1. 개인정보보호법
(1) 개요 - 행정안전부
- 1조(목적) : 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
- 6조(다른 법률과의 관계) : 개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
- 3조(개인정보 보호원칙) - 수집제한의 원칙, 목적 명확화의 원칙, 이용제한의 원칙, 정보정확성의 원칙, 안전성 확보의 원칙, 처리방침 공개의 원칙, 정보주체 참여의 원칙, 책임의 원칙
(2) 1장 총칙
1) 용어 정리
- 2조1항 : "개인정보"란 살아있는 개인에 관한 정보로서 2조1항각목에 해당하는 정보를 말한다.
- 2조1의2항 : "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
- 2조2항 : "처리"란 개인정보의 수집, 보유, 편집, 검색, 출력, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
- 2조3항 : “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- 2조4항 : “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
- 2조5항 : “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- 28조 : "개인정보취급자"란 개인정보처리자의 지휘, 감독을 받아 개인정보 처리업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
- 2조7항 : “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
2) 개인정보 정의
- 살아있는 특정 개인을 식별할 수 있는 정보(2조1항가목), 다른 정보와 결합하여 특정 개인을 식별할 수 있는 정보(2조1항나목), 가명처리함으로써 추가 정보 없이는 특정 개인을 알아볼 수 없는 가명정보(2조1항다목)
- 익명정보는 더이상 특정 개인을 알아볼 수 없도록 비식별 조치가 되어있는 정보
| 특정 개인 식별정보 | 가명정보 | 익명정보 |
| 이름 : 홍길동, 나이 : 25세 주소 : 서울시 동작구 상도로 100 직업 : ABCDE 카페 운영 월소득 : 550만원 |
이름 : 삭제, 나이 : 25세 주소 : 서울시 소재 직업 : 카페 운영 월소득 : 550만원 |
이름 : 삭제, 나이 : 20대 주소 : 서울시 소재 직업 : 자영업 월소득 : 400~600만원 |
(3) 3장 개인정보의 처리
1) 개인정보 처리단계
- 수집 -> 이용, 제공 -> 관리(보관) -> 파기
2) 15조(개인정보 수집, 이용)
- 개인정보처리자가 업무수행을 위해 정보주체로부터 개인정보를 적법하게 수집, 이용하는 과정 및 절차를 말한다.
- 1항 : 개인정보처리자는 15조1항각호에 해당하는 경우에는 개인정보 수집할 수 있으며 수집목적범위에서 이용할 수 있다.
- 1항1호 : 정보주체의 동의/ 2호 : 법률에 특별 규정있거나 법령상 의무 준수하기 위해 불가피한 경우/ 3호 : 공공기관이 업무수행을 위하여 불가피한 경우/ 4호 : 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우/ 5호 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우/ 6호 : 개인정보처리자의 정당한 이익 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
- 2항 : 개인정보처리자는 15조1항1호에 해당하는 경우 15조2항각호의 사항을 정보주체에게 알려야 한다. 각호의 어느사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 정보주체 동의시 고지의무사항 : 개인정보 수집, 이용 목적(2항1호)/ 수집하려는 개인정보 항목(2호)/ 개인정보 보유 및 이용기간(3호)/ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용(4호)
3) 16조(개인정보 수집제한)
- 1항 : 개인정보처리자는 개인정보 수집하는 경우, 그 목적에 필요한 최소한의 개인정보 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다. (최소한의 범위를 벗어난 개인정보는 선택정보로서 필수정보와 구분하여 동의를 얻어야 한다)
- 2항 : 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
- 3항 : 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
4) 17조(개인정보 제공)
- 1항 : 개인정보처리자는 17조1항각호에 해당하는 경우에는 정보주체의 개인정보를 제3자에게 제공할 수 있다.
- 1항1호 : 정보주체의 동의/ 2호 : 15조1항2호,3호,5호
- 2항 : 개인정보처리자는 17조1항1호에 해당하는 경우 17조2항각호의 사항을 정보주체에게 알려야 한다. 각호의 어느사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
-제3자 제공에 따른 정보주체 동의시 고지의무사항 : 개인정보를 제공받는 자(2항1호)/ 개인정보 제공받는 자의 개인정보 이용목적(2호)/ 제공하는 개인정보 항목(3호)/ 개인정보 보유 및 이용기간(4호)/ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용(5호)
5) 18조(개인정보 목적 외 이용, 제공 제한)
- 개인정보를 목적 외 이용하거나 제3자에게 제공하는 것은 원칙적으로 금지한다. 단, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우에 예외적으로 다음에 한해서 허용한다. (정보주체의 별도 동의/다른 법률에 특별 규정 존재/명백히 정보주체 또는 제3자의 생명,신체,재산의 이익에 필요한 경우)
- 개인정보를 목적 외 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적, 이용방법, 그 밖에 필요한 사항에 대하여 제한 및 개인정보 안전성 확보를 위한 필요한 조치를 마련하도록 요청하고 개인정보를 제공받는 자는 개인정보 안전성 확보 조치를 이행한다.
