2024-05-21 01:25 (화)
개인정보 안전조치 규정, 방통위와 행안부 차이점
상태바
개인정보 안전조치 규정, 방통위와 행안부 차이점
  • 길민권
  • 승인 2011.10.18 23:29
이 기사를 공유합니다

기준 신설되거나 변경된 부분 인지하고 철저히 준수해야
행정안전부는 지난달 30일 개인정보보호법에 따라 ‘개인정보의 안전성 확보조치 기준’을 제정해 발표했다. 이 기준의 목적은 개인정보처리자가 개인정보의 안전성 확보조치를 위해 준수해야 할 관리적·기술적 보호조치에 대한 세부사항을 규정해 법 대상 기관과 기업들이 꼭 지키도록 하는데 있다.
 
주요 내용은 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 및 시행, 개인정보에 대한 접근 통제 및 접근권한의 제한 조치, 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위변조 방지를 위한 조치, 개인정보에 대한 보안프로그램의 설치 및 갱신, 개인정보의 안전한 보관을 위한 보관시설 마련 또는 잠금장치의 설치 등 물리적 조치 등이다.
 
적용 대상자는 타 법률에 정해지지 않은 모든 사업자이며 반드시 준수해야 할 최소한의 기준이다. 만약 위반시에는 2년 이하의 징역 또는 1000만원 이하의 벌금이 부과된다.
 
방통위 개인정보의 기술적, 관리적 보호조치와 차이
그렇다면 행안부에서 발표한 기준이 방통위 개인정보의 기술적, 관리적 보호조치와 다른 사항은 무엇이 있을까. 이슈별로 비교해 보자.
 
◇내부관리계획의 수립 시행
방통위: 보호조치 이행 여부의 내부 점검에 대한 사항과 관리 책임자 및 취급자를 대상으로 매년 2회 이상 교육을 해야 한다.
 
행안부: 소상공인의 경우 보호조치 이행 여부의 내부관리 계획을 수립하지 않아도 된다.
 
◇접근 권한의 관리
방통위: 정보통신서비스 제공자는 권한부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년간 보관토록 규정하고 있다. 또 취급자의 비밀번호 작성규칙을 수립, 적용, 운용해야 한다. 문자2종류+10자리 이상 구성 또는 문자3종류+8자리 이상 구성, 추측하기 쉬운 비밀번호 사용을 금지하고 비밀번호 유효기간은 반기별 1회 이상 변경하도록 하고 있다.
 
행안부: 개인정보처리자는 권한부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 3년간 보관토록 규정한다. 또 취급자별 한 개의 사용자 계정을 발급, 다른 취급자와 공유되지 않도록 하고 있다. 또 취급자는 정보주체가 안전한 비밀번호를 설정할 수 있는 비밀번호 작성 규칙을 수립, 적용해야 한다. 한편 소상공인 또는 중소사업자 업무용 PC로 개인정보 처리하는 경우 차단 및 탐지 시스템을 사용하지 않아도 되고 OS나 개인용 보안프로그램을 이용하도록 하고 있다.
 
◇접속기록의 위변조 방지
방통위: 접속한 기록을 월 1회 이상 확인 감독하고 정기적인 백업을 하도록 규정하고 있다.  
 
행안부: 정기적 로그확인 감독은 하지 않아도 된다.
 
◇물리적 접근 방지
방통위: 특별 규정 없다.
 
행안부: 개인정보 보관장소 출입통제 절차를 수립 운영해야 하고 서류, 보조저장 매체 등은 잠금장치를 하도록 하고 있다.
 
◇개인정보의 암호화
방통위: 안전한 암호 알고리즘으로 암호화 저장하고 대상은 주민번호, 카드번호, 계좌번호 등을 암호화할 것을 권고하고 있다.
 
행안부: 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보와 비밀번호, 바이오정보 등을 암호화 하도록 신설했다. 또 정보통신망으로 송수신 및 보조저장 매체로 전달시 암호화하도록 하고 있다. 그리고 인터넷 구간 및 인터넷과 내부망의 중간 지점인 DMZ에 고유식별정보저장시 암호화하도록 했다. 또 영향평가와 위험도 분석결과에 따라 내부망에 고유식별정보 저장시 암호화 작용 여부와 범위를 정하도록 하고 있다.
또한 암호화 계획 수립에 대해 내년 3월, 적용에 대해서는 내년 12월까지 유예기간을 두고 있다. 업무용 컴퓨터에 고유식별정보저장시 상용암호화 소프트웨어 또는 안전한 암호화 알고리즘으로 암호화 저장하도록 구체적으로 명시하고 있다.
 
◇출력물 복사시 보호조치
방통위: 개인정보의 출력 항목을 최소화하고 개인정보가 포함된 외부 저장매체 등을 보호조치하도록 하고 있고 개인정보보호를 위한 개인정보 마스킹을 권고하고 있다.
 
행안부: 특별한 기준 없다.
 
이외 방통위 규정에는 백신 등 보안프로그램 설치 및 운영시 자동업데이트를 월 1회로 규정하고 있지만 행안부 기준은 일1회 이상 업데이트하도록 하고 있다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★