정보통신망법개정내역 살펴보기(240724, 240814 시행)

1. 법 제23조의5(연계정보의 생성·처리 등) 신설

법 제23조의5(연계정보의 생성·처리 등)

① 본인확인기관은 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 정보통신서비스 제공자의 서비스 연계를 위하여 이용자의 주민등록번호를 비가역적으로 암호화한 정보(이하 “연계정보”라 한다)를 생성 또는 제공ㆍ이용ㆍ대조ㆍ연계 등 그 밖에 이와 유사한 행위(이하 “처리”라 한다)를 할 수 없다.
  1. 이용자가 입력한 정보를 이용하여 이용자를 안전하게 식별ㆍ인증하기 위한 서비스를 제공하는 경우
  2. 「개인정보 보호법」 제24조에 따른 고유식별정보(이하 이 조에서 “고유식별정보”라 한다)를 보유한 행정기관 및 공공기관(이하 “행정기관등”이라 한다)이 연계정보를 활용하여 「전자정부법」 제2조제5호에 따른 전자정부서비스를 제공하기 위한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
    가.「전자정부법」 제2조제4호에 따른 중앙사무관장기관의 장이 행정기관등의 이용자 식별을 통합적으로 지원하기 위하여 연계정보 생성ㆍ처리를 요청한 경우
    나. 행정기관등이 고유식별정보 처리 목적 범위에서 불가피하게 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리를 요청한 경우
  3. 고유식별정보를 보유한 자가 「개인정보 보호법」 제35조의2에 따른 개인정보 전송의무를 수행하기 위하여 개인정보 전송을 요구한 정보주체의 연계정보 생성ㆍ처리를 요청한 경우
  4. 「개인정보 보호법」 제24조의2제1항 각 호에 따라 주민등록번호 처리가 허용된 경우로서 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리가 불가피한 대통령령으로 정하는 정보통신서비스를 제공하기 위하여 본인확인기관과 해당 정보통신서비스 제공자가 함께 방송통신위원회의 승인을 받은 경우
② 방송통신위원회는 제1항제4호에 따라 연계정보의 생성ㆍ처리를 승인하려는 경우 다음 각 호의 사항을 종합적으로 심사하여야 한다.
  1. 제공 서비스 구현의 적절성 및 혁신성
  2. 연계정보 생성ㆍ처리 절차의 적절성
  3. 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치 계획
  4. 이용자 권리 보호 방안의 적절성
  5. 관련 시장과 이용자 편익에 미치는 영향 및 효과
③ 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 경우에 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 승인을 취소하여야 한다.
  1. 거짓이나 그 밖의 부정한 방법으로 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 받은 경우
  2. 제2항 각 호에 따른 심사사항에 부적합하게 된 경우
  3. 제23조의6제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치 의무를 위반한 경우
  4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
④ 제1항 각 호에 따른 서비스를 위하여 본인확인기관으로부터 연계정보를 제공받은 자(이하 “연계정보 이용기관”이라 한다)는 제공받은 목적 범위에서 연계정보를 처리할 수 있다. 다만, 정보주체에게 별도로 동의받은 경우에는 동의받은 목적 범위에서 연계정보를 처리할 수 있다.
⑤ 제1항부터 제4항까지에 따른 연계정보 생성ㆍ처리 승인 절차, 승인 심사사항별 세부심사기준, 승인취소 처분의 기준 등에 관하여 필요한 사항은 대통령령으로 정한다.

제1항에서는 CI를 사용할 수 있는 조건에 대해 다음과 같이 명시하고 있습니다.
- 이용자 식별 및 인증을 위해 사용하는 경우
- 공공기관이 이용자 식별 또는 고유식별정보 처리 목적 범위에서 사용하는 경우
- 개인정보 전송요구권에 따른 전송의무를 위해 사용하는 경우
- 주민등록번호의 처리가 허용된 경우 대통령령으로 정하는 정보통신서비스를 제공하기 위하여 본인확인기관과 정보통신서비스제공자가 함께 방송통신위원회의 승인을 받은 경우
대부분의 경우 CI를 이용자 식별 및 인증을 위해 사용할 것이기 때문에 현업에서 특별히 이슈는 없어 보입니다만 혹시 다른 목적으로 사용하고 계셨다면 CI 사용에 대해 검토해볼 필요는 있겠습니다.
이 조항의 위반에 대해 5년 이하의 징역 또는 5천만원 이하의 벌금이 부과됩니다.

