연계정보취급자 교육 자료 작성
본 포스팅은 이참에 교육자료를 만들어봐야겠다는 생각에 내가 실행했던 내용과 완성한 교육자료에 대한 간단한 설명을 작성한 내용이며 회사에서 사용할 목적으로 작성한 자료이기 때문에 자료를 첨부하진 않았다.
연계정보 이용기관에 재직중이기 때문에 정보통신망법 제23조의6(연계정보의 안전조치 의무 등) 제5항의 위임을 받아 시행되고 있는 연계정보의 생성·처리 등에 관한 기준을 준수해야 한다. 개인정보 보호 교육은 유료 온라인 사이트를 통해 전사 직원 대상으로 진행하고 있고 위치정보취급자 교육은 위치정보 지원센터에서 진행하는 온라인 교육으로 진행하고 있으나 연계정보취급자 대상 교육은 다른 곳의 도움을 받을만한 교육을 찾지 못했다. 물론 본인확인 지원포털의 교육영상 메뉴에 영상들이 여러 개 올라와 있으나 본인확인 기관을 대상으로 한 내용이거나 본인확인서비스에 대한 소개가 주를 이루고 있어 직접적인 도움이 되진 않는다.
o 연계정보의 생성·처리 등에 관한 기준 [별표 4] 연계정보 이용기관의 안전조치
| 2. 연계정보를 제공받은 목적 범위 내 연계정보 처리에 관한 사항 2-1. 연계정보취급자를 최소한으로 제한 2-2. 연계정보취급자에 대한 정기적인 교육 2-3. 연계정보 처리 실태에 대한 연 1회 이상 정기적인 점검 |
'연계정보만으로 최소 30분을 얘기할 만한 내용을 구성할 수 있을지?' 걱정을 제외하면 가장 먼저 드는 생각은 "AI를 활용해 처음부터 끝까지 도움을 받을 수는 없을까?"였다.
ChatGPT에 연계정보 처리 및 안전조치 등에 관한 안내서와 [별표 4] 연계정보 이용기관의 안전조치를 첨부한 후 입력한 프롬프트와 응답은 다음과 같았다.
연계정보이용기관에 재직중인 10년차 정보보호 전문가이자 사내 교육담당자의 입장에서 첨부한 파일의 내용을 연계정보취급자(개발자, 기획자)에게 연 1회 교육해야 하는 법적 의무를 준수하기 위한 교육자료를 만들어야 해. 파워포인트를 만드는데 필요한 목차와 페이지별 내용을 정리해주고, 젠스파크 AI를 사용해 파워포인트를 만들 거니까 프롬프트도 만들어줘야 해.
<젠스파크 프롬프트외 생략>
연계정보 이용기관의 연계정보취급자(개발자, 기획자)를 대상으로 하는 연 1회 정기 교육용 PowerPoint를 만들어줘.
교육 대상은 개발자와 서비스 기획자이며, 발표자는 10년차 정보보호 전문가이자 사내 교육담당자이다. 교육 목적은 「연계정보의 생성·처리 등에 관한 기준」 [별표 4]의 연계정보 이용기관 안전조치 의무, 특히 연계정보취급자 정기교육 의무를 준수하기 위한 것이다.
전체 톤은 법정교육이지만 딱딱하지 않게, 실무자가 바로 이해하고 행동할 수 있는 체크리스트 중심으로 구성해줘. 디자인은 공공기관 교육자료 느낌의 신뢰감 있는 스타일로, 네이비·화이트·라이트블루 컬러를 사용하고, 아이콘과 프로세스 다이어그램을 적절히 넣어줘.
슬라이드는 총 20장으로 구성해줘.
