정보보호 관련 법령과 대응방안

법무법인 민후 김경환 변호사

목 차

정보보호의 개념○

정보보호 법령 체계 정보보호:○

정보보호 법령 체계 개인정보:○

개인정보의 기술적 보호조치에 관한 법령○

정보통신망법 제 장( 6 )○

정보통신기반보호법○

개인정보보호법○

개인정보의 안전성확보조치기준○

개인정보 관련 향후 개정 시행 제도○ ㆍ

정보보호의 개념

국가정보호기본법 제 조 제 호 협의3 6 ( )○

정보의 수집 가공 저장 검색 송신 수신 중 발생할 수 있는- , , , , , 정보의 훼

손 변조 유출 등을 방지하기 위한, , 관리적 기술적 수단· 이하 정보보호시( "

스템 이라 한다 을 마련하는 것" )

정보보호산업진흥법 안 제 조 제 호 광의( ) 2 1 ( )○

- 정보의 수집 가공 저장 검색 송신 수신 중에 발생할 수 있는, , , , , 정보의 훼

손 변조 유출 등을 방지 및 복구하고 암호인증인식감시 등의 보안기술을, , , ․ ․ ․활용하여 재난재해범죄․ ․ 등에 대응하거나 관련 장비시설․ 을 안전하게 운영하

기 위한 관리적기술적물리적 수단․ ․ 이하 정보보호시스템 을 마련하는 것( “ ” )

개념○

정보의 수집 가- , 공 저장 검색 송신 수신 중 발생할 수 있는, , , , 정보의 훼

손 변조 유출 등을 방지하기 위한, , 관리적 기술적 수단·

* 개인정보 안전성확보조치 개인정보처리자가 개인정보를 처리함에 있어서:

개인정보가 분실도난유출변조훼손되지 아니하도록 안전성을 확보하기· · · ·

위하여 취하여야 관리적 기술적 물리적 조치ㆍ ㆍ

암호인- ․ 증인식감시 등의 보안기술을 활용하여․ ․ 재난재해범죄․ ․ 등에 대응하거

나 관련 장비시설․ 을 안전하게 운영하기 위한 관리적기술적물리적 수단․ ․

정보보호 법령 체계 정보보호:

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 장( 6 )○ 정보시스템이나:

정보통신망 정보보호지침→

정보통신기반보호법○ 국가안전보장 행정 국방 치안 금융 통신 운송 에너지 등: · · · · · · ·

의 주요 정보통신기반시설' '

형법○ 전자기록 재산권침해 업무방해: , ,

국가사이버안전관리규정 대통령훈령( )○ 국가사이버안전:

정보보호 법령 체계 개인정보:

개인정보보호법○ 공공기관 그 외 안전행정부: , -

정보통신망법○ 방송 통신 인터넷 기업 방송통신위원회: -ㆍ ㆍ

신용정보법○ 금융기관 금융위원회: -

개인정보의 기술적 보호조치에 관한 법령

개인정보의 안전성 확보조치 기준 행자부 고시( )○

공공기관 오프라인 기업,→

개인정보의 기술적 관리적 보호조치 기준 방통위 고시( )○ ㆍ

온라인 기업 정보통신서비스제공자( )→

전자금융감독규정 금융위 고시( )○

금융회사 등→

정보통신망법 제 장( 6 )

제 조 정보통신망의 안정성 확보 등45 ( )○

정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망①

의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.

미래창조과학부장관은 제 항에 따른 보호조치의 구체적 내용을 정한 정1②

보보호조치에 관한 지침 이하 정보보호지침 이라 한다 을 정하여 고시하( " " )

고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다.

정보보호지침 관리적 기술적 물리적( + + )○

구 분 세 부 조 치 사 항

1.

관

리

적

보

호

조

치

1.1.

정보보호

조직의

구성운영․

1.1.1.

정보보호조직의 구

성

‣ 정보보호 최고책임자 정보보호관리자 정보보호담당자로, ,

구성된 정보보호조직을 운영

1.1.2.

정보보호 최고

책임자의 지정

기업의 정보보호를 책임지는‣ 이사 이상의 상근임원으로

지정

1.1.3.

정보보호조직

구성원의 역할

정보보호 최고책임자는 정보보호 업무와 조직을 총괄‣지휘

정보보호관리자는 정보보호 업무의 실무를 총괄하고 관‣리

정보보호담당자는 정보보호 업무의 분야별 실무를 담당‣

1.2.

정보보호

계획 등의

수립 및

1.2.1.

정보보호 방침의

수립이행․

정보보호 목표 범위 책임 등을 포함한, ,‣ 정보보호 방침

(policy) 수립

‣ 정보통신서비스와 관련된 모든 법 규제 계약 정책 기, , , ,

술상의 요구사항을 문서화하고 시행

구 분 세 부 조 치 사 항

관리

1.2.2.

