분을 검사하는 것을 말한다.
종류 : TCSEC, ITSEC, CC
(2) TCSEC(Trusted Computer System Evaluation Criteria)
1) 개요
미국표준제정기관(NCSC)에서 표준화. 미국 내 보안표준에 적용된다.
2) 보증 수준(숫자가 높을수록 더 훌륭한 신뢰와 보증)
A : 검증된 보호, 수학적으로 완벽한 시스템
B : 강제적 보호, 다중레벨 보안
C : 임의적 보호, 싱글레벨 보안
D : 최소 보호, 보안설정이 이루어지지 않은 단계
3) 문제점
- 운영시스템에 주목하고 네트워킹, 데이터베이스 등과 같은 논점에는 주목하지 않는다.
- 기밀성은 다루지만 무결성, 가용성은 다루지 않는다.
(3) ITSEC(Information Technology Security Evaluation Criteria)
1) 개요
영국, 독일, 프랑스, 네덜란드 등 유럽 4개국이 평가제품 및 평가기준 상이함에 따른 불합리를 보완하기 위해 작성한 유렵형 보안기준
2) 보증 수준(숫자 높을수록 신뢰 및 보증)
E6~E1, E0(부적합)
3) TCSEC과의 비교
- TCSEC이 기능성과 보증성을 분리하여 평가하는 반면, ITSEC은 기능성과 보증성을 묶어서 평가
- ITSEC은 더 나은 유연성을 제공하고, 기밀성, 무결성, 가용성 모두에 대처한다.
- TCSEC이 독립형 시스템을 다루는 반면, ITSEC은 네트워크 시스템을 다룬다.
(4) 공통평가기준(CC, Common Criteria)
1) 개요
보안 요구조건을 명세화하고 평가기준을 정의하기 위한 ISO 표준이다. 국제표준기관(ISO/IEC 15408)이 표준화, 세계공통의 보안표준으로 적용된다.
2) 보증 수준(숫자 높을수록 신뢰 및 보증)
EAL7~EAL1, EAL0(부적합)
3) 구성요소
| 패키지 | 부분적인 보안목표를 만족하기 위한 컴포넌트의 집합으로 구성 유용한 요구사항의 모음으로 재사용 가능 |
| EAL | 평가(Evaluation), 보증등급을 형성 보증요구와 관련된 컴포넌트의 집합으로 구성된 패키지의 일종 |
| TOE | 평가대상(Target of Evaluation) 요구되는 보안 해결책을 제공하기 위해 제안된 제품 |
| PP | 보호 프로파일(Protection Profile) 정보제품이 갖추어야 할 공통적인 보안 요구사항 모아놓은 것 패키지,EAL,기능,보증요구 컴포넌트 등의 집합으로 구성 보안타킷을 구성하는 입력요소로 사용 |
| ST | 보안목표 명세서(Security Target) 벤더가 직접 작성, PP 참조한 후 ST 작성하여 제품개발 |
(5) 정보시스템 평가 관련 표준화 현황
1) 국제상호 인정협정(CCRA)
CC기반의 국제상호인정협정을 의미한다. 정보보호제품의 국가간 교역장벽을 낮추어 수출을 용이하게 하는 수단이라 할 수 있다.
2) 국내 동향
CC를 준용, 국내 정보보호제품 평가기관은 한국인터넷진흥원이 담당, 인증서 발행은 국가정보원이 담당
2. 정보보호 및 개인정보보호 관리체계(ISMS-P 인증) - 정보통신망법 47조part에 내용 더 있음
- BS7799 : 정보보호관리체계, 영국에서 만듬, ISO27000시리즈로 발전
- GDPR : EU역내에서 개인정보의 자유로운 이동을 보장하는 것을 목적
(1) 개요
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.
- 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수집, 문서화하고 지속적으로 관리, 운영하는 시스템이다.
- 정보통신망법 47조 및 개인정보보호법 32조의2에 근거를 두고 있다.
- 유효기간은 3년이며 유효기간 끝나기 6개월 전부터 끝나는 날까지 재지정 신청할 수 있다.