1. 표지: 연계정보취급자 정기교육
2. 교육 필요성: CI의 중요성과 오남용 위험
3. 연계정보 기본 개념: CI 정의, 주민등록번호 기반 비가역 암호화 정보
4. 연계정보 처리의 범위: 생성, 제공, 이용, 대조, 연계, 저장, 보유, 파기
5. 연계정보 이용기관의 책임
6. 목적 범위 내 처리 원칙
7. 금지사항: 목적 외 이용, 불필요한 저장, 무단 제공, 본인확인기관 역할 수행 금지
8. 법적 제재: 목적 범위 초과 처리 시 5년 이하 징역 또는 5천만 원 이하 벌금
9. 내부 규정 수립: 책임자, 취급절차, 저장·전송, 취약점 점검
10. 연계정보취급자 최소화와 접근권한 관리
11. 연 1회 정기교육 의무와 교육 이력 관리
12. 연 1회 이상 처리 실태점검과 개선조치
13. 주민등록번호와 연계정보의 분리보관
14. 저장·전송 암호화: 인터넷망 송수신 암호화, 안전한 알고리즘
15. 침해사고 대응계획: 접수, 보고, 대응, 이용자 권리 요구
16. 기록·보관: 수집 출처, 시기, 목적, 대상, 최소 1년 보관
17. 개발자 실무 체크리스트
18. 기획자 실무 체크리스트
19. 실무 사례 퀴즈 3문항
20. 핵심 요약 및 교육 이수 안내
각 슬라이드에는 제목, 3~5개의 핵심 bullet, 발표자 노트 2~3문장을 포함해줘.
법령·고시 문구는 그대로 길게 복사하지 말고 교육용으로 쉽게 풀어써줘.
마지막에는 교육 이수 확인 문구와 문의처 영역을 넣어줘.
젠스파크로 파워포인트 만들때 가장 불편한 점인 한 화면을 벗어난 내용의 슬라이드 생성을 막고자 "슬라이드를 벗어난 내용은 슬라이드 내부로 자동 조정해줘."만 마지막에 덧붙이고 젠스파크를 실행해본다.
디자인 관점에서는 나보다 훌륭할 수도 있겠지만 교육을 통해 전달하고 싶은 내용과는 분명 거리가 있어..
내가 전달하고 싶은 내용과 메시지를 정리한 후 대략적으로 젠스파크에 전달해 생성된 파워포인트 템플릿을 수정해 쓰는 방향으로 작업을 하게 되었다.
연계정보 취급자 대상 교육에 사용할 슬라이드를 만들어줘. 아래와 같은 순서로 만들어줘야하고 16:9 비율이면 좋겠어.
주로 써야하는 색상 코드는 #FA5500, #000000, #F4B183, #D9D9D9, #595959 이야.
1. 교육 배경 : 연계정보 취급자 대상 교육을 해야하는 배경에 대한 설명을 위한 페이지
좌측에 첨부한 이미지 배치우측 아래 텍스트 배치
- 주민등록번호의 높은 식별성, 고유성 등이 가진 위험때문에 주민등록번호를 암호화해 만든 값인 연계정보(CI)를 도입했으나
- 연계성, 고유성 등의 유사 특징 때문에 또다른 주민등록번호처럼 쓰일 수 있다는 우려가 있어
- 연계정보를 안전하게 관리하는데 필요한 규정(취급자 교육 포함)을 정보통신망법을 통해 의무화('25.10.1 시행)
2. CI란?
3. CI와 DI 비교
4. 연계정보 보호조치
4.1 연계정보의 안전한 처리를 위한 내부 규정 수립 및 시행
내부 규정에 필수적으로 포함해야 하는 내용 :
- 안전조치를 총괄하는 책임자 지정에 관한 사항
- 연계정보의 취급ㆍ관리 절차에 관한 사항
- 주민등록번호를 보관하는 경우 해당 주민등록번호와 연계정보의 분리ㆍ보관ㆍ관리에 관한 사항
- 연계정보의 안전한 저장ㆍ전송에 관한 사항
- 연계정보의 유출, 도난 방지를 위한 취약점 점검에 관한 사항
4.2 연계정보 처리현황 관리
4.2.1 연계정보취급자를 최소한으로 제한
4.2.2 연계정보취급자에 대한 정기적인 교육
4.2.3 연계정보 처리 실태를 연1회 점검
4.3 연계정보의 안전한 처리
4.3.1 주민등록번호를 보관하는 경우 주민등록번호와 연계정보를 별도로 분리해서 보관 및 관리
4.3.2 연계정보 저장 시 안전한 알고리즘으로 암호화
4.3.3 연계정보 송·수신 시 암호화 통신
4.4 침해사고 발생 시 대응 계획의 수립 및 시행
계획에 필수적으로 포함해야 하는 내용
- 연계정보 수집 등 연계정보 처리에 관한 사항의 공개
- 연계정보 침해사고 발생 시 접수 및 절차
- 연계정보 이용내역 등 연계정보 처리에 관한 사항의 열람, 정정ㆍ삭제, 처리정지, 동의 철회 등 요구 대응 절차4.5 연계정보 수집 현황 기록
기록에 필수적으로 포함해야 하는 내용
- 수집 출처
- 수집 시기
- 수집 목적
- 수집 대상 정보
※ 기록은 1년간 저장 필요
최종적으로 표지를 제외하고 9페이지의 파워포인트를 작성했으나 회사 교육자료로 사용하기 위해 작성한 내용을 개인 블로그에 공개할 수는 없기 때문에 내가 작성한 파워포인트 장표의 구성과 내용에 대해서만 정리해둔다.
