개인정보의 기술적 관리적 보호조치 기준 [정보통신망법]

"망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.

 

"접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.

※ 개인정보 안전성 확보조치 기준과 비교

[ 접속 계정, 접속일시, 접속지 정보, 수행업무, 접속주체 ]

 

"보안서버"라 함은 정보통신망에서 송 수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.

 

"모바일기기"란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.

※ 개인정보 안전성 확보조치 기준과 비교

[ 모바일기기란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기 ]

 

 

제 3조 내부관리계획의 수립 시행

①정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성 운영하여야 한다.

1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항

2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항

4. 개인정보의 기술적 관리적 보호조치 이행 여부의 내부 점검에 관한 사항

5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

6. 개인정보의 분실 도난 유출 위조 변조 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항

7. 그 밖에 개인정보보호를 위해 필요한 사항

②정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법

 

 

제 4조 접근통제

 

정보통신서비스 제공자등은 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

 

정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. 

※ 개인정보 안전성 확보조치 기준과 비교

개인정보 안전성 확보조치는 접속 수단과 인증 수단을 구분함

접속 수단 : VPN, 전용선

인증 수단 : PKI, OTP, 보안 토큰 등

 

정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 (탐지만 하고 대응은 X)

 

전년도 말 기준 직전 3개월간 그 개인정보가 저장 관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

 

전년도 말 기준 직전 3개월간 일일평균 이용자수가 100만명 이상

전년도 매출액이 100억원 이상

분류		조건2	조치
정보통신서비스 제공자등	전년도 말 기준 직전 3개월간 일일평균 이용자수가 100만명 이상	개인정보처리시스템에서 개인정보 다운로드	물리적 또는 논리적으로 망분리
	전년도 매출액이 100억원 이상	개인정보처리시스템에서 개인정보 파기
		개인정보처리시스템에 대한 접근권한 설정

정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고 이행한다.

→ 규칙을 수립 이행 하라고만 명시

 

정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다. → 상세 규칙 명시

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, , 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

 

※ 개인정보 안전성 확보조치 기준과 비교

개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 잇도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. → 규칙을 수립 이행 하라고만 명시

 

정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인 감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존 관리하여야 한다.

→ 접속기록 점검 : 월 1회

→ 접속기록 보존 관리 : 최소 1년

 

단, 제 1항의 규정에도 불구하고 전기통신사업법 제5조의 규정에 따른 기간통신사업자의 경우에는 보존 관리해야할 최소 기간을 2년으로 한다

→ 기간통신사업자는 접속기록 보존 관리 : 최소 2년

 

정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.

1. 주민등록번호

2. 여권번호

3. 운전면허번호

4. 외국인등록번호

5. 신용카드번호

6. 계좌번호

7. 바이오정보

 

 

정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송 수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송 수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송 수신하는 기능

 

 

출력 복사시 보호조치 [개인정보 안전성 확보조치 기준에는 없음!]

1. 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.

2. 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력 복사물을 안전하게 관리하기 위해 출력 복사 기록 등 필요한 보호조치를 갖추어야 한다.

 

개인정보 표시 제한 보호조치 [개인정보 안전성 확보조치 기준에는 없음!]

정보통신서비스 제공자 등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.