(2) 관리체계 수립 및 운영
| 관리체계 기반마련 | 경영진 참여, 최고책임자 지정, 조직 구성, 범위 설정, 정책 수립, 자원 할당 |
| 위험관리 | 정보자산 식별, 현황 및 흐름분석, 위험평가, 보호대책 선정 |
| 관리체계 운영 | 보호대책 구현, 보호대책 공유, 운영현황 관리 |
| 관리체계 점검 및 개선 | 법적 요구사항 준수 검토, 관리체계 점검, 관리체계 개선 |
(3) 정보보호 보호대책 요구사항
| 정책, 조직, 자산 관리 | 정책 유지관리, 조직 유지관리, 정보자산 관리 |
| 인적 보안 | 주요 직무자 지정 및 관리, 직무분리, 보안서약, 인식제고 및 교육훈련, 퇴직 및 직무변경 관리, 보안위반시 조치 |
| 외부자 보안 | 외부자 현황관리, 외부자 계약시 보안, 외부자 보안이행관리, 외부자 계약변경 및 만료시 보안 |
| 물리 보안 | 보호구역 지정, 출입통제, 정보시스템 보호, 보호설비 운영, 보호구역 내 작업, 반출입 기기 통제, 업무환경 보안 |
| 인증 및 권한관리 | 사용자계정 관리, 사용자 식별, 사용자 인증, 비밀번호 관리, 특수계정 및 권한관리, 접근권한 검토 |
| 접근통제 | 네트워크 접근, 정보시스템 접근, 응용프로그램 접근, 데이터베이스 접근, 무선 네트워크 접근, 원격접근통제, 인터넷 접속통제 |
| 암호화 적용 | 암호정책 적용, 암호키 관리 |
| 정보시스템 도입 및 개발 보안 | 보안 요구사항 정의, 보안 요구사항 검토 및 시험, 시험과 운영 환경 분리, 시험데이터 보안, 소스 프로그램 관리, 운영환경 이관 |
| 시스템 및 서비스 운영관리 | 변경관리, 성능 및 장애관리, 백업 및 복구관리, 로그 및 접속기록 관리, 로그 및 접속기록 점검, 시간 동기화, 정보자산의 재사용 및 폐기 |
| 시스템 및 서비스 보안관리 | 보안시스템 운영, 클라우드 보안, 공개서버 보안, 전자거래 및 핀테크 보안, 정보전송 보안, 업무용 단말기기 보안, 보조저장매체 관리, 패치관리, 악성코드 통제 |
| 사고 예방 및 대응 | 사고 예방 및 대응체계 구축, 취약점 점검 및 조치, 이상행위 분석 및 모니터링, 사고 대응 훈련 및 개선, 사고 대응 및 복구 |
| 재해복구 | 재해, 재난 대비 안전조치, 재해 복구 시험 및 개선 |
- 일반직원 대상의 통상적인 정보보호 교육훈련 : 정보보호의 기본개요, 정보보호 관리체계 구축절차 및 방법, 정보보호 관련법률의 이해, 침해사고 대응절차 등 임직원이 준수하여야 할 정보보호 관련 내부규정, 최근 침해사고 사례, 정보보호 규정 위반시 상벌규정 및 법적책임
(4) 개인정보 처리 단계별 요구사항
| 개인정보 수집시 보호조치 | 개인정보 수집제한, 개인정보 수집동의, 주민등록번호 처리제한, 민감정보 및 고유식별정보의 처리제한, 간접수집 보호조치, 영상정보처리기기 설치 및 운영, 홍보 및 마케팅 목적 활용시 조치 |
| 개인정보 보유 및 이용시 보호조치 | 개인정보 현황관리, 개인정보 품질보장, 개인정보 표시제한 및 이용시 보호조치, 이용자 단말기 접근보호, 개인정보 목적외 이용 및 제공 |
| 개인정보 제공시 보호조치 | 개인정보 제3자 제공, 업무위탁에 따른 정보주체 고지, 영업의 양수 등에 따른 개인정보 이전, 개인정보의 국외이전 |
| 개인정보 파기시 보호조치 | 개인정보 파기, 처리목적 달성 후 보유시 조치, 휴먼 이용자 관리 |
| 정보주체 권리보호 | 개인정보처리방침 공개, 정보주체 권리보장, 이용내역 통지 |
3. 기타 정보보호 활동
(1) OECD 정보보호 가이드라인(2002) - 9개 원칙
- 인식(Awareness) : 참여자들은 정보시스템과 네트워크 보안의 필요 및 보안을 향상시키기 위해 무엇을 할 수 있는지 인지하고 있어야 한다.
- 책임(Responsibility) : 모든 참여자들은 정보시스템과 네트워크 보안에 책임이 있다.
