개인정보의 안전성 확보조치 기준이 개정되었습니다.
크게 두가지 변경사항을 살펴볼 수 있을 것 같습니다.
첫번째는 망분리의 완화인데요
제6조(접근통제) 제6항의 인터넷망 차단조치 조항을 제6조의2(인터넷망의 차단 조치 등)을 신설해 옮겼습니다. 사실상 망분리 대상에는 변경이 없습니다. 다만, 제6조의2 제2항을 신설해 민감정보와 필수 암호화 대상 정보를 제외한 정보를 다운로드하거나 파기하는 컴퓨터는 위험분석 결과에 따라 제외할 수 있게 했습니다.
두번째는 대량의 접속실패 시 제한조치나 안전한 인증수단 등 다수의 기술적 조치가 개인정보취급자를 대상으로 적용이 되어 왔으나 그 대상이 "개인정보취급자"가 아닌 "개인정보처리시스템에 대한 정당한 접근권한을 가진 자"로 확대되었습니다. 이에 따라 오픈마켓 등 개인정보취급자는 아니지만 개인정보를 처리하는 자에 대해 일정 횟수 이상 인증 실패 시 차단조치나 안전한 인증수단 적용, 접속기록 보관 등의 조치를 취해야 합니다. 다만, 이 부분은 상당량의 개발이 필요한 영역으로 1년 후 시행됩니다.
개정된 개인정보의 안전성 확보조치 기준 PDF 버전입니다.
개인정보의 안전성 확보조치 기준(개인정보보호위원회고시)(제2025-9호)(20251031).pdf
0.11MB
[별표] 위험을 감소시킬 수 있는 보호조치 예시 (제6조의2 관련)(개인정보의 안전성 확보조치 기준).pdf
0.06MB
개인정보의 안전성 확보조치 기준 시행일자별 신구대조표입니다.
노란색으로 칠해진 셀이 변경사항이 있는 셀입니다.
개인정보의 안전성 확보조치 기준 신구대조표.pdf
0.21MB
조항별로 설명드리겠습니다.
1. 제2조(정의) 제8호
| 개정 전 | 8. "비밀번호"란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. |
| 개정 후 | 8. "비밀번호"란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. |
| 사실상 변경된 사항은 없습니다. 애초에 비밀번호는 식별의 역할이 아닌 인증의 역할을 하는 장치로 잘못된 용어가 바로잡힌게 아닐까 싶습니다. | |
2. 제4조(내부 관리계획의 수립ㆍ시행 및 점검) 제1항 제12호, 13호 신설 ※2026년 10월 31일 시행
| 개정 전 | ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. |
| 개정 후 | ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. 12. 출력ㆍ복사시 안전조치에 관한 사항 13. 개인정보의 파기에 관한 사항 |
| 개인정보내부관리계획에 신설된 두개 항목에 관한 내용이 추가되어야 합니다. 신설된 두가지 항목의 구체적인 내용은 이미 개인정보의 안전성 확보조치 기준 제12조와 제13조에 있는 내용이고 이를 내부관리계획에 반영하라는 것 뿐이다보니 대부분의 기업에서는 개인정보보호지침이든 내부관리계획이든 갖고계시지 않을까 싶습니다. |
|
3. 제5조(접근 권한의 관리) 제1항, 제6항 개정 ※2026년 10월 31일 시행
| 개정 전 | ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
| 개정 후 | ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
| 개인정보처리시스템에 접근해 개인정보를 처리할 수 있는 자가 개인정보취급자와 정보주체만 있는 것은 아닙니다. 여러 협력사가 있을 것이고 오픈마켓의 경우 판매자 역시 타인의 개인정보를 처리하지만 개인정보취급자나 정보주체의 범위에 들어가지 않습니다. 그러다보니 개인정보를 보호하는데 있어 헛점이 생길 수밖에 없는 상황이었습니다. 이 부분을 보완하기 위해 접근권한 관리 대상을 기존 개인정보처리자의 지휘를 받는 개인정보취급자에서 모든 정당한 권한을 가진자로 확대하였습니다. 본 내용은 이미 대다수의 기업에서는 잘 지켜지고 있으리라 생각합니닫. 특히 확대된 개인정보취급자가 아닌 제3자의 접근권한을 과도하게 주는 경우는 거의 없을 것이라고 생각합니다. 하지만 개정사항이 있는 만큼 이 기회에 모든 접근권한을 다시한번쯤 검토해보는 것도 좋으리라 생각됩니다. |
|
4. 제6조(접근통제) 제2항 개정 ※2026년 10월 31일 시행
| 개정 전 | ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
| 개정 후 | ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
