개인정보의 안전성 확보조치 기준 안내서(2025.11.)

개인정보의 안전성 확보조치 기준 안내서가 약 1년만에 개정되었다.

https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=11641

개인정보보호위원회

 

개인정보의 안전성 확보조치 기준(이하 '기준'으로 부름)이 개정된 것이 안내서 개정의 가장 큰 사유겠지만 개정되지 않은 내용 쪽에서도 변동이 있어 내용을 확인할 필요가 있다. 중요한 내용 4개를 꼽아보면 다음과 같다.

 

1) 인터넷망 차단조치 적용 대상 중 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자 컴퓨터 기준 변경

 > 다운로드, 파기 접근권한 설정 외에 조회가 명시되었기 때문에 사실상 개인정보처리시스템의 특정 권한 설정이 아닌 모든 권한설정으로 해석해야 함

 

2) 접속기록 점검 주체 선정 시 책임 추적성 및 객관성 보장이 필요함을 명시

 > 점검을 시스템 운영 부서에 맡겨 왔던 개인정보처리자는 감사팀이나 개인정보보호팀에서 점검을 하도록 개선이 필요함

 

3) access token, refresh token, secret access key 등의 인증정보도 전송 암호화를 적용해야 함

 > SSL Termination을 통해 전송 암호화가 해제되는 영역이 있다면 법적 요건을 준수하지 못한다고 해석될 수 있음

 

4) 접속기록에 로그인, 로그아웃, 로그인 실패에 대한 기록도 포함해야 함

 > 접속기록에 개인정보 처리 기록만 남겨왔던 개인정보 처리자가 있다면 로그인, 로그아웃 관련 이력도 기록할 수 있도록 시스템 개선이 필요함

 

참고할 만한 내용을 전반적으로 정리해보면 다음과 같다.

※ 출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2025.11.

 

(28페이지)
이용자의 정의에 대한 해석이 추가 됨
 > 비회원이나 이벤트 등 일시적 서비스를 이용한 자도 이용자에 해당함을 유의하자.

이용자는 일반 불특정 다수가 아닌, 정보통신서비스 제공자와 정보통신서비스 이용관계를 맺고 있는 자를 말한다. 회원 또는 비회원 여부, 유료 또는 무료 서비스 이용여부, 이벤트 등 일시적 서비스 이용 여부 등과 관계없이 이용자에 해당할 수 있다

(30페이지)
공유설정의 정의에 대한 해석이 변경 됨
 > 원격데스크톱 연결과 같은 원격접속 설정을 통해 원격에서 접근하도록 설정하는 것도 공유설정에 해당됨을 유의하자.

공유설정은 컴퓨터 소유자의 파일, 폴더 등을 타인이 접근하여 조회, 변경, 복사 등을 할 수 있도록 권한을 설정하는 것을 말한다. - 원격데스크톱 연결 등 원격접속 설정을 통해 타인이 원격에서 컴퓨터 소유자의 파일, 폴더 등 자원에 접근하도록 설정하는 것과 클라우드, NAS(Network Attached Storage), 파일서버 등을 통해 공유하는 형태도 해당된다.

(49페이지)
최근 '기준'이 개정됨에 따라 출력․복사시 안전조치에 관한 사항, 개인정보의 파기에 관한 사항을 내부관리 계획에 포함해야 하는데, 관련 내용에 대한 안내가 포함되어 있음(특별히 참고할 만한 내용은 없음)

(59페이지)
통신판매중개자가 통신판매업자가 이용하는 개인정보처리시스템을 운영하는 경우 접근 권한을 어떻게 부여해야 할지(얼마나 세분화해 부여해야 할지)에 대한 고민이 있었고 그에 관한 안내를 기대했으나,
 > 구체적인 언급은 없음. 다른 개인정보처리시스템 처럼 권한을 차등 부여하고 세부적으로 컨트롤 할 수 있는 기능을 구현해야 할 것으로 판단 됨

개인정보처리자가 제3자(오픈마켓 판매자 등)에게 개인정보처리시스템에 대한 접근 권한을 부여하는 경우, 해당 권한은 제3자의 업무 범위 내에서 필요한 최소 수준으로 부여하여야 한다. 또한 이를 부여받은 제3자는 자신의 개인정보 처리환경을 고려하여 해당 권한을 스스로의 책임 하에 적절히 관리․운영하여야 한다.

(64페이지)
일정 횟수 이상 인증 실패시 접근 제한을 해야 하는 대상이 '개인정보 취급자 또는 정보주체'에서 모든자로 확대되었으나 예시 5회가 삭제된 것 외에는 관련한 안내가 변경된 것은 없다.

(66페이지)
접근통제 기준이 강화된 느낌.
 > 아웃바운드 통제에 대한 근거가 필요한 경우 활용할 수 있는 내용이 추가 되어 현업 설득 시 도움을 받을 수 있겠단 생각이 듬

불필요한 외부 접속이나 개인정보 유출이 발생하지 않도록 인바운드뿐만 아니라 아웃바운드 트래픽에 대해서도 적절한 접근통제 정책을 설정‧관리하여야 한다.