제2항 및 제3항에서는 연계정보 생성 처리의 승인/취소에 관한 사항을 명시하고 있으며
제4항에서는 연계정보 이용기관은 연계정보를 제공받은 목적 범위를 벗어나 연계정보를 사용할 수 없음을 명시하고 있습니다.
제4항 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금이 부과됩니다.
제5항에서는 상세한 내용에 대해 대통령령에 위임하고 있으나 아직 대통령령은 해당 내용에 대해 신설된 바가 없습니다.

2. 법 제23조의6(연계정보의 안전조치 의무 등) 신설

법 제23조의6(연계정보의 안전조치 의무 등)

① 본인확인기관이 연계정보를 생성ㆍ처리하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치를 하여야 한다.
② 연계정보 이용기관은 제23조의5제1항 각 호에 따른 서비스를 제공하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 조치(이하 “안전조치”라 한다)하여야 한다. 위반 시 3천만원 이하 과태료
③ 방송통신위원회는 생성ㆍ처리하는 연계정보의 규모, 매출액 등이 대통령령으로 정하는 기준에 해당하는 본인확인기관의 물리적ㆍ기술적ㆍ관리적 조치 및 연계정보 이용기관의 안전조치에 대한 운영ㆍ관리 실태를 점검할 수 있다.
④ 방송통신위원회는 제3항에 따른 점검에 관한 업무를 대통령령으로 정하는 전문기관에 위탁할 수 있다.
⑤ 제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치와 제2항에 따른 안전조치에 관하여 필요한 사항은 대통령령으로 정한다.

제1항에서 연계정보 생성 및 처리 시 안전성 확보를 위한 물리적·기술적·관리적 조치를 할 것을 요구하고 있습니다.. 다만 이 부분은 연계정보 역시 개인정보의 일부로 개인정보보호법에서 요구하고 있는 사항이기 때문에 본 조항 신설에 따라 사업자 입장에서 신규로 요구되는 사항은 아닙니다.
제2항에서 연계정보는 주민등록번호와 분리하여 보관·관리할 것을 요구하고 있으며 안전조치를 할 것을 요구하고 있습니다. 안전조치야 1항과 마찬가지로 개인정보보호법에서 요구되던 사항이라 크게 변화될 것은 없습니다만 주민등록번호와 분리해야 한다는 부분은 조치가 필요할 것으로 보입니다. 다만, 이를 테이블 단위로 분리할 것인지 DB 단위로 분리할 것인지에 대한 가이드는 필요할 것으로 보입니다.
제1항 및 제2항의 조치사항에 대해 대통령령에 위임하고 있으나 아직 대통령령은 해당 내용에 대해 신설된 바가 없습니다.
제1항 및 제2항 위반 시 3천만원 이하의 과태료가 부과됩니다.
제3항 및 제4항에서는 본인확인기관 및 연계정보 이용기관의 안전조치에 대한 운영·관리 실태를 점검할 수 있음을 명시하고 있습니다. 결국 CI를 사용하는 경우 실태점검이 늘어난다는 내용인데요 실태점검은 관리가 잘 되고 있는 기업에게도 행정적 부담이 적지 않은 만큼 기업에게 크게 부담가지 않는 수준에서 진행했으면 하는 바램입니다.

