‘개인정보의 안전성 확보조치 기준 고시’ 내용 살펴보기

‘개인정보의 안전성 확보조치 기준' 고시 내용 및 개정안 내용을 중심으로

휴대폰, 태블릿PC, 스마트워치와 같은 디바이스로 금융, 의료, 쇼핑 등 다양한 서비스를 이용할 수 있게 되었습니다. 개인정보가 활용되는 분야가 많아지면서 개인정보 유출 사고 발생 및 악용될 위험도 높아졌는데요.

오늘 브런치글에서는 개인정보의 유출이나 악용을 예방하고, 이를 안전하게 관리하기 위한 ‘개인정보 안전성 확보조치 기준' 내용에 대하여 살펴보도록 하겠습니다. 

---

개인정보 안전성 확보조치 기준이란?

개인정보보호법 제29조(안전조치의무)에서는 개인정보처리자가 개인정보 처리 시 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 관리적·기술적·물리적 조치 사항을 규정하고 있습니다. 개인정보보호법 시행령 제30조 8조 3항에서는 안전성 확보조치에 관한 세부 기준의 규정을 ‘개인정보 안전성 확보조치 기준’ 고시로 위임하고 있습니다.

법에 따른 ‘안전성 확보에 필요한 관리적·기술적·물리적 조치’에 관한 세부 기준을 정한 것이 ‘개인정보 안전성 확보조치 기준’이며, 법적 효력을 가지는 고시에 해당하기 때문에 해당 기준 위반 시 과태료 및 과징금이 부과될 수 있습니다.

이전에는 온라인 사입자(정보통신서비스 제공자)의 경우, 개인정보보호법 특례 규정이 적용되어 ‘개인정보의 기술적 관리적 보호조치’ 고시를 적용받았으나, 올해 9월 15일 개인정보보호법 수범자가 일원화되면서 특례 규정이 폐지되었습니다.

이에 따라 9월 22일 개정된 ’개인정보의 안전성 확보조치 기준’ 시행으로 ‘개인정보의 기술적 관리적 보호조치’ 기준이 폐지되면서 모든 수범자가 동일한 고시를 동일하게 적용받게 되었습니다. 

안전성 확보조치 기준에 따라 개인정보 처리자가 개인정보 보호를 위해 지켜야하는 사항이 무엇인지와 함께 최근 개정된 사항에 대해 살펴보도록 하겠습니다. 

<개인정보 주요 업무 절차(개인정보보호위원회 제공)>

(1) 내부 관리계획의 수립, 시행 및 점검

개인정보처리자는 개인정보 관련 기술적, 물리적 안전조치 사항이 포함된 계획(내부관리계획)을 세워야하며, 개인정보 처리시 내부관리계획에 따라 잘 이행하고 있는지를 주기적으로 점검해야 합니다.

* 단, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인이나 개인, 단체의 경우에는 생략할 수 있어요.

(2) 접근권한의 관리 

개인정보에 접근할 수 있는 권한은 필요한 최소한의 범위로 업무에 따라 차등 부여하여 임직원이라도 무단으로 개인정보에 접근할 수 없도록 조치해야 합니다. 

접근권한을 부여받은 직원의 업무가 변경되었을 경우에는 지체없이 권한을 변경하거나 말소해야 하며, 접근권한의 부여, 변경, 말소에 대한 내역은 3년간 기록해야 합니다. 

개인정보를 처리하는 시스템에 접속하는 경우에는 비밀번호, 생체인증 등 각자 환경에 맞는 안전한 인증수단을 적용하고 관리해야 하며, 만일 일정 횟수 이상 인증에 실패하는 경우에는 접근을 제한하는 등의 조치를 적용해야 합니다.

이번 개정으로 ‘비밀번호 작성 규칙 수립 및 적용’에 대한 의무가 폐지되었으며, 비밀번호를 포함하여 생체인식, 소셜 로그인, OTP 등 안전성이 확보된 다양한 인증수단을 적용할 수 있게 되었습니다.

(3) 접근통제 및 망분리

개인정보에 대한 불법적인 접근이나 침해사고를 방지하기 위한 안전조치(접근통제)를 적용해야 합니다. 접근통제를 위한 시스템을 운영하거나, 접속권한을 특정 IP주소로 제한하는 등 다양한 방법을 활용할 수 있습니다. 또한 외부에서 개인정보를 처리하는시스템에 접속하는 경우에는 VPN과 같은 안전한 접속수단 또는 인증수단을 적용하도록 합니다.

