반응형
개정된 개인정보의 안전성 확보조치 기준이 10월 31일부로 시행되었다.
국가정보자원관리원 대전센터 화재로 인해 개인정보보호위원회 홈페이지가 한동안 작동하지 않으면서 동향 파악을 게을리했었고 뒤늦게나마 개정 내용을 명확히 기억하고자 정리해 본다.
오픈마켓(통신마켓중개업자)의 판매자(통신판매자)는 오픈마켓의 개인정보취급자가 아니기 때문에 규제의 사각지대에 있었던 판매자용 시스템에 대한 보호조치 의무화를 위한 개정이 가장 눈에 띄고, 개인적으로는 자율규제 도입으로 대형 사업자들의 사각지대를 줄여줬기 때문에 한동안은 현상태를 유지하지 않을까 생각을 했었는데 생각보다 빠르게 보완이 된 것 같다.
그 외에는 인터넷망 차단(예전에는 망분리로 많이 불렸던)조치 완화를 주된 개정 내용으로 볼 수 있겠고 2025년 10월 31일 시행인 내용과 2026년 10월 30일 시행인 내용으로 구분이 되니 대응 시 시행시기까지 고려할 필요가 있는 개정이다.
| 기존 | 현재 | 영향 |
| 제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다. 8. "비밀번호"란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 |
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다. 8. "비밀번호"란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. |
변경사항 : 비밀번호의 정의를 적절한 문구로 수정 영향 : 비밀번호의 정의를 내부관리계획이나 개인정보처리방침에 포함한 개인정보처리자라면 용어 정의 정도의 내부관리계획 개정이 필요해 보이고 그 외에는 영향이 없다. |
| 제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. |
제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. 12. 출력ㆍ복사시 안전조치에 관한 사항 13. 개인정보의 파기에 관한 사항 14. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 15. 위험 분석 및 관리에 관한 사항 16. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 17. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 18. 그 밖에 개인정보 보호를 위하여 필요한 사항 |
변경사항 : 내부관리계획에 출력ㆍ복사시 안전조치, 개인정보 파기에 관한 사항을 포함해야 함 영향 : 그간 봐왔던 대부분의 회사는 관련 내용을 내부관리계획에 포함해왔기 때문에 큰 영향은 없어보이고 포함하지 않았던 회사는 내부관리계획 개정이 필요하다. |
| 제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 ⑥ 개인정보처리자는 정당한 권한을 가진 |
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
변경사항 : 최소한의 범위로 권한을 차등 부여해야 하는 대상, 일정 횟수 이상 인증에 실패한 경우 접근을 제한해야 하는 대상을 개인정보처리시스템 모든 사용자로 확대 현황 : 영향 : ① 통신판매중개업자의 판매자용 시스템에 서브 계정을 생성하는 기능(예: 관리자 계정, 담당자 계정 N개를 운영)에 서브 계정별로 권한을 달리 설정할 수 있는 기능 구현이 필요하다. ② 대고객시스템, 통신판매중개업자의 판매자용 시스템에 일정 횟수 이상 인증에 실패한 경우 접근을 제한하는 기능 구현이 필요하다. ※ 로그인 시점의 비밀번호 입력 외에도, 비밀번호 초기화나 2차 인증과정에서 인증번호를 넣는 로직이 있다면 해당 로직에도 일정 횟수 이상 실패할 경우 제한하는 조치가 필요한 사안이다. |
| 제6조(접근통제) ② 개인정보처리자는 |
제6조(접근통제) ② 개인정보처리자는 개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다)가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. ⑥ 삭제 |
변경사항 : 2차 인증 적용 대상을 고객(회원)을 제외한 개인정보처리시스템 모든 사용자로 확대, 인터넷 차단 조치 관련 내용을 제6조의2로 이동 영향 : 통신판매중개업자의 판매자용 시스템에 추가 인증을 필수적으로 구현하고 비활성화 하지 못하도록 해야 한다. |
| <신설> | 제6조의2(인터넷망의 차단 조치 등) ① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자 2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자 ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다. 1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우 2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다. [별표] 위험을 감소시킬 수 있는 보호조치 예시 (제6조의2 관련)
|
변경사항 : 내부 관리계획에서 정한 위험 분석 결과에 따라 위험이 현저히 낮거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우 개인정보('법적 필수 암호화 대상 정보'*는 제외)를 다운로드하거나 파기할 수 있는 개인정보 취급자의 PC에 인터넷 차단 조치를 적용하지 않아도 되는 조항이 신설 * 비밀번호, 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 영향 : 회원번호, 마스킹하지 않은 정보 등 개인정보처리자의 필요에 의해 인터넷 가능 PC에서 다운로드 했으면 했던 개인정보의 다운로드길(?)이 열였다. 단, 위험 분석 방법, 절차, 적용할 보호조치 등을 내부관리계획에 규정하고 위험이 낮거나 위험을 감소시킬 보호조치를 적용한 경우에 개인정보 다운로드를 허용해야 한다. 개인적으로는 향후 구체적인 해석을 포함한 안내서가 나올 때까지는 현재의 인터넷 차단 상태를 유지하는 게 법규 준수 관점에서는 적절하다고 생각한다. ※ 연계정보 암호화의 근거는 정보통신망법에 있기 때문에 연계정보를 다운로드 하거나 파기할 수 있어도 인터넷망 차단조치의 예외 대상으로 볼 수 있다. |
| 제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 |
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. |
변경사항 : ① 개인정보 처리시스템 접속기록 생성 대상을 회원을 제외한 개인정보처리시스템 모든 사용자로 확대 ② 접속기록 월 1회 점검의 의무가 사라지고 점검 주기, 방법, 사후 조치 절차를 내부관리계획(개인정보보호지침)에 명시하고 명시한대로 이행 필요 영향 : ① 통신판매중개업자의 판매자용 시스템에 판매자의 접속기록을 생성하고 판매자가 검토할 수 있는 기능을 구현해야 한다. ② 내부관리계획을 개정해 접속기록 점검 주기, 방법, 사후 조치 절차를 규정해야 한다. |
| <신설> | 부 칙 <제2025-9호, 2025.10.31.> 제1조(시행일) 이 고시는 발령한 날부터 시행한다. 다만, 제4조제1항 제12호 및 제13호, 제5조제1항 및 제6항, 제6조제2항, 제8조제1항 및 제2항은 발령한 날의 1년 후부터 시행한다. |
개정된 내용의 시행시기는 2025년 10월 31일과 2026년 10월 30일로 구분되어 있다. <2026년 10.30일 시행>
|
반응형
'(개인)정보보호 동향' 카테고리의 다른 글
| [자료] 연계정보 이용기관 안전조치 실태점검 사전설명회 영상 및 FAQ (1) | 2025.10.11 |
|---|---|
| [자료] 연계정보 처리 및 안전조치 등에 관한 안내서 (1) | 2025.07.09 |
| [자료] 개인정보 처리방침 작성지침(2025.4.) (0) | 2025.04.27 |
| [자료] 본인확인기관 지정심사 설명회 발표자료 (0) | 2025.04.07 |
| [자료] 맞춤형 광고에 활용되는 온라인 행태정보 보호를 위한 정책 방안 (0) | 2025.03.06 |
