i-PIN정책설명회및 「개인정보의기술적∙관리적보호조치기준」 … · 의무도입(’08. 12) 이전도입사이트수미약 ’08년“클린캠페인”을통해발급건수대폭증가

● 일 시 : 2009년 3월 12일(목) 14:00~17:00

● 장 소 : 서울로얄호텔 2층 로얄 볼룸

● 주 최 : 방송통신위원회

● 주 관 : 한국정보보호진흥원

i-PIN 정책 설명회 및

「개인정보의 기술적∙관리적 보호조치 기준」

개정(안) 공청회

진 행 순 서

시 간 행 사 내 용 비 고

13:30～14:00 30’ ▯ 수 등록

14:00～14:10 10’ ▯ 개회 인사말

황철증

네트워크정책

(방송통신 원회)

≪설명회 주제 발표≫

14:10～14:50 40’ ▯ i-PIN 활성화 종합 책오상진 과장


14:50～15:00 10’ ▯ 질의 응답

≪공청회 주제 발표≫

15:00～15:40 40’ ▯ 개인정보의 기술 ․ 리 보호조치 기

개정(안)의 추진방향 주요내용

이강신 장

(KISA)

15:40～16:00 20’ (휴식 토론좌석 설치)

≪패 토 론≫

16:00～16:30 30’

▯ 사회자 : 정 교 수(단국 학교)

▯ 토론자 : 염흥열 교 수(순천향 학교)

윤주희 부 원장(소비자시민의모임 자상거래 문 원회)

박나룡 차 장(다음커뮤니 이션)

오상진 과 장(방송통신 원회)

이강신 장(KISA)

16:30～16:50 20’ ▯ 질의 응답(발표자 토론자 원)

16:50～　　　 ▯ 정리 폐회 패 사회자

< 목 차 >

< 설명회 주제 발표> i-PIN 활성화 종합 책 ······························································· 1

오상진 과장(방송통신 원회)

< 공청회 주제 발표> 개인정보의 기술 ․ 리 보호조치 기 개정(안)의

추진방향 주요 내용 ····························································· 21

이강신 장(한국정보보호진흥원)

[첨부 1] 「개인정보의 기술 ․ 리 보호조치 기 」 고시 개정(안) ···· 49

[첨부 2] 「개인정보의 기술 ․ 리 보호조치 기 」 고시 비표 ······ 59

[첨부 3] 서면질의서 ················································································· 69

< 설명회 주제>

오상진 과장


- 1 -

인터넷상 주민등록번호 대체수단(i-PIN) 활성화 종합대책(안)

인터넷상 주민등록번호 대체수단(i-PIN) 활성화 종합대책(안)

2009. 3.

본 자료는 검토중인 내용으로 방송통신위원회 최종 안과

차이가 있을 수 있음을 알려드립니다.

i-PIN 추진 배경i-PIN 추진 배경11ⅠⅠ

22ⅡⅡ

33ⅢⅢ

i-PIN 추진 현황 및 당면 과제i-PIN 추진 현황 및 당면 과제

비전 및 추진 전략비전 및 추진 전략

1단계 추진 과제1단계 추진 과제

22ⅤⅤ 2ᆞ3 단계 추진 과제2ᆞ3 단계 추진 과제

11ⅣⅣ

- 3 -

1

i-PIN 추진 배경i-PIN 추진 배경11ⅠⅠ

인터넷상 주민등록번호 이용의 문제점

2 주민번호 대체수단 활성화 필요성

인터넷상 주민번호 이용의 문제점인터넷상 주민번호 이용의 문제점

인터넷상에서 실명확인, 성인인증 등의 수단으로 광범위하게

사용되어 유ᆞ노출 및 명의도용에 의한 사고가 심각

한번 노출 시 변경ᆞ갱신이 어렵고, 무한 복제 가능

하므로 침해가 지속적으로 발생문제점문제점

사업자는 수집한 주민등록번호를 이용자DB 관리,

제휴마케팅 등을 위해 폭넓게 활용하고 있어 이용자의

프라이버시 침해 우려

- 4 -

주민등록번호의 구조


AAAAAA – BCCCCDE

1. AAAAAA : 생년월일

2. B : 성별

3. CCCC : 지역코드 (출생신고 한 곳)

4. D : 해당지역 접수번호

5. E : 검증번호

“주민등록번호는 자체가 개인정보의 집합체이므로

유ᆞ노출 시 침해 수준이 높음”

주민번호 침해 사례

주민번호 도용 국내 온라인 게임사이트

1,200백만 명 계정 대량 생성(’06년)

주민번호 등 900만 건의 개인정보

중국인 해커 유출<‘08. 7월>

국내 대형 쇼핑몰 해킹으로

1,081만 명 개인정보 유출

(’08년)

명의도용, 보이스피싱 등 2차 피해 우려, 불안감 조성


- 5 -

ㅊ

해외 개인식별번호 현황


미국 영국 독일 일본 중국구분

개

인

식

별

번

호

존재유무

변경가능

인터넷이용시

신원확인

사회보장번호(SSN*)

가능 가능

없음일부의 경우신분증번호

요구

가능 가능

없음(출생, 사망 등기록을 위한신분등록제는

존재)

사회보장번호(NIN**)

주민표번호 신분증번호

※ *SSN : Social Security Number, **NIN : National Insurance Number

없음 없음 없음

ㅊ

안정성

이용자 편의성

사업자 편의성

변경 가능, 추정하기 어려움(ID/PW 방식)

본인확인 시 단순 암기(Know)를 통해 사용 가능

회원관리, 제휴 마케팅 등이 주민번호 없이 구현 가능

i-PIN 기능 개선으로 안전성 및 주민등록번호 수준의 편의성 제공

온라인상의 주민번호 이용의 문제점 해결

주민등록번호 대체수단 의무화 제도 시행 및 사회적 인식 변화

‘08년 5월 정통망법 개정을 통해 주민등록번호를 사용하지 않는

회원가입방법(i-PIN 등)‘의 제공을 의무화(정통망법 제23조2)

개인정보 침해사고 대형화․다발화에 따라 범사회적 인식 상승

주민번호 대체수단 활성화 필요성주민번호 대체수단 활성화 필요성

- 6 -


식별수단별 기능 및 편의성 비교

실명인증 수단청소년이용

주민번호 O

아이핀 O

아이핀 2.0 O

휴대폰 인증 △

공인인증서 인증 △

신용카드 인증 X

대면확인 O

연령 구분

O

O

O

△

X

X

O

온·오프라인연계

O

X

O

X

X

X

X

중복가입방지

O

O

O

X

△

X

X

사용 편의성

★★★★★

★★★★

★★★★★

★★★

★★

★★

★

인증방법

암기

암기

암기

소지

소지+암기

소지+암기

-

인터넷상의 주민번호 대체수단 필요성


정부 주도의

개인인증 체계

소비자 주도의

관리체계

주민등록번호

(고정/ 불변)

i-PIN

(변경가능/선택가능)

- 7 -

1 추진 경과 및 도입 현황

2 당면과제 : i-PIN 활성화 저해 요인

22ⅡⅡ i-PIN 추진 현황 및 당면 과제i-PIN 추진 현황 및 당면 과제

i-PIN 추진 경과 및 도입 현황i-PIN 추진 경과 및 도입 현황

2006 2007 2008

(단위 : 개)