1.교육 필요성
전달하고 싶은 내용 : 연계정보 보호 제도의 도입 배경과 배경을 초래한 연계정보의 특성 설명
(좌측)
연계정보 보호 제도 도입 배경
- 주민등록번호의 높은 식별성과 고유성이 가진 위험성때문에 연계정보 도입
- 연계정보의 연계성과 고유성 등의 유사 특징 때문에 주민등록번호처럼 오남용 될 수 있다는 우려제기
- 연계정보를 안전하게 관리하는데 필요한 규정을 정보통신망법에 반영해 의무화(2024년 7월 시행)
- 연계정보는 개인정보의 한 유형이지만 연계정보 취급자 대상 교육은 개인정보 보호법 준수를 위한 일반적인 개인정보보호 취급자 교육으로 갈음할 수 없고 연계정보 관련 주제를 포함한 교육이 필요함
(우측)
쿠팡, 네이버, 지마켓 등의 플랫폼에서 본인확인기관으로부터 연계정보를 전달받을 경우 ******-******* 주민번호를 가진 홍길동의 연계정보 값은 동일함을 그림으로 표현
※ 필요한 그림은 프롬프트를 작성해 나노바나나로 만들기도 하지만 내가 원하는 바가 구체적으로 있는 경우에는 연습장에 먼저 그린 후 이미지로 변환해 달라는 요청을 하기도 한다.
2.연계정보 정의
전달하고 싶은 내용 : 연계정보의 정의, 역할 및 목적, 특성 설명
(상단 중앙)
연계정보는 주민등록번호에 비밀키를 덧붙여 단방향 암호화해 생성한 값으로 온라인에서 이용자를 안전하게 식별하고 서로 다른 서비스 간의 연계를 가능하게 하는 88바이트 문자열 값이며 개인정보로 분류
(좌측)
역할 및 목적
- 본인확인 및 가입자 구분
- 서비스 간 이용자 연계
- 주민등록번호 유출 예방 등
(우측)
핵심 특성
- 고유성
- 일관성
- 비가역성
3. 연계정보와 중복가입확인정보의 차이점 비교
전달하고 싶은 내용 : 본인확인 기관으로부터 전달받는 CI와 DI의 차이에 대해 설명
(좌측)
CI와 DI의 특성을 표로 비교
- 영어 Full name, 성격(CI는 여러 서비스 간 동일 이용자 임을 판별, DI는 특정 서비스 내에서 이용자를 식별)
- CI는 사이트나 기업에 관계없이 늘 고유한 값이나(88바이트) DI는 가입한 사이트 마다 다른값 생성(64바이트)
- CI는 온라인 서비스 연계, 마이데이터 연동 등의 용도로, DI는 개별 사이트 내 다중 계정 생성, 이벤트 혜택 중복 방지 등에 주료 이용됨
(우측)
한국인터넷진흥원에서 2019년 7월 26일에 공개한 'CI에 대한 현황 및 논의 필요사항' 자료의 11페이지의 이미지를 슬라이드 스타일에 맞게 변형해 첨부
4. 연계정보 보호조치 위반사례
전달하고 싶은 내용 : 연계정보 보호조치에 관한 정보통신망법이 시행된 후 발생한 개인정보 유출 사례에서 어떤 처분을 받았는지 설명하고 연계정보도 개인정보이지만 정보통신망법에 별도 규정이 있기 때문에 이중으로 처벌받을 수 있음을 설명
(좌측)
L카드사 개인정보 유출사고를 이미지로 표현(222만건 유출, 주민등록번호, 연계정보, 신용카드 번호, 신용카드 비밀번호 등 유출)
(우측)
개인정보보호위원회, 방송통신위원회, 금융감독원 별 처분 현황을 구분해서 요약
- 개인정보보호위원회 : 주민번호 보호조치 미흡으로 과징금 96억, 과태료 480만원 부과
- 방송통신위원회 : 연계정보 보호조치 미흡으로 과태료 1,125만원 부과
- 금융감독원 : 개인신용정보 보호조치 미흡으로 과징금 50억, 정보보호최고책임자 정칙, 영업정지 추진 중
