보안 개인정보보호법 비밀번호 관리
출처: https://1stepby1step.tistory.com/127
2. 보호대책 요구사항 > 2.5 인증 및 권한관리 > 2.5.4 비밀번호 관리
| 항목 | 상세내용 | |
| 2.5.4 | 비밀번호 관리 | 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립ㆍ이행하여야 한다. |
| 주요 확인사항 | ㆍ정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립ㆍ이행하고 있는가? ㆍ정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립ㆍ이행하고 있는가? |
|
| 관련 법규 | ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제5조(접근권한의 관리) ㆍ개인정보의 기술적ㆍ관리적 보호조치 기준 제4조(접근통제) -> 2023년 삭제 |
|
● 중요사안
- 정보시스템 및 정보보호시스템에 대한 안전한 사용자 패스워드를 법적요구사항, 외부 위협요인을 감안하여 수립하고 관리적, 기술적인 보호대책을 통하여 이행하여야 한다.
- 정보시스템의 도입 시부터 기술적 기능을 적용하여 패스워드 보호 대책을 수립하여야 하며 패스워드는 비밀등급 분류하여 비인가자의 접근을 통제하는 방안을 수립ㆍ이행하여야 한다.
- 각 기관의 법적 요구사항을 검토하여 개인정보취급자는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다.
| ※ '개인정보의 기술적ㆍ관리적 보호조치 기준(고시)' 제4조(접근통제) 1. 다음 각 목의 문자 종류 중 2종류 이상 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가. 영문(26개) 나. 숫자(10개) 다. 특수문자(32개) 2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고 3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 ※ 개인정보보호법 '개인정보 안전성 확보조치 기준 제4조(접근통제)' 5항에 대한 해설서 ㆍ비밀번호의 최소 길이 : 비밀번호는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 하며, 이는 정보주체에 대한 비밀번호 작성규칙과는 달리 반드시 준수하여야 한다. ㆍ최소 10자리 이상 : 영문자(26개), 숫자(10개), 특수문자(32개) 중 2종류 이상으로 구성 ㆍ최소 8자리 이상 : 영문자(26개), 숫자(10개), 특수문자(32개) 중 3종류 이상으로 구성 ㆍ비밀번호의 주기적인 변경 : 비밀번호에 유효기간을 설정하고 적어도 6개월마다 변경함으로써 동일한 비밀번호를 장기간 사용하지 않는다. ㆍ동일한 비밀번호 사용 제한 : 2개의 비밀번호를 교대로 사용하지 않는다. |
- 서비스 이용자 계정 및 패스워드의 도용을 방지하기 위하여 안전한 패스워드 사용에 대한 안내를 제공하고 패스워드 작성 규칙, 패스워드 변경 시 본인 인증 절차, 마스킹 처리 등을 기술적으로 적용하여 안전한 패스워드를 사용할 수 있도록 유도하여야 한다.
- 패스워드에 관리 지침을 홈페이지 상에 공지하여 이용자가 쉽게 확인할 수 있도록 하고, 패스워드의 변경주기에 대해서는 로그인시 안내, 메일을 통한 변경유도 등의 방법으로 이용자에게 통보해야 한다.
● 확인 포인트
- 내부임직원, 정보주체의 계정 패스워드 정책을 수립하고 그에 부합하는 기능을 설정하고 있어야 한다.
- 임시 또는 초기 패스워드를 변경없이 사용하면 안된다.
- 비밀번호는 최소 90일마다 변경하도록 하여야하며, 변경되지 않은 계정은 잠금 또는 비활성화 처리해야한다.
● 운영현황
- 법적요구사항을 반영하여 다음과 같은 패스워드 복잡성 규칙을 수립하고 적용하고 있음.
* 문자, 숫자, 특수문자 포함 최소 8자리 이상
* 분기 1회 이상 비밀번호 변경
- 사규 및 정보보호교육을 통해 임직원에 패스워드 관리책임이 있음을 주지시키고 있음.