2009.1월

23

85

190

230

2006 2007 2008

(단위 : 건)

2009.1월

17,19398,791

636,929

773,589

아이핀 도입 사이트 아이핀 발급 건수

’08년“클린캠페인”을 통해 발급 건수 대폭 증가의무 도입(’08. 12) 이전 도입 사이트 수 미약

‘05. 10월 : 본인확인기관별 i-PIN 서비스 개시

‘08. 6월 : 주민등록번호 대체수단 제공을 의무화한 정보통신망법 개정

‘08. 8월 : 행안부 공공 i-PIN 서비스 개시 및 민간 i-PIN과 연계

‘09. 1월 : 주민등록번호 대체수단 의무제공 사업자 기준 시행령 공표

i-PIN 추진 경과

민간분야 i-PIN 도입 현황

- 8 -

i-PIN 도입으로 서비스 기능 제한

온라인 연계 서비스 제한

오프라인 가입자 이용 불편

식별자(DI)가 웹사이트 별로 상이하여 사이트 간 연계된 서비스 제휴에 사용 불가

오프라인에서 주민번호를 통해 가입한 회원에게 온라인 서비스 제공하기 어려움

< i-PIN 가입>

DI(A) = MC0Gqx3…E43li=] 780417-1XXXXXX

연계불가

DI(B) = [GA0Gqx3…E43li=]

연계불가

< 주민번호 가입>

< i-PIN 가입>

< A 사이트 > < B 사이트 > < C 사이트 >

< 이용자 >

중복가입확인정보(DI)

1) DI : Duplication Information

2) 의미 : 이용자가 해당 웹사이트에이미 가입되어 있는지를 확인하는정보

3) 생성방법 : 주민등록번호+웹사이트코드+비밀키로 암호화

4) 문제점 : 웹사이트 별로 DI값이상이함

당면과제 : i-PIN 활성화 저해 요인당면과제 : i-PIN 활성화 저해 요인

당면과제 : i-PIN 활성화 저해 요인당면과제 : i-PIN 활성화 저해 요인

i-PIN 사용의 불편함

본인확인 기관에 대한 불신

본인확인기관의 안정적인 서비스 제공에 대한 법제도적 관리 근거 미약

이용자의 경우 i-PIN 이용이 주민번호에 비해 불편

(사용불편) i-PIN 사용 시 발급 받은 본인확인기

관을 기억해야 함

(기존 가입) 주민번호로 가입한 사이트에 i-PIN

으로 전환해야 함

Where?

What ?

①

②

인터넷에서 주민번호를 완전히 대체하기 위해 i-PIN 체계 개선 필요

- 9 -

33ⅢⅢ 비전 및 추진 전략비전 및 추진 전략


비전

i-PIN 제도 조기 정착과

이용 보편화를 위한

인프라 구축

조세·금융을 제외한

민간의 모든 온라인

서비스에 아이핀 적용

주민번호 없는

인터넷 환경 조성

•도입 사이트 수 : 3,000개•발급건수 : 1,000만 건

•도입 사이트 수 : 10,000개•발급건수 : 2,000만 건

•도입 사이트 수 : 50,000개•발급건수 : 3,000만 건

1단계 : ’09~11년

i-PIN 확산기반 조성

i-PIN이용확산

i-PIN전면확산

2단계 : ’12~13년

3단계 : ’14~15년

“i-PIN 활성화를 통한 그린 인터넷 환경 구현”

-인터넷 개인인증 인프라 혁신-

추진 전략

- 10 -


단계별 추진 목표

i-PIN 확산 기반 조성

i-PIN ID 통합관리

타 사이트간 제휴 서비스

가능 정보 제공

사업자 공시 및 이행점검

기존회원 i-PIN 전환사업

본인확인기관 법적 근거마련

본인확인기관 정기점검강화

i-PIN 제도 활성화 i-PIN 법제도 정비

2단계

1단계

오프라인 서비스와의 연계 초·중·고생 편리한 i-PIN 이용

홍보 및 인식제고

i-PIN 도입 기준 완화를 통한 도입사업자 확대

i-PIN 의 국가정보화 전략화 추진

조세·금융 분야의 i-PIN 적용 방안 연구 및 시스템 구축

주민번호 이용 전면 금지에 대한 법제화 검토

3단계

i-PIN 이용확산

i-PIN 전면확산

i-PIN 2.0을 통한 편의성 향상

1단계 추진 과제1단계 추진 과제11ⅣⅣ

1

2 i-PIN 이용 확산 촉진

2 i-PIN 안정성 확보를 위한 법제도 개선

편의성 향상을 위한 i-PIN 2.0 구현

- 11 -

1단계 추진 과제 개요(1/2)1단계 추진 과제 개요(1/2)

목표연도i-PIN 2009년 2010년 2011년

도입 사이트 수 700개 1,500개 3,000개

발급 건수 200만 건 500만 건 1,000만 건

기존 i-PIN 구조를 개선한 i-PIN2.0 서비스 구축

제휴서비스, 연계서비스 등을 위한 공동의 식별자인 연계정보(CI) 생성

i-PIN 계정(ID) 통합관리 시스템 개발

주민등록번호로 가입한 기존 이용자 i-PIN전환 및 인식제고

i-PIN 본인확인기관에 대한 관리 강화, i-PIN 확산을 위한 법제도 연구 추진

i-PIN

이용확산

법 제도정비 홍보 인식

강화

본인확인기관신뢰도 향상

ii--PINPIN이용이용 기반조성기반조성

이용자편의성 향상(i-PIN 2.0)

타 사이트간 제휴 서비스ii--PIN PIN 아이디아이디 통합관리통합관리오프라인 서비스와의 연계

i-PIN에 대한홍보 및 인식제고

기존기존 회원의회원의 ii--PIN PIN 전환사업전환사업초초··중중··고교생의고교생의 편리한편리한ii--PIN PIN 이용이용

i-PIN 도입 사업자 공시 및 이행점검조세·금융 분야 i-PIN 적용 연구

본인확인기관의 법적 근거 마련본인확인기관 정기점검 강화

1단계 추진 과제 개요(2/2)1단계 추진 과제 개요(2/2)

- 12 -

웹사이트 간 이용자 구별 가능한 연계정보(CI: Connecting Information)를

웹사이트에 제공

-주민등록번호를 통해 가입한 회원의 주민등록번호를 연계정보(CI)로

변환할 수 있는 모듈 개발ㆍ제공

본인확인기관

i-PIN 도입 사이트i-PIN 도입 사이트

DI 전달DI 전달

[MC0Gqx3…E43li=] [PFC2hg…dF2io=]

연계불가

본인확인기관

CI 전달

연계가능

CI 전달

[MC0Gqx3…E43li=] [MC0Gqx3…E43li=]

i-PIN 도입 사이트i-PIN 도입 사이트

1. 편의성 향상을 위한 i-PIN2.0 구현1. 편의성 향상을 위한 i-PIN2.0 구현

1-1. 온라인간 서비스 연계

오프라인에서 주민번호를 입력하면 즉각 연계정보(CI)를 생성, 온라인상의

CI와 비교할 수 있도록 모듈 개발ᆞ제공

-오프라인에서 주민번호로 가입한 회원DB에 연계정보를 생성ᆞ보관하여,

온라인 서비스 시 동일인물 여부 확인

On-line 티켓 예매

<i-PIN 도입 사이트>

온라인 (On-line)

비밀정보

주민번호

암호화(해쉬)

CI 생성모듈

연계정보(CI) 생성

연계정보(CI) 생성 모듈

주민번호 입력

Off-line 티켓 수령

이용자 주민번호 입력

CI 변환모듈 이용

이용자 확인

오프라인 (Off-line)


1-2. 온ᆞ오프라인 서비스 연계

- 13 -

이용자가 i-PIN ID 입력 시 시스템에서 자동으로 발급기관을 식별하도록

하여 이용자 편의성 제고

- KISA에 “신뢰 게이트웨이(TG)”를 구축하여 ID 중복등록 방지

※ TG (Trust Gateway) : i-PIN ID의 중복 발급을 방지하기 위해 사전에 검증하는 시스템

①

②

Where?

