정보통신망법상접근통제와내부망에관한검토 * - 개인정보의기술적 관리적보호조치기준제4조제4항을중심으로 - A Study on the Definition of the Access Control & Internal Network 유대종 (Yu, Dae-Jong) **1) 목차 Ⅰ. 서론 Ⅱ. 정보통신망법상개인정보처리시스템과접근통제의개념 1. 개인정보처리시스템 (DBMS) 의개념 2. 개인정보처리시스템에대한접근통제와내부망 Ⅲ. 기술적 관리적보호조치기준제4조제4항의해석 1. 내부망과가설사설망 (VPN) 과의관계에관한검토 2. 기술적 관리적보호조치기준상 외부에서 의의미 Ⅳ. 결론 요 약 본논문은개인정보의기술적 관리적보호조치기준고시에서정하고있는접근통제항목의하나인개인정보취급자가외부에서의개인정보처리시스템접속에하는경우접속자인증방법에관해검토하고있다. 즉, 지리적으로떨어져있는접속지에서가설사설망 (VPN) 등전용선을이용하여 IDC에위치하고있는개인정보처리시스템이접속하는경우, 이러한두개의네트워크전체를하나의내부망으로보고외부에서의접속이아닌내부에서의접속으로해석되어야하는지, 아니면내부망 ( 접속지 ) 과내부 * 크리에이티브커먼즈저작자표시- 비영리- 변경금지 4.0 국제라이선스위조건을따르는경우에한해서저작물을복제, 배포, 전송할수있습니다. ** 선데이토즈법무팀장 / 법학박사
182 정보법학제 20 권제 2 호 망 (IDC) 간의네크워크연결임으로외부에서의접속으로해석되어야하는지검토하고있다. 개인정보의기술적 관리적보호조치기준고시는정보통신서비스제공자가정보통신망법또는서비스이용계약에따른개인정보의안전성확보에필요한보호조치를취하여야할법률상또는계약상의무를위반하였는지여부및해킹등침해사고당시사회통념상합리적으로기대가능한정도의보호조치를다하였는지여부를판단하는중요한기준임으로관련고시의명확한해석은정보통신서비스제공자에게개인정보의안전성확보를위한주의의무의정도를합리적예측가능하도록하는테두리를제공할수있을것이다. 주제어 접근통제, 내부망, 가설사설망 (VPN), 공중망, 개인정보처리시스템 Ⅰ. 서론 검색, SNS(Social Networking Service), 게임, 금융거래등인터넷을기반으로하는서비스는우리생활의필수적인요소로자리잡았고, 그에상응하여이러한서비스들의시스템을해킹하는사례는끊임없이발생하고있다. 1) 그러나이러한해킹사례들이사회적문제로논의되고있음에도불구하고해킹위험때문에인터넷의사용을포기하거나줄여야한다는주장은찾아보기힘들며, 인터넷의사회적유용성과필요성에대해서는어느누구도의문을제기하지않는다. 현대사회에서인터넷이차지하는영역과비중은계속적으로증가하여왔고, 개방과공유를본질로하는인터넷이사라지지않는한해킹위험또한계속하여증가할것이다. 따라서인터넷과연결된시스템에대한해킹을막기위한창 ( 해커 ) 과방폐 ( 정보통신서비스제공자 ) 와의대결은현재진행형이다. 2) 1) 한국인터넷진흥원에이메일등으로접수된국내소재시스템해킹피해건수는 2014 년상반기 8,078 건, 2014 년하반기 15,545 건, 2015 년상반기 5,188 건으로나타나고있다 (e- 나라지표, 해킹사고건수, http://www.index.go.kr/potal/main/eachdtlpagedetail.do?idx_cd=1363, 2016. 6. 28. 방문 ) 2) 해킹은인터넷상에서은밀히진행되고, 그목적이달성된이후에야침입사실이밝혀지는경우가대부분이다. 정보통시서비스제공자는해킹등침해사고로인해자신이쌓아온명성과신뢰에큰상처를입게될뿐만아니라, 서비스이용감소혹은가입자들의이탈에직면하게되는등서비스의뿌리가흔들릴수밖에없다. 이러한이유로정보통신서비스제공자도해킹등침해사고의피해자에해당한다는측면은누구도부정할수없을것이다. 이처럼해킹등침해사고는기존의불법