● 기록(증적자료)
- 정보시스템 및 개인정보처리시스템 비밀번호 설정화면
- 비밀번호 관리 정책 및 절차
개인정보보호 담당자가 알아야 할 개인정보보호법 개정
2023.05.03
21,240
01. 서론
지난 2023. 2. 27. 개인정보보호법 일부개정법률안(이하 “개정법”)이 국회 본회의를 통과했다. 개정법은 2023. 3. 14. 공포되어 6개월이 경과한 2023. 9. 15.부터 시행(일부 법률은 2024.3.15.부터)될 예정이다. 개인정보보호위원회는 이번 개정으로 디지털 전환이 가속화하는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 경제 시대 기업과 산업이 성장할 수 있는 토대를 마련하겠다는 입장이다. 주요 개정내용으로는
① 개인정보 전송 요구권, 자동화된 결정에 대한 거부 및 설명 요구권 등을 규정하여 정보주체의 개인정보에 대한 통제권을 강화했다.
② 이동형 영상처리 기기의 운영 기준을 마련했다.
③ 온·오프라인 개인정보처리자에 대한 규제를 일원화했다.
④ 자동화된 의사결정에 대해 국민이 거부하거나 설명을 요구할 수 있는 권리를 신설했다.
⑤ 개인정보 침해로 인한 분쟁이 발생한 경우에 현재는 공공기관으로 한정하고 있는 분쟁조정 참여 의무를 모든 개인정보처리자로 확대하는 등 분쟁조정 제도를 강화했다.
⑥ 개인정보 국외 이전 요건을 확대하여 국제기준에 부합하도록 했다.
⑦ 개인에 대한 과도한 형벌 규정을 경제 제재 중심으로 전환하여 과징금의 상한 액을 상향하고 과징금 액수 산정 시 위반행위와 관련 없는 매출액은 제외하도록 했다.
02. 개요
이번 개정은 2011년 개인정보보호법이 제정된 이후 정부가 다양한 의견을 반영하여 마련한 정부안을 중심으로 국회에서 발의된 20개 의원 안을 통합한 실질적인 전면 개정이라는 점에서 의미가 있다.
본 칼럼에서는 이번 개인정보보호법 개정에 대해 좀 더 면밀하게 살펴보고 몇몇 개정에 따른 이슈 사항을 짚어보려고 한다. 또한 개인정보보호 담당자 관점에서 이번 개정에서 주목해야 할 내용을 알아보고자 한다.
03. 개인정보보호 담당자가 알아야 할 개인정보보호법 개정
1) 형벌 대신 경제제재, 전체 매출액 기준의 과징금으로 전환
기존에는 개인정보처리자의 과징금 상한을 5억 원으로, 정보통신서비스 제공자의 법 위반 행위에 대한 과징금 상한을 개인정보처리자의 ‘위반행위와 관련한 매출액의 100분의 3’으로 규정하고 있다. 개정법은 과징금 부과 규정을 정비하면서 과징금 상한을 개인정보처리자의 ‘전체 매출액의 100분의 3’으로 상향 되었다 (제64조의2 제1항).
다만, 개정법은 위반행위의 심각성에 비례하여 과징금이 부과되도록 하기 위하여 과징금 산정 기준을 ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액으로 규정했다(제64조의2 제2항). 이로 인해 과징금을 부과하기 위해 ‘위반행위와 관련한 매출액을 보호위원회가 입증하여야 했던 기존과 달리, 개정법 하에서는 처분 대상자인 개인정보처리자가 ‘위반행위와 관련이 없는 매출액을 입증하여야 한다. 이로 인해 조사 대상자가 관련이 없는 매출액을 밝혀야 되는 부담이 생겼다.
이로 인해 개인정보 보호 책임을 담당자 개인에게 묻는 과도한 형벌 규정을 경제 제재로 전환하였으나, 과징금 대상이 위반행위에 관련한 매출액에서 전체 매출액으로 확대 되었으므로 경우에 따라서는 더욱 강한 경제 제재가 부과될 수 있게 되었다. 따라서 사전 실태점검, 안전성 확보조치 등 예방적 차원의 정보보호 활동의 중요성이 더욱 강조될 것이다.
2) 개인정보 전송 요구권 근거 신설
정보주체의 개인정보 관리·통제권을 강화하기 위해 본인에 관한 개인정보를 본인 또는 제3자(개인정보처리자 또는 개인정보관리 전문기관)에게 전송할 것을 요구할 수 있는 권리인 “개인정보 전송요구권”을 도입했다. 전송요구권에 따라 개인정보를 제공해야 하는 개인정보처리자의 범위, 정보를 수신하는 자가 충족하여야 하는 시설 및 기술 기준 등은 시행령으로 정해질 예정이다. 한편, “개인정보관리 전문기관”을 도입하여, 개인정보 보호위원회 또는 관계 중앙 행정기관의 장으로부터 지정을 받은 개인정보관리 전문기관은 정보주체의 전송 요구권 행사를 지원하기 위한 개인정보의 관리·분석 등의 업무를 수행하도록 했다.