정보보호

실행계획의

수립이행․

정보보호 방침을 토대로 예산 일정 등을 포함한 당해,‣연도의 정보보호 실행계획을 수립

‣ 최고경영층이 실행계획을 승인하고 정보보호 최고책

임자가 추진 상황을 매 반기마다 점검

1.2.3.

정보보호

실무지침의

마련준수․

‣ 정보통신설비 및 시설에 대한 관리적기술적물리적 보․ ․호조치의 구체적인 시행 방법절차 등을 규정한․ 정보보

호 실무지침을 마련

‣ 정보보호 최고책임자가 실무지침을 승인하고 관련 법․제도, 설비의 교체 등 변경사유가 발생할 경우 보완하

여 관리

1.2.4.

정보보호

사전점검

‣ 새로운 정보통신망을 구축하거나 정보통신서비스를 제공

하고자 하는 때에는 그 계획 설계 구현 테스트 등에, , ,

서 정보보호에 관한 사항을 고려

1.3.

인적 보안

1.3.1.

내부인력 보안

‣ 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대

한 접근 권한을 제거

‣ 임직원에게 정보보호 인식을 제고할 수 있는 홍보 정(

보보호 실천수칙 보급 등 를 실시)

구 분 세 부 조 치 사 항‣ 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종

사하는 자에게 정기적으로 정보보호 교육 실시

1.3.2.

외부인력 보안

자사 직원이 아닌 자를 업무에 활용할 경우‣ 보안서약을

징구

1.3.3.

위탁운영 보안

‣ 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비

스수준협약 등에 정보보호에 관한 위탁업체의 책임범‘

위 위탁업무 중단에 따른 비상대책 등을 반영’, ‘ ’

1.4.

이용자

보호

1.4.1.

정보보호 정보

제공

‣ 이용자에게 침해사고 예경보 보안취약점 계정비밀, ,․ ․번호 관리방안 등의 정보를 지속적으로 제공

1.4.2.

정보보호 현황

공개

‣ 정보보호 투자 및 인력 현황 정보보호 관련 인증 등,

정보보호 현황을 자사 홈페이지 등에 공개

1.5.

침해사고

대응

1.5.1.

침해사고 대응

계획의

‣ 침해사고 정의 및 범위 대응체계 보고 및 조치 체계, ( ),

대응 방법 및 절차 복구 방법 및 절차 증거자료 수집, ,

및 보관 등을 포함한 침해사고 대응계획을 마련시행․

구 분 세 부 조 치 사 항수립이행․

1.6.

정보보호

조치 점검

1.6.1.

정보보호조치의

자체 점검

‣ 정보보호관리자는 매년 정보보호조치 및 정보보호 실무

지침의 기준에 따라 자체적으로 정보보호 현황을 점검

1.7.

정보자산

관리

1.7.1.

정보통신설비 및

시설의 현황 관리

‣ 정보통신망 구성도를 마련하고 변경사항이 있을 경우

보완․관리

‣ 정보통신설비 시설의 목록 용도 및 위치 등 포함, ( )

작성 및 네트워크와 분리된 환경에서 안전하게 관리

1.8.

정보보호

투자

1.8.1.

정보보호 투자계획

수립이행․

‣ 기업의 정보보호를 위해 위험관리에 기반한 적정 수준

정보기술( 부문 예산의 이상5% 의 정보보호 예산 편성)

및 집행

2.1.

네트워크

보안

2.1.1.

트래픽 모니터링

‣ 네트워크 모니터링 도구를 이용하여 백본망 주요,

노드 및 외부망과 연계되는 주요회선의 트래픽 소통량을

시간24 모니터링

2.1.2.‣ 무선랜서비스 무선인터넷서비스를 제공할 경우에는 사용,

구 분 세 부 조 치 사 항

2.

기

술

적

보

호

조

치

무선서비스 보안 자인증 데이터암호화 등 보안조치를 마련,

2.1.3.

정보보호시스템 설

치운영․

‣ 외부망과 연계되는 구간에 침입차단시스템 침입탐지시,

스템 등 네트워크의 안전성을 제고할 수 있는 정보보호

시스템을 설치운영․

2.1.4.

정보보호를 위한

모니터링

‣ 주요시스템네크워크 사용 및 접근이 명확하게 허용된․범위 안에 있는지를 확인하기 위한 모니터링 시스템 구

축 또는 위탁운영을 통하여 침해사고 탐지대응 체계 운․영

2.2.

정보통신

설비 보안

2.2.1.

웹서버 보안

‣ 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고

DMZ에 설치

2.2.2.

서버 보안DNS

과부하에 대비한 부하분산 대책을 마련‣설정파일‣ 백업 실시

2.2.3.

서버 보안DHCP

과부하에 대비한 부하분산 대책을 마련‣설정파일‣ 백업 실시

할당 상황 등에 대한IP‣ 로그기록 유지관리․2.2.4.