이전에는 접근통제를 위해 특정 시스템을 운영할 것으로 규정하고 있었으나, 이번 개정으로 정보통신망을 통한 불법적인 접근과 침해사고를 방지하기 위한 다양한 조치를 할 수 있도록 변경되면서 개인정보처리자의 환경에 적합한 다양한 종류의 보안 프로그램을 운영할 수 있게 되었습니다.

만일 이용자의 수가 일일평균 100만명 이상인 서비스를 제공하고 있다면, (1)개인정보를 다운로드, (2)파기할 수 있거나(3)개인정보처리시스템에 대한 접근권한을 설정할 수 있는 내부직원의 컴퓨터 등에는 반드시 인터넷망을 차단하는 조치를 해야합니다. 

다만 인터넷망 차단이 어려운 클라우드 서비스를 이용하여 개인정보처리시스템을 운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 방법을 적용할 수 있습니다.

(4) 개인정보의 암호화

법에서 정하는 민감한 개인정보를 전송하거나 저장하는 경우에는 안전한 알고리즘으로 암호화해야 합니다. 

올해 개정된 기준에서는 개인정보의 암호화 적용대상을 ‘이용자의 개인정보’와 ‘이용자가 아닌 정보주체의 개인정보’ 나누어 서로 다른 규정을 적용하고 있습니다. 또한 전송과 저장 시 상황을 나누어 암호화가 필요한 개인정보도 구분하고 있습니다.

또한 암호화하여 저장해야하는 항목에 ‘이용자의 신용카드번호와 계좌번호’가 새로 추가되었습니다. 정보통신 서비스 제공사업자는 서비스 이용자의 신용카드번호와 계좌번호를 저장하는 경우에도 암호화해야 합니다.

이와 함께 인터넷망으로 개인정보를 송·수신하는 경우에도 암호화를 적용하도록 규정하고 있는데요.

이에 따라 개인정보처리자는 인터넷망으로 전송되는 모든 개인정보에 대하여 암호화를 적용해야 합니다.

(5) 접속기록의 보관 및 점검

개인정보처리시스템에 대한 접속기록은 1년간 안전하게 보관해야 합니다. 단 5만명 이상의 개인정보 또는 고유식별정보나 민감정보를 저장하고 있다면 2년간 보관이 필요합니다. 또한 접속기록에 대하여 반드시 월 1회 이상 정기적으로 점검해야 하며, 접속기록이 위·변조 및 도난·분실되지 않도록 안전하게 보관하기 위한 조치를 해야 합니다.

(6) 개인정보의 파기

이용 목적이 달성되어 더 이상 저장이 필요하지 않은 개인정보는 다시는 복구되지 않는 기술적 방법을 사용하여 완전히 삭제해야합니다. 단, 블록체인 등 영구삭제가 현저히 곤란한 경우라면 해당하는 익명 처리로 파기를 대신할 수 있습니다. 

(7) 기타 안전조치

다양한 보안 프로그램을 설치, 운영하여 악성프로그램 등에 대응하도록 합니다. 보안 프로그램은 정기적으로 업데이트하여 항상최신의 상태가 유지될 수 있도록 해야 합니다.

그 외에도 개인정보 보관시설에 대한 출입통제 방안을 마련하고, 개인정보가 포함된 종이 인쇄물이나 개인정보가 복사된 저장매체등을 안전하게 관리해야 합니다. 또한 재해나 재난이 발생했을 때를 대비하기 위한 안전조치를 마련하여 적용해야 합니다.

---

카카오에서는 이용자의 개인정보를 안전하게 보호하고 관리하기 위해 개인정보보호 관련 법령 및  안전성 확보조치 기준에 따른 사항을 준수하고 있으며, 주기적인 점검을 통해 준수 여부를 확인하고 있습니다. 

앞으로도 이용자가 안심하고 카카오 서비스를 이용할 수 있도록 개인정보 보호에 많은 노력을 기울이도록 하겠습니다. 감사합니다.  

* 본 브런치글은 개인정보 보호법과 시행령 및 안전성 확보조치 기준, 개인정보보호위원회의 ‘개인정보의 안전성 확보조치 기준 개정 설명회’ 자료를 참고하여 작성되었습니다.