6) 19조(개인정보를 제공받은 자의 이용, 제공 제한)
- 개인정보처리자로부터 개인정보를 제공받은 자는 다음에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외 용도로 이용하거나 제3자에게 제공해서는 안된다. (정보주체의 별도 동의/다른 법률에 특별 규정 존재)
7) 20조(정보주체 이외로부터 수집한 개인정보 수집 출처 등 고지)
- 정보주체 이외로부터 수집한 개인정보를 처리할 때, 정보주체의 요구가 있으면 즉시 다음 사항을 알려야 한다. (개인정보 수집 출처/개인정보 처리 목적/ 개인정보 처리 정지를 요구할 권리가 있다는 사실)
8) 21조(개인정보 파기)
- 개인정보처리자는 보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이(5일 이내) 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 규정이 있으면 보존가능하다.
- 개인정보를 파기할 때는 복구 또는 재생되지 않도록 조치한다.
- 다른 법령에 따라 보존시 다른 개인정보와 분리하여 저장, 관리해야 한다.
9) 22조(동의 받는 방법)
- 1항 : 개인정보처리자는 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 명확히 인지할 수 있도록 각각 동의받아야 한다. 즉 포괄적 동의를 금지한다.
- 2항 : 동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.
- 중요한 내용 : 개인정보 수집, 이용목적 중 재화나 서비스 홍보 또는 판매권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실/ 민감정보 및 고유식별정보 포함 사실/ 개인정보 보유 및 이용기간/ 개인정보 제공받는 자 및 개인정보 제공받는 자의 개인정보 이용목적
- 6항 : 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
10) 23조/24조(민감정보/고유식별정보 처리제한)
- 민감정보 : 사상, 신념, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖의 정보주체의 사생활을 현저히 침해할 우려있는 개인정보(유전정보, 범죄경력정보, 바이오식별정보, 인종 및 민족정보)
- 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
- 처리가능 : 정보주체에게 알리고 다른 개인정보 처리에 대한 동의와 별도로 동의받은 경우/법령에서 구체적으로 처리를 요구하거나 허용한 경우 (그러나 주민등록번호는 24조의2에 따라 제한)
- 개인정보처리자는 수집한 민감정보 및 고유식별정보가 분실,도난,유출,위조,변조,훼손되지 않도록 안전성 확보 조치를 해야 한다.
11) 24조의2(주민등록번호 처리제한)
- 24조1항에도 불구하고 주민등록번호는 정보주체 동의를 받아도 처리 불가, 주민등록번호 수집 법정주의를 도입
- 처리가능 : 법률, 대통령령, 국회규칙 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우(1항1호)/ 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우(2호)/ 1호 및 2호에 준하여 보호위원회가 고시로 정하는 경우(3호)
- 주민등록번호를 처리하는 경우에도 정보주체가 인터넷으로 회원가입시 주민등록번호를 사용하지 않는 가입방법(대체수단)을 제공해야 한다.
12) 25조(영상정보처리기기 설치, 운영 제한)
- 1항 : 각호 해당하는 경우 제외하고는 공개된 장소에서 영상정보처리기기 설치, 운영할 수 없다.
- 법령에서 구체적으로 허용(1항1호)/ 범죄의 예방 및 수사(2호)/ 시설안전 및 화재예방(3호)/ 교통단속(4호)/ 교통정보 수집, 분석 및 제공을 위하여 필요한 경우(5호)
- 2항 : 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인 사생활을 현저히 침해할 우려있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치, 운영하여서는 안된다. 다만 교도소, 정신보건 시설 등은 가능하다.
- 4항 : 영상정보처리기기운영자는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다.
- 설치 목적 및 장소(4항1호)/ 촬영 범위 및 시간(2호)/ 관리책임자 성명 및 연락처(3호) / 그 밖에 대통령령으로 정하는 사항(4호)
13) 26조(업무위탁에 따른 개인정보 이전제한)
- 1항 : 개인정보처리자가 제3자에게 개인정보 처리업무를 위탁하는 경우, 각호 내용이 포함된 문서에 의하여야 한다.