(78페이지)
인터넷망 차단조치 적용 대상 중 '개인정보처리시스템에 대한 접근권한 을 설정할 수 있는 개인정보취급자의 컴퓨터'의 기준이 변경되었음
 > 다운로드, 파기 접근권한 설정 외에 조회가 명시되었기 때문에 사실상 개인정보처리시스템의 특정 권한설정이 아닌 모든 권한설정으로 해석해야 함

(79페이지)
인터넷망 차단 예외를 적용할 때 별표에 있는 보호조치를 고려해야 하나 개인정보 처리자가 스스로 판단한 방법론을 적용할 수도 있음(위험 분석 예시를 참고하자.)

인터넷망 차단 조치 대상 컴퓨터 등을 판단하기 위한 위험 분석은 국내․외 표준 또는 신뢰할 수 있는 전문기관 등에서 제안하는 방법을 참고하거나, 개인정보처리자 스스로가 개인정보 처리 환경․맥락 등을 고려하여 자체 수립한 방법을 내부 관리계획에 반영 후 수행할 수 있다.

(91페이지)
개인정보의 안전성 확보조치 기준 개정에 따라 오픈마켓 판매자가 접속하는 개인정보처리시스템도 접속기록 보관 대상임을 명확히 기재

(94페이지)
- '기준' 개정에 따라 접속기록 검토 주기를 일률적으로 월 1회 이상 점검하는 기준이 삭제되고 주기·방법·사후조치절차 등을 내부 관리계획을 통해 합리적으로 정하게끔 함

- 접속기록 점검 주체 선정 시 책임 추적성 및 객관성 보장이 필요함을 명시
> 점검을 시스템 운영 부서에 맡겨 왔던 개인정보처리자는 감사팀이나 개인정보보호 팀에서 점검을 하도록 개선이 필요함

책임 추적성 및 점검의 객관성을 보장하기 위해 개인정보 취급 및 운영 부서가 아닌 개인정보 총괄 부서 또는 감사 부서 등 별도의 부서에서 점검이 이루어지도록 하여야 한다.

(143 페이지)
저장·관리되고 있는 이용자 수 산정 대상에 대한 해석을 신규로 포함하였음
> 분리보관 된 개인정보, 비회원 정보도 포함임에 유의하자

정보통신서비스를 이용 중인 회원의 수 뿐만 아니라 데이터베이스에 분리·보관된 탈퇴 및 휴면 회원의 정보, 비회원에게 수집한 개인정보(예시: 물품배송을 위한 성명, 연락처, 배송지 주소) 등을 모두 포함합니다.

(144 페이지)
- 이용자가 아닌 정보주체의 개인정보를 처리하는 경우는 인터넷망 차단조치 대상이 아님을 분명히 함

인터넷망 차단 적용 대상 여부는 ‘개인정보가 저장·관리되고 있는 이용자 수’를 기준으로 하고 있습니다. 따라서, 임직원 등 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 접근 권한을 설정하거나 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자는 인터넷망 차단 적용 대상이 아닙니다. 다만, 이러한 경우에는 이용자와 이용자가 아닌 정보주체를 처리하는 개인정보처리시스템은 분리하여 엄격하게 통제·관리되어야 합니다.

- vpn에 2차 인증 설정은 필수가 아님을 명시 함

최근 VPN 계정 도용을 통해 내부망에 침투하여 개인정보를 유출하는 등의 사고가 증가하고 있습니다. 따라서, VPN 등 안전한 접속수단을 적용했다고 하더라도 안전한 인증수단을 적용하는 것은 개인정보 보호 강화를 위한 바람직한 방법이라 할 수 있습니다.

(146페이지)
- 전용선을 사용하더라도 인증정보 송·수신 시 암호화가 필요함을 명시함
>안전한 접속수단을 적용한 것은 맞으나 암호화는 별도 규정이기 때문에 암호화 까지 준수해야 한다는 의미

전용선은 이 기준 제6조제2항에 따른 가상사설망 등을 대체할 수 있는 안전한 접속수단 중 하나로 간주될 여지가 있으나, 송·수신구간 암호화를 대체할 수는 없습니다. 따라서, 전용선을 사용하는 경우에도 이 기준 제7조제1항에 따라 인증정보를 송·수신하는 경우 암호화하여야 합니다.

- access token, refresh token, secret access key 등의 인증정보도 전송 암호화를 적용해야 함
> SSL Termination을 통해 전송 암호화가 해제되는 영역이 있다면 법적 요건을 준수하지 못한다고 해석될 수 있음

이 기준 제7조제1항에서는 비밀번호, 생체인식정보 등 인증정보를 저장하거나 정보통신망을 통해 송ㆍ수신하는 경우 안전한 암호 알고리즘으로 암호화하도록 규정하고 있습니다. 이에 따라, 비밀번호, 생체인식정보 외에도 접근토큰(Access Token), 갱신토큰(Refresh Token), 비밀접근키(Secret Access Key) 등 인증정보에 해당 한다면 이 기준에 따라 암호화하여야 합니다.

(147페이지)
접속기록에는 사용자의 로그인, 로그아웃, 로그인 실패에 대한 기록도 포함해야 함을 명시함
> 접속기록에 개인정보 처리 기록만 남겨왔던 개인정보 처리자가 있다면 로그인, 로그아웃 관련 이력도 기록할 수 있도록 시스템 개선이 필요함