유대종 : 정보통신망법상접근통제와내부망에관한검토 183 정보통신서비스제공자가서비스이용자의개인정보를수집 이용등을위해준수해야하는규범인정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라한다 ) 은정보통신서비스제공자등이개인정보를취급하는경우개인정보의분실 도난 누출 변조또는훼손을방지하고, 개인정보안정성확보를위해시행령에서정하는기준에따라기술적 관리적조치를하도록하고있다. 또한, 정보통신서비스제공자가취해야하는개인정보안정성확보에관한상세한기준은하위법령에위임을하고있다. 3) 이러한위임에따라정보통신망법시행령제15조제1항은이러한기준을좀더구체적으로규정하고있으며, 동법시행령제 15조제6항에따라제정된방송통신위원회고시인개인정보의기술적 관리적보호조치기준고시 ( 이하 보호조치기준 라고한다 ) 4) 는시행령이정하고있는항목들을더욱세분화하여규정하고있다. 5) 보호조치기준제1조는 이기준은 ( 중략 ) 정보통신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실, 도난, 누출, 변조, 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적 관리적보호조치의최소한의기준 6) 을정하는것을 행위법이상정하고있는 가해자 vs. 피해자 구조가아닌 가해자 ( 해커 ) vs. 피해자 ( 개인정보가유출된회원 ) vs. 다른제3의피해자 ( 해킹을당한정보통신서비스제공자 ) 라고하는삼각구도를가진다는점에서, 기존의불법행위이론과는조금다른접근이필요하다고보여진다. 해킹사건에서의과실판단에관해서는권영준, 해킹 (hacking) 사고에대한개인정보처리자의과실판단기준, 저스티스 ( 제132호 ), 2012년 10월 ; 최호진, 해킹에의한개인정보유출과정보통신서비스제공자에대한손해배상책임에관한고찰 : SK컴즈사건을중심으로, 법조( 제63권제2호 ), 2014년 2월참조. 3) 정보통신망이용촉진및정보보호등에관한법률제28조및제45조참조. 4) 방송통신위원회고시제2015-03호. 5) 개인정보의기술적 관리적보호조치기준에서정하고있는사항들에대한보다구체적인조치들은 정보보호조치에관한지침 ( 미래창조과학부고시제2013-34호 ) 에반영되어있으며, 정보보호관리체계인증등에관한고시 ( 미래창조과학부고시제2016-38 호, 2016.4.8.) 에서는정보보호시스템을포함하여보다상세한조치들을규정하고있다. 6) 방통통신위원회는 2015. 5. 19일자로개인정보의기술적 관리적보호조치기준을개정하면서, 정보통신서비스제공자가준수하여야하는기술조치를 구체적인기준 을정하는것으로규정하였던목적조항을 최소한의기준 으로변경하였다. 따라서정보통신서비스제공자는개인정보의기술적 관리적보호조치기준에서정한보호조치사항을이행하여야할뿐만아니라사회통념상합리적으로기대가능한정도의보호조치를스스로판단하여적용하여야한다. 그러나개인정보의기술적 관리적보호조치기준이법령보충적행정규칙이라고볼때, 최소한의기준 은정보통신서비스관련환경이급격하게변화하고있는상황에서수범자인정보통신서비스제공자에게정보통신망법등관련법률의준수여부에대한예측가능성을부여하기보다는극도로불안정한
184 정보법학제 20 권제 2 호 목적으로한다. 고하고있다. 이러한고시의내용은그당시의기술적수준및기술도입을위해필요한비용과그효용등을종합적으로판단하여정해지고, 기술적수준등상황변화에맞추어수시로개정되고있다. 7) 보호조치기준은정보통신망법상정보통신서비스제공자의주의의무를보충하는행정규칙으로서, 정보통신서비스제공자가정보통신망법또는정보통신서비스이용계약에따른개인정보의안전성확보에필요한보호조치를취하여야할법률상또는계약상의무를위반하였는지여부및해킹등침해사고당시사회통념상합리적으로기대가능한정도의보호조치를다하였는지여부를판단하는중요한과실판단기준으로볼수있다. 8) 대부분의기업들은개인정보를보관하는서버등정보통신시스템을 IDC(Internet Data Center) 에두고인터넷서비스를제공하고있다. IDC는서버및통신장비관리를위한첨단의설비와보안체계, 네트워크로구성되어있어서비스관련장비운영을위한시설비용이나운영인건비절감등의경제적측면의이익이있으며, 전문적인관리서비스를받을수있어서비스의안정성과효율성을높일수있다. 