- 대응(Response) : 참여자들은 보안사고를 방지, 탐지, 대응하는데 시기적절하게 협력하여 행동해야 한다.
- 윤리(Ethics) : 참여자들은 타인들의 적법한 이익을 존중해야 한다.
- 민주주의(Democracy) : 정보시스템과 네트워크 보안은 민주사회에서의 근본적인 가치들과 조화되어야 한다.
- 위험평가(Risk Assessment) : 참여자들은 위험평가를 시행해야 한다.
- 보안설계와 이행(Security Design and Implementation) : 참여자들은 보안을 정보시스템과 네트워크의 핵심요소로 포함시켜야 한다.
- 보안관리(Security Management) : 참여자들은 보안관리에 있어 포괄적인 접근방식을 도입해야 한다.
- 재평가(Reassesment) : 참여자들은 정보시스템과 네트워크 보안을 재검토 및 재평가해야 하며, 보안정책, 관행, 도구, 절차 등에 적절한 수정을 가해야 한다.
(2) OECD 프라이버시 8원칙(개인정보 보호원칙)
수집제한의 원칙, 정보정확성의 원칙, 목적 명확화의 원칙, 이용제한의 원칙, 안전성 확보의 원칙, 처리방침 공개의 원칙, 정보주체 참여의 원칙, 책임의 원칙
(3) 사이버 위기 경보(Cyber Crisis Alert)
- 정의 : 사이버 공격에 대한 체계적인 대비 및 대응을 사전에 준비할 수 있도록 발령하는 경보이다.
- 단계 : 관심(파랑) -> 주의(노랑) -> 경계(주황) -> 심각(빨강)
<정보보호 관련 법규>
1. 개인정보보호법 - 행정안전부
(1) 1조(목적)
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
(2) 2조(정의)
- 1항 : 개인정보란 살아있는 개인에 관한 정보로서 2조1항각목에 해당하는 정보를 말한다.
- 1항가목 : 특정 개인을 알아볼 수 있는 정보/ 나목 : 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보/ 다목 : 가명처리함으로써 원래상태 복원하기 위한 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보
- 6항 : 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등을 말한다.
cf) 단, 이미 사망한 자의 정보도 개인정보가 될 수 있다. ex 고인이 된 연예인의 개인정보
cf) 개인정보취급자 : 개인정보처리자의 지휘, 감독을 받아 개인정보 처리업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
cf) 인터넷을 통해 처리되는 개인정보 : 정보주체 등이 제공한 제공정보, 서비스 이용과정이나 사업자에 의한 처리과정에서 생성되는 생성정보(식별정보와 연계하여 개인의 프라이버시 침해할 소지가 있는 경우에만 한정)
(3) 3조(개인정보 보호원칙)
- 1항 : 개인정보처리자는 개인정보 처리목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. -> 수집제한의 원칙, 목적 명확화의 원칙
- 2항 : 개인정보처리자는 개인정보 처리목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하고, 그 목적 외의 용도로 활용해서는 안된다. -> 이용제한의 원칙
- 3항 : 개인정보처리자는 개인정보 처리목적에 필요한 범위에서 개인정보의 정확성, 완전성, 최신성이 보장되도록 하여야 한다. -> 정보정확성의 원칙
- 4항 : 개인정보처리자는 개인정보 처리방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여 개인정보를 안전하게 관리하여야 한다. -> 안전성 확보의 원칙
- 5항 : 개인정보처리자는 개인정보 처리방침 등 개인정보 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. -> 처리방침 공개의 원칙, 정보주체 참여의 원칙
- 8항 : 개인정보처리자는 이 법 및 관계법령에 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. -> 책임의 원칙
(4) 6조(다른 법률과의 관계) -> 일반법 성격
개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
(5) 15조(개인정보 수집, 이용)
- 1항 : 개인정보처리자는 15조1항각호에 해당하는 경우에는 개인정보 수집할 수 있으며 수집목적범위에서 이용할 수 있다.
