(개인)정보보호 동향

[자료] 개인정보의 안전성 확보조치 기준 안내서(2024.10.)

IntoTheSec 2024. 11. 5. 21:57

개인정보의 안전성 확보조치 기준(이하 '고시') 안내서 개정본이 공개되었다. 개정된 고시가 시행된지 1년이 넘었기 때문에 나를 포함한 많은 사람들이 안내서를 많이 기다렸었고 드디어 고시 해설을 읽어볼 수 있게 되었다. 

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20767

 

개인정보 포털

개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.

www.privacy.go.kr

 

안내서를 살펴보고 참고해야 할 내용을 정리해보면 다음과 같다.

 

1. (27페이지) 개인정보처리시스템의 정의를 조금 더 넓게 해석
데이터베이스와 연동되어 개인정보의 생성, 기록, 저장, 검색, 이용 등 개인정보 처리과정에 관여하는 응용프로그램, 웹서버 등을 포함한다.

<개인정보처리시스템 예시>
- 데이터베이스를 구성·운영하는 시스템 그 자체
- 데이터베이스의 개인정보를 처리할 수 있도록 구성한 응용프로그램(Web서버, WAS 등) -> 2년?
- 개인정보 처리를 위해 구성된 파일처리시스템(FTP서버, 백업서버 등)
- 개인정보의 처리를 위해 클라우드컴퓨팅 환경에 구축한 시스템 또는 서비스

 

참고 : 웹서버가 개인정보처리시스템이란 판례 :  대법원 2021. 8. 19. 선고 2018두56404 판결

 

2. (28페이지) 정보통신서비스 제공자의 정의를 자세하게 포함
그간 정보통신서비스 제공자의 정의를 알기 위해서는 과학기술정보통신부의 자료(예: 정보보호최고책임자지정·신고제도 안내서)를 참고했어야 했지만, 정의를 안내서에 포함함으로써 여러 자료를 참고하지 않아도 되게끔 바뀌었다.


영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는자는 인터넷 홈페이지 등을 이용하여 정보 및 서비스를 제공하는 자를 의미하며, 보통 영업 행위를 하는 주체가 홈페이지를 개설하고 회원가입을 받을 때에는 모두 적용 대상이 된다(‘영리를 목적’은 자기 또는 제3자의 재산적 이익을 얻기 위한 목적을 말하는 것으로 해석하고 있으며 여기서의 이익은 계속적, 반복적일 필요가 없다.).

 

3. (30페이지) 공유 설정 정의를 신규로 포함하였음
원격데스크톱 연결 등 원격접속 설정을 통해 타인이 원격에서 컴퓨터 소유자의 파일, 폴더 등 자원에 접근하도록 설정하는 것이 포함되며, 여기에는 클라우드, NAS, 파일서버 등을 통해 공유하는 형태도 해당된다

 

> 시스템 운영을 위해서는 원격 접속이 반드시 전제되어야 하는데, 원격데스크톱 연결을 통해 원격에서 파일에 접근하는 것을 공유설정으로 보기엔 무리가 있어 보인다.


참고 : 골프존 사례(2024년 제8회 보호위원회)에서 공유설정을 공유폴더로 제한적으로 볼 것인지 파일 서버까지 확대할 것인지 공유설정의 의미에 대해 논란이 있었고 이른 보완하기 위해 파일 서버까지 포함이란 명시적인 해석을 포함한 것으로 추측

 

4. (33페이지) 인증정보 정의를 신규로 포함하였음
비밀번호 외에도 생체인식정보, 전자서명값, 인증토큰 등도 포함됨을 주의해야 하고 개인정보처리시스템 뿐만아니라 정보통신망을 관리하는 시스템 접속시 사용되는 정보가 범위임을 알고 있어야 함

 

5. (62페이지) 권한 부여, 변경 또는 말소에 대한 내역에 포함해야 하는 내용이 확장되었고 예시가 추가되었음
신청자 정보, 신청일시, 승인자 및 발급자 정보, 신청 및 발급사유, 접근 권한에 관한 정보(신규)

 

또한 적절하지 않은 사례로 "개인정보 접근 권한의 내역은 보관하고 있으나, 발급/변경 사유 등이 확인되지 않는 경우"를 언급

 