서버 보안DB

‣ 내부망에 설치

외부망에서 직접 접속할 수 없도록 네트워크를 구성‣

구 분 세 부 조 치 사 항

2.2.5.

라우터스위치 보안/

‣ 등의 접근제어 기능을 적ACL(Access Control List)

용할 수 있는 설비를 사용

2.2.6.

정보보호시스템

보안

이상징후 탐지를 알리는‣ 경고 기능을 설정하여 운영

‣ 정보보호시스템 보안기능 비정상 트래픽 차단 등 의 정( )

상 작동 여부를 주기적으로 점검 월 회 이상( 1 )

2.2.7.

취약점 점검

연 회 이상 취약점 점검을 실시하고 발견된 취약점을1‣보완

2.2.8.

접근통제 및 보안

설정 관리

‣ 인가된 자만 시스템에 접속할 수 있도록 설정하고,

인터넷 등을 통해 외부에서 접속할 경우 일회용 패스

워드 사용 등 인가 절차를 강화

‣ 불필요한 프로토콜 및 서비스 제거 등 보안설정

2.2.9.

관리자 계정의

비밀번호 관리

‣ 관리자 계정의 비밀번호는 자리 이상으로 설정 단 설정8 . ,

가능한 자리수가 자리 미만일 때는 설정 가능한 최대8

의 자리수로 설정

구 분 세 부 조 치 사 항최소 개월에 회 이상 비밀번호 변경3 1‣

2.2.10.

로그 관리

‣ 최소 개월 이상 로그기록 유지관리 정보보호시스템은1 ( 3․개월)

2.2.11.

보안패치 관리

보안패치 정보를 주기적으로 입수하고 적용‣주요 보안패치에 대해서는 적용일 등 패치정보를 기록‣ ․관리

2.2.12.

백업 및 복구

주요정보를 주기적으로 백업‣‣ 백업 담당자 백업 및 복구 방법절차주기 등을 기록관, ․ ․ ․리

2.2.13.

중요정보의 암호화

비밀번호는 복호화 되지 않도록 일방향 암호화하여 저‣장

‣ 주민등록번호 신용카드번호 및 계좌번호 정보자산현, ,

황 등은 안전한 암호알고리듬으로 암호화하여 저장

2.2.14.

관리용 단말 보안

일반적인 업무 및 개인적인 용도의 사용을 금지하고 D‣서버 웹서버 등 주요 정보통신설비의 접속에만 사용B ,

‣ 전용 또는 인터넷과 격리된 환경 필요시 접근통제 정책(

구 분 세 부 조 치 사 항을 수립하고 제한적 접속 허용 에서 인가된 이용자만 이)

용할 수 있도록 통제

‣ 관리용 단말로의 외부접속 차단 주기적 보안패치,

및 악성 소프트웨어 예방탐지 활동 실시․

3.

물

리

적

보

호

조

치

출입3.1.

및 접근

보안

3.1.1.

정보통신시설의 출

입접근 통제․

비인가자가 출입할 수 없도록 잠금장치를 설치‣출입자의 기록을 개월 이상 유지보관1‣ ․

3.2.

부대설비

및 시설 운

영관리․

3.2.1.

백업설비 및 시설

설치운영․

‣ 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을

설치․운영

제 조의 정보보호 사전점검45 2( )○

정보통신서비스 제공자는① 새로이 정보통신망을 구축하거나 정보통신서비

스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사

항을 고려하여야 한다.

미래창조과학부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비②

스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는

정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다.

이 법 또는 다른 법령에 따라 미래창조과학부장관의 인가 허가를 받거나1. ·

등록 신고를 하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신·

서비스 또는 전기통신사업

미래창조과학부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서2.

대통령령으로 정하는 정보통신서비스 또는 전기통신사업

제 조의 정보보호 최고책임자의 지정 등45 3( )○

정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안①

전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정할 수 있다.

다만 종업원 수 이용자 수 등이 대통령령으로 정하는 기준에 해당하는, ,

정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하고 미

래창조과학부장관에게 신고하여야 한다.

법 제 조제 항제 호에 따른 내용 선별 소프트웨어를 개발 및 보급하는1. 41 1 1

사업자

법 제 조제 항에 따라2. 47 2 정보보호 관리체계 인증을 받아야 하는 자

저작권법 제 조제 항에 따른 특수한 유형의3. 104 1「 」 온라인서비스제공자로서

상시 종업원 수가 명 이상이거나 전년도 말 기준 직전 개월간의 일일평5 3

균 이용자 수가 천명 이상인 자1

전자상거래 등에서의 소비자보호에 관한 법률 제 조제 호에 따른4. 2 3「 」 통신판

매업자 통신판매중개업자를 포함한다( )로서 상시 종업원 수가 명 이상인 자5

게임산업진흥에 관한 법률 제 조제 호에 따른 인터넷컴퓨터게임시설제공5. 2 7「 」

업을 영위하는 자에게 같은 법 제 조제 호에 따라 고시된 음란물 및 사28 6

행성게임물 차단 프로그램을 제공하는 사업자

6. 상시 종업원 수가 천명 이상인 자1

제 조 집적된 정보통신시설의 보호46 ( )○

타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영 관리·①

하는 사업자 이하 집적정보통신시설 사업자 라 한다 는 정보통신시설을( " " )

안정적으로 운영하기 위하여 대통령령으로 정하는 바에 따른 보호조치를

하여야 한다.