이와같이, 기업의서버및통신장비등을 IDC에두고운영하는경우, 지리적으로떨어져있는사무실 ( 접속지 ) 에서 IDC의서버에접속하기위한전용망 ( 전용회선 ) 이나가설사설망 (Virtual Private Network, VPN) 9) 을구축하여이용하게된다. 그러나전용망 ( 전용회선 ) 과달리가설사설망 (VPN) 은공중망을이용하기때문에외부에서 IDC의서버에접속하는경우접속자에대한식별및인증을강화하는것이필수적이다. 지위에놓이게할개연성이높다고보여진다. 본논문은개인정보의기술적 관리적보호조치기준상의접근통제로그범위를한정하고, 최소한의기준 에관한해석에관해서는본논문의검토에서제외하기로한다. 7) 개인정보의기술적 관리적보호조치기준은 2008. 5. 19 제정된이래현재까지총 5 차례개정되었다. 8) 대법원 2015. 2. 12. 선고 2013 다 43994, 44003 판결. 9) 가설사설망 (Virtual Private Network) 이란인터넷 ( 공중망 ) 을활용하여특정사이트의개별망들을터널링및보안과정을통해암호화된패킷이나배타적인경로를구성하여하나의사설망처럼안전한통신을보장하는가상네트워크기술을말한다. ; 행정자치부 한국인터넷진흥원, 개인정보의안전성확보조치기준해설서 ( 이하 2015 년해설서 라한다 ), 2015 년 2 월, 43 면에서는가설사설망 (VPN) 을 개인정보취급자가사업장내의개인정보처리시스템에대해원격으로접속할때 IPsec 이나 SSL 기반의암호프로토콜을사용한터널링기술을통해안전한암호통신을할수있도록해주는보안시스템 으로설명하고있다. 가설사설망 (VPN) 과관련된구체적인사항은후술하기로한다.
유대종 : 정보통신망법상접근통제와내부망에관한검토 185 보호조치기준에서는기업들의이러한정보통신시스템운영형태를고려하여제 4조제4항에서기업내부가아닌 IDC 등외부에개인정보처리시스템을두고운영하는경우, 정보통신망을이용하여 외부에서 개인정보처리시스템에접속시 ID 및비밀번호를통한접속자인증외에공인인증서등안전한인증수단을적용하도록하고있다. 10) 그러나지리적으로떨어져있는사무실 ( 접속지 ) 과 IDC간을가설사설망 (VPN) 등전용선을이용하여상호네트워크를연결하는경우이러한접속방식을두개의네트워크전체를하나의내부망으로보고보호조치기준에서정하고있는 외부에서 의접속이아닌 내부에서 의접속으로해석해야하는지, 아니면내부망 ( 접속지 ) 과내부망 (IDC) 간의네크워크연결임으로외부 ( 접속지 ) 에서내부 (IDC) 로의접속즉, 외부에서 의접속으로해석해야하는지명확하지않다. 이에본논문은이와같이지리적으로떨어져있는두개의네트워크를가설사설망 (VPN) 등의전용선을이용하여접속하는경우두개의네트워크전체를하나의내부망으로해석할수있는지여부및보호조치기준에서의외부에서의의미에대해검토해보기로한다. Ⅱ. 정보통신망법상개인정보처리시스템과접근통제의개념 1. 개인정보처리시스템 (DBMS) 의개념개인정보란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보를말한다. 또한, 이러한당해정보만으로는특정개인을알아볼수없다하더라도다른정보와쉽게결합하여알아볼수있는경우에는그정보도개인정보에포함된다. 여기서, 쉽게결합하여 는결합대상이될정보의입수가능성이있어야하고, 결합가능성이높아야한다는것을의미한다. 입수가능성은두개이상의정보를결합하기위해결합에필요한정보에합법적으로접근 입수할수있어야하며, 해킹등불법적인방법으로취득한정보는포함되지않는다. 또한, 결합가능성 은합법적인방법으로정보를입수하여도현재의기술수준에비추어결합이사실상불가능하거나, 결합하는데비합리적인수준의비용이나노력이수반된다면결합가능성이 10) 개인정보처리시스템이위치하고있는내부에서개인정보처리시스템에접속하는경우에는 ID 및비밀번호만으로접속하는것은가능하다.
