연계정보 이용기관 안전조치 실태점검 설명회 참석 후기

2026년 6월 26일 14:00부터 한 시간 동안 온라인으로 진행된 '연계정보 이용기관 안전조치 실태점검 설명회'를 들었다.

연계정보 이용기관의 안전조치 의무를 규정한 정보통신망법 제23조의6(연계정보의 안전조치 의무 등)이 2024년 7월부터 시행되었고 방송미디어통신위원회 내부 이슈 등으로 고시 개정이 지연되는 등 비교적 최근에 자리를 잡아가는 규제기 때문에 잘 모르시는 분들이 많은것 같고 질문이 많아 굉장히 혼란스러운 느낌의 설명회였다.

작년에도 실태점검을 진행했던 걸로 알고 있고 관련한 FAQ는 본인확인 지원포털에 업로드되어 있어 확인이 가능하다.

설명회는 한국인터넷진흥원 위치정보팀 두분과 실태점검 관련업무를 위탁받아 수행 중인 머스캣 대표님이 진행해 주셨고 영상 자료는 본인확인 지원포털에 업로드 해주신다고 하셨다.

설명회 주요 내용을 요약해보면 다음과 같다.
1) 실태점검은 본인확인 기관으로부터 연계정보(CI)를 1,000건 이상 받은 곳을 대상으로 진행한다.
- 공공, 의료 등 특정 업권이 대상은 아니고 1,000건 이상 받은 곳이 대상
- 1,000건을 받은 기간을 정하지 않기 때문에 본인확인 기관으로 부터 누적해 1,000건 이상을 받은 곳이 대상
- 연계정보를 저장하지 않아도 조회, 비교 등의 처리가 있으면 대상(처리의 범위가 폭넓기 때문에 조회, 비교 등을 하지 않더라도 본인확인 기관으로부터 전달 받기만 해도 점검 대상이라고 하셨음)
- 연계정보를 본인확인 기관으로부터 받자마자 삭제해도 점검 대상
- 본인확인 기관으로부터 중복가입확인정보(DI)만 받을 경우 점검 대상에서 제외
  ※ 한국인터넷진흥원은 연계정보 이용기관이 연계정보(CI), 중복가입확인정보(DI)중 어떤 정보를 처리하는지 모르기 때문에 DI만 받겠다는 본인확인 기관과의 계약서로 소명해야 제외된다고 함

2) 실태점검은 서면점검으로 진행되나 현장점검, 행정처분 등으로 이어질 수 있음
- 서면 점검 자료를 미제출하거나 지연 제출 하는 경우 현장점검 대상이 될 수 있음
- 서면 점검 시 제출한 자료에 불일치 또는 모순 등으로 의심 상황이 발생하면 현장점검 대상이 될 수 있음
- 서면 점검 시 제출한 자료가 부실한 경우 현장점검 대상이 될 수 있음
- 유출 사고 발생 등의 외부 이슈 발생 시 현장점검 대상이 될 수 있음
- 현장점검 후 미흡사항이 발견되는 경우 개선권고, 과태료 등의 행정처분 및 결과 공표로 이어질 수 있음

3) 전송암호화로 TLS를 선택 시 TLS 1.2 이상을 필수 적용 해야 함

4) 연계정보 안전조치를 총괄하는 책임자와 개인정보보호 책임자는 겸직 가능. 단, CISO는 겸직금지 대상이 아닌 경우에만 가능

5) 점검 대상 공문을 발송한 수신자 메일 주소는 본인확인 기관으로부터 받은 계약 담당자 메일 주소와 개인정보처리방침에 공개된 메일 주소를 활용했음

6) 실태점검 결과는 사이트나 도메인 단위가 아닌 법인 기준이기 때문에 한 회사는 1개의 점검 결과만 제출하면 됨

7) 공문 필요시 muscat@muscatc.co.kr 으로 메일을 주면 커스터마이징한 공문을 발송해 주겠다고 함

8) 본인확인 지원포털에 업로드되어 있는 교육영상을 활용해서 회사 내부적으로 교육을 진행해도 됨
교육영상 : https://identity.kisa.or.kr/web/main/bbs/edu_all/list

9) 연계정보 취급자 대상 교육을 진행해주는 사업은 현재까지 없음

10) 체크리스트 내의 권고 항목은 언제까지 적용 예정이라는 형태로 기재하면 됨

11) 실태점검 대상자로 추정되는데 점검 대상이란 메일을 못받으면 본인확인 기관에 등록된 계약 담당자 연락처 정보가 업데이트되지 않아서일 것이고 이메일로 확인 요청을 해달라고 함