- 1항1호 : 정보주체의 동의/ 2호 : 법률에 특별 규정있거나 법령상 의무 준수하기 위해 불가피한 경우/ 3호 : 공공기관이 업무수행을 위하여 불가피한 경우/ 4호 : 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우/ 5호 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우/ 6호 : 개인정보처리자의 정당한 이익 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
- 2항 : 개인정보처리자는 15조1항1호에 해당하는 경우 15조2항각호의 사항을 정보주체에게 알려야 한다. 각호의 어느사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 2항1호 : 목적/ 2호 : 수집하려는 개인정보 항목/ 3호 : 보유 및 이용기간/ 4호 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
cf) 친목단체가 정보주체 동의없이 회원의 개인정보 수집, 이용가능하지만, 친목단체 설립목적을 벗어난 이용, 제공은 불가/ 인터넷 홈페이지 등 공개된 매체, 장소 등에 정보주체의 전화번호, 이메일 있어도 이를 홍보성 이벤트 등을 위해 사용하는 것은 불가
(6) 16조(개인정보 수집제한)
- 1항 : 개인정보처리자는 개인정보 수집하는 경우, 그 목적에 필요한 최소한의 개인정보 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
(7) 17조(개인정보 제공)
- 1항 : 개인정보처리자는 17조1항각호에 해당하는 경우에는 정보주체의 개인정보를 제3자에게 제공할 수 있다.
- 1항1호 : 정보주체의 동의/ 2호 : 15조1항2호,3호,5호, 39조의3 2항2호,3호
- 2항 : 개인정보처리자는 17조1항1호에 해당하는 경우 17조2항각호의 사항을 정보주체에게 알려야 한다. 각호의 어느사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 2항1호 : 개인정보를 제공받는 자/ 2호 : 개인정보 제공받는 자의 개인정보 이용목적/ 3호 : 제공하는 개인정보 항목/ 4호 : 개인정보 보유 및 이용기간/ 5호 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
(8) 21조(개인정보 파기)
- 1항 : 개인정보처리자는 보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이(5일 이내) 그 개인정보를 파기하여야 한다.
(9) 22조(동의받는 방법)
- 1항 : 개인정보처리자는 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 명확히 인지할 수 있도록 각각 동의받아야 한다.
- 2항 : 동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.
- 중요한 내용 : 개인정보 수집, 이용목적 중 재화나 서비스 홍보 또는 판매권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실/ 민감정보 및 고유식별정보 포함 사실/ 개인정보 보유 및 이용기간/ 개인정보 제공받는 자 및 개인정보 제공받는 자의 개인정보 이용목적
(10) 23조(민감정보 처리제한)
- 1항 : 개인정보처리자는 사상, 신념, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖의 정보주체의 사생활을 현저히 침해할 우려있는 개인정보로서 대통령령으로 정하는 정보를 처리해서는 안된다. 다만 23조1항각호의 경우에는 그러하지 아니하다.
- 1항1호 : 정보주체에게 알리고 다른 개인정보 처리에 대한 동의와 별도로 동의받은 경우/ 2호 : 법령에서 민감정보 처리를 요구하거나 허용하는 경우
- 민감정보 : 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력자료, 개인의 신체적, 생리적, 행동적 특징에 관한 정보, 인종이나 민족에 관한 정보 등
(11) 24조(고유식별정보 처리제한)
- 1항 : 개인정보처리자는 24조1항각호를 제외하고는 고유식별정보를 처리할 수 없다.
- 1항1호 : 정보주체에게 알리고 다른 개인정보 처리에 대한 동의와 별도로 동의받은 경우/ 2호 : 법령에서 고유식별정보 처리를 요구하거나 허용하는 경우(시행령, 시행규칙은 안되고 법률24조의2에 한정)
- 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
- 24조의2 1항 : 24조1항에도 불구하고 개인정보처리자는 각호 해당경우 제외하고는 주민등록번호를 처리할 수 없다.
- 24조의2 1항1호 : 법률, 대통령령, 국회규칙 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우/ 2호 : 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우/ 3호 : 1호 및 2호에 준하여 보호위원회가 고시로 정하는 경우
cf) 보험회사가 상법735조의3 단체보험계약 체결 등의 사무 수행하기 위하여 필요한 범위에서는, 구성원으로부터 서면동의 받지 않고 회사가 단체보험가입목적으로 구성원의 주민등록번호 제공할 수 있다. -> 개인정보보호법이 일반법이므로
(12) 25조(영상정보처리기기 설치, 운영제한)
- 1항 : 각호 해당하는 경우 제외하고는 공개된 장소에서 영상정보처리기기 설치, 운영할 수 없다.