What ?<통합 ID G/W>

①

Auto


1-3. i-PIN 계정(ID) 통합 관리

기존 ID/PW 이외, 이용자 성명을 입력하도록 하여 ID/PW 유출에 따른

i-PIN 도용 방지

MS사의 IE 이외 모든 웹 브라우저에서도 i-PIN 사용 가능하도록 공인인증서ᆞ키보드 보안 모듈을 개선하여 i-PIN에 적용

※웹 브라우저 점유율 : IE(MS) > Firefox(Mozila) > Safari(MAC) > Chrome(goole) > Opera

성 명

<본인확인기관 인증절차>

Step 1 [1차 인증]: ID + 패스워드 입력

Step 2 [2차 인증]: i-PIN 발급자 성명과 입력된 성명 확인

Step 3 [인증 완료]


1-4. 성명추가입력을 통해 i-PIN 보안성 강화

1-5. 다양한 웹 브라우저에서 i-PIN 발급 가능

- 14 -

본인확인기관

<전달 정보>① DI=암호화(주민번호+사이트식별번호) ② 이름③ i-PIN④ 성별⑤ 생년월일(나이)⑥ 내/외국인 정보

이름 i-PIN 성별 생년월일 내/외국인정보 DI

본인확인에 이용 청소년 등급 등 서비스 활용 중복체크

이용

발급

i-PIN 도입 사이트

i-PIN 이용자

가입

<제공정보>

•주민번호•성명•이메일

본인확인기관별 ID 중복체크

<단점>

•이용 시 본인확인기관 기억 필요•아이핀 발급 창 화면구성 복잡

<본인확인기관에 ID/PW 입력>

[참고][참고]

i-PIN 개선 전

본인확인기관

<전달 정보>① DI=암호화(주민번호+사이트식별번호)

DI 예시) 64byte = [PFC2hg…dF2io=]

② CI=암호화(주민번호+KISA제공정보)CI 예시) 64byte = [MC0Gqx3…E43li=]

③ 이름④ i-PIN ⑤ 성별⑥ 생년월일(나이)⑦ 내/외국인 정보⑧ 발급기관 명

i-PIN 도입 사이트 제휴 사이트

i-PIN 이용자

<제공정보>

•주민번호•성명•이메일

신뢰 게이트웨이 이용한고유 ID 발급

<장점>

•이용 시 본인확인기관 기억 불필요•아이핀 발급 창 화면구성 단순

이용

발급

이름 i-PIN 성별 생년월일 내/외국인정보 DI CI

본인확인에 이용 청소년 등급 등 서비스 활용 중복체크 사이트간이용자연계

마일리지 사용

<본인확인기관에 ID/PW 입력>

CI를 이용하여 사이트간이용자 동일인 확인 후제휴 서비스 활용가능

예) OK캐쉬백 등

[참고][참고]

i-PIN 개선 후

- 15 -

일평균 이용자수 기준을 충족하는 사업자 선정ᆞ공시

i-PIN 조기 도입 유도를 위한 사업자 지원 방안 마련

대상 사업자 공시 후 분기별 i-PIN 도입 여부 이행점검 및 행정지도

’09년 추진 프로세스 및 일정

- i-PIN 정책방향, i-PIN 도입 절차 안내 등 설명회 개최

- 사업자 기술 컨설팅 지원

정책설명회 개최(5월, 6월)

이행점검(7월, 10월, 12월)

행정지도(10.1월)

대상사업자 공시(4월)

2. i-PIN 이용 확산 촉진2. i-PIN 이용 확산 촉진

2-1. i-PIN 도입 사업자 공시 및 이행 점검

구 분 2009년 2010년 2011년

지원 사업자 수 200개 사업자 100개 사업자 100개 사업자

소요예산 105억원 50억원 50억원

기존 주민번호 이용 회원이 i-PIN 사용 시 사업자DB에서 주민번호 자동 삭

제할 수 있는 사업자 시스템 개선 필요

<전환 사업 3개년 계획>

이용자 자발적 참여 유도를 위해 홍보ᆞ경품 이벤트 추진

대상 사업자 : 주민번호를 i-PIN으로 대체할 의사가 있는 사업자

지원 내용 : i-PIN 전환 시스템 도입 및 주민번호 기반의 관리체계 변경 비용

이용 방법 : 이용자가 i-PIN으로 본인확인 후 전환 신청하면, 사업자는 주민번호 삭제


2-2. 기존 회원 i-PIN 전환 사업

※ 예산 확보 여부에 따라 계획 일부 변경 가능

- 16 -

<본인확인기관> <학 생><담당교사>

① 신원확인

(대면확인)

< 학 교 > <웹사이트>

② 신원보증인 확인 ④ i-PIN 이용

③ i-PIN 발급

초ᆞ중ᆞ고등학생을 대상으로 i-PIN 발급 및 이용방법 교육

포털ᆞ게임사이트와 “부모님과 함께하는 i-PIN 발급(가칭)” 추진

초ᆞ중ᆞ고등학생이 복잡한 신원확인 없이 쉽게 i-PIN을 발급 받을 수

있도록 초ᆞ중ᆞ고교 전용 i-PIN 발급 프로세스 구축


TV 등 공중파 광고 추진 (’09년 상반기)

포털사업자 등과 i-PIN 활성화를 위한 캠페인 전개 (’09년 하반기)

