방송통신위원회가 최근 전체회의를 통해 '개인정보의 기술적 관리적 보호조치 기준 고시 개정안'을 의결했다. 개정안은 내년 1월부터 적용되지만 방통위측은 순차적으로 이 기준을 적용하도록 할 방침이다. 특히 이 내용은 준용사업자에게도 적용되기 때문에 기업들의 인터넷상 개인정보보호 조치가 강화될 것으로 보인다.
방송통신위원회(이하 방통위)가 의결해 내년 1월부터 적용되는 '개인정보의 기술적 관리적 보호조치 기준 고시 개정안'이 기업들의 인터넷상 개인정보보호조치 가오하를 촉진할 것으로 보인다.
이 안의 조요내용을 살펴보면 우선 정보보호책임자와 정보열람 권한을 가진 개인정보취급자를 정의해 개인정보를 내부관리계획에 따라 관리하도록 하는 것과, 해킹 공격에 대한 개인정보처리시스템의 안정성 강화를 위해 접근통제 규칙 및 방법을 상세화했고, 외부 망에서 개인정보처리시스템 접속이 필요한 경우 안전한 인증수단을 적용해 접근통제 강화했다.
또한 개인정보취급자의 비밀번호 작성규칙을 구체화해 해킹 또는 비밀번호 추측 공격에 의한 피해를 최소화하도록 한다는 계획이다. 정보통신망 이용 촉진 및 정보보호 등에 관한 법률에 정의한 용어 이외에 시행령 및 보호조치 기준의 신규용어에 대한 해석상의 혼란을 방지하기 위해 용어 정의 조항 추가됐다.
개정된 내용은 ‘개인정보관리책임자’, ‘개인정보취급자’, ‘개인정보처리시스템’, ‘비밀번호’, ‘접속기록’, ‘바이오정보’, ‘P2P', ’공유설정‘, ’보안서버‘, ’SSL' 및 ‘인증정보’ 11개 용어 정의를 추가하는 내용이다. 이를 통해 용어의 일관성 유지를 통한 해석상 혼란을 방지하겠다는 의도다.
내부관리계획의 수립·시행
현행 개인정보관리계획의 수립ㆍ시행이 정보통신망법 시행령 제 15조 제1항으로 상향 입법됨에 따라, 내부관리계획의 수립ㆍ시행에 대한 구체적 규정 명시한 것이다. 개정내용은 개인정보보호 조직의 구성 및 운영을 위한 세부사항 규정했다. 신설 된 제3조제2항은 개인정보보호 교육계획을 수립해 연2회 이상 개인정보관리책임자 및 개인정보취급자 대상교육 실시하도록 하고 있다.
이에 따라 2009년 8월 이후 KISA 정보보호기술 온라인 학습장 웹사이트(
www.sis.or.kr)내 개인정보보호 온라인 학습공간 신설할 예정이다. 아울러 제3조3항에 개인정보의 기술적ㆍ관리적 보호조치 기준을 이행하기 위한 세부 추진 방안 마련하는 조항도 신설된다. 이는 접근통제, 접속기록, 개인정보의 암호화, 악성프로그램 방지, 출력ㆍ복사시 보호조치 등에 대한 사내적용 방안을 필수로 수립해야한다. 개인정보 표시 제한 조치에 대한 사내 적용방안 수립은 선택사항이다.
방통위는 이을 통해 기업 내부에 개인정보보호 전담 조직을 운영하도록 하고, 정기적 교육을 의무화함으로써 보다 능동적인 개인정보보호 자율 규제 환경을 조성할 수 있을 것으로 기대하고 있다. 아울러 개인정보보호를 위한 세부 추진방안 수립 및 이행을 통해 체계적이고 실효성 있는 보호활동을 전개할 수 있을 것으로 보고 있다.
접근통제 강화
외부망으로부터 개인정보처리시스템 접속이 필요한 경우 계정별 인증 조치를 취하도록 함으로써 시스템의 불법접근을 방지하도록 한다. 해킹 등 침해사고로부터 개인정보처리 시스템의 안정성을 확보하기 위해 요구되는 시스템 기능을 구체적으로 규정해 시스템 운영에 활용하도록 한 것. 아울러 개인정보취급자의 비밀번호 생성규칙을 구체적으로 규정함으로써 해킹 등 비밀번호 추측을 통한 불법 사용을 최소화하도록 하고 있다.
이를 위해 제4조제1항을 개정해 개인정보처리시스템에 대한 접근권한을 개인정보관리책임자 또는 개인정보취급자에게만 부여하도록 했다. 또 제4조제4항에서는 개인정보취급자가 정보통신망 외부로부터 개인정보처리시스템에 접속할 경우, 공인인증서 등 안전한 인증수단을 적용하도록 하는 조항도 신설한다.
또한 제4조제5항을 개정해 정보통신망을 통한 불법적인 개인정보처리시스템에 대한 접근 및 침해사고 예방을 위해 시스템으로 정의된 설비를 기능으로 규정했다.
이는 최근 침입차단 및 침입탐지 시스템이 통합돼 있어 통합제품의 경우 대상에 포함되지 않아 기능으로 분리해 규정한 것이다. 비밀번호의 경우 이용자에 대해서 정보통신서비스제공자가 현재와 동일하게 비밀번호 작성규칙을 수립해 서비스하도록 유연성을 보장했다.