186 정보법학제 20 권제 2 호 용이하지않다고볼수있다. 따라서공유 공개될가능성이희박한정보는합법적입수가능성이없다고보아야하며, 일반적으로사업자가구매하기어려울정도로고가의컴퓨터가필요한경우라면쉽게결합하기어렵다고보아야한다. 11) 개인정보의주체가자신의개인정보에대해갖는권리를개인정보자기결정권이라고한다. 개인정보자기결정권은정보주체가자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리를말한다. 12) 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나개인적영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당된다고볼수있다. 그러나정보주체가직접또는제3자를통하여이미공개한개인정보는그공개당시정보주체가자신의개인정보에대한수집이나제3자제공등의처리에대하여일정한범위내에서동의를하였다고볼수있다. 따라서이미공개된개인정보를정보주체의동의가있었다고객관적으로인정되는범위내에서수집 이용 제공등을하는경우에는개인정보주체로부터별도의동의를받지않아도된다. 13) 헌법재판소는개인정보자기결정권을 헌법상기본권으로승인하는것은현대의정보통신기술의발달에내재된위험성으로부터개인정보를보호함으로써궁극적으로는개인의결정의자유를보호하고, 나아가자유민주체제의근간이총체적으로훼손될가능성을차단하기위하여필요한최소한의헌법적보장장치 라고볼수있다고하면서, 개인정보자기결정권의헌법상근거로는 헌법제17조의사생활의비밀과자유, 헌법제10조제1문의인간의존엄과가치및행복추구권에근거를둔일반적인격권또는위조문들과동시에우리헌법의자유민주적기본질서규정또는국민주권원리와민주주의원리등을고려할수있으나, 개인정보자기결정권으로보호하려는내용을위각기본권들및헌법원리들중일부에완전히 11) 국무조정실外관계부처, 개인정보비식별조치가이드라인, 2016. 6. 30, 55 면. 12) 2005. 5. 26. 99 헌마 513, 2004 헌마 190( 병합 ) 전원재판부. 13) 대법원 2016. 8. 17. 선고 2014 다 235080 판결.
유대종 : 정보통신망법상접근통제와내부망에관한검토 187 포섭시키는것은불가능하다고할것이므로, 그헌법적근거를굳이어느한두개에국한시키는것은바람직하지않은것으로보이고, 오히려개인정보자기결정권은이들을이념적기초로하는독자적기본권으로서헌법에명시되지아니한기본권이라고보아야할것이다. 라고하여정보주체의개인정보자기결정권은정보사회에서정보주체가영위하는헌법상기본권으로인정하고있다. 14) 또한, 개인정보가이미다수의기업에제공되었다하더라도기업은그제공된목적범위내에서만제공받은개인정보를사용해야한다. 따라서기업이자신이제공한개인정보를그제공목적범위외로사용하지못하도록할개인정보자기결정권은존재한다고보아야할것이다. 개인정보처리시스템은기업이개인들로부터수집한이름, 주소, 전화번호등개인정보를집합적으로처리할수있도록체계적으로구성한데이터베이스시스템 (Database Management System, DBMS) 을의미한다. 15) 그러나, 개인정보처리시스템을단순히기업이이용자로부터수집한개인정보들을집적해둔 DB서버로만으로한정할수는없을것으로보여진다. 개인정보처리시스템을 IDC에두는경우, 이를관리하는 DB관리자는자신의 PC에서개인정보처리시스템에접속할수있는원격데스크톱 16) 기능을이용하여개인정보처리시스템에접속하고, 데이터추출, OS 업데이트등관련작업을수행하게된다. 이러한원격데스크톱기능을제공하는서버 ( 서버의화면을그대로보고마우스와키보드로조작할수있는터미널서비스환경을제공하는서버 ) 는개인정보처리시스템에접속하는접속수단이아닌데이터추출, OS업데이트등실질적인작업명령을실행하는서버로서역할을수행하게됨으로이러한서버들은개인정보처리시스템과일체화된시스템이라고보아야하고, 별도의시스템으로분리하는것은타당하지않을것으로보여진다. 따라서개인정보처리시스템에접속하여작업을하기위한원격데스크톱기능을제공하는서버도개인정보처리시스템에포함되는것으로보아야할것이다. 그러나 DB응용프로그램이설치 운영되지않는 PC, 노트북과같은업무용컴퓨터는개인정보처리시스템에접속하기위한도구라고볼수있어개인정보처리시스템에포함되지않는다고보는것이타당하다고보여진다. 14) 헌법재판소 2005. 5. 26. 99 헌마 513, 2004 헌마 190( 병합 ) 전원재판부. 15) 개인정보의기술적 관리적보호조치기준 ( 방송통신위원회고시제 2015-3 호 ) 제 2 조제 4 호참조. 16) 컴퓨터환경에서프로그램들을먼거리의서버에서마치바로앞에서실행하는것처럼구동할수있게도와주는일종의소프트웨어나운영체제의한기능을가리킨다.
