본 안내서는 위원회가 이전에 발간한 2종의 안전조치 관련 해설서를 통합하면서 2020. 12. 이후 약 4년만에 공개한 개정본으로, 그간의 법령 개정사항과 함께 기술 및 보안 관행의 변화를 반영하고 있으며, 개인정보 보호법 및 ‘개인정보의 안전성 확보조치 기준’에 따라 개인정보의 안전성을 확보하기 위하여 사업자들이 준수하여야 하는 최소한의 기준에 대한 해설을 예시 및 질의·답변과 함께 제공하고 있습니다. 금번 개정을 통해 반영된 사항 중 특히 유의하여 살펴보실 만한 내용을 다음과 같이 요약하였습니다.
관련 조항
주요 내용
정의 (제2조)
FTP서버 및 백업서버, 클라우드컴퓨팅 환경에 구축한 시스템 또는 서비스를 개인정보처리시스템의 예시로 추가함
원격데스크톱 연결과 같이 원격접속 설정을 통해 자원에 접근하도록 설정하는 것도 공유설정에 포함됨
회사에서 내부 직원의 인사관리에 사용되는 시스템을 보유·운영할 때에도 개인정보의 안전성 확보조치 기준을 이행하여야 함
내부 관리계획의 수립·시행 및 점검 (제4조)
내부 관리계획은 ‘개인정보의 안전성 확보조치 기준’이 정하는 기술적·관리적·물리적 안전조치에 관한 사항을 모두 포함하여야 하며, 개인정보 보호책임자의 자격 요건 및 지정에 관한 사항을 포함하여야 함
내부 관리계획에 포함하여야 하는 ‘위험 분석 및 관리에 관한 사항’ 중 위험 분석이란 ‘개인정보의 처리 방법 및 종류 등에 따라 개인정보의 분실·도난·유출·위조·변조·훼손 등 침해가 발생할 가능성과 정보주체에게 미치는 영향 등 그 위험의 정도를 분석하는 행위’를 의미하며, 개인정보 위험 분석 및 관리를 위한 방법과 절차는 개인정보처리자의 특성 및 상황 등을 고려하여 자체적으로 마련할 수 있음
개인정보보호 교육 내용은 개인정보 보호책임자와 개인정보취급자의 지위·직책, 담당 업무의 내용 및 성격, 업무 숙련도 등에 따라 차등화하여야 함. 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인정보보호 관련 법률 및 제도, 내부 관리계획 등 반드시 알아야 하는 사항을 포함하여 교육을 실시해야 함
접근 권한의 관리 (제5조)
Root 계정과 같이 계정의 개별 발급이 불가능한 정당한 사유가 있는 경우에도, 계정 관리 대장, 접근제어시스템 도입 등 관리적 또는 기술적 보완통제로써 실제 개인정보처리시스템에 접속한 자를 식별할 수 있도록 하여야 함
개인정보취급자 또는 정보주체의 인증수단의 예시로, 기존 비밀번호 인증, OTP 인증, 생체 인증에 더하여 SMS 인증, 전화 인증, 소셜 로그인 등을 명시함
일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 조치로 즉시 계정을 잠그거나 인증 재시도 가능 시간을 지연하는 등의 방법을 적용할 수 있으며, 봇(bot)의 접근을 제한하는 부수적인 수단으로 캡챠(CAPTCHA)를 활용할 수 있음
접근통제 (제6조)
개인정보취급자 단말기의 고정 IP 주소 또는 MAC 주소는 안전한 인증수단에 해당하지 않음을 명시함
크리덴셜 스터핑 공격 등으로 인한 개인정보 유출을 인터넷 홈페이지 등을 통한 개인정보 유·노출 유형 중 하나로 나열함
개인정보 유·노출 방지 조치의 예시로서, 로그인 횟수 증가 시 캡챠(CAPTCHA) 적용, 로그인 실패 비율에 대한 임계치 설정 모니터링, 개인정보 페이지 로그인 시 정당한 사용자인지를 확인할 수 있는 수단(SMS, 이메일 등) 활용 등을 명시함
개인정보의 유·노출 방지를 위한 취약점 점검 항목에 Identification and Authentication Failures 취약점, Server Side Request Forgery 취약점을 포함함
일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되게 하는 '최대 접속가능 시간’의 통상적인 수준을 10분~60분 이내라고 제시함
개인용 스마트폰이나 태블릿 컴퓨터에 회사의 업무용 앱을 설치하여 업무 목적의 개인정보를 처리하는 경우, 또는 회사 이메일 서버 접속 후 업무 목적의 개인정보 처리 업무를 수행하는 경우, 해당 스마트폰이나 태블릿 컴퓨터는 안전조치를 해야 하는 모바일 기기에 해당함
개인정보의 암호화 (제7조)
비밀번호 일방향 암호화 시 무작위 대입공격, 레인보우 테이블공격 등에 대응하기 위한 수단으로 솔트값 추가 등을 고려할 수 있다고 제시함
출력·복사시 안전조치 (제12조)
출력 시 주의사항을 다음과 같이 제시함
개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 안전조치로서 문서보안(DRM), 보안 USB, 유출방지(DLP), 매체 제어 등의 보안솔루션을 적용할 수 있음
향후 개인정보 보호법에 따른 안전조치의무와 관련하여서는 본 안내서의 내용이 그 해석·운용에 있어 일응의 기준이 될 것으로 전망되므로, 개인정보를 업무 목적으로 활용하는 개인정보처리자는 개인정보의 안전한 관리를 도모함에 있어 본 안내서의 내용을 참고하실 필요가 있겠습니다.