| 개인정보처리시스템에 접근해 개인정보를 처리할 수 있는 자가 개인정보취급자와 정보주체만 있는 것은 아닙니다. 여러 협력사가 있을 것이고 오픈마켓의 경우 판매자 역시 타인의 개인정보를 처리하지만 개인정보취급자나 정보주체의 범위에 들어가지 않습니다. 그러다보니 개인정보를 보호하는데 있어 헛점이 생길 수밖에 없는 상황이었습니다. 이 부분을 보완하기 위해 접근권한 관리 대상을 기존 개인정보처리자의 지휘를 받는 개인정보취급자에서 모든 정당한 권한을 가진자로 확대하였습니다. 본 내용은 이미 대다수의 기업에서는 잘 지켜지고 있으리라 생각합니닫. 특히 확대된 개인정보취급자가 아닌 제3자의 접근권한을 과도하게 주는 경우는 거의 없을 것이라고 생각합니다. 하지만 개정사항이 있는 만큼 이 기회에 모든 접근권한을 다시한번쯤 검토해보는 것도 좋으리라 생각됩니다. |
|
5. 제6조(접근통제) 제6항 삭제 및 제6조의2(인터넷망의 차단 조치 등) 신설
| 개정 전 | 제6조(접근통제) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. |
| 개정 후 | 제6조의2(인터넷망의 차단 조치 등) ① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자 2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자 ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다. 1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우 2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다. |
| 인터넷망 차단 대상의 조건이 완화되었습니다. 1항의 내요은 기존 제6조 제6항의 내용에서 변경된 것이 없습니다만 2항을 신설하면서 망분리 완화 조건을 추가했습니다. 개인적으로 망분리가 분명 보안에 효과적인 부분이 있었겠지만 일률적인 규제로 필요한 과도한 불편함이 분명 있었다고 생각합니다. 이제 위험 분석 결과에 따라 민감정보와 법령에 따른 암호화 대상 정보가 아닌 이상 인터넷망에서 접근이 가능해 졌습니다. 물론 그동안 망분리를 핑계로 방치해오던 위험이 있다면 보완해야겠죠 |
|
제8조(접속기록의 보관 및 점검) 제1항, 제2항 ※2026년 10월 31일 시행
| 개정 전 | ① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. |
| 개정 후 | ① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. |
| 본 조에서는 두가지 변경사항이 있습니다. 첫번째로 접속기록 보관 대상인데요 기존 접속기록 보관대상은 개인정보취급자로 한정되었습니다. 오픈마켓 같은 중개업체의 경우 판매자가 구매자의 정보를 열람할 수 있죠. 이 경우 기존에는 판매자는 개인정보취급자가 아니기 때문에 판매자의 접속기록은 보관 대상이 아니었습니다. 이 부분이 금번 개정으로 인해 보관 대상으로 확대되었습니다. 개발이 필요한 만큼 1년 후 시행이기는 합니다만 빨리빨리 준비해야겠네요 두번째로 접속기록의 점검입니다. 기존 접속기록은 월 1회 이상으로 의무화 되어 있었고 다운로드는 반드시 사유를 확인해야 했습니다. 하지만 월 1회라는 규제가 있다보니 '이상'이라는 표현이 있더라도 대부분 월1회로 고정하고 있었습니다. 하지만 서비스에 따라 주1회로 타이트하게 관리해야 하는 서비스가 있는 반면 분기 정도로 관리해도 괜찮은 시스템이 있죠 그렇기 때문에 스스로 결정하고 따르도록 개인정보처리자의 결정권을 높여주었습니다. 접속기록에 대해 참 오랜 시간 고민을 해왔고 계속 고민을 하고있는 저로서는 월 1회 점검은 이상행위를 발견하기에는 너무 긴 텀이라고 생각하기도 하고 특히 소명이 필요한 사안에 대해 대부분 기억을 못하는 만큼 왠만한 개인정보처리시스템은 좀 더 타이트하게 관리해야 한다고 생각합니다. |
|
'보안 이야기 > 법령 살펴보기' 카테고리의 다른 글
| 정보통신망법개정내역 살펴보기(240724, 240814 시행) (0) | 2024.08.12 |
|---|---|
| 2024년 9월 15일 시행령 개정에 따른 개인정보보호법 변경사항 (0) | 2024.05.14 |
| 개인정보의 안전성 확보조치 기준 개정안 검토내역 (0) | 2023.09.24 |
| 개인정보의 안전성 확보조치 기준 개정고시안 (0) | 2023.08.02 |
| 개인정보보호법 개정안(2021년 1월 6일) (0) | 2021.01.19 |
ligilo
행복한 하루 되세요~