- 1항1호 : 법령에서 구체적으로 허용/ 2호 : 범죄의 예방 및 수사/ 3호 : 시설안전 및 화재예방/ 4호 : 교통단속/ 5호 : 교통정보 수집, 분석 및 제공을 위하여 필요한 경우
- 2항 : 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인 사생활을 현저히 침해할 우려있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치, 운영하여서는 안된다. 다만 교도소, 정신보건 시설 등은 가능하다.
(13) 26조(업무위탁에 따른 개인정보 처리제한)
- 1항 : 개인정보처리자가 제3자에게 개인정보 처리업무를 위탁하는 경우, 각호 내용이 포함된 문서에 의하여야 한다.
- 1항1호 : 위탁업무 수행목적외 개인정보 처리금지/ 2호 : 개인정보 기술적, 관리적 보호조치/ 3호 : 그 밖에 사항들
| 구분 | 업무 위탁(26조) | 제3자 제공(17조) |
| 이용목적 | 위탁자의 이익을 위해 처리 | 제3자 이익을 위해 처리 |
| 예시 | 상품배송, 설치업무 위탁, 상담업무 위탁 | 사업제휴, 개인정보 판매 등 |
| 관리, 감독, 손해배상 책임 | 위탁자 책임 | 개인정보 제공받는 자 책임 |
| 이전방법 | 원칙 : 위탁사실 공개(정보주체 동의 불요) 예외 : 위탁사실 고지(재화, 서비스 홍보하거나 판매 권유 업무 위탁) - 정보주체 동의 불요 |
원칙 : 제공목적 등 고지 후 정보주체 동의 획득 |
(14) 33조(개인정보 영향평가)
- 1항 : 공공기관의 장은 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우, 그 위험요인 분석과 개선사항 도출을 위한 평가를 하고 그 결과를 보호위원회에 제출해야 한다.
- 2항 : 영향평가 고려사항 -> 1호 : 처리하는 개인정보 수/ 2호 : 개인정보 제3자 제공여부/ 3호 : 정보주체 권리 해할 가능성 및 위험정도/ 4호 : 개인정보 보유기간, 민감정보 또는 고유식별정보 처리여부
- 영향평가 대상 : 구축, 운용, 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일/ 구축, 운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축, 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일/ 구축, 운용, 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일/ 개인정보 영향평가 받은 후 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정
(15) 34조(개인정보 유출통지)
- 1항 : 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체없이 해당 정보주체에게 각호를 알려야 한다.
- 1항1호 : 유출된 개인정보 항목/ 2호 : 유출시점과 경위/ 3호 : 피해 최소화를 위해 정보주체가 할 수 있는 방법 등에 관한 정보/ 4호 : 개인정보처리자의 대응조치 및 피해 구제절차/ 5호 : 피해 발생한 경우, 신고 등을 접수할 수 있는 담당부서 및 연락처
- 3항 : 개인정보처리자는 천만명 이상 개인정보가 유출된 경우에는 통지 및 조치결과를 지체없이 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다.
(16) 39조의3(개인정보 수집, 이용 동의 등에 대한 특례)
- 1항 : 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 각호 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 각호 어느 사항을 변경하는 경우도 같다.
- 1항1호 : 개인정보 수집, 이용목적/ 2호 : 개인정보 항목/ 3호 : 개인정보 보유 및 이용기간 (15조2항과 비교!!)
(17) 39조의4(개인정보 유출 등의 통지, 신고에 대한 특례)
- 1항 : 정보통신서비스 제공자와 이용자의 개인정보를 제공받은 자는 개인정보 분실, 도난, 유출 사실을 안 때에는 지체없이 각호 사항을 해당 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간 경과하여 통지, 신고하여서는 안된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 겨우에는 통지에 갈음하는 조치할 수 있다(자신의 인터넷 홈페이지에 30일 이상 게시 또는 둘 이상 일반일간신문에 1회 이상 공고)
- 1항1호 : 유출 등이 된 개인정보 항목/ 2호 : 유출 등이 발생한 시점/ 3호 : 이용자가 취할 수 있는 조치/ 4호 : 정보통신서비스 제공자등의 대응조치/ 5호 : 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 (34조1항과 비교!!)
- 신고받은 한국인터넷진흥원은 지체없이 그 사실을 보호위원회에 알려야 한다.