제 조 정보보호 관리체계의 인증47 ( ) :○ ISMS

미래창조과학부장관은 정보통신망의 안정성 신뢰성 확보를 위하여 관리·①

적 기술적 물리적 보호조치를 포함한 종합적 관리체계 이하 정보보호· · ( "

관리체계 라 한다 를 수립 운영하고 있는 자에 대하여 제 항에 따른 기" ) · 3

준에 적합한지에 관하여 인증을 할 수 있다. 유효기간 년 개 기준( 3 , 104 )

정보통신서비스 제공자로서 다음 각 호의 어느 하나에 해당하는 자는②

제 항에 따른1 인증을 받아야 한다.  

전기통신사업법 제 조제 항에 따른 허가를 받은 자로서 대통령령으로1. 6 1「 」

정하는 바에 따라 정보통신망서비스를 제공하는 자 : ISP

집적정보통신시설 사업자2. : 다만 전년매출 억이하 사업자 제외IDC 100

연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하3.

는 자 ( 전년도 매출액이 억원 이상인 자 전년도 말 기준 직전 개월간의1. 100 , 2. 3

일일평균 이용자 수가 만명 이상인 자100 )

제 조의 정보보호 관리등급 부여47 5( )○

제 조에 따라 정보보호 관리체계 인증을 받은 자는 기업의 통합적 정보47①

보호 관리수준을 제고하고 이용자로부터 정보보호 서비스에 대한 신뢰를

확보하기 위하여 미래창조과학부장관으로부터 정보보호 관리등급을 받을

수 있다 유효기간 년 정보보호 관리체계 범위를 전사로 구축.  ( 1 , )

제 항에 따라 정보보호 관리등급을 받은 자는 대통령령으로 정하는 바에1②

따라 해당 등급의 내용을 표시하거나 홍보에 활용할 수 있다.

구분 우수 최우수

전담조직• 정보보호를 위한 전담조직은 조직 운영조직 등 이해당사자로부터 독립된IT ,

조직으로 구성하고 공식적으로 직제를 규정화

전담인력

• 정보보호 전담인력은 최근 년 기준1

정보기술 부문의 인력 대비 최소한 평

균 이상5% 유지하고 명 이상으로3

구성

• 정보보호 전담인력은 최근 년 기준1

정보기술 부문의 인력 대비 최소한 평

균 이상7% 유지

예산

• 정보보호 예산은 최근 년 평균 정보3

기술 부문 예산 대비 전년도 정보보

호 예산 집행실적 및 당해년도 정보

보호 예산의 비율을 각각 최소 이7%

상 유지

• 정보보호 예산은 최근 년 평균 정보3

기술 부문 예산 대비 전년도 정보보

호 예산 집행실적 및 당해년도 정보

보호 예산의 비율을 각각 최소 이10%

상 유지

정보보호

현황공개

• 다음을 포함한 정보보호 활동 내용을 매 사업 연도 종료 후 개월 이내에 홈페1

이지 공시하며 변경사항 발생 시 상시 업데이트

이용자 정보보호를 위한 활동-

정보보호 최고책임자의 역할 및 책임-

정보보호 관련 인증 현황-

제 조의 개인정보보호 관리체계의 인증47 3( ) :○ PIMS

방송통신위원회는 정보통신망에서 개인정보보호 활동을 체계적이고 지①

속적으로 수행하기 위하여 필요한 관리적 기술적 물리적 보호조치를 포· ·

함한 종합적 관리체계 이하 개인정보보호 관리체계 라 한다 를 수립 운( " " ) ·

영하고 있는 자에 대하여 제 항에 따른 기준에 적합한지에 관하여2 인

증을 할 수 있다.

방송통신위원회는 제 항에 따른 개인정보보호 관리체계 인증을 위하여1②

관리적 기술적 물리적 보호대책을 포함한 인증기준 등 그 밖에 필요한· ·

사항을 정하여 고시할 수 있다.

