개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난해 9월 「개인정보 보호법 시행령」에 따라 개정된 「개인정보의 안전성 확보조치 기준(이하 ‘고시’)」의 구체적 내용과 문의사례 등을 반영한「개인정보의 안전성 확보조치 기준 안내서(이하 ‘안내서’)」를 10월 31일(목) 공개하였다.
[블랙엣지뉴스=장우영 기자] 이번 안내서는 정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분되어 있던 기존 안전조치 해설서 2종(개인정보의 안전성 확보조치 기준 해설서, 개인정보의 기술적․관리적 보호조치 기준 해설서)을 통합해 법 적용 기관들의 혼선을 줄이는 한편, 최신 개인정보 처리환경을 반영한 것이다.
아울러, 신설된 공공시스템운영기관에 대한 안전조치 내용도 포함하였다.
이번에 공개된 안내서에는 최신 개인정보 처리환경 해설, 공공시스템운영기관 등의 안전조치 해설 등이 주요 내용으로 반영되었다.
① 최신 개인정보 처리환경 해설 반영
빠르게 발전하는 정보기술과, 변화하는 개인정보 처리환경에 맞추어 적합한 예시를 추가하는 등 현장에서 적용 가능한 개인정보 처리 방법과 안전성 확보 방안 등을 현행화하였다.
우선, 개인정보 인증수단의 선택 범위를 확대하였다. 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에도 문자메시지, 전화인증, 소셜 로그인 등 다양한 방식을 추가하였다.
또한, 로그인 반복 오류에 대한 접근제한 조치 방법으로 단순한 계정잠금 외에 캡챠(CAPCHA: 찌그러진 문자, 사진 등을 제시하여 반복적인 작업을 가능하게 하는 자동 프로그램을 통한 접근을 방지하기 위한 기술) 및 인증 재시도 가능시간 제한 등 다양한 방법을 추가하였으며, 비밀번호의 안전한 저장을 위해 일방향 암호화하는 경우 솔트값(레인보우테이블 공격(해시함수를 사용해 만들어낼 수 있는 여러 해시값을 저장한 표를 이용해 암호화된 비밀번호를 복호화하는 공격) 등을 방어하기 위해 보안성을 높이는 방법으로, 원본 추측을 어렵게 하기 위해 해시함수에 넣기 전 비밀번호 앞뒤 등에 삽입하는 값) 추가 등을 고려할 수 있다고 명시하였다.
② 공공시스템운영기관 등의 안전조치 해설 반영
다음으로, 주요 개인정보 처리시스템을 보유․운영 중인 정부부처와 산하 공공기관이 안전조치 의무를 준수하는데 참고할 수 있는 다양한 내용들을 포함하였다.
특히, 공공시스템에 접속한 자의 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출․오용․남용 시도를 탐지하기 위한 사례와 접속기록 생성 시 필수정보를 누락하는 사례(시스템 개통 후 추가된 메뉴․기능이 접속기록 생성 방식과 연계되지 않아, 해당 메뉴 또는 기능을 이용하는 접속기록이 전혀 생성되지 않는 경우 등) 및 이상행위 판단 기준 예시(공휴일, 업무 시간 외 개인정보 열람 또는 다운로드, 월별 접속지 주소 정보가 다수인 개인정보취급자) 등을 담았다.
③ 자주 묻는 질문(FAQ) 수록
마지막으로, 궁금한 사항을 찾아볼 수 있도록 자주 묻는 질문(FAQ)을 수록하였다. 고시 개정(’23.9월) 이후 접수된 민원에 대해 유사질의 발생 빈도 및 개정조항과의 연계성 등을 분석하여 ‘비밀번호 작성규칙, 교육 대상자, 접속기록 보관내용 등’ 자주 묻는 질문(FAQ)을 마련하였다.
안내서는 10월 31일부터 개인정보위 누리집(www.pipc.go.kr / 법령 / 지침(가이드라인))에서 확인할 수 있으며, 12월 개최 예정인 설명회를 통해 궁금한 사항에 대해 알기 쉽게 안내할 예정이다.
*출처: 개인정보보호위원회 보도자료
감사·내부통제 전문지 BLACK EDGE / 장우영 기자