2-3. 초중고교생의 편리한 i-PIN 이용

2-4. i-PIN 홍보 강화를 통한 인식제고

3. i-PIN 안전성 확보를 위한 법제도 개선3. i-PIN 안전성 확보를 위한 법제도 개선

본인확인기관의 지정․운영에 관한 법적 근거 마련

본인확인기관의 개인정보 유출․남용 등 침해 위험을 사전에 차단하기 위

하여 본인확인기관에 대한 정기점검 강화

- 정보통신망법 개정을 통해 본인확인기관의 지정 근거,

본인확인업무의 휴지․폐지에 관한 사항 등에 관한 규정 신설

- i-PIN 도입 사업자가 관리소홀로 i-PIN 정보 등을 노출하지 않도록,

i-PIN 신규 도입 시 및 수시 점검 실시

3-1. 본인확인기관 법적 근거 마련 및 정기 점검

- 17 -

온라인 구매 후 현금영수증 발급할 때 주민등록번호 외에 휴대폰, 카드

번호 등을 선택할 수 있도록 국세청 협의 추진

주민등록번호의 수집․이용이 필요한 조세 관련 법령․서식 및 금융 분야

의

제도 등에 대한 개선 방안 연구

30


3-2. 금융 조세 분야 등의 i-PIN 적응을 위한 법제도 연구

근거 법령 내 용 필수 비고

부가가치세법

법 제33조옥션․G마켓 등 마켓플레이스의 경우 판매자정보(사업자등록증이 없는 개인)를 세무서에 제출

○수집제출

법 제17조의2대손세액공제(변제)신고서에 주민등록번호를 기재하여관할세무서장에 제출

x 수집

시행령 제53조 사업자등록증이 없는 자의 세금계산서 발부 ○ 수집

소득세법

법 제164조 지급명세서 제출시 기타소득자 주민등록번호 기재 ○ 수집

시행령 제193조원천징수영수증 교부시 기타소득 발생 실지명의 확인※ 이벤트 당첨자에 해당

○실명확인

법인세법

법 제116조환불 등 사유로 고객 계좌정보 필요할 경우(5년)※ 세금계산서 등으로 보관

x수집보관

조세 신고 관련 주민등록번호 활용 현황


- 18 -

22ⅤⅤ 2ᆞ3 단계 추진 과제2ᆞ3 단계 추진 과제

1

2 2ᆞ3단계 추진 과제

1단계 사업의 기대효과(’11년 말)

1단계 사업의 기대효과(’11년 말)1단계 사업의 기대효과(’11년 말)

일반적인 인터넷환경에서의 주민등록번호 없이 i-PIN으로

편리하고 안전한 본인인증이 가능한 기반 완성

3,000개 웹사이트 도입 및 1,000만 건 발급 사용

조세ㆍ금융을 제외한

모든 온라인 서비스에 적용하기 위한 여건 확보

i-PIN 확산 기반 조성

- 19 -

2~3 단계 추진 과제2~3 단계 추진 과제

조세·금융을 제외한 모든 온라인 서비스에 i-PIN 적용

조세업무 및 금융거래 프로세스에 i-PIN을 적용할 수 있도록

관련 시스템 변경․구축

2단계

추진 과제

3단계

추진 과제

국가 정보화 기본계획에 반영 추진

모든 민간웹사이트로 i-PIN 적용대상을 확대

공공서비스 기반시스템의 단계적 개선 추진

주민번호 없는 인터넷 환경 조성

행정적 목적 이외의 주민등록번호 사용 금지 법제화 추진

i-PIN 이용확산

i-PIN 전면확산

(참고) 추진 일정(참고) 추진 일정

i-PIN ID 통합관리

타사이트간 제휴서비스 가능정보

소수자의 i-PIN 이용 편의성제공

오프라인 서비스와 연계

i-PIN 도입 사업자 공시 및 점검

기존회원 i-PIN 전환사업

i-PIN 에 대한 홍보 및 인식제고

초중고 생의 편리한 i-PIN 이용

본인확인기관 법적근거 마련

본인확인 기관 정기점검 강화

2009년 2010년 2011년

1/4분기 2/4분기 3/4분기 4/4분기

이행점검

서비스 확대

교재개발

대상사업자 공시

시범사업

자동점검 도구 개발

- 20 -

< 공청회 주제>

이강신 장

(한국정보보호진흥원)

- 21 -

한국정보보호진흥원

「개인정보의 기술적∙관리적보호조치 기준」

개정[안]의 추진방향 및 주요내용


목 차목 차

I 추진 방향

주요 내용II

- 23 -


추진방향추진방향


개인정보의 보호조치 기준의 법적 근거 (1/2)개인정보의 보호조치 기준의 법적 근거 (1/2)

제76조

제73조

제71조

- 24 -


개인정보의 보호조치 기준의 법적 근거 (2/2)개인정보의 보호조치 기준의 법적 근거 (2/2)


적용 대상 (1/2)적용 대상 (1/2)

- 25 -


적용 대상 (2/2)적용 대상 (2/2)

적용대상 사업자 비고

정보통신망법적용 사업자

기간ㆍ별정통신사업자

기간통신 -

별정통신 -

준용사업자

여행업, 호텔업, 항공운송사업, 학원, 교습소, 휴양콘도미니엄,

할인점, 백화점, 쇼핑센터, 체인사업-

주택건설사업, 주택관리업, 건설기계대여ㆍ매매ㆍ정비ㆍ폐기업,

부동산중개업, 자동차매매업, 자동차대여사업, 결혼중개업, 의료기관, 직업소개소, 정유사,

체육시설업, 비디오대여점, 서점, 영화관

‘09.7월적용

기타 인터넷사업자 포털, 게임, 쇼핑 등 -



- 26 -


개인정보 침해사례 – 관리자에 의한 오남용 (1)개인정보 침해사례 – 관리자에 의한 오남용 (1)


개인정보 침해사례 – 관리자에 의한 오남용 (2)개인정보 침해사례 – 관리자에 의한 오남용 (2)

- 27 -


개인정보 침해사례 – 기술적 조치 미흡 (1)개인정보 침해사례 – 기술적 조치 미흡 (1)

OO 청OO 청

클릭710*** *******-

홍길동

주민등록번호

성 명

주민등록번호만으로 외부인이인터넷을 통해

개인정보DB 접근 가능

주민등록번호만으로 외부인이인터넷을 통해

개인정보DB 접근 가능개인정보처리시스템


개인정보 침해사례 – 기술적 조치 미흡 (2)개인정보 침해사례 – 기술적 조치 미흡 (2)

- 28 -




추진 방향 (1)추진 방향 (1)

- 29 -





- 30 -



이용자

개인정보취급자개인정보취급자

개인정보처리시스템

이용자 DB

서버

출력ㆍ복사물

전송구간

공격자 개인정보보호조직


주요 내용주요 내용

- 31 -


정의 (1)정의 (1)


정의 (2)정의 (2)

- 32 -


정의 (3)정의 (3)


정의 (4)정의 (4)

- 33 -


정의 (5)정의 (5)



- 34 -


내부관리계획의 수립∙시행 (1)내부관리계획의 수립∙시행 (1)



- 35 -



개인정보보호 조직개인정보관리책임자(CPO) 지정개인정보취급자 지정담당자별 업무 및 임무 지정

개인정보취급자 교육 교육 계획 수립 및 년 2회 이상 시행 (신설)

보호조치 세부사항

접근통제, 접속기록 위ㆍ변조 방지개인정보의 암호화(주민번호, 계좌 등 금융정보)악성프로그램 침투방지, 출력ㆍ복사시 보호조치개인정보 표시제한 보호조치 (신설) 등

기타보안서약서 작성, 임직원 인식제고개인정보 노출 방지 대책 등



- 36 -




접근통제 (1)접근통제 (1)

- 37 -





- 38 -





입력문자 7자리 8자리 9자리 10자리

영문 소문자(26문자) 13분 5.8시간 6.3일 163일

영문 소문자 + 숫자(36문자) 2시간 78시간 118일 4년

영문 대ㆍ소문자 + 숫자(62문자) 25일 4년6개월 - -

영문 대ㆍ소문자, 숫자, 특수(94문자) 437일 114년 - -

- 39 -



구분 Firewall IDS IPS UTM

목적 패킷 필터링 침입탐지 침입탐지/방지및 대응

통합 위협 관리

기능패킷 분석

패스 여부 결정허용 포트 관리

데이터 수집데이터 분석관리자 보고단순 대응

분석, 예측실시간 대응실시간 보고

공격패턴 관리

Firewall, VPN, IDS, IPS, Virus Wall, 웹필터링,

NAC

장점 구현 용이관리 용이

내부침입감지24시간 감시

알려지지 않은침입 감지 및실시간 대응

도입 비용 절감보안 기능 통합보다 쉬운 운용/

관리

단점 웜, 바이러스 등차단불가

소극적 대응방안부족,

전문가 필요

고비용 운용/관리 어려움전문가 필요

고성능의 H/W 필요



- 40 -


접속기록의 위ㆍ변조 방지 (1)접속기록의 위ㆍ변조 방지 (1)