- 정당한 사유에는 유출에 대한 파악이 24시간 내에 불가능하다는 것은 포함되지 않는다. 그때까지 확인한 사항 통지
(18) 벌칙규정 존재(70~75조)
cf) 암호화 대상 : 민감정보, 고유식별정보, 비밀번호 등
cf) 공공기관에서 개인정보파일 운용하는 경우, 보호위원회에 등록해야 하는 사항 : 개인정보파일 명칭, 개인정보파일 운영근거 및 목적, 개인정보파일에 기록되는 개인정보 항목, 개인정보 처리방법, 개인정보 보유기간, 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자, 공공기관 명칭, 개인정보파일로 보유하고 있는 개인정보의 정보주체 수, 해당 공공기관의 개인정보 처리관련 업무담당부서, 개인정보 열람요구 접수, 처리 부서, 개인정보 열람 제한하거나 거절할 수 있는 개인정보의 범위 및 제한사유
cf) 개인정보처리자 유형 : (완화) 1만명 미만 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인/ (표준) 100만명 미만 정보주체에 관한 개인정보를 보유한 중소기업, 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관, 1만명 이상 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인/ (강화) 10만명 이상 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관, 100만명 이상 정보주체에 관한 개인정보를 보유한 중소기업, 단체
| 구분 | 완화 | 표준 | 강화 |
| 개인정보 보호책임자 지정 | X | O | O |
| 개인정보 보호책임자 및 개인정보취급자 역할 및 책임 | X | O | O |
| 개인정보취급자 교육 | X | O | O |
| 접근권한 관리 | X | O | O |
| 접근통제 | X | O | O |
| 개인정보 암호화 조치 | X | O | O |
| 접속기록 보관 및 점검 | X | O | O |
| 악성프로그램 등 방지 | X | O | O |
| 물리적 안전조치 | X | O | O |
| 개인정보보호조직에 관한 구성 및 운영 | X | O | O |
| 개인정보 유출사고 대응계획 수립, 시행 | X | O | O |
| 위험도 분석 및 대응방안 마련 | X | X | O |
| 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치 | X | X | O |
| 개인정보 처리업무 위탁하는 경우, 수탁자 관리 및 감독 | X | X | O |
| 그 밖에 개인정보보호를 위하여 필요한 사항 | X | O | O |
2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) - 방송통신위원회
(1) 1조(목적)
이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
(2) 2조(정의)
- 1항 : 정보통신망이란 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집,가공,저장,검색,송신,수신하는 정보통신체제를 말한다.
- 2항 : 정보통신서비스란 전기통신역무와 이를 이용하여 정보제공하거나 매개하는 것을 말한다.
- 3항 : 정보통신서비스 제공자란 전기통신사업자와 영리목적으로 전기통신사업자의 전기통신역무를 이용하여 정보제공하거나 매개하는 자를 말한다.
- 5항 : 전자문서란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다. (암호화X)
(3) 4조(정보통신망 이용촉진 및 정보보호 등에 관한 시책의 마련)
- 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리, 운영과 이용자 보호 등을 통하여 정보사회 기반을 조성하기 위한 시책을 마련하여야 한다.
(4) 5조(다른 법률과의 관계)
정보통신망 이용촉진 및 정보보호 등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 다만, 통신과금서비스에 관하여는 이 법과 전자금융거래법의 적용이 경합하는 때에는 이 법을 우선적용한다.
(5) 23조의2(주민등록번호 사용제한)
- 1항 : 정보통신서비스 제공자는 각호에 해당하는 경우를 제외하고는 이용자의 주민등록번호 수집, 이용할 수 없다.
- 1항1호 : 본인확인기관으로 지정/ 2호 : 본인확인업무 수행관련
(6) 45조(정보통신망 안정성 확보)
- 정보통신서비스 제공자 또는 정보통신망연결기기를 제조하거나 수입하는 자는 정보통신서비스 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성 확보하기 위한 보호조치를 하여야 한다.
- 정보보호지침 포함 사항 : 정당권한 없는 자가 정보통신망에 접근, 침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치, 운영 등 기술적, 물리적 보호조치/ 정보의 불법 유출, 위조, 변조, 삭제 등을 방지하기 위한 기술적 보호조치/ 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적, 물리적 보호조치/ 정보통신망의 안정 및 정보보호를 위한 인력, 조직, 경비의 확보 및 관련계획 수립 등 관리적 보호조치/ 정보통신망연결기기 등의 정보보호 위한 기술적 보호조치
(7) 47조(정보보호 관리체계 인증) - ISMS 인증 의무대상자
- 2항1호 : 서울특별시 및 모든 광역시에서 정보통신망서비스 제공자/ 집적정보통신시설 사업자/ 연간 매출액 또는 세입 등이 1500억원 이상(상급종합병원, 재학생 수 1만명 이상 학교)이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간 일일평균 이용자수 100만명이상인 곳
- 10항 : 과학기술정보통신부장관은 각호 해당사유 발견한 경우에는 인증을 취소할 수 있다(재량). 다만, 1호의 경우 인증 취소하여야 한다(의무).