* 구별개념 개인정보영향평가제도: PIA( ), PIPL

제 조 정보통신망 침해행위 등의 금지48 ( )○

누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신①

망에 침입하여서는 아니 된다. 해킹 범죄( )

누구든지 정당한 사유 없이 정보통신시스템 데이터 또는 프로그램 등을,②

훼손 멸실 변경 위조하거나 그· · · 운용을 방해할 수 있는 프로그램 이하( "악

성프로그램 이라 한다 을 전달 또는 유포하여서는 아니 된다" ) . 악성코드( )

누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또③

는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정

보통신망에 장애가 발생하게 하여서는 아니 된다. (DDoS)

제 조 비밀 등의 보호49 ( )○

누구든지 정보통신망에 의하여 처리 보관 또는 전송되는 타인의 정보를 훼·

손하거나 타인의 비밀을 침해 도용 또는 누설하여서는 아니 된다· . 해킹범(

죄)

제 조의 침해사고의 신고 등48 3( )○ 미신고시 만원 이하 과태료1,000→

다음 각 호의 어느 하나에 해당하는 자는 침해사고가 발생하면 즉시 그①

사실을 미래창조과학부장관이나 한국인터넷진흥원에 신고하여야 한다 이.

경우 정보통신기반 보호법 제 조제 항에 따른 통지가 있으면 전단에13 1「 」

따른 신고를 한 것으로 본다.

정보통신서비스 제공자1.

집적정보통신시설 사업자2.

정보통신기반보호법

제 조 제 호2 1 :○ 정보통신기반시설 이라 함은 국가안전보장 행정 국방 치안 금" " · · · ·

융 통신 운송 에너지 등의 업무와 관련된 전자적 제어 관리시스템 및 정보통· · · · 「

신망 이용촉진 및 정보보호 등에 관한 법률 제 조제 항제 호의 규정에 의2 1 1」

한 정보통신망을 말한다.

제 조 취약점의 분석 평가9 ( )○ ㆍ : 관리기관의 장은 대통령령이 정하는 바에 따①

라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석평가하여야 한다· .

제 조 복구조치14 ( )○ : 관리기관의 장은 소관 주요정보통신기반시설에 대한①

침해사고가 발생한 때에는 해당 정보통신기반시설의 복구 및 보호에 필요한

조치를 신속히 취하여야 한다.

개인정보보호법

개인정보보호법의 체계○

개인정보의 정의 특수한 개인정보 민감정보 개인영상정보- * : ,

수집-

이용 목적 내 이용 목적 외 이용- : ,

제공 목적 내 제공 목적 외 제공- : ,

관리 안전성 확보조치- :

위탁 영업양도- ㆍ

파기-

정보주체의 권리-

형사처벌 과태료- ,

개인정보보호법의 대 키워드3○

식별성□

식별정보만 개인정보보호 법령 준수의무-

목적제한성□

수집 목적을 넘어서 이용해서는 아니된다-

동의 고지 통지 공개, ,□ ㆍ

동의 쌍방 합의- :

고지 통지 일방 특정인- : ,ㆍ

공개 일방 불특정인- : ,

개인정보의 개념 식별성( )○

살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영상 등을 통하여- ,

개인을 알아볼 수 있는 정보 해당 정보만으로는 특정 개인을 알아볼 수 없(

더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)

살아 있는 개인1)

개인에 관한 정보2)

식별할 수 있는 정보 식별성 직접 식별정보3) [ , ]

쉽게 결합하여 식별할 수 있는 정보 결합용이성 간접 식별정보4) [ , ]

살아 있는 개인□

김구 선생의 자손들에 관한 정보ex) ?

뉴질랜드 캐나다는 사망자의 정보까지 포함함 사후 년 정도ex) , ( 20 )

개인에 관한 정보□

기업의 주소 연락처 신용정보 등ex) , , ?

기업의 대표이름 예 삼안실업 대표 이만수ex) ? ( : )

식별할 수 있는 정보□

특정 대학의 년 취업률ex) 2013 ?

삼성전자에서 빨간색 머리를 하고 있는 대 남자ex) 20 ?

김민수가 빨간 색은 좋아한다ex) ?

휴대전화번호ex) ?

얼굴 정보ex) CCTV ?

콜센터 대화 녹음파일ex) ?

쉽게 결합하여 식별할 수 있는 정보□

휴대전화의ex) IMEI

국제단말기인증번호( , international mobile equipment identity)

특정인의 휴대폰에 저장된 휴대전화 자리4

결합용이성의 판단은 현실적 가능성으로 잠재적 가능성으로ex) / ?

목적제한성과 동의 등○

목적 범위 내의 처리이면 아무런 조치 취하지 않아도 됨-

목적 범위 외의 처리이면 별도의 동의를 얻어야 함-

목적 범위 내의 처리라도 중요한 처리이면 고지 등을 하여야 함-

수집 고지 이후 동의( )

목적 외 제공별도의 동의( )

목적 내 제공조치 불요( )

목적 외 이용별도의 동의( )

목적 내 중요 이용‘ ’위탁은공개 영업양도는고지( , )

목적 내 단순 이용‘ ’조치 불요( )

제공 고지 이후 동의( )

이용

개인영상정보○

동영상에 대한 법적 처리CCTV□

의 정의 고정 공개된 장소- CCTV : +

수집목적의 제한-

법령에서 구체적으로 허용하고 있는 경우1.