- 41 -





고객DATA 개인정보 조회이력 DATA

접근사실DATA

긴급 Backup DISK를이용한 “재해복구대응”

Backup TAPE 소산을통한 “다년간 보관”

- 42 -




개인정보의 암호화 (1)개인정보의 암호화 (1)

- 43 -





개인정보의암호화

주민등록번호,계좌번호 등

암호화보안서버 구축

개인정보의PC 저장 시 암호화

비밀번호, 바이오정보

일방향 암호화HASH

e5 10 34 8a 3b d3 44 8d f4 a0 04 53 3f 35 76 37 e5 16 c6 fa

- 44 -



암호화 알고리듬 처리량[Mb/sec]

Cycle/byte 13자리 암호화 개수(개/sec)

DES(56bit Key) 272 51.1 9,072,734

AES/CBC(128bit Key) 672 20.9 15,234,609

암호화 알고리듬 처리량[Mb/sec]

Cycle/byte 13자리 암호화 개수(개/sec)

AES-128 1137.7 16.9 8,888,281

SEED-128 372.8 51.5 2,912,000



- 45 -


악성프로그램 방지악성프로그램 방지


악성프로그램 방지악성프로그램 방지

1.Web hacking(SQL Injection)

2. Insert Iframe

3. Visit Web Site4. Malicious Code Infected

5. Game ID/PW

공격 도구

<악성코드 경유지(국내 유명 포털 등)>

<iframe src ="http://www.xxx.xx/icyfox.htm" name ="A" width="0" frameborder="0" >

<악성코드 유포지(해외 또는 국내)>

- 46 -




개인정보 표시 제한 보호조치개인정보 표시 제한 보호조치

- 47 -


개인정보 표시 제한 보호조치개인정보 표시 제한 보호조치


Q & AQ & A

- 48 -

[첨부 1]

- 49 -

◉방송통신 원회고시 제 호

정보통신망 이용 진 정보보호 등에 한 법률 시행령 제15조제

6항에 따라 개인정보의 기술 ․ 리 보호조치 기 을 다음과 같이

고시합니다.

년 월 일

방송통신 원회 원장

개인정보의 기술 ․ 리 보호조치 기

제1 조 (목 ) 이 기 은 「정보통신망 이용 진 정보보호 등에 한

법률」(이하 “법”이라 한다) 제28조제1항 동법 시행령 제15조제6항의

규정에 의하여 정보통신서비스제공자등이 이용자의 개인정보를 취 함

에 있어서 개인정보가 분실․도난․ 출․변조․훼손 등이 되지 아니하

도록 안 성을 확보하기 하여 취하여야 하는 기술 ․ 리 보호조치

의 구체 인 기 을 정하는 것을 목 으로 한다.

제2 조 (정 의 ) 이 기 에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보 리책임자”라 함은 정보통신서비스제공자의 사업장 내

에서 이용자의 개인정보보호 업무를 총 하거나 업무처리를 최종 결

정하는 임직원을 말한다.

2. “개인정보취 자”라 함은 개인정보보호를 한 기술 ․ 리 보

호조치를 실제 구 운 하거나, 업무상 개인정보 취 이 불가피한

- 51 -

자를 말한다.

3. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체

계 으로 구성한 시스템을 말한다.

4. “비 번호”라 함은 이용자 개인정보취 자 등이 시스템 는

정보통신망에 속할 때 식별자와 함께 입력하여 정당한 속 권한

을 가진 자라는 것을 식별할 수 있도록 시스템에 달해야 하는 고

유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

5. “ 속기록”이라 함은 이용자 는 개인정보취 자 등이 개인정보

처리시스템에 속하여 수행한 내역에 하여 식별자, 속일시,

속지를 알 수 있는 정보 등 속한 사실을 자 으로 기록한 것을

말한다.

6. “바이오정보”라 함은 지문 얼굴 홍채 정맥 음성 필 등 개인을

식별할 수 있는 신체 는 행동 특징에 한 정보로서 그로부터

가공되거나 생성된 정보를 포함한다.

7. “P2P(Peer to Peer)”라 함은 정보통신망을 통해 서버의 도움 없이

개인과 개인이 직 연결되어 일을 공유하는 것을 말한다.

8. “공유설정”이라 함은 컴퓨터 소유자의 일을 타인이 조회·변경·복

사 등을 할 수 있도록 설정하는 것을 말한다.

9. “보안서버”라 함은 정보통신망에서 이용자 개인컴퓨터와 웹서버

사이에 송수신되는 정보를 암호화하여 송하는 서버를 말한다.

10. “SSL(Secure Socket Layer)”라 함은 데이터를 송수신하는 두 종

- 52 -

단 간에 인증, 암호화, 무결성을 보장하는 업계 표 통신규약을 말

한다.

11. “인증정보”라 함은 개인정보처리시스템 는 정보통신망을 리

하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정

보를 말한다.

제3조(내부 리계획의 수립·시행) ①개인정보 보호 조직의 구성 운

은 다음 각호의 사항을 포함하여야 한다.

1. 개인정보 리책임자의 자격요건 지정에 한 사항

2. 개인정보 리책임자와 개인정보취 자의 역할 책임에 한 사

항

3. 개인정보 내부 리계획의 수립 승인에 한 사항

4. 개인정보의 기술 ․ 리 보호조치 이행 여부의 내부 검에

한 사항

5. 그 밖에 개인정보보호를 해 필요한 사항

②정보통신서비스제공자등은 다음 각 호의 사항을 포함하는 개인정보보

호 교육 계획을 수립하여 개인정보 리책임자 개인정보취 자를 상

으로 매년 2회 이상 교육을 실시하여야 한다.

1. 교육목 상

2. 교육 내용

3. 교육 일정 방법

③정보통신서비스제공자등은 제4조에서 제8조까지의 보호조치 이행을

- 53 -

한 세부 인 추진방안을 마련하여야 한다.

제4 조 ( 근통제) ①정보통신서비스제공자등은 개인정보처리시스템에

한 근권한을 서비스 제공을 하여 필요한 개인정보 리책임자 는

개인정보취 자에게만 부여한다.

②정보통신서비스제공자등은 보 는 퇴직 등 인사이동이 발생하여

개인정보취 자가 변경되었을 경우 지체 없이 개인정보처리시스템의

근권한을 변경 는 말소한다.

③정보통신서비스제공자등은 제1항 제2항에 의한 권한 부여, 변경

는 말소에 한 내역을 기록하고, 그 기록을 최소 5년간 보 한다.

④정보통신서비스제공자등은 개인정보취 자가 정보통신망을 통해 외

부에서 개인정보처리시스템에 속이 필요한 경우에는 공인인증서 등

안 한 인증 수단을 용하여야 한다.