- 10항1호 : 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우/ 2호 : 47조4항 인증기준 미달한 경우/ 3호 : 47조8항에 따른 사후관리를 거부 또는 방해한 경우
cf) ISMS 인증 의무대상자가 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증심사 일부 생략가능
cf) 인증 의무대상자가 인증받지 않으면 과태료 3천만원이 부과된다.
cf) 인증범위 : 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산, 조직 등을 포함/ 해당 서비스와 관련 없더라도 서비스의 핵심정보자산에 접근 가능하다면 포함
(8) 48조의2(침해사고 대응)
- 2항 : 각호 해당하는 자는 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용통계 등 침해사고 관련정보를 과학기술정보통신부장관이나 한국인터넷진흥원에 제공하여야 한다.
- 2항1호 : 주요정보통신서비스 제공자/ 2호 : 집적정보통신시설 사업자/ 3호 : 그 밖에 정보통신망을 운영하는 자로서 대통령령으로 정하는 자(컴퓨터바이러스 백신소프트웨어 제조자 등)
- 과학기술정보통신부장관 또는 한국인터넷진흥원이 할 수 있는 조치 : 주요정보통신서비스 제공자 및 접적정보통신시설 사업자에 대한 접속경로 차단요청/ 언론기관 및 정보통신서비스 제공자에 대한 침해사고 예보, 경보의 전파/ 국가 정보통신망 안전에 필요한 경우 관계기관 장에 대한 침해사고 관련정보 제공/ 침해사고 관련있는 소프트웨어 제작 또는 배포한 자에 대해 보안취약점보완프로그램의 정보통신망 게재 요청
cf) 야간광고 전송제한 : 오후9시부터 다음날 오전8시까지 전자적 전송매체를 이용하여 광고성 정보를 전송하려는 자는 수신자에게 별도 사전동의를 받아야 한다. 수신자에게 도달하는 시각 기준
cf) 휴대전화 등의 앱 푸시알람 ON/OFF 기능은 광고정보 수신동의와 별개이므로 푸시알람 승인하였다고 하더라도 광고성 정보 전송하여서는 안된다.
3. 정보통신기반 보호법 - 과학기술정보통신부
(1) 1조(목적)
이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립, 시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가안전과 국민생활 안정을 보장하는 것을 목적으로 한다.
- 주요통신기반시설 : 주요 교통시설, 에너지 및 수자원 시설, 방송중계 및 국가지도통신망 시설, 원자력, 국방과학, 첨단방위산업관련 정보출연연구기관의 연구시설
- 지정시 고려사항 : 업무의 국가사회적 중요성, 업무의 정보통신기반시설에 대한 의존도, 다른 정보통신기반시설과의 상호연계성, 침해사고 발생할 경우 국가안전보장과 사회경제에 미치는 피해규모 및 범위, 침해사고 발생가능성 및 복구용이성
cf) 공공부문의 주요정보통신기반시설 지정은 과학기술정보통신부장관 또는 국가정보원장 등이 지정할 필요있다고 판단하는 경우 중앙행정기관 장에게 지정을 권고할 수 있다.
cf) 주요통신기반시설 보호계획 포함사항 : 주요통신기반시설 취약점 분석, 평가/ 주요통신기반시설 및 관리정보의 침해사고에 대한 예방, 백업, 복구대책/ 그 밖에 주요통신기반시설 보호에 관하여 필요한 사항
(2) 9조(취약점 분석, 평가)
- 취약점 분석, 평가 대행기관 : 한국인터넷진흥원, 정보공유 분석센터, 정보보호 전문서비스 기업, 한국전자통신연구원
- 시행령17조1항 : 관리기관 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 9조1항에 의한 취약점 분석, 평가를 실시하여야 한다. 다만, 특별한 사유 있는 경우에는 관할 중앙행정기관 장의 승인을 얻어 지정 후 9월 이내에 실시하여야 한다.