6. (72페이지) URL에 개인정보를 포함할 수 없음에 대한 근거가 추가되었음
개인정보가 인터넷 홈페이지를 통해 권한이 없는 자에게 공개되거나 유출되지 않도록 해야 하는 조치의 예시에 홈페이지 주소(URL)에 개인정보 사용 금지를 명시하였음


> 블로그 서비스 처럼 URL에 개인정보(사용자 ID)를 포함하거나 개인정보를 GET 방식으로 처리하는 경우가 종종 있는데, 안내서의 내용을 개선 조치 요청의 근거로 언급해 볼만하다.

 

7. (74페이지) 일정시간 이상 업무처리를 하지 않아 개인정보처리시스템 접속을 차단한 경우 다시 접속 시 자동 로그인 기능을 사용한다면 접속 차단 조치를 한 것으로 볼 수 없다고 함

 

8. (76페이지) 클라우드 관리콘솔에 접속해 개인정보처리시스템 접근 권한을 부여하거나 개인정보를 다운로드할 수 있다면, 접속 PC에도 망분리 적용 필요


클라우드 관리콘솔에서 개인정보처리시스템 접근 권한을 부여할 수 있거나 개인정보를 다운로드할 수 있다면 관리콘솔에 접근하는 컴퓨터도 인터넷망 차단 조치 대상이 될 수 있다고 함

 

9. (79페이지) 프로그램 방식 액세스 자격 증명에 이용되는 인증정보는 암호화 대상에서 제외
그간 고시에 비밀번호, 생체인식정보 등 인증정보로 언급이 되어 있어 인증정보를 확대 해석해야 할지 고민이 있었다.

 

API 통신에서 AUTH Key를 포함하지 않은 요청이 있을 경우 전송구간 암호화를 해야한다면 사실상 내/외부 가리지 않고 모든 통신을 암호화 하라는 것이지만, 감사하게도 아래 문구를 넣어줌으로써 암호화 대상에서 제외되게끔 해주셨다.
" API Access Key 등 프로그램 방식 액세스 자격 증명에 이용되는 인증정보는 이 기준에서 언급하는 비밀번호로 간주하지는 않으나, 안전한 관리방안을 수립해 이용해야 한다."


프로그램 방식에서 토큰을 사용한다면? 프로그램 방식 액세스 자격 증명에 이용되는 인증정보라 전송암호화를 적용하지 않아도 될까?

 

10. (103페이지) 개인정보 출력 항목 최소화 관점의 주의 사항 명확화
- 업무에 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치

- 다수의 개인정보처리시스템 등에서 개인정보를 각기 다른 방식으로 마스킹 할 때에는 개인정보취급자가 개인정보 집합을 구성할 수 있으므로 동일한 기준으로 표시제한 조치

 

11. (135페이지) 개인정보처리시스템에 해당함에도 불구하고 그간 명시적인 해석이 없어 논란이 있었던 영역에 대한 정리
- 네트워크 관리시스템 등에서 계정 관리, 알림 통지 등을 위해 개인정보를 처리하는 경우에는 해당 장비들도 개인정보처리시스템에 해당
- 임직원 개인정보를 처리하는 그룹웨어 등의 업무시스템도 개인정보처리시스템에 해당

 

12. (143페이지) IP, MAC 기반 접근 통제는 안전한 인증수단에 해당하지 않음을 명시

아주 오래전 개인정보의 기술적·관리적 보호조치 기준 해설서에 IP접근 통제를 안전한 인증수단으로 명시했던 적이 있었고 그 때 이후로 IP접근 통제를 인증수단으로 오해하는 경우가 많았음. 이를 해결하기 위해 명시적으로 접근통제 수단이지 안전한 인증수단에는 해당하지 않는다는 해석을 포함하는 좋은방향의 수정이라 생각됨

 

13. (175페이지) 개인정보 위험도 분석 기준 해설 추가
별도 운영하던 개인정보 위험도 분석 기준 및 해설서의 내용을 안내서 마지막에 포함했고, 여러 파일을 확인하지 않아도 된다는 점에서 긍정적인 변화로 생각됨