개인정보 전송요구권은 금융 및 공공 분야에 한정되었던 마이 데이터 사업을 다른 산업 분야로 확대하기 위한 제도적 기반으로 이해되며, 이번 개정에 따라 관련 산업의 성장이 기대된다. 다만 데이터 우위에 있는 기업들은 전송 요구권 도입을 반대하고 스타트업들은 찬성을 하는 분위기에서 어떻게 조율해 나갈지가 관건이다. 예컨대 거대한 데이터를 축적하고 있는, 말하자면 데이터 독점 기업이 만들어지는 방향으로 갈 수도 있는 위험성도 있지만 데이터 활용이 커지면서 혁신적인 아이디어를 가진 스타트 업 등 다양한 경제 주체가 성장할 것으로 기대된다.
3) 아직은 추상적인 ‘이동형 영상정보처리기기’ 관련 법
각종 지능형 기기의 등장으로 규제 사각지대였던 이동형 영상정보처리기기에 관련된 법이 새로 개정되었다. 현행법은 CCTV 등 고정형 영상기기만을 규율하고 있어 자율주행, 드론 등 기술발전에 따라 등장하는 기기 특성에 맞는 법안을 이번에 신설한 것이다. 문제가 된 것은 제3항이다. 이동형 영상 기기로 영상을 촬영하는 경우 불빛과 소리, 안내판 등으로 촬영 사실을 표시하고 알려야 하지만 특정 업무에 한해서 예외를 둔 것이다.
추상적인 규정으로 기준이 명확하지 않은 법의 허점을 파고든다면 정보주체의 기본권이 침해당할 소지가 있다. 다만 기존에 회색 지대였던 영상정보처리기 기법을 고정형, 이동형 구분을 해서 영상처리기기를 규율하는 시스템을 법에 명문화해서 들여온 것은 큰 의미가 있다. 좀 더 구체적인 규제 조치를 두는 방식으로 개정안을 보완해야 할 것이다.
[그림 3] 드론, 자율주행 등 각종 지능형 기기의 등장으로 규제 사각지대가 확대되면서 개인정보 보호를 위한 맞춤형 규제가 필요4) 개인정보처리자의 개인정보의 수집ㆍ이용
개인정보보호법 제15조는 개인정보처리자가 정보주체의 개인정보를 수집할 수 있는 개인정보의 수집ㆍ이용에 대한 내용이다. 그중 제1항 4호는 개인정보처리자가 서비스를 제공하는 데 반드시 필요한 정보주체의 개인정보, 즉 ‘개인정보 필수 항목’ 수집에 관한 규정이다. 개정 전 조문에는 서비스를 제공하는 데 그 개인정보를 수집하는 것 이외에 다른 방법이 없다는 걸 개인정보처리자가 입증하라는 의미의 ‘불가피하게’가 있어서 이 조항이 사문화됐는데, 이번 개정에서 ‘불가피하게’가 삭제되었다.
이 개정된 법이 시행되는 9월 15일 이후에는 ‘필수 항목에 대한 동의가 없어지고, 선택 항목에 대한 동의만 남을 수 있다. 하지만 여전히 해당 항목이 서비스의 필수 항목 임을 입증하는 건 개인정보처리자의 책임이라는 점에 유의해야 한다.
국민이 일상생활에서 꼭 필요한 서비스들이 있다. 그러한 서비스를 가입하기 위해서 본인에 대한 개인정보를 무상으로 제공하고 그 서비스를 무상으로 제공받는 형태로 서비스 가입을 하고 있다.
개인정보보호법 개정 전에는 온라인 사업자의 망 법 특례에 의해서 반드시 동의를 받아야 가입이 돼서 서비스를 받을 수 있었는데 이번 법 개정으로 계약 체결 이행에 필수적인 정보들은 동의 없이 수집하고 서비스 제공과 본질적인 관련 없는 내용에 대해서만 선택 동의로 하게 돼 있다.