- 1항1호 : 위탁업무 수행목적외 개인정보 처리금지/ 2호 : 개인정보 기술적, 관리적 보호조치/ 3호 : 그 밖에 사항들(위탁업무 목적 및 범위/재위탁 제한/개인정보 접근제한 등 안전성확보조치/개인정보 관리현황점검 등 감독/수탁자가 준수해야 할 의무 위반한 경우 손해배상 등 책임)
- 2항 : 업무 위탁하는 개인정보처리자(위탁자)는 위탁하는 업무의 내용과 개인정보 처리업무를 위탁받아 처리하는 자(수탁자)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다. (인터넷 홈페이지를 통한 공개/위탁자의 사업장 등 보기 쉬운 장소에 게시)
- 3항 : 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
- 4항 : 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
- 5항 : 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
- 6항 : 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. (위탁자에게 손해배상책임 있다)
| 구분 | 제3자 제공(17조) | 업무 위탁(26조) |
| 처리목적 | 제3자 이익을 위해 처리 | 위탁자의 이익을 위해 처리 |
| 예시 | 사업제휴, 개인정보 판매 등 | 상품배송, 설치업무 위탁, 상담업무 위탁 |
| 관리, 감독, 손해배상 책임 | 개인정보 제공받는 자 책임 | 위탁자 책임 |
| 이전방법 |
원칙 : 제공목적 등 고지 후 정보주체 동의 획득 |
원칙 : 위탁사실 공개(정보주체 동의 불요) 예외 : 위탁사실 고지(재화, 서비스 홍보하거나 판매 권유 업무 위탁) - 정보주체 동의 불요 |
(4) 4장 개인정보의 안전한 관리
1) 29조(안전조치의무)
- 개인정보처리자는 개인정보가 분실,도난,유출,위조,변조,훼손되지 않도록 내부관리계획 수립, 접속기록 보관 등 대통령령(시행령 30조)으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 해야 한다.
- 개인정보 안전한 처리를 위한 내부관리계획 수립/개인정보에 대한 접근통제 및 접근권한 제한조치/개인정보 안전하게 저장,전송할 수 있는 암호화 기술 적용 또는 이에 상응하는 조치/개인정보 침해사고 발생 대응 위한 접속기록 보관 및 위조,변조 방지를 위한 조치/개인정보 보안 프로그램 설치 및 갱신/개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 등 물리적 조치
2) 30조(개인정보 처리방침 수립 및 공개)
- 개인정보처리자는 다음 사항이 포함된 개인정보 처리방침을 정해야 한다.
- 개인정보 처리목적/개인정보 처리 및 보유기간/개인정보 제3자 제공에 관한 사항/개인정보 파기절차 및 파기방법/개인정보처리 위탁에 관한 사항/정보주체와 법정대리인 권리,의무,행사방법에 관한 사항/개인정보 보호책임자 성명 또는 개인정보 보호업무 및 관련 고충사항 처리하는 부서 명칭과 전화번호 등 연락처/인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치,운영,거부에 관한 사항/처리하는 개인정보 항목/개인정보 안전성 확보 조치에 관한 사항
- 개인정보 처리방침을 수립하거나 변경한 경우에는 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.
3) 31조(개인정보 보호책임자 지정)
- 개인정보처리자는 개인정보 처리에 관한 업무를 총괄해서 책임질 "개인정보 보호책임자"를 지정해야 한다.
4) 33조(개인정보 영향평가 - 공공기관만 해당)
- 1항 : 공공기관의 장은 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우, 그 위험요인 분석과 개선사항 도출을 위한 평가를 하고 그 결과를 보호위원회에 제출해야 한다.
- 영향평가 고려사항 : 처리하는 개인정보 수(2항1호)/ 개인정보 제3자 제공여부(2호)/ 정보주체 권리 해할 가능성 및 위험정도(3호)/ 개인정보 보유기간, 민감정보 또는 고유식별정보 처리여부(4호)
- 영향평가 대상 : 구축, 운용, 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일/ 구축, 운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축, 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일/ 구축, 운용, 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일/ 개인정보 영향평가 받은 후 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정
5) 34조(개인정보 유출 통지)
- 1항 : 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때는 지체없이(5일 내) 해당 정보주체에게 각호를 알려야 한다.
- 통지방법 : 개별통신, 천만명 이상 개인정보 유출된 경우 서면 등의 방법과 함께 인터넷 홈페이지에 7일 이상 게재
- 통지내용 : 유출된 개인정보 항목/ 유출시점과 경위/ 피해 최소화를 위해 정보주체가 할 수 있는 방법 등에 관한 정보/ 개인정보처리자의 대응조치 및 피해 구제절차/ 피해 발생한 경우, 신고 등을 접수할 수 있는 담당부서 및 연락처
- 3항 : 개인정보처리자는 천만명 이상 개인정보가 유출된 경우에는 통지 및 조치결과를 지체없이 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다.
(5) 6장 정보통신서비스제공자 특례
1) 39조의3(개인정보 수집, 이용 동의 등에 대한 특례)
- 1항 : 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 각호 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 각호 어느 사항을 변경하는 경우도 같다.
- 1항1호 : 개인정보 수집, 이용목적/ 2호 : 개인정보 항목/ 3호 : 개인정보 보유 및 이용기간 (15조2항과 비교!!)