⑤정보통신서비스제공자등은 정보통신망을 통한 불법 인 근 침해

사고 방지를 해 다음 각 호의 기능을 포함한 시스템을 설치․운 하여야

한다.

1. 개인정보처리시스템에 한 속 권한을 IP주소 등으로 제한하여 인가

받지 않은 근을 제한

2. 개인정보처리시스템에 속한 IP 등을 재분석하여 불법 인 개인정보

유출 시도를 탐지

⑥정보통신서비스제공자등은 이용자가 안 한 비 번호를 이용할 수

있도록 비 번호 작성규칙을 수립하고, 이행한다.

⑦정보통신서비스제공자등은 개인정보취 자를 상으로 다음 각 호의

- 54 -

사항을 포함하는 비 번호 작성규칙을 수립하고, 이를 용․운용하여야

한다.

1. 다음 각 목의 문자 종류 2종류 이상을 조합하여 최소 10자리 이상

는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

가. 문 문자(26개)

나. 문 소문자(26개)

다. 숫자(10개)

라. 특수문자(32개)

2. 연속 인 숫자나 생일, 화번호 등 추측하기 쉬운 숫자는 사용 불가

3. 비 번호에 유효기간을 설정하여 반기별 1회 이상 변경

⑧정보통신서비스제공자등은 취 인 개인정보가 인터넷 홈페이지,

P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에

유출되지 않도록 개인정보처리시스템 개인정보취 자의 컴퓨터에

조치를 취하여야 한다.

제5 조 ( 속 기 록 의 · 변 조 방지 ) ①정보통신서비스제공자등은 개인정보

취 자가 개인정보처리시스템에 속한 기록을 월 1회 이상 정기 으로

확인․감독하여야 하며, 시스템 이상 유무의 확인 등을 해 최소 6개월

이상 속기록을 보존․ 리하여야 한다.

② 단, 제1항의 규정에도 불구하고 「 기통신사업법」 제5조의 규정에

따른 기간통신사업자의 경우에는 보존․ 리해야할 최소 기간을 5년으로

한다.

- 55 -

③정보통신서비스제공자등은 개인정보취 자의 속기록이 ․변조되

지 않도록 별도의 물리 인 장 장치에 보 하여야 하며 정기 인 백업을

수행하여야 한다.

제6 조 (개 인 정 보 의 암 호화 ) ①정보통신서비스제공자등은 비 번호

바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 장한다.

②정보통신서비스제공자등은 주민등록번호, 신용카드번호 계좌번호

에 해서는 안 한 암호알고리듬으로 암호화하여 장한다.

③ 정보통신서비스제공자등은 정보통신망을 통해 이용자의 개인정보

인증정보를 송․수신할 때는 다음 각 호 하나의 방식을 갖춘 안 한

보안서버를 구축․운 하여야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인정

보 인증정보를 암호화하여 송․수신하는 기능

2. 웹서버에 암호화 응용 로그램을 설치하여 개인정보 인증정보

를 암호화하여 송․수신하는 기능

④정보통신서비스제공자등은 이용자의 개인정보를 개인용컴퓨터

(PC)에 장할 때에는 이를 암호화해야 한다.

제7 조 (악성 로 그 램 방지 ) 정보통신서비스제공자등은 백신 소 트웨어

를 월 1회 이상 주기 으로 갱신․ 검하고, 악성 로그램 련 경보가

발령된 경우 백신소 트웨어 는 운 체제 제작업체에서 업데이트

공지가 있는 경우에는 최신 소 트웨어로 갱신․ 검하여야 한다.

제8 조 (출 력 ․ 복 사 시 보 호조 치 ) ①정보통신서비스제공자등은 개인정보

- 56 -

처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 일생성 등) 용도를

특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.

②정보통신서비스제공자등은 개인정보취 자가 개인정보를 종이로 인

쇄하거나, 디스켓, 콤팩트디스크 등 이동 가능한 장매체에 복사할 경우

다음 각 호의 사항을 기록하고 개인정보 리책임자의 사 승인을 받도록

조치한다. 출력․복사물로부터 다시 출력 는 복사하는 경우도 한

같다.

1. 출력․복사물 일련번호

2. 출력․복사물의 형태

3. 출력․복사 일시

4. 출력․복사의 목

5. 출력․복사를 한 자의 소속 성명

6. 출력․복사물을 달 받을 자

7. 출력․복사물의 기일자

8. 출력․복사물의 기 책임자

③제2항에 의한 출력․복사물에는 정보통신서비스제공자의 명칭 제2

항제1호의 일련번호를 표시한다. 다만, 우편발송, 고지서 발 등을 하여

개인단 로 종이에 인쇄하는 경우는 일련번호를 표시하지 않아도 된다.

④개인정보 리책임자는 제2항의 사 승인을 함에 있어 제2항 각 호의

사항이 법에 배되는지 여부를 확인하고, 개인정보취 자가 출력․복사

물을 불법 유출하면 법에 따라 책임을 지게 됨을 승인 받고자 하는 개인정보

- 57 -

취 자에게 주지시킨다.

제9조(개인정보 표시 제한 보호조치) 정보통신서비스 제공자 등은 개인정

보 업무처리를 목 으로 개인정보의 조회, 출력 등의 업무를 수행하는

과정에서 개인정보보호를 하여 개인정보를 마스킹하여 표시제한 조치

를 취하는 경우에는 다음의 원칙으로 용할 수 있다.

1. 성명 이름의 첫 번째 자 이상

2. 생년월일

3. 화번호 는 휴 폰 화번호의 국번

4. 주소의 읍․면․동

5. 인터넷주소는 버 4의 경우 17～24비트 역, 버 6의 경우 113～128비

트 역

부 칙

이 기 은 고시한 날부터 시행한다. 다만, 제6조제2항 제4항의 경우

2010년 1월 29일부터 시행한다.

- 58 -

[첨부 2]

- 59 -

행 개정안

제1조(목 ) 이 기 은 「정보통신망 이용

진 정보보호 등에 한 법률」(이하

“법”이라 한다) 제28조제1항 동법 시행

령 제15조제2항의 규정에 의하여 정보통

신서비스제공자등이 이용자의 개인정보를

취 함에 있어서 개인정보가 분실․도난․

출․변조․훼손 등이 되지 아니하도록

안 성을 확보하기 하여 취하여야 하는

기술 ․ 리 보호조치의 구체 인 기

을 정하는 것을 목 으로 한다.

제1조(목 ) 이 기 은 「정보통신망 이용

진 정보보호 등에 한 법률」(이하

“법”이라 한다) 제28조제1항 동법 시행

령 제15조제6항의 규정에 의하여 정보통

신서비스제공자등이 이용자의 개인정보를

취 함에 있어서 개인정보가 분실․도난․

출․변조․훼손 등이 되지 아니하도록

안 성을 확보하기 하여 취하여야 하는

기술 ․ 리 보호조치의 구체 인 기

을 정하는 것을 목 으로 한다.

< 신 설 > 제2조(정의) 이 기 에서 사용하는 용어의

뜻은 다음과 같다.

1. “개인정보 리책임자”라 함은 정보통신서

비스제공자의 사업장 내에서 이용자의 개

인정보보호 업무를 총 하거나 업무처리를

최종 결정하는 임직원을 말한다.

2. “개인정보취 자”라 함은 개인정보보호를

한 기술 ․ 리 보호조치를 실제 구

운 하거나, 업무상 개인정보 취 이

불가피한 자를 말한다.