- 시행령17조2항 : 관리기관 장은 1항에 따라 최초의 취약점 분석, 평가를 한 후에는 매년 취약점 분석, 평가 실시한다. 다만, 소관 주요정보통신기반시설에 중대한 변화가 발생하였거나 관리기관 장이 취약점 분석, 평가가 필요하다고 판단하는 경우에는 1년이 되지 않아도 취약점 분석, 평가를 실시할 수 있다.
(3) 10조(보호지침)
- 1항 : 관계중앙행정기관 장은 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 관리기관 장에게 이를 지키도록 권고할 수 있다.
(4) 11조(보호조치 명령)
- 관계중앙행정기관 장은 각호 해당하는 경우 해당 관리기관 장에게 주요정보통신기반시설의 보호에 필요한 조치를 명령 또는 권고할 수 있다.
- 1호 : 제출받은 주요정보통신기반시설 보호대책을 분석하여 별도의 보호조치가 필요하다고 인정하는 경우/ 2호 : 과학기술정보통신부장관과 국가정보원장 등으로부터 통보된 주요정보통신기반시설 보호대책 이행여부를 분석하여 별도 보호조치가 필요하다고 인정하는 경우
(5) 13조(침해사고 통지)
- 1항 : 관리기관 장은 침해사고 발생하여 소관 주요정보통신기반시설이 교란, 마비, 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관, 한국인터넷진흥원에 그 사실을 통지해야 한다. 이 경우 관계기관 등은 침해사고 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다.
(6) 16조(정보공유, 분석센터)
금융, 통신 등 분야별 정보통신기반시설을 보호하기 위해 (취약점 및 침해요인과 대응방안에 관한 정보제공, 침해사고 발생시 실시간 경보, 분석체계 운영) 업무 수행하고자 하는 자는 정보공유, 분석센터를 구축, 운영할 수 있다.
cf) 정보보호 사전점검 : 정보통신망 구축 또는 정보통신서비스 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것을 말한다.
cf) 사전점검 대상범위 : 제공하려는 사업 또는 정보통신서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유, 무형 설비 및 시설
cf) 사전점검 실시우대 : 과학기술정보통신부는 사업자가 사전점검 실시 또는 실시계약을 체결한 경우 가점을 부여하는 등 우대조치 가능
cf) 사전점검 수행기관 지정신청 : 사전점검 수행기관으로 지정받으려는 자는 수행기관 지정신청서를 과학기술정보통신부에 제출해야 한다.
4. 위치정보의 보호 및 이용 등에 관한 법률(위치정보법) - 방송통신위원회
- 1조 : 이 법은 위치정보의 유출, 오용 및 남용으로부터 사생활 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보 이용을 활성화함으로써 국민생활 향상과 공공복리 증진에 이바지함을 목적으로 한다.
5. 신용정보의 이용 및 보호에 관한 법률(신용정보법) - 금융위원회
- 1조 : 이 법은 신용정보 관련산업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 도모하며 신용정보의 오용 및 남용으로부터 사생활 비밀 등을 적절히 보호함으로써 건전한 신용질서 확립하고 국민경제 발전에 이바지함을 목적으로 한다.
6. 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률(클라우드컴퓨팅법) - 과학기술정보통신부
- 1조 : 이 법은 클라우드컴퓨팅 발전 및 이용촉진하고 클라우드컴퓨팅서비스를 안전하게 이용할 수 있는 환경을 조성함으로써 국민생활 향상과 국민경제 발전에 이바지함을 목적으로 한다.
- 25조 : 클라우딩컴퓨팅서비스 제공자는 각호 해당 경우에는 지체없이 그 사실을 해당 이용자에게 알려야 한다. 2호의 경우에는 지체없이 그 사실을 과학기술정보통신부장관에게도 알려야 한다.
- 25조1호 : 침해사고 발생/ 2호 : 이용자 정보 유출/ 3호 : 사전예고 없이 대통령령으로 정하는 기간 이상 서비스 중단
7. 전자정부법 - 행정안전부
- 1조 : 이 법은 행정업무의 전자적 처리를 위한 기본원칙, 절차 및 추진방법 등을 규정함으로서 전자정부를 효율적으로 구현하고, 행정의 생산성, 투명성 및 민주성을 높여 국민의 삶의 질을 향상시키는 것을 목적으로 한다.