3. 법 제44조의7(불법정보의 유통금지 등) 제5항 신설

법 제44조의7(불법정보의 유통금지 등)

⑤ 국내에 데이터를 임시적으로 저장하는 서버를 설치ㆍ운영하는 정보통신서비스 제공자 중 사업의 종류 및 규모 등이 대통령령으로 정하는 기준에 해당하는 자는 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
1. 제2항 및 제3항에 따른 심의위원회의 심의를 거친 제1항 각 호의 정보가 서버에 저장되어 있는지 식별하여 신속하게 접근을 제한하는 조치
2. 제1호에 따라 식별한 정보의 게재자에게 해당 정보의 유통금지를 요청하는 조치
3. 제1호에 따른 조치의 운영ㆍ관리 실태를 시스템에 자동으로 기록되도록 하고, 이를 대통령령으로 정하는 기간 동안 보관하는 조치
4. 그 밖에 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 필요한 대통령령으로 정하는 조치

국내에서 캐시서버를 운영하는 일정규모 이상의 정보통신서비스 제공자의 경우 불법 정보의 접근 제한, 유통 금지, 접근 제한 관리실태의 기록 등의 기술적·관리적 조치를 해야 합니다.
이는 어디까지나 서버가 국외에 있으면서 국내에는 캐시서버만 운영하는 사업자에게 적용되는 법령으로 대다수의 국내 기업은 적용되지 않는 조항입니다.
이반 시 1천만원 이하의 과태료가 부과됩니다.

4. 법 제47조(정보보호 관리체계의 인증) 제2항 개정 및 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) 제2항 개정

법 제47조(정보보호 관리체계의 인증)

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 "주요정보통신서비스 제공자"라 한다)
2. 집적정보통신시설 사업자
3. 전년도 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

시행령 제49조(정보보호 관리체계 인증 대상자의 범위)
② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 전년도 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
가. 「의료법」 제3조의4에 따른 상급종합병원
나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
3. 전년도 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

ISMS 인증 의무대상자 선정 시 매출액 기준이 연간 매출액에서 전년도 매출액으로 명확해졌습니다.
또한 일일평균 이용자 수 기준 역시 전년도 말일 기준 3개월에서 전년도 전체로 변경되었습니다.
매출 기준은 명확해진 부분이기 때문에 큰 변화는 없을 것으로 예상됩니다만 이용자 수 기준이 4/4분기에서 전년도 전체로 변경되었기 때문에 대부분의 매출이나 이용자 방문이 4/4분기에 발생하는 사업자의 경우 인증 의무 대상자에서 제외될 수 있는 가능성이 생겼습니다.

5. 법 제47조의7(정보보호 관리체계 인증의 특례) 신설 및 시행령 제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위) 신설

법 제47조의7(정보보호 관리체계 인증의 특례) 

① 과학기술정보통신부장관은 제47조제1항 및 제2항에 따른 인증을 받으려는 자 중 다음 각 호의 어느 하나에 해당하는 자에 대하여 제47조에 따른 인증기준 및 절차 등을 완화하여 적용할 수 있다.
1. 「중소기업기본법」 제2조제2항에 따른 소기업
2. 그 밖에 정보통신서비스의 규모 및 특성 등에 따라 대통령령으로 정하는 기준에 해당하는 자
② 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 제1항에 관련된 비용 및 기술 등 필요한 지원을 할 수 있다.
③ 과학기술정보통신부장관은 제1항에 따른 인증기준 및 절차 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.

시행령 제49조의2(정보보호 관리체계 인증의 특례 대상자의 범위)
① 법 제47조의7제1항제2호에 따른 정보보호 관리체계 인증의 특례 대상은 「중소기업기본법」 제2조제2항에 따른 중기업으로서 다음 각 호의 어느 하나에 해당하는 자로 한다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 300억원 미만인 자
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 300억원 이상인 자 중 주요 정보통신설비를 직접 설치ㆍ운영하지 않는 자로서 다음 각 목의 어느 하나에 해당하는 서비스(법 제47조제1항에 따른 인증, 「개인정보 보호법」 제32조의2제1항에 따른 인증 또는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2제1항에 따른 인증을 받은 자가 제공하는 서비스로 한정한다)를 이용하는 자
가. 호스팅서비스(인터넷 홈페이지 구축 및 웹서버 관리 등을 해주는 서비스를 말한다)
나. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제2호 및 제3호에 따른 클라우드컴퓨팅서비스
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 법 제47조의7제1항제2호에 따른 정보보호 관리체계 인증의 특례 대상에서 제외한다.
1. 법 제47조제2항제1호 또는 제2호에 해당하는 자
2. 제49조제2항제1호 또는 제3호에 해당하는 자
3. 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제2조제1호하목에 따른 가상자산사업자
4. 「전자금융거래법」 제2조제3호에 따른 금융회사 