3. “개인정보처리시스템”이라 함은 개인정보

를 처리할 수 있도록 체계 으로 구성한

시스템을 말한다.

4. “비 번호”라 함은 이용자 개인정보취

자 등이 시스템 는 정보통신망에 속

할 때 식별자와 함께 입력하여 정당한

속 권한을 가진 자라는 것을 식별할 수 있

도록 시스템에 달해야 하는 고유의 문자

열로서 타인에게 공개되지 않는 정보를 말

한다.

「개인정보의 기술 ․ 리 보호조치 기 」 비표

- 61 -

행 개정안 5. “ 속기록”이라 함은 이용자 는 개인정

보취 자 등이 개인정보처리시스템에 속

하여 수행한 내역에 하여 식별자, 속

일시, 속지를 알 수 있는 정보 등 속

한 사실을 자 으로 기록한 것을 말한

다.

6. “바이오정보”라 함은 지문 얼굴 홍채 정

맥 음성 필 등 개인을 식별할 수 있는

신체 는 행동 특징에 한 정보로서

그로부터 가공되거나 생성된 정보를 포함

한다.

7. “P2P(Peer to Peer)”라 함은 정보통신망

을 통해 서버의 도움 없이 개인과 개인이

직 연결되어 일을 공유하는 것을 말한

다.

8. “공유설정”이라 함은 컴퓨터 소유자의

일을 타인이 조회·변경·복사 등을 할 수

있도록 설정하는 것을 말한다.

9. “보안서버”라 함은 정보통신망에서 이용

자 개인컴퓨터와 웹서버 사이에 송수신되

는 정보를 암호화하여 송하는 서버를 말

한다.

10. “SSL(Secure Socket Layer)”라 함은 데

이터를 송수신하는 두 종단 간에 인증, 암

호화, 무결성을 보장하는 업계 표 통신

규약을 말한다.

11. “인증정보”라 함은 개인정보처리시스템

는 정보통신망을 리하는 시스템 등이

요구한 식별자의 신원을 검증하는데 사용

되는 정보를 말한다.

제2조(개인정보 리계획의 수립․시행) 정

보통신서비스제공자등은 개인정보가 분

실․도난․ 출․변조․훼손 등이 되지 아

니하도록 다음 각 호의 사항을 내용으로

하는 개인정보 리계획을 수립․이행한다.

제3조(내부 리계획의 수립․시행) ①개인

정보 보호 조직의 구성 운 은 다음 각

호의 사항을 포함하여야 한다.

- 62 -

행 개정안 1. 개인정보 리책임자의 지정 등 개인정보보

호 조직의 구성․운 에 한 사항

2. 개인정보취 자의 교육에 한 사항

3. 제3조 내지 제7조에 한 세부사항

4. 그 밖에 개인정보 보호를 하여 필요한

사항

1. 개인정보 리책임자의 자격요건 지

정에 한 사항

2. 개인정보 리책임자와 개인정보취 자

의 역할 책임에 한 사항

3. 개인정보 내부 리계획의 수립 승인

에 한 사항

4. 개인정보의 기술 ․ 리 보호조치

이행 여부의 내부 검에 한 사항

5. 그 밖에 개인정보보호를 해 필요한

사항 < 신 설 > ②정보통신서비스제공자등은 다음 각 호의 사

항을 포함하는 개인정보보호 교육 계획을 수

립하여 개인정보 리책임자 개인정보취

자를 상으로 매년 2회 이상 교육을 실시하여

야 한다.

1. 교육목 상

2. 교육 내용

3. 교육 일정 방법 < 신 설 > ③정보통신서비스제공자등은 제4조에서 제8

조까지의 보호조치 이행을 한 세부 인 추

진방안을 마련하여야 한다.제3조( 근통제) ①정보통신서비스제공자등

은 개인정보를 처리할 수 있도록 체계 으로

구성한 데이터베이스시스템(이하 “개인정보

처리시스템”이라 한다)에 한 근권한을 서

비스제공을 하여 필요한 최소한의 인원에

게만 부여한다.

제4조( 근통제) ①정보통신서비스제공자등

은 개인정보처리시스템에 한 근권한을

서비스 제공을 하여 필요한 개인정보 리

책임자 는 개인정보취 자에게만 부여한

다.

②정보통신서비스제공자등은 보 는 퇴직

등 인사이동이 발생하여 개인정보취 자가

변경되었을 경우 지체 없이 개인정보처리시

스템의 근권한을 변경 는 말소한다.

③정보통신서비스제공자등은 제1항 제2항

에 의한 권한 부여, 변경 는 말소에 한

내역을 기록하고, 그 기록을 최소 5년간 보

한다.

② ~ ③ ( 행과 같음)

- 63 -

행 개정안 < 신 설 > ④정보통신서비스제공자등은 개인정보취

자가 정보통신망을 통해 외부에서 개인정보

처리시스템에 속이 필요한 경우에는 공인

인증서 등 안 한 인증 수단을 용하여야

한다.

④정보통신서비스제공자등은 개인정보처리

시스템을 침입차단시스템과 침입탐지시스템

을 설치하여 보호한다.

< 신 설 >

< 신 설 >

⑤정보통신서비스제공자등은 정보통신망을

통한 불법 인 근 침해사고 방지를 해

다음 각 호의 기능을 포함한 시스템을 설치․

운 하여야 한다.

1. 개인정보처리시스템에 한 속 권한을

IP주소 등으로 제한하여 인가받지 않은 근

을 제한

2. 개인정보처리시스템에 속한 IP 등을 재분석

하여 불법 인 개인정보 유출 시도를 탐지 ⑤정보통신서비스제공자등은 이용자 개인

정보취 자가 생일, 주민등록번호, 화번호

등 추측하기 쉬운 숫자를 패스워드로 이용하

지 않도록 패스워드 작성규칙을 수립하고 이

행한다.

⑥정보통신서비스제공자등은 이용자가 안 한

비 번호를 이용할 수 있도록 비 번호 작성

규칙을 수립하고, 이행한다.

< 신 설 > ⑦정보통신서비스제공자등은 개인정보취

자를 상으로 다음 각 호의 사항을 포함하는

비 번호 작성규칙을 수립하고, 이를 용․

운용하여야 한다.

1. 다음 각 목의 문자 종류 2종류 이상을

조합하여 최소 10자리 이상 는 3종류 이상을

조합하여 최소 8자리 이상의 길이로 구성

가. 문 문자(26개)

나. 문 소문자(26개)

다. 숫자(10개)

라. 특수문자(32개)

2. 연속 인 숫자나 생일, 화번호 등 추측하

기 쉬운 숫자는 사용 불가

3. 비 번호에 유효기간을 설정하여 반기별

1회 이상 변경

- 64 -

행 개정안 ⑥정보통신서비스제공자등은 취 인 개인

정보가 인터넷 홈페이지, P2P, 공유설정 등을

통하여 열람 권한이 없는 자에게 공개되지

않도록 개인정보처리시스템 개인정보취

자의 PC를 설정한다.

⑧정보통신서비스제공자등은 취 인 개인

정보가 인터넷 홈페이지, P2P, 공유설정 등을

통하여 열람권한이 없는 자에게 공개되거나

외부에 유출되지 않도록 개인정보처리시스템

개인정보취 자의 컴퓨터에 조치를 취하

여야 한다.