그러니까 실질적으로 지금 운영되고 있는 필수 동의와 선택 동의의 체계가 바뀌게 될 것이다.
그래서 필수 동의는 점차 사라질 것이고, 서비스 제공과 본질적으로 관련 있는 내용들은 동의 없이 사업자가 수집해 가고 입증 책임은 당연히 사업자가 지게 된다. 그리고 서비스 제공과 본질적으로 관련 없는 부분들에 한해서만 선택 동의에 의해서 개인정보가 수집된다. 결국 그렇게 돼야만 정보 주체에게 실질적인 동의의 선택권이 보장되는 것이다. 개정 전에는 서비스를 꼭 이용해야 하니 필수 동의를 체크하지 않을 수 없다. 이러한 부분을 개선하여 실질적으로 지금은 정보 주체에게 선택권이 보장된 형태로 법을 개정한 것이다.
5) 정보통신서비스 제공자에 대한 특례 규정 삭제
정보통신서비스 제공자에 대한 특례 규정(법 제39조의 3 내지 제29조의15)을 삭제한다고 밝혔다. ‘개인정보처리자’와 ‘정보통신서비스 제공자 등’으로 이원화되어 있던 현행 체계를 일원화하며, 모든 개인정보처리자를 대상으로 ‘동일행위-동일규제’원칙을 적용하기로 했다.
예를 들어, 현행 체재는 동의 없이 개인정보를 수집한 경우 온·오프라인 기업의 과징금이 달랐다. 하지만 본 개정안이 시행된다면 규정을 일원화하여 온·오프라인 기업을 망라하고 동일한 행위에 대해서는 동일한 규제를 적용할 것임을 밝혔다.
개인정보 유효기간 제도 관련 규정 삭제로 정보통신서비스를 1년의 기간 동안 이용하지 아니한 이용자의 개인정보를 파기 또는 분리보관하여야 하는 규정이 삭제되었다.
동의 없이 국외 이전이 가능한 요건 확대 및 이전 중지 명령권 신설(제4절)로 정보주체로부터 별도의 국외 이전 동의를 받는 경우 이외에도 개인정보가 이전되는 국가가 이 법에 따른 개인정보 보호 수준과 동등한 보호 수준을 갖추었다고 개인정보 보호 위원회가 인정하는 경우 등에는 동의 없이 개인정보의 국외 이전이 가능하도록 국외 이전 요건을 다양화했다.
앱·웹서비스를 통해 처리하는 개인정보의 국외 이전에 대해서도 동의 없이 이전이 가능한 경우가 확대될 것으로 보인다. 따라서 금융회사에서 제공하는 디지털 금융 서비스와 관련한 고객 정보 처리가 어떠한 변화가 필요할지 관련 하위 규정이 정비되는 과정을 확인해 볼 필요가 있다.
04. 결론
기업(개인정보처리자) 입장에서 과징금 상한 및 대상 확대로 인해 더욱 강한 경제제재가 부과되었다. 이는 개인정보보호 담당자의 사전 예방적인 컴플라이언스 점검이 더욱 중요해졌다는 걸 의미한다. 개정법에 부합하여 기업의 개인정보 규정과 지침 개정이 필수적으로 이루어져야 할 것이다.
특히 기존에 정보통신서비스 제공자가 아닌 개인정보처리자의 개정법의 규제 일원화(온·오프라인 개인정보처리자에 대한 규제를 일원화)로 인해 의무사항이 확대되는 부분들을 점검할 필요가 있다.
이 밖에 주요 개정사항인 ‘자동화된 의사결정에 대해 국민이 거부하거나 설명을 요구할 수 있는 권리’, ‘분쟁 조정 제도 강화’ ‘개인정보 국외 이전 요건을 확대’ 등도 개인정보보호 담당자 입장에서 꼭 알아두고 앞으로 나올 하위법령과 정책방향도 주목해야 할 것이다.
05. 참고자료
[1] 개인정보보호위원회 (「개인정보보호법」 개정 관련 주요 내용 브리핑)
[2] 국가법령정보센터 (개인정보보호법 개정안)
[3] 개인정보보호위원회 (신뢰 기반 디지털 사회 구현을 위한 개인정보보호법 개정안)
[4] 율촌법인 (금융회사가 알아야 할 개정 개인정보보호법 주요 내용)
[5] CIO코리아 (강은성의 보안 아키텍트)