말 많은 간편인증제도가 신설되었습니다.
간편인증제도의 대상자는 다음과 같습니다.
- 소기업
- 정보통신부문 전년도 매출액 300억 미만의 중기업
- 정보통신부문 전년도 매출액 300억 이상인 자 중 주요 정보통신설비를 직접 설치 및 운영하지 않고 호스팅 서비스만을 이용하는 중기업
- 정보통신부문 전년도 매출액 300억 이상인 자 중 주요 정보통신설비를 직접 설치 및 운영하지 않고 클라우드서비스만을 이용하는 중기업
다만, 다음의 경우에는 간편인증대상자의 규모에 포함되더라도 간편인증대상자가 될 수 없습니다.
- 주요정보통신서비스제공자(서울특별시 및 모든 광역시에서 정보통신서비스를 제공하는 기간통신사업자)
- 집적정보통신시설 사업자
- 전년도 매출액 또는 세입이 1,500억원 이상인 상급종합병원 또는 재학생수가 1만명 이상인 고등교육학교
- 전년도 일일평균 이용자 수가 100만명 이상인 자
- 가상자산사업자
- 전자금융거래법에 따른 금융회사

간편인증을 만드는 것은 기업의 부담 완화 측면에서 동의합니다.
300억이라는 기준은 과도하다는 생각이 드는 것도 사실입니다만 호스팅 또는 서비스형 클라우드만 사용하는 기업의 경우 불필요한 통제항목이 너무나 많았던 것도 사실입니다.
다만, 고시로 위임하고 있는 통제항목 중 위험평가 등 반드시 필요한 항목이 삭제되어 기업 부담 완화에만 초점이 맞춰져 있고 보안수준 강화에 도움이 된다는 생각은 들지 않아 ISMS 간편인증 제도가 보안수준 강화보다는 보안사고 발생 시 면피용 제도가 되버리는 것이 아닐까 우려됩니다.

6. 법 제48조(정보통신망 침해행위 등의 금지) 제4항 신설

법 제48조(정보통신망 침해행위 등의 금지)

④ 누구든지 정당한 사유 없이 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하거나 이를 전달ㆍ유포하여서는 아니 된다.

해킹 도구를 판매하거나 유포하는 행위를 금지하는 내용입니다.
위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금이 부과됩니다.

해킹도구의 판매 또는 유포를 금지하는 것에 대해 반대하는 사람은 범죄자가 아닌 이상 없지 않을까 생각됩니다.
RaaS 등 사이버 공격도 서비스 형태로 이뤄지는 시대인만큼 이는 반드시 필요하다고 생각되는 조항입니다.
다만, 모의해킹 도구가 결국 공격 도구일텐데 이를 판매 또는 구매하는 경우와 공격을 위해 판매 또는 구매하는 경우를 어떻게 가려낼지 일부 조심스러운 부분이 남아있기는 합니다.

7. 법 제48조의4(침해사고의 원인 분석 등) 제2항 개정, 제3항 신설

법 제48조의4(침해사고의 원인 분석 등) 

② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 침해사고가 발생하면 그 침해사고의 원인을 분석하고 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 해당 정보통신서비스 제공자(공공기관등은 제외한다)에게 필요한 조치를 이행하도록 명령할 수 있다.
③ 과학기술정보통신부장관은 제2항에 따른 조치의 이행 여부를 점검하고, 보완이 필요한 사항에 대하여 해당 정보통신서비스 제공자에게 시정을 명할 수 있다.

침해사고 발생 시 과기부에서 피해 확산 방지, 사고대응, 복구 및 재발방지를 위한 대책을 이행하도록 명령할 수 있도록 권고에서 상향 조정되었습니다.
또한 과기부에서 조치 이행 여부를 점검하고 시정을 명할 수 있다는 내용이 신설되었습니다.
제3항 위반 시 3천만원 이하의 과태료가 부과됩니다.

사실상 이미 권고라고 하지만 규제기관의 권고는 명령과 크게 다르지 않은 수준으로 받아들여지고 있었기 때문에 크게 변화된 내용은 없다고 생각됩니다.