2) 39조의4(개인정보 유출 등의 통지, 신고에 대한 특례)
- 1항 : 정보통신서비스 제공자와 이용자의 개인정보를 제공받은 자는 개인정보 분실, 도난, 유출 사실을 안 때에는 지체없이 각호 사항을 해당 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간 경과하여 통지, 신고하여서는 안된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 겨우에는 통지에 갈음하는 조치할 수 있다(자신의 인터넷 홈페이지에 30일 이상 게시 또는 둘 이상 일반일간신문에 1회 이상 공고)
- 1항1호 : 유출 등이 된 개인정보 항목/ 2호 : 유출 등이 발생한 시점/ 3호 : 이용자가 취할 수 있는 조치/ 4호 : 정보통신서비스 제공자등의 대응조치/ 5호 : 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 (34조1항과 비교!!)
- 신고받은 한국인터넷진흥원은 지체없이 그 사실을 보호위원회에 알려야 한다.
- 정당한 사유에는 유출에 대한 파악이 24시간 내에 불가능하다는 것은 포함되지 않는다. 그때까지 확인한 사항 통지
3) 39조의6(개인정보 파기에 대한 특례)
- 정보통신서비스 제공자 등은 정보통신서비스를 1년 동안 이용하지 않은 이용자의 개인정보는 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장, 관리한다. (개인정보 유효기간제)
- 정보통신서비스 제공자 등은 기간 만료 30일 전까지 다음 사항을 이용자에게 통지해야 한다.
- 개인정보 파기시 : 파기 사실, 기간 만료일, 파기되는 개인정보 항목
- 개인정보 분리 보관시 : 분리 보관 사실, 기간 만료일, 분리 보관되는 개인정보 항목
4) 39조의8(개인정보 이용내역 통지)
- 정보통신서비스 제공자 등은 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지해야 한다. (연락처 등 이용자에게 통지할 수 있는 개인정보 수집하지 않은 경우에는 예외)
- 통지방법 및 주기 : 전자우편, 서면 등의 방법/ 연 1회 이상
- 통지사항 : 개인정보 수집, 이용 목적 및 수집한 개인정보 항목/ 개인정보 제공받은 자와 제공 목적, 제공한 개인정보 항목
2. 개인정보의 안전성 확보조치 기준
(1) 법적 근거 및 목적 : 1조
- 법적 근거 : 개인정보보호법 29조, 개인정보보호법 시행령 30조, 세부기준은 개인정보보호위원회 위원장이 고시
- 이 기준은 개인정보처리자가 개인정보 처리함에 있어서 개인정보가 분실,도난,유출,위조,변조,훼손되지 않도록 안전성 확보에 필요한 기술적,물리적,관리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
(2) 용어정리 : 2조
- 개인정보처리시스템 : 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성된 시스템
- 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별, 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위해 종합적으로 분석하는 행위
- 비밀번호 : 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터, 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유 문자열로서 타인에게 공개되지 않는 정보
- 바이오정보 : 지문,얼굴,홍채,음성,필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
- 접속기록 : 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등이 계정,접속일시,접속지정보,처리한 정보주체 정보,수행업무 등을 전자적으로 기록한 것
- 내부망 : 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제, 차단되는 구간
(3) 내부관리계획 수립 및 시행 : 4조
- 개인정보처리자는 개인정보가 분실,도난,유출,위조,변조,훼손되지 않도록 내부 의사결정 절차를 통하여 다음 사항을 포함하는 내부관리계획을 수립, 시행한다.
- 개인정보 보호책임자 지정/개인정보 보호책임자 및 개인정보취급자 역할 및 책임/개인정보취급자 교육/접근권한 관리/접근통제/개인정보 암호화 조치/접속기록 보관 및 점검/악성프로그램 등 방지/물리적 안전조치/개인정보 보호조직 구성 및 운영/개인정보 유출사고 대응 계획 수립 및 시행/위험도 분석 및 대응방안 마련/재해 및 재난 대비 물리적 안전조치/수탁자 관리 및 감독/그 밖에 개인정보 보호를 위하여 필요한 사항
- 위 사항에 중요한 변경이 있는 경우 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고 그 이력을 관리한다.
- 개인정보 보호책임자는 내부관리계획 이행실태를 연 1회 이상 점검 및 관리한다.
(4) 접근권한 관리 : 5조 (정보통신서비스 제공자 ~~ 권한 변경내역 최소 5년간 보관!!!)