범죄의 예방 및 수사를 위하여 필요한 경우2.

시설안전 및 화재 예방을 위하여 필요한 경우3.

교통단속을 위하여 필요한 경우4.

교통정보의 수집 분석 및 제공을 위하여 필요한 경우5. ·

수집시 동의 대신 안내판으로 갈음함-

의문점□

구글 글래스는 인가ex) CCTV ?

차량용 블랙박스는 인가ex) CCTV ?

택시 안의 카메라는 인가ex) CCTV ?

제공○ 개인정보처리자가 바뀌는 경우 받는 자의 처리 목적을 위하여 건네: ,

는 경우 공유는 지속적인 제공으로 취급( )

예 다른 회사의 마케팅 목적으로 그 회사에 건네는 경우)

위탁〇 개인정보처리자가 바뀌는 경우 주는 자의 처리 목적을 위하여 건네: ,

는 경우

예 우리 회사의 마케팅 목적으로 타 회사에 건네는 경우)

이용〇 개인정보처리자가 바뀌지 않은 경우:

예 한 회사의 다른 부서끼리 개인정보를 건네는 경우)

개인정보의 제공 정리○

수사 목적 수사기관 원칙적으로 영장 필요1. ( ) :

이용자 개인정보 전기통신사업자는 영장 불요1) :

김연아 유인촌 사건ex) ㆍ

통신사실확인자료 영장 필요2) :

감청 영장 필요3) :

송 수신이 완료된 개인정보 영장 필요4) :ㆍ

카카오톡 사건ex)

다만 공공기관은 영장 불요*

재판 목적 법원 영장 불요2. ( ) :

과세 목적 국세청 세무서 영장 필요3. ( , ) :

네이버와 파워블러거 사건ex)

내부관리계획○

외부에 공개할 필요 없고 내부적으로 사용되는 문서- ,

개인정보 보호책임자의 지정에 관한 사항1.

개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항2.

개인정보의 안전성 확보에 필요한 조치에 관한 사항3.

개인정보취급자에 대한 교육에 관한 사항4.

개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한5.

사항

그 밖에 개인정보 보호를 위하여 필요한 사항6.

개인정보처리방침○

정보통신망법은 개인정보취급방침이라고 함- ‘ ’

반드시 외부에 공개하여야 함-

개인정보의 처리 목적1.

개인정보의 처리 및 보유 기간2.

개인정보의 제 자 제공에 관한 사항 해당되는 경우에만 정한다3. 3 ( )

개인정보처리의 위탁에 관한 사항 해당되는 경우에만 정한다4. ( )

정보주체의 권리 의무 및 그 행사방법에 관한 사항5. ·

그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항6.

개인정보유출 신고 및 통지○

미국 캘리포니아주법에서부터 시작한 제도□

(Data security breach notification)

□ 지체 없이 신고 및 통지

정보통신망법은 시간 내- 24

개인정보의 누출 등에 대한 대책을 마련하고 그 피해를 최소화할 수 있□

는 조치를 강구하여야 함

개인정보의 안전성확보조치기준

안정성 확보를 위한 관리적 기술적 물리적 보호조치○ ㆍ ㆍ

개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행1. ·

개인정보에 대한 접근 통제 및 접근 권한의 제한 조치2.

개인정보를 안전하게 저장 전송할 수 있는 암호화 기술의 적용 또는 이에3. ·

상응하는 조치

개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 변조4. ·

방지를 위한 조치

개인정보에 대한 보안프로그램의 설치 및 갱신5.

개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치6.

등 물리적 조치

안전성확보조치기준 웹서버 보호조치:

관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조 제 항: 4 9 , 5 4○

정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지 공, P2P,

유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도

록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.

개인정보처리시스템 개인정보를 처리할 수 있도록 체계적으로 구성한* :

데이터베이스시스템(DBMS)

→ 법원의 해석( ) 정보통신망법에서 정의하는 개인정보처리시스템은 엄밀한

의미에서 중개 서버 및 서버를 가리키는 것으로 보이나 한편DB DB , 방송통신

위원회는 개인정보 에 접근하기 위한 중계서버 어플리케이션 등도 개인정보DB ,

처리시스템에 포함된다고 보고 있는바 중략( ) 인증 서버는 중개 서버에(AUT) DB

접근하는 것에 대한 관문의 역할을 수행하는바 결국 시스템은 그 전체N-STEP

로서 사용자가 개인정보를 처리할 수 있도록 체계적으로 구성된 넓은 의미의

개인정보처리시스템에 해당한다.