188 정보법학제 20 권제 2 호 2. 개인정보처리시스템에대한접근통제와내부망보호조치기준제4조에서는개인정보처리시스템에대한접근권한을서비스제공을위하여필요한개인정보관리책임자또는개인정보취급자에게만부여하고, 개인정보처리시스템에대한접근권한을설정할수있는개인정보취급자의컴퓨터등을물리적또는논리적으로망을분리하도록하고있다. 또한, 정보통신망을통한불법적인접근및침해사고방지를위해침입탐지및침입차단시스템을설치 운영하도록하고, 외부에서개인정보처리시스템에접근이필요한경우에는안전한인증수단을적용하도록하고있으며, 개인정보처리시스템에대한개인정보취급자의접속이필요한경우접속이필요한시간동안만접속하도록제한하고있다. 이와같이개인정보처리시스템에대한접근을통제하도록하는이유는비인가자에의한개인정보처리시스템의불법적인접근을차단하기위한것이다. 개인정보처리시스템에대한접근통제의출발은개인정보처리시스템에접근할수있는개인정보취급자의식별및인증이라고할수있다. 개인정보취급자의식별및인증은기본적으로개인정보처리시스템에대한접근권한을부여받은개인정보취급자의 ID( 식별수단 ) 와비밀번호 ( 인증수단 ) 를기반으로하게된다. 이때개인정보취급자의 PC 등접속단말기의 IP 또는 Mac주소등을이용하여접근권한을부여받은개인정보취급자및접속단말기만접근할수있도록하여야한다. 만약, 개인정보취급자가내부망이아닌외부망에서개인정보처리시스템에접근하는경우에는 ID 및비밀번호를통한개인정보취급자의식별및인증외에추가적인인증수단을적용하여야한다. 이와같이, 개인정보처리시스템에대한접근권한자를식별및인증을하는목적은접근권한자들에대한책임추적성을보장하기위한것이다. 개인정보보호법에따라제정된 개인정보의안전성확보조치기준 ( 이하 안정성확보조치기준 이라한다 ) 제2 조제10호는 내부망이란물리적망분리, 접근통제시스템 17) 등에의해인터넷구간에서의접근이통제또는차단되는구간 으로규정 18) 하면서, 내부망을 인터넷구간과물리적으로망이분리되어있거나, 비인가된불법적인접근을차단하는기능등을가진접근통제시스템에의하여인터넷구 17) 접근통제시스템이란침입차단시스템 ( 방화벽 ) 및침입탐지시스템 (Intrusion Detection System, IDS) 을의미하며, 침입차단시스템과침입탐지시스템이동시에구현된침입방지시스템 (IPS : Intrusion Prevention System) 도포함된다. 18) 개인정보의안전성확보조치기준 ( 행정자치부고시제 2014-7 호 ).