- 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 차등부여
- 개인정보처리자는 전보, 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경, 말소하여야 한다. (권한부여,변경,말소에 대한 내역을 기록하고 최소 3년간 보관)
- 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자별로 사용자계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 조치
- 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용
- 개인정보처리자는 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근제한 등 필요한 기술적 조치를 수행
(5) 접근통제 : 6조
- 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 기능을 포함한 조치를 수행
- 개인정보처리시스템에 대한 접속권한을 IP주소 등으로 제한하여 인가받지 않은 접근제한/접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
- 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 접속수단을(VPN,전용선) 적용하거나 안전한 인증수단을(PKI,보안토큰,OTP) 적용해야 한다.
- 개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지,P2P,공유설정,공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기, 관리용 단말기 등에 접근통제 등에 관한 조치를 하여야 한다.
- 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출,변조,훼손되지 않도록 연 1회 이상 취약점 점검하고 필요한 보완조치를 해야 한다.
- 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위해 개인정보취급자가 일정시간 이상 업무처리 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 해야 한다.
- 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 않고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 업무용 컴퓨터 또는 모바일 기기의 운영체제나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.
- 개인정보처리자는 업무용 모바일 기기의 분실,도난 등으로 개인정보 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 해야 한다.
(6) 개인정보 암호화 : 7조
- 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신 또는 보조저장매체를 통해 전달하는 경우 암호화해야한다.
- 비밀번호, 바이오정보는 암호화하여 저장해야하고, 비밀번호를 저장할 경우에는 복호화되지 않도록 일방향 암호화하여 저장한다.
- DMZ(Demilitarized Zone) 구간에 고유식별정보를 저장할 경우에 암호화해야한다.
- 내부망에 고유식별정보를 저장할 경우에는 다음 기준에 따라 암호화 적용여부 및 적용범위를 결정한다.
- 개인정보 영향평가 대상이 되는 공공기관의 경우 해당 개인정보 영향평가 결과/공공기관 외 개인정보처리자는 암호화 미적용시 위험도 분석에 따른 결과 (고유식별정보 중 주민등록번호는 결과에 관계없이 암호화 필수)
- 개인정보 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장해야한다.
- 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위해 안전한 암호키 생성,이용,보관,배포,파기 등에 관한 절차를 수립, 시행해야한다.
cf) DMZ 구간 : 물리적인 네트워크 구성에서 외부 네트워크(인터넷 구간)와 내부 네트워크(내부망) 사이에 위치한 중간지점으로 내부 시스템을 보호하기 위해 접근통제시스템으로 접근통제를 수행하여 인터넷으로부터의 접근과 내부망으로의 접근을 허용해주는 구간
(7) 접속기록 보관 및 점검 : 8조
- 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년이상 보관, 관리해야한다. 5만명 이상의 정보주체에 관한 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관, 관리해야한다.
- 개인정보처리자는 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검, 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야한다.
(8) 악성프로그램 등 방지 : 9조
- 개인정보처리자는 악성프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치, 운영하며 다음 사항을 준수해야한다.
- 보안 프로그램의 자동 업데이트 기능 사용하거나, 일 1회 이상 업데이트를 실시하여 최신상태 유지/악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작 업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트 실시/발견된 악성프로그램 등에 대한 삭제 등 대응조치
(9) 관리용 단말기 안전조치 : 10조
- 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 사항의 안전조치를 해야 한다.
- 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치/본래 목적 외 사용되지 않도록 조치/악성프로그램 감염 방지 등을 위한 보안조치
(10) 물리적 안전조치 : 11조
- 개인정보처리자는 전산실,자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립, 운영해야한다.
- 개인정보처리자는 개인정보가 포함된 서류,보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관해야한다.
- 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출입 통제를 위한 보안대책을 마련해야한다.
(11) 재해, 재난 대비 안전조치 : 12조
- 개인정보처리자는 화재,홍수,단전 등 재해, 재난 발생시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검해야한다.
- 개인정보처리자는 재해, 재난 발생시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련해야한다.
(12) 개인정보 파기 : 13조
- 개인정보처리자는 개인정보 파기할 경우 다음 중 어느 하나의 조치를 해야한다.
- 완전파괴(소각,파쇄 등)/전용 소자장비를 이용하여 삭제/데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
- 개인정보 일부만 파기하는 경우 위의 방법으로 파기하는 것이 어려울 때는 다음의 조치를 해야한다.
- 전자적 파일 형태의 경우 개인정보 삭제한 후 복구 및 재생되지 않도록 관리 및 감독/기록물,인쇄물,서면 그 밖의 기록매체인 경우 해당 부분을 마스킹, 천공 등으로 삭제
3. 개인정보의 기술적, 관리적 보호조치 기준
(1) 법적 근거 및 목적 : 1조
- 개인정보보호법 29조, 개인정보보호법 시행령 49조의2 3항, 세부 기준은 개인정보보호위원회위원장이 고시
- 이 기준은 정보통신서비스 제공자등이 이용자의 개인정보를 처리함에 있어서 개인정보 분실,도난,유출,위조,변조,훼손 방지하고 개인정보 안전성을 확보하기 위한 기술적,관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.