제4조( 속기록의 ․변조방지) ①정보통신

서비스제공자등은 개인정보취 자가 개인정

보처리시스템에 속하여 개인정보를 처리한

경우에는 처리일시, 처리내역 등 속기록을

장하고 이를 월 1회 이상 정기 으로 확인․

감독한다.

제5조( 속기록의 ․변조방지) ①정보통신

서비스제공자등은 개인정보취 자가 개인정

보처리시스템에 속한 기록을 월 1회 이상

정기 으로 확인․감독하여야 하며, 시스템

이상 유무의 확인 등을 해 최소 6개월 이상

속기록을 보존․ 리하여야 한다.

< 신 설 > ② 단, 제1항의 규정에도 불구하고 「 기통신

사업법」 제5조의 규정에 따른 기간통신사업

자의 경우에는 보존․ 리해야할 최소 기간

을 5년으로 한다.

②정보통신서비스제공자등은 개인정보처리

시스템의 속기록이 ․변조되지 않도록

별도 장장치에 백업 보 한다.

③정보통신서비스제공자등은 개인정보취

자의 속기록이 ․변조되지 않도록 별도

의 물리 인 장 장치에 보 하여야 하며

정기 인 백업을 수행하여야 한다.

제5조(개인정보의 암호화) ①정보통신서비스

제공자등은 패스워드, 생체정보 등 본인임을

인증하는 정보에 해서는 복호되지 아니하

도록 일방향 암호화하여 장한다.

제6조(개인정보의 암호화) ①정보통신서비스

제공자등은 비 번호 바이오정보는 복호

화 되지 아니하도록 일방향 암호화하여 장

한다.

< 신 설 > ②정보통신서비스제공자등은 주민등록번호,

신용카드번호 계좌번호에 해서는 안

한 암호알고리듬으로 암호화하여 장한다.

- 65 -

행 개정안 ②정보통신서비스제공자등은 정보통신망을

통해 이용자의 개인정보 인증정보를 송․

수신할 때에는 보안서버 구축 등의 조치를

통해 이를 암호화해야 한다. 보안서버는 다음

각 호의 어느 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인

증서를 설치하여 개인정보를 암호화하여

송․수신하는 기능

2. 웹서버에 암호화 응용 로그램을 설치하

여 개인정보를 암호화하여 송․수신하는

기능

③ 정보통신서비스제공자등은 정보통신망을

통해 이용자의 개인정보 인증정보를 송․

수신할 때는 다음 각 호 하나의 방식을

갖춘 안 한 보안서버를 구축․운 하여야

한다.

1. 웹서버에 SSL(Secure Socket Layer) 인

증서를 설치하여 개인정보 인증정보

를 암호화하여 송․수신하는 기능

2. 웹서버에 암호화 응용 로그램을 설치하

여 개인정보 인증정보를 암호화하여

송․수신하는 기능

③정보통신서비스제공자등은 이용자의 개

인정보를 PC에 장할 때에는 이를 암호

화해야 한다.

④정보통신서비스제공자등은 이용자의 개

인정보를 개인용컴퓨터(PC)에 장할 때

에는 이를 암호화해야 한다.

제6조(컴퓨터바이러스 방지) ①정보통신서비

스제공자등은 개인정보처리시스템 개인정

보취 자가 개인정보 처리에 이용하는 정보

기기에 컴퓨터바이러스, 스 이웨어 등 악성

로그램의 침투 여부를 항시 검․치료할

수 있도록 백신소 트웨어를 설치한다.

제7조(악성 로그램 방지) 정보통신서비스제

공자등은 백신 소 트웨어를 월 1회 이상 주기

으로 갱신․ 검하고, 악성 로그램 련

경보가 발령된 경우 백신소 트웨어 는

운 체제 제작업체에서 업데이트 공지가 있

는 경우에는 최신 소 트웨어로 갱신․ 검

하여야 한다. ②제1항의 규정에 의한 백신 소 트웨어는 월

1회 이상 주기 으로 갱신․ 검하고, 바이러

스 경보가 발령된 경우 백신 소 트웨어

제작 업체에서 업데이트 공지가 있는 경우에는

즉시 최신 소 트웨어로 갱신․ 검한다.

< 삭 제 >

제7조(출력․복사시 보호조치) ①정보통신서

비스제공자등은 개인정보처리시스템에서 개

인정보의 출력시(인쇄, 화면표시, 일생성

등) 용도를 특정하여야 하며, 용도에 따라 출력

항목을 최소화 한다.

제8조(출력․복사시 보호조치) ①(좌동)

- 66 -

행 개정안 ②정보통신서비스제공자등은 개인정보취

자가 개인정보를 종이로 인쇄하거나, 디스켓,

콤팩트디스크 등 이동 가능한 장매체에 복

사할 경우 다음 각 호의 사항을 기록하고 개인

정보 리책임자의 사 승인을 받도록 조치한

다. 출력․복사물로부터 다시 출력 는 복사

하는 경우도 한 같다.

(좌동)

1. 출력․복사물 일련번호

2. 출력․복사물의 형태

3. 출력․복사 일시

4. 출력․복사의 목

5. 출력․복사를 한 자의 소속 성명

6. 출력․복사물을 달 받을 자

7. 출력․복사물의 기일자

8. 출력․복사물의 기 책임자

(좌동)

③제2항의 의한 출력․복사물에는 정보통신

서비스제공자의 명칭 제2항제1호의 일련

번호를 표시한다. 다만, 우편발송, 고지서 발

등을 하여 개인단 로 종이에 인쇄하는 경

우는 일련번호를 표시하지 않아도 된다.

④개인정보 리책임자는 제2항의 사 승인

을 함에 있어 제2항 각 호의 사항이 법에 배

되는지 여부를 확인하고, 개인정보취 자가

출력․복사물을 불법 유출하면 법에 따라 책

임을 지게 됨을 승인 받고자 하는 개인정보취

자에게 주지시킨다.

(좌동)

< 신 설 > 제9조(개인정보 표시 제한 보호조치) 정보통

신서비스 제공자 등은 개인정보 업무처리를

목 으로 개인정보의 조회, 출력 등의 업무

를 수행하는 과정에서 개인정보보호를 하

여 개인정보를 마스킹하여 표시제한 조치를

취하는 경우에는 다음의 원칙으로 용할

수 있다.

1. 성명 이름의 첫 번째 자 이상

2. 생년월일

- 67 -

행 개정안 3. 화번호 는 휴 폰 화번호의 국번

4. 주소의 읍․면․동

5. 인터넷주소는 버 4의 경우 17~24비트

역, 버 6의 경우 113~128비트 역

부 칙 부 칙

이 기 은 고시한 날부터 시행한다. 이 기 은 고시한 날부터 시행한다. 다만, 제6조

제2항 제4항의 경우 2010년 1월 29일부터

시행한다.

- 68 -

질 의 자 소 속

답 변

희 망 자 ※ 발표자 는 토론자 답변을 희망하시는 분의 성함을 으세요

질의제목 질의내용

[첨부 3]「개인정보의 기술 ․ 리 보호조치 기 」개정(안) 공청회 서면질의서

1.

- 69 -

Documents

i-PIN정책설명회및 「개인정보의기술적∙관리적보호조치기준」 … · 의무도입(’08. 12) 이전도입사이트수미약 ’08년“클린캠페인”을통해발급건수대폭증가