5. 연계정보 보호조치 : 내부 규정 수립
전달하고 싶은 내용 : 연계정보 보호에 관한 내부 규정을 수립해야 함과 규정에 포함해야 되는 필수 내용을 설명
(좌측)
연계정보 보호지침의 표지 느낌의 이미지를 제작해 배치
(우측)
내부 규정에 필수적으로 포함해야 되는 내용을 나열하고 간단한 설명 추가
- 안전조치를 총괄하는 책임자 지정에 관한 내용
예) 연계정보의 보호 의무와 역할을 명확히 전담하고 총괄하는 총책임자 지정 기
- 연계정보의 취급 및 관리 절차
- 주민번호 보관 시 연계정보와의 물리적/논리적 분리보관 기준
- 연계정보의 안전한 저장 및 전송 기준
- 유출/도난 방지를 위한 보안 취약점 주기적 점검 기준
6. 연계정보 보호조치 : 관리적 보호조치 기준
전달하고 싶은 내용 : 연계정보 보호조치 중 관리적 보호조치에는 어떤 것들이 있는지와 설명, 목적 등을 요약해 설명
각 보호조치 별로 설명, 목적 등을 포함한 6개의 네모를 생성
- 취급자 최소화
예) 업무상 반드시 필요한 인력에 한해서만 연계정보 처리 권한을 부여하고 업무 변경, 휴직, 퇴사 시 권한을 회수해야 함 / 불필요한 인가자나 무분별한 조회를 차단함으로써 휴먼 에러 및 유출 가능성을 최소화하기 위함
- 연 1회 취급자 대상 교육
- 연 1회 실태점검
- 처리현황 공개
- 침해사고 대응 계획 수립
- 정보주체 권리보장 절차 수립 및 공개
7. 연계정보 보호조치 : 기술적 보호조치 기준
전달하고 싶은 내용 : 연계정보 보호조치 중 기술적 보호조치에는 어떤 것들이 있는지와 설명, 목적 등을 요약해 설명
각 보호조치 별로 설명을 포함한 3개의 네모를 생성하고 공간이 많이 남기 때문에 보호조치를 설명할 만한 이미지를 나노바나나로 제작해 데코레이션
- 주민번호와 연계정보 분리보관
이미지 예)
- 연계정보 저장 암호화
예) 유출 시 피해 최소화를 위해 10만명 이상의 연계정보를 보유한 기업(중소기업은 100만명 이상)은 연계정보를 안전한 알고리즘으로 암호화해 저장해야 하며 양방향, 일방향 암호화 모두 가
- 연계정보 전송 암호화
8. 연계정보 보호조치 : 연계정보 수집 현황 기록 관리
전달하고 싶은 내용 : 본인확인 기관으로부터 연계정보 수집 시 생성해야 하는 기록에 포함해야 하는 항목과 유의사항을 설명
(상단)
필수 항목 별 설명과 예시 값을 포함한 4개의 네모를 생성
- 수집 출처
- 수집 시기
- 수집 목적
- 수집 대상 정보
(좌측 하단)
가상의 연계정보 수집 현황 기록이 DB에 저장되어 있는것 같은 이미지를 배치해 데코레이션
(우측 하단)
기록 시 유의사항을 나열하고 설명
- 탈퇴 여부와 무관하게 1년간 보존 필요
- 수집 대상 정보에 연계정보 포함 금지
- 본인확인 기관 외(예: 간편인증) 연계정보 수집은 기록 불필
9. 참고 : 본인확인 기관 리스트
전달하고 싶은 내용 : 연계정보 수집 현황 기록은 정보주체의 요청으로 본인확인 기관을 통한 본인확인 과정에서의 CI 수신 시에만 기록되어야 한다는 내용을 한 번 더 설명
https://identity.kisa.or.kr/web/main/contents/M010-03 의 본인확인 기관 리스트를 나노바나나를 사용해 슬라이드 스타일에 맞춰 변형해 첨부
작성한 글의 내용이 연계정보취급자 교육 자료 작성을 고민하시는 분께 도움이 되었으면 좋겠다.