(2) 용어정리 : 2조
- 식별자 : 개인정보처리시스템에 접속한 자를 식별할 수 있도록 부여한 ID 등을 말한다.
- 접속일시 : 개인정보처리시스템에 접속한 시점 또는 업무를 수행한 시점을 말한다.
- 접속지정보 : 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등을 말한다.
- 수행업무 : 이용자 또는 개인정보취급자가 개인정보처리시스템을 이용하여 수행한 업무를 알 수 있는 정보를 말한다.
(3) 내부관리계획 수립 및 시행 : 3조
- 정보통신서비스 제공자등은 다음 사항을 정하여 개인정보 보호 조직을 구성, 운영해야한다.
- 개인정보 보호책임자 지정/개인정보 보호책임자 및 개인정보취급자 역할 및 책임/개인정보 내부관라계획 수립 및 승인/개인정보 기술적,관리적 보호조치 이행여부의 내부점검/수탁자에 대한 관리 및 감독/개인정보 분실,도난,유출,위조,변조,훼손 등이 발생한 경우 대응절차 및 방법/ 그 밖에 개인정보보호를 위하여 필요한 사항
- 정보통신서비스 제공자등은 다음 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시한다.
- 교육목적 및 대상/교육내용/교육일정 및 방법
- 정보통신서비스 제공자등은 위 사항에 대한 세부 계획, 4조부터 8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립, 시행한다.
(4) 접근통제 : 4조
- 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
- 정보통신서비스 제공자등은 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. (권한부여,변경,말소에 대한 내역을 기록하고 최소 5년간 보관)
- 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 기능을 포함한 조치를 수행
- 개인정보처리시스템에 대한 접속권한을 IP주소 등으로 제한하여 인가받지 않은 접근제한/접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
- 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 인증수단을(PKI,보안토큰,OTP) 적용해야 한다.
- 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드, 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리해야한다.
- 정보통신서비스 제공자등은 이용자가 안전한 비밀번호 이용할 수 있도록 비밀번호 작성규칙을 수립, 이행한다.
- 정보통신서비스 제공자등은 개인정보취급자 대상으로 다음 사항을 포함하는 비밀번호 작성규칙을 수립, 운용해야한다.
- 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상 조합하여 최소 8자리 이상 길이/연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고/비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
- 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지,P2P,공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야한다.
- 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간동안만 유지되도록 최대 접속시간 제한 등의 조치를 취해야한다.
(5) 접속기록 위변조 방지 : 5조
- 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인, 감독해야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존, 관리해야한다.
- 단, 전기통신사업법 5조 규정에 따른 기간통신사업자의 경우에는 최소 2년 보존, 관리해야한다.
(6) 개인정보 암호화 : 6조
- 정보통신서비스 제공자등은 비밀번호가 복호화되지 않도록 일방향 암호화하여 저장한다.
- 정보통신서비스 제공자등은 다음 정보에 대해서는 안전한 알고리즘으로 암호화하여 저장한다.
- 주민등록번호/여권번호/운전면허번호/외국인등록번호/신용카드번호/계좌번호/바이오정보
- 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송수신할 때는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야한다. (보안서버는 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송수신하거나 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신)
- 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터,모바일기기,보조저장매체 등에 저장할 때는 암호화해야한다.
(7) 악성프로그램 등 방지 : 7조 (개인정보 안전성 확보조치 기준과 동일)
- 정보통신서비스 제공자등은 악성프로그램 등을 방지, 치료할 수 있는 백신소프트웨어 등의 보안 프로그램을 설치, 운영하며 다음 사항을 준수해야한다.
- 보안 프로그램의 자동 업데이트 기능 사용하거나, 일 1회 이상 업데이트를 실시하여 최신상태 유지/악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작 업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트 실시/발견된 악성프로그램 등에 대한 삭제 등 대응조치
(8) 물리적 접근방지 : 8조 (개인정보 안전성 확보조치 기준과 동일)
- 정보통신서비스 제공자등은 전산실,자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소에 대한 출입통제 절차를 수립,운영해야한다.
- 정보통신서비스 제공자등은 개인정보가 포함된 서류,보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관해야한다.
- 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출입 통제를 위한 보안대책을 마련해야한다.
(9) 출력, 복사시 보호조치 : 9조
- 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보 출력시(인쇄,화면표시,파일생성) 용도를 특정해야하며, 용도에 따라 출력항목을 최소화한다.
- 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물,개인정보가 복사된 외부 저장매체 등 개인정보의 출력,복사물을 안전하게 보관하기 위해 출력,복사 기록 등 필요한 보호조치를 갖춰야한다.