유대종 : 정보통신망법상접근통제와내부망에관한검토 189 간에서의직접접근이불가능하도록통제 차단되어있는구간 이라고설명하고있다. 19) 그러나정보통신망법에서는개인정보보호법과달리직접적으로내부망이라는개념을두고않고, 보호조치기준제2조제5호에서 외부인터넷망을통한불법적인접근과내부정보유출을차단하기위해업무망과외부인터넷망을분리하는망차단조치 를망분리라고정의하면서업무망과외부인터넷망이라는개념을사용하고있다. < 그림 1> 내부망구성도 1 20) < 그림 2> 내부망구성도 2 안정성확보조치기준에서사용하고있는 내부망 이라는개념을인트라넷 (Intranet) 이라는개념으로볼수있는지와관련하여, 인트라넷 (Intranet) 이란인터넷기술을응용하는기업내전용컴퓨터네트워크로기업의각종정보를표준화하여서버를통해서공유하는기업내인터넷이다. 인터넷표준통신규약인 TCP/IP를기반으로인터넷과동일한검색프로그램 ( 브라우저 ), 통신장비, 소프트웨어를사용하여서버를통해서이메일, 업무협의, 전자결재, 상품개발, 정보교환등을할수 19) 행정자치부 한국인터넷진흥원, 2015 년해설서, 21 면. 20) 상게서, 21 면.
190 정보법학제 20 권제 2 호 있다. 사용자는 ID와비밀번호가있어야접근이가능하고불법적인외부침입에의한기업내부정보의유출을방지하기위하여접속을제한하는침입차단시스템 (firewall) 이설치된다. 인트라넷의통신규약과정보검색프로그램이인터넷과동일하므로인트라넷의사용자는바로인터넷에접속하여정보를탐색할수있으므로인터넷내의작은인터넷이라고할수있다. 21) 22) 인트라넷을이와같이볼경우, 안전성확보조치기준제2조제10호에서의 내부망 은인트라넷 (Intranet) 이라고볼수있으며, 안정성확보조치기준의내부망개념과보호조치기준의망분리개념을종합적으로고려하면, 내부망이란접근통제시스템 ( 방화벽, IDS 등 ) 에의해공중망 ( 외부망 ) 에서직접적인접근이차단된정보통신서비스제공자의업무망이라고볼수있을것이다. 정보통신서비스제공자는개인정보취급자가공중망 ( 외부망 ) 에서내부망 ( 업무망 ) 으로접근하여개인정보처리시스템에접속할수있도록하는경우보호조치기준제4조제4항에따라접속자 ( 개인정보취급자 ) 에게 ID 및비밀번호를이용한인증외에공인인증서등안전한인증수단을추가로적용하여야한다. 즉, 개인정보취급자가개인정보처리시스템에접속하기위한 ID 및비밀번호로 1차적으로인증을하고, 이러한 1차인증을통과한접속자가진정한개인정보취급자인지를공인인증서등안전한인증수단을통해 2차적으로인증 (Two-Factor 인증 ) 을하여야한다. 이러한추가인증수단으로는공인인증서, 보안토큰, 휴대폰인증, 일회용비밀번호 (One Time Password, OTP), 바이오정보, IP인증등이가능하며, 추가인증수단들은 ID와 21) 인트라넷은 TCP/IP 가지원되는구내정보통신망 (LAN) 에연결된각종서버와사용자들의개인용컴퓨터 (PC) 나워크스테이션으로구성되며운영에필요한소프트웨어로는월드와이드웹 (WWW) 검색프로그램과각종정보관리프로그램이있다. 서버는기능에따라단순한문서교환용으로이메일서버, 뉴스서버, 웹서버등이있고전자결재등완전한인트라넷의구축을위해서는상거래용서버, 경영정보체계 (MIS), 전자자료교환 (EDI), 데이터베이스관리시스템 (DBMS) 등이필요하다 (TTA 용어사전, http://100.daum.net/encyclopedia/view/55xxxxxx3588, 한국정보통신기술협회 ). 22) 엑스트라넷 (extranet) 이란웹과같은인터넷기술을사용하여기업체내의각부문간에정보를공유하기위해구축된시스템이인트라넷 (intranet) 인데, 납품업체나고객업체등회사와관련있는기업체들과의원활한통신을위해인트라넷의이용범위를그들관련기업체간으로확대한것이다. 엑스트라넷은자기회사와관련기업체들간의업무를신속하고능률적으로처리하기위해그들관련기업이전자데이터교환 (EDI) 등의목적으로인트라넷에제한적으로접속하는것을허용한다. 구조적으로는인트라넷과동일하지만타기업의접속이허용되기때문에반드시적절한보안 (security) 기술을적용해야한다 (TTA 용어사전, http://100.daum.net/encyclopedia/view/ 55XXXXXX1572, 한국정보통신기술협회 ).