→ 안행부 해설서( ) 자체 뿐 아니라 에 연결되어 를 관리하거나DB DB DB

의 개인정보를 처리할 수 있는 응용프로그램DB (예 웹서버: )까지 포함함

사실관계 방통위심의의결 년 해킹 사건( , 2014 KT )○

이용자 가 일단 고객이용대금 조회 서버에 로그인하면 자신의 고객서비- (A) ,

스계약번호가 아닌 타인 의 고객서비스계약번호를 무작위로 입력(B) 하더라도 이

용자 의 인증단계 없이 그 타인 의 개인정보를 전부 열람할 수 있음(A) (B) 파라(

미터 변조)

의 주장(KT )→ 웹서버는 개인정보처리시스템 이 아니므로(DBMS) 웹페이지

를 통하여 발생한 파라미터 변조는 제 조 제 항이 적용되는 사안이 아님4 9

결론 현재 행정소송 진행 중( )○

방통위는 본 사안에서 웹서버가 개인정보처리시스템에 포함된다는 전제 하-

에 고시 제 조 제 항 위반으로 과징금 의율함4 9

안전성확보조치기준 이상징후 모니터링:

관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조: 5 1 , 7○

정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한

기록을 월 회 이상 정기적으로 확인 감독1 · 하여야 하며 시스템 이상 유무의 확,

인 등을 위해 최소 개월 이상 접속기록을 보존 관리하여야 한다6 · .

개정 행자부 고시* : 개인정보처리자는 개인정보의 유출 변조 훼손 등에 대· ·

응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 회 이상 점검하1

여야 한다.

→ 법원의 해석( ) 이 규정은 개인정보처리시스템에 대한 접속기록의 위조․변조를 막기 위한 조치이나 이는 궁극적으로 개인정보의 누출 방지 등 보호를,

위하여 개인정보처리시스템에서 개인정보를 처리한 내역을 확인하고 감독하여야

한다는 주의의무가 포함되는 규정에 해당

사실관계 가합 년 해킹 사건(2012 83365, 2012 KT )○

정상사용패턴과는 달리 동일한 서비스 호출이 반복되는- 비정상적인 패턴이

라는 것을 확인하였고 구체적으로 명의변경 사전체크의 양도인 가입계약조회, ‘ ’,

고객기본정보의 가입계약조회 개통 사전체크의 할부 적격여부 조회의‘ ’, ‘ ’ 동일한

서비스를 빠른 속도로 반복적으로 실행한 사실

해커는 이 사건 해킹프로그램을 실행할 당시- 주일에 한 번 만 건 정1 10

도의 개인정보를 조회한 사실

결론 현재 항소심 진행 중( )○

가 고시 규정에서 정한 바와 같이- KT 한 달에 회 이상 정기적으로1 개인

정보취급자가 개인정보처리시스템을 이용하여 업무를 수행한 내역을 감독하고

확인하였다면 개인정보처리시스템의 사용 패턴에서 평상시의 상태와 다른 특이

점을 발견하여 정보 유출의 지속 및 확대를 방지할 수 있었음에도 는 이러한KT

주의의무를 다하지 못하고 정보유출자들로 하여금 개월 이상 개인정보를 조회5

하도록 방치한 과실이 있음

안전성확보조치기준 접근통제:

관련조문 방통위 고시 제 조 제 항 행자부 고시 조 제 항: 4 5 , 5 1○

정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고

방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다· .

개인정보처리시스템에 대한1. 접속 권한을 주소 등으로 제한IP 하여 인가받

지 않은 접근을 제한 → 칩입차단시스템

개인정보처리시스템에2. 접속한 주소 등을 재분석IP 하여 불법적인 개인정보

유출 시도를 탐지 → 침입탐지시스템

→ 법원의 해석( ) 고시 제 조 제 항에 의하면 정보통신서비스 제공자등은4 5

정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 시스템을 설치운영․하여야 하는데 이러한 시스템은 개인정보처리시스템에 대한 접속 권한을 주소IP

등으로 제한하여 인가받지 않은 접근을 제한하고 개인정보처리시스템에 접속한,

주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는IP 기능이 포함

되어야 한다.