(10) 개인정보 표시제한 보호조치 : 10조
- 정보통신서비스 제공자등은 개인정보 업무처리를 목적으로 개인정보 조회,출력 등 업무를 수행하는 과정에서 개인정보보호를 위해 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.
4. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
(1) 개요 - 방송통신위원회
1) 목적
- 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활 향상과 공공복리 증진에 이바지함을 목적으로 한다.
2) 1장 총칙/ 주요 용어 정리
- 정보통신망 : 전기통신사업법에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집,가공,저장,검색,송수신하는 정보통신체제
- 정보통신서비스 : 전기통신사업법에 따른 전기통신역무와 이를 이용하여 정보를 제공 또는 매개하는 것
- 정보통신서비스 제공자 : 전기통신사업법애 따른 전기통신사업자와 영리목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 매개하는 자
(2) 4장 정보통신서비스의 안전한 이용환경 조성
1) 22조의2(접근권한에 대한 동의)
- 정보통신서비스 제공자는 해당 서비스를 제공하기 위해 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대해 접근권한이 필요한 경우 다음 사항을 이용자가 명확히 인식할 수 있도록 알리고 이용자의 동의를 받아야 한다.
- 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우(접근권한이 필요한 정보 및 기능의 항목,이유)/해당 서비스 제공하기 위해 반드시 필요한 접근권한이 아닌 경우(접근권한 필요한 정보 및 기능의 항목,이유,동의 거부할 수 있다는 사실)
- 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 않은 접근권한을 설정하는데 이용자가 동의하지 않는다는 이유로 이용자에게 해당 서비스의 제공을 거부해서는 안된다.
2) 23조의2(주민등록번호 사용제한)
- 정보통신서비스 제공자는 다음 경우를 제외하고 이용자의 주민등록번호를 수집, 이용할 수 없다.
- 방송통신위원회 심사에 따라 본인확인기관으로 지정받은 경우/기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민등록번호 수집,이용하는 경우
- 주민등록번호를 수집, 이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 않고 본인확인할 수 있는 방법(대체수단)을 제공해야한다.
(3) 6장 정보통신망의 안전성 확보 등
1) 45조(정보통신망의 안정성 확보 등)
- 정보통신서비스 제공자등은 정보통신서비스 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 해야한다.
- 과학기술정보통신부장관은 보호조치에 관한 구체적 내용을 정한 정보보호지침을 정하여 고시하고 이를 지키도록 권고한다.
- 정보보호지침 내용 : 정당권한없는 자가 접근,침입하는 것을 방지,대응 위한 정보보호시스템 설치,운영 등 기술적,물리적 보호조치/정보 불법 유출,위조,변조 등 방지위한 기술적 보호조치/정보통신망 지속적 이용가능한 상태 확보위한 기술적,물리적 보호조치/정보통신망 안정 및 정보보호를 위한 인력,조직,경비 확보 및 관련 계획수립 등 관리적 보호조치/정보통신망연결기기등 정보보호 위한 기술적 보호조치
2) 45조의3(정보보호 최고책임자의 지정)
- 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고해야한다.
- 정보보호 최고책임자는 다음 업무를 총괄한다.
- 정보보호관리체계 수립,관리,운영/정보보호 취약점 분석,평가,개선/침해사고 예방,대응/사전 정보보호대책 마련,보호조치 설계,구현/정보보호 사전 보안성 검토/중요 정보 암호화 및 보안서버 적합성 검토
(4) 정보통신서비스 제공자등을 위한 망분리 해설
1) 개요
- 망분리란 외부 인터넷 망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
2) 망분리 적용대상 및 범위
- 적용대상 : 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등
- 적용범위 : 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등/개인정보처리시스템에서 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등
3) 주요 망분리 방식
| 구분 | 물리적 망분리 | 논리적 망분리 |
| 운영방법 | 업무용 망과 인터넷용 망을 물리적으로 분리 | 가상화 등의 기술을 이용하여 논리적으로 분리 |
| 도입비용 | 높음 | 구축환경에 따라 상이 |
| 보안성 | 높음 | 상대적으로 낮음 |
| 효율성 | 업무환경의 효율성 저하 | 상대적으로 관리 용이 |
4) 물리적 망분리
- 업무망과 인터넷망을 물리적으로 분리할 뿐만 아니라 각 망에 접속하는 컴퓨터도 물리적으로 분리하여 망간 접근경로를 차단하는 방식
- 2 PC를 이용한 물리적 망분리 : 업무용 컴퓨터와 인터넷용 컴퓨터를 구분, 물리적으로 차단하여 보안성 높지만 별도 네트워크 구축, 컴퓨터 추가 구매 등에 따라 비용 증가 및 관리 어려움 존재
- 1 PC를 이용한 물리적 망분리 : 망 전환장치를 사용하여 선택적으로 접속, 협소한 사무공간에 적합, 망 전환시 재부팅 등이 필요할 수 있기에 이용자 불편 및 업무 지연 초래가능
5) 논리적 망분리
- 가상화 기술을 이용하여 서버 또는 컴퓨터를 가상화함으로써 논맂거으로 분리하는 방식
- 서버기반 논리적 망분리(SBC) : 인터넷 접속,업무수행 등 기존에 수행하던 작업을 가상화 서버에 접속하여 수행함으로써 논리적으로 업무망과 인터넷망을 분리, 인터넷망 가상화와 업무망 가상화로 구분가능, 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터는 인터넷망 가상화 방식으로 적용해야한다.