접속기록의 위·변조 방지
해킹 또는 유출 등 침해사고 발생 징후를 예측하고 대응하는데 필요한 개인정보 접속기록을 관리ㆍ감독 규정을 구체적으로 명시하도록 했다.
이를 위해 제5조제1항을 개정해 이상 징후 확인, 감사로그 등을 위해 개인정보취급자가 개인정보처리시스템에 접속해 처리한 내역가 일시 등은 최소 6개월 이상 보존ㆍ관리도록 했다. 아울러 개인정보 열람ㆍ수정ㆍ삭제ㆍ출력 등 개인정보처리시스템에 접속해 처리한 내역과 일시 등을 월 1회 이상 확인ㆍ감독하도록 규정했다.
제5조제2항을 신설해 기간통신사업자에 대해서는 타 입법례 등을 검토해 이용자 권익보호를 위한 최소한의 기간으로 보관기간을 최소 5년 이상으로 명시해 관리ㆍ감독하도록 한다. 제5조제3항을 개정해 접속기록을 위ㆍ변조 방지 및 손ㆍ망실에 대비해 별도의 물리적 저장장치에 정기적 백업을 수행하도록 규정한다.
방통위 측은 이를 통해 침해 징후 발견에 따른 보다 체계적이고 신속한 대응이 가능할 것으로 기대하고 있다. 또한 정기적 백업을 수행해 해킹 등 침해사고 발견시 훼손되지 않은 접속 기록을 활용해 침해 시간, 날짜 등을 확인해 신속하고 복구절차 진행이 가능할 수 있을 것이라고 설명했다.
개인정보의 암호화
제6조제3항을 개정해 정보통신망을 통해 이용자의 인증정보를 송ㆍ수신하는 경우 암호화 전송하도록 문구를 수정했다. 또한 제6조제4항을 개정해 PC를 개인용 컴퓨터로 표현하도록 했다. 이를 통해 주민등록번호 및 금융정보의 암호화 저장을 통해 개인정보 유출에 따른 불법사용 방지 기반을 마련한 것. 또한 보안서버를 통해 전송하는 정보의 암호화 대상을 개인정보 및 인증정보로 상세화해 해석상 혼란을 방지하도록 할 계획이다.
또한 주민등록번호와 신용카드정보 및 유출시 2차 피해가 가능한 정보는 모두 암호화 하도록 했다. 기존 주민등록번호가 고객을 식별하거나 시스템 연계 등에 활용된 경우 주민등록번호와 매칭해 부여된 임의의 서비스 번호를 이용하도록 할 방침이다. 단 서비스번호와 매칭되는 주민등록번호는 암호화해 저장하고 관리해야한다. 한편 시스템 운영 또는 고객 서비스 제공 등을 위해 반드시 필요한 경우 부분 암호화를 적용하도록 했다.
악성프로그램 방지 및 개인정보 표시 제한 보호조치
운영체제 제작업체에서 공지한 보안패치를 갱신해 점검하도록 운영체제 보안 패치를 추가했다. ‘컴퓨터바이러스 방지’라는 조문명을 ‘악성프로그램 방지’, ‘바이러스 경보’라는 용어를 ‘악성프로그램 관련 경보’로 변경해 그 범위를 확대했다.
운영체제 제작업체의 보안 업데이트 공지를 정보통신서비스제공자가 적용해 취약점을 예방하도록 운영체제 항목도 추가됐다. 이는 운영체제 취약점을 실시간 패치 하도록 의무화한 규정이다.
한편 개인정보 유출사고가 개인정보에 접근할 수 있는 내부 관리자에 의한 유출이 지속적으로 발생됨에 따라 개인정보 표시 제한 조치가 시작된다.
개인정보취급자가 업무목적을 달성하기 위해 개인정보를 조회 또는 출력하는 경우, 개인정보의 일부분을 특수문자 처리해 노출되지 않도록 조치를 취하는 경우 사업자가 동일하게 적용하기 위한 기준을 신설한 것으로 개인정보에 접근권한을 갖는 내부 관리자에 의한 개인정보 유출을 최소화하기 위한 보호조치다.
포천시 보건소, 임산부의 날 맞이 임산부 대상 비대면 인스타그램 이벤트 진행
포천시(시장 백영현)가 10월 10일 임산부의 날을 기념해, 지역 내 임산부들을 위한 특별한 이벤트를 마련했다. 포천시보건소는 비대면 인스타그램 이벤트와 함께 10월 10일 당일 보건소를 방문하는 임산부를 위한 퀴즈 이벤트를 진행한다. 비대면 행사(인스타그램 이벤트 및 퀴즈 행사)는 포천시 등록 임산부(등록 외국인 포함)를 대상으...
[기고]동두천, 이제는 희생이 아닌 기회로 – 방위산업 클러스터가 답이다
목록으로
울산교육청, 직업계고 현장실습 특별 지도 점검
"정확한 오엠알 카드 작성으로 시험 실수 줄여요”
분봉
갈대
지역 역사 문화 자원 활용한 수업 방안 모색