사실관계 방통위심의의결 년 해킹 사건( , 2014 KT )○

는 침입차단기능과 침입탐지기능을 동시에 구현하는- KT 침입방지시스템

(IPS) 침입탐지기능을 수행하는, 방화벽 웹쉘 공격을 방어하기 위한, 웹쉘 탐지

시스템 등을 설치 운영함ㆍ

이용자 가 일단 고객이용대금 조회 서버에 로그인하면 자신의 고객서비- (A) ,

스계약번호가 아닌 타인 의 고객서비스계약번호를 무작위로 입력(B) 하더라도 이

용자 의 인증단계 없이 그 타인 의 개인정보를 전부 열람할 수 있음(A) (B)

- 특정 에서 비정상적으로 하루 수십만건의 개인정보를 조회IP 함에도 불구하

고 이러한 비정상적인 접근을 차단 또는 탐지하지 못함

결론 현재 행정소송 진행 중( )○

비록 방화벽 웹쉘 탐지 시스템을 설치 운영하였더라도- ( IPS, , )ㆍ

요금 명세서 조회시 접속한 사용자와 고객서비스계약번호 사용자의 일치-

여부를 확인하지 않은 것은 개인정보가 열람 권한 없는 자에게 공개되거나 외

부에 유출되지 않도록 조치를 취해야 함을 규정한 고시 제 항 제 호 위반에 해4 5

당

특정 로 일 최대 만 건의 개인정보를 조회함에도 불- IP 1 34 1,279 구하고 비

정상적인 접근을 탐지 및 차단하지 못한 행위는 고시 제 조 제 항 위반에 해당4 5

안전성확보조치기준 퇴직자 접근권한 말소:

관련조문 방통위 고시 제 조 제 항 행자부 고시 제 조 제 항: 4 2 , 4 2○

정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정

보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경

또는 말소한다.

→ 법원의 해석( ) 위 고시 규정은 개인정보처리시스템에 대한 접근권한을‘ ’

말소하라는 것으로서 개인정보처리시스템으로의 접근은‘ ’ 단순히 인증절차를 통

한 접속에 국한 되는 것이 아니고 서버와 서버사이의 이동 데이터의 송수신, ,

등을 통하여 개인정보처리시스템에 가까이 다가가는 것을 광범위하게 포함한다

고 보는 것이 상당한바,

퇴직한 자의 계정으로는 개인정보처리시스템에 대하여 어떠한 접근도 가능

하지 않도록 계정을 전면적으로 폐기하거나 계정에 표식을 부여하는 방법 계정,

을 변형하는 방법 등으로 개인정보처리시스템의 전 과정에서 식별되어 접근하

지 못하도록 하는 조치를 취하였어야 할 것임

사실관계 가합 년 해킹 사건(2012 83365, 2012 KT )○

는 퇴직한 자의- KT 사용자계정을 말소N-STEP 하여 에서 인증절N-STEP UI

차를 통과하는 것이 불가능하게 되었지만 해커는 이 사건 해킹프로그램을 통하

여 인증서버 를 거치지 않는 등(AUT) 인증절차를 우회한 결과 퇴직한 자의 사용

자계정을 확인하는 절차인 를 거치지 않고N-STEP UI 접근서버인 서버DB ESB

를 통하여 시스템에 접근함DB

결론 현재 항소심 진행 중( )○

가 퇴직한 사용자의 사용자계정을- KT N-STEP 에서 인증하지 못N-STEP UI

하도록 한 것만으로는 위 고시 규정이 요구하는 기술적관리적 보호조치를 다하․였다고 보기 어렵다

개인정보 관련 향후 개정 시행 제도ㆍ

주민등록번호 암호화○

부터- 2016. 1. 1.

제 조의 주민등록번호 처리의 제한 개인정보처리자는 제 조제 항에* 24 2( ) 24 3②

도 불구하고 주민등록번호가 분실 도난 유출 변조 또는 훼손되지 아니하도록· · ·

암호화 조치를 통하여 안전하게 보관하여야 한다 이 경우 암호화 적용 대상.

및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유

출 시 영향 등을 고려하여 대통령령으로 정한다.

홈페이지에서 주민번호 취급하는 경우 연 회 이상 취약점 점검 의무1○

제 조 접근통제 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페* 5 ( ) ⑤

이지를 통해 고유식별정보가 유출 변조 훼손되지 않도록 연 회 이상 취약점· · 1

을 점검하여야 한다.

주민번호 처리시 추가정보 확인○

제 조 접근통제 개인정보처리자는 인터넷 홈페이지에서 다른 법령에 근* 5 ( ) ③

거하여 정보주체의 본인확인을 위해 성명 주민등록번호를 사용할 수 있는,

경우에도 정보주체의 추가적인 정보를 확인하여야 한다.

모바일기기 보호조치 의무○

제 조 접근통제 개인정보처리자는* 5 ( ) ⑦ 업무용 모바일 기기의 분실 도난 등으·

로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보

호조치를 하여야 한다.

접속기록 반기별 점검 의무○

제 조 접속기록의 보관 및 점검 개인정보처리자는 개인정보의 유출 변조* 7 ( ) · ·②

훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1

회 이상 점검하여야 한다.

보조저장장치의 반 출입 통제○ ㆍ

제 조 물리적 접근 방지 개인정보처리자는 개인정보가 포함된 보조저장* 9 ( ) ③

매체의 반출 입 통제를 위한 보안대책· 을 마련하여야 한다 다만 별도의 개인.

정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이

용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.