| 인터넷망 가상화 | 업무망 가상화 |
| 가상화 서버환경에서 사용자 통제 및 관리정책 일괄적용 가능 가상화된 인터넷 환경제공으로 인한 악성코드 감염 최소화 인터넷 환경이 악성코드 감염되거나 해킹당해도 업무환경은 안전하게 유지가능 |
가상화 서버환경에 사용자 통제 및 관리정책 일괄적용 가능 가상화 서버환경에 업무정보 저장됨에 따라 업무 데이터에 중앙관리 및 백업용이, 내부정보 유출방지효과 증대 |
| 가상화 서버 구축비용 발생 가상화 서버 성능 및 용량에 따라 속도저하, 업무지연 발생가능 |
|
- 컴퓨터기반 논리적 망분리(CBC) : 인터넷 접속 등의 작업을 컴퓨터(클라이언트)기반 가상화 기술이 적용된 영역에서 수행함으로써 논리적으로 망분리
5. 정보통신기반보호법
(1) 개요 - 과학기술정보통신부
- 1조(목적) : 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립, 시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가안전과 국민생활 안정을 보장하는 것을 목적으로 한다.
- 정보공유, 분석센터(ISAC) : 사이버 침해에 대해 관련분야별 공동대응을 위한 관리체계로 취약점 및 침해요인과 대응방안에 관한 정보를 제공하고 침해사고 발생시 실시간 경보 및 분석체계 운영을 목적으로 한다.
(2) 주요 내용 정리
- 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 다음 사항을 고려하여 주요정보통신기반시설로 지정 가능하다.
- 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성/기관이 수행하는 업무의 정보통신기반시설에 대한 의존성/다른 정보통신기반시설과의 상호연계성/침해사고 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위/침해사고 발생가능성 및 복구용이성
- 관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석,평가한다.
- 관리기관의 장은 취약점 분석,평가하고자 하는 경우 다음 기관에게 분석,평가하게 할 수 있다.
- 한국인터넷진흥원, 정보공유,분석센터, 정보보호 전문서비스 기업, 한국전자통신연구원
- 취약점 분석,평가기준에는 다음 사항이 포함되어야 한다.
- 취약점 분석,평가 절차/범위 및 항목/방법
6. 전자서명법
(1) 개요 - 과학기술정보통신부
- 1조(목적) : 이 법은 전자문서의 안전성과 신뢰성을 확보하고 그 이용을 활성화하기 위하여 전자서명에 관한 기본적인 사항을 정함으로써 국가사회의 정보화를 촉진하고 국민생활의 편익을 증진함을 목적으로 한다.
(2) 주요 내용 정리
- 3조(전자서명의 효력) : 전자서명은 전자적 형태라는 이유만으로 서명,서명날인,기명날인으로서의 효력이 부인되지 않는다/법령의 규정,당사자 간 약정에 따라 서명,서명날인,기명날인의 방식으로 전자서명을 선택한 경우 그 전자서명은 서명,서명날인,기명날인으로서의 효력을 가진다.
7. 위치정보의 보호 및 이용 등에 관한 법률 - 방송통신위원회
(1) 개요 - 방송통신위원회
- 1조(목적) : 이 법은 위치정보 유출,오용,남용으로부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민생활 향상과 공공복리 증진에 이바지함을 목적으로 한다.
(2) 주요 내용 정리
- 15조(위치정보 수집 등의 금지) : 누구든지 개인위치정보주체의 동의를 받지 않고 해당 개인위치정보를 수집,이용,제공해서는 안된다. 다만 긴급구조기관의 긴급구조요청 또는 경보발송요청이 있는 경우/경찰관서의 요청/다른 법률에 특별 규정있는 경우는 예외이다.
- 16조(위치정보의 보호조치 등) : 위치정보사업자등은 위치정보의 누출,변조,훼손 등을 방지하기 위해 위치정보의 취급,관리지침을 제정하거나 접근권한을 지정하는 등의 관리적 조치와 방화벽 설치나 암호화 소프트웨어 활용 등의 기술적 조치를 해야한다. 위치정보사업자등은 위치정보 수집,이용,제공사실 확인자료를 위치정보시스템에 자동으로 기록되고 보존되도록 해야한다.