유대종 : 정보통신망법상접근통제와내부망에관한검토 191 비밀번호를이용하여식별및인증하는즉, 그사람이알고있는내용을사용하여인증하는것이아닌, 그사람이가지고있는것을통한인증에해당되어효과적인인증이가능하다고볼수있다. 23) Ⅲ. 기술적 관리적보호조치기준제 4 조제 4 항의해석 1. 내부망과가설사설망 (VPN) 과의관계에관한검토보호조치기준에서는개인정보처리시스템은이용자의개인정보가보관 처리되는중요시스템임으로침입차단및침입탐지기능을갖는시스템으로보호하도록하고있으며, 동일시스템으로보호되고있는내부네트워크에서접속하여업무를처리하도록하고있다. 또한, 사업환경에따라지리적으로떨어진지사나대리점등에서개인정보처리시스템에접속할경우공중망을이용하지않고전용망 ( 전용회선 ) 이나가설사설망 (VPN) 을이용하여내부네트워크처럼구성하여사용이가능하도록하고있다. 인터넷이공중망의백본 (backbone) 이되는네트워크로자리잡고보안기술이체계화됨에따라많은기업들이가설사설망 (VPN) 사용하고있다. 가설사설망 (VPN) 은정의그대로공중망을통해사설망과같은안전한통신채널을구축하는솔루션을의미한다. 가설사설망 (VPN) 에서의 Virtual( 가설 ) 이란물리적으로독립된네트워크자원보다는논리적으로구분된네트워크자원을사용하는것을의미하며, 사설망 (Private Network) 이란통신에참가하지않은장비는통신의내용을알수없을뿐아니라통신에참가하는장비조차그내용을알수없어야함을의미한다. 이는공중망과반대되는개념으로공중망은공개적으로접근이가능하지만, 사설망은이러한접근이제한받는것을의미한다. 결국, 가설사설망 (VPN) 이란공중망을이용해사설망 (Private Network) 과같은서비스를제공하는가상의보안사설망이라고볼수있다. 가설사설망 (VPN) 은공중망인인터넷을사용해사설망을구축할수있게해줌으로인터넷으로전용망 ( 전용회선 ) 을사용한것과동일한보안상의효과를볼수있다. 가설사설망 (VPN) 의핵심인보안을가능케하는기술에는인증 (Authentication), 23) 방송통신위원회 한국인터넷진흥원, 개인정보의기술적 관리적보호조치기준해설서 ( 이하 2010 년해설서 라한다 ), 2010 년 2 월, 47 면
192 정보법학제 20 권제 2 호 암호화 (Encryption), 터널링 (Tunneling) 등이있다. 인증은보안을수행해야하는가설사설망 (VPN) 에서가장필수적인것으로, 정보를주고받는양자의신원을확인하는것이다. 가설사설망 (VPN) 인증시스템은공유키를기반으로하는것이대부분이며, 키들은해시값을생성하는해싱알고리즘을통해실행된다. 24) 암호화는공중망을통해정보를전송시킬때전송되는정보를숨기는작업이다. 정보를숨기는것과숨겨진정보를풀어내는과정을통해데이터를주고받는양자가합의된규칙을따름으로써보안이이뤄진다. 터널링은네트워크상에서외부의영향을받지않고, 데이터전송의시작지점과목표지점에걸쳐가상터널을만들어정보를안전하게주고받을수있게하는것을의미한다. 터널을구성하는목적은네트워크상에터널과관련해상호약속된프로토콜로세션을구성하고외부사용자로부터이터널을보호하는것이다. <Secure Socket Layer(SSL) 가설사설망구성도 > < 전용망 ( 전용회선 ) 개념도 > < 가설사설망 (VPN) 전용선개념도 > 24) 인증에는 ⅰ) 사용자계정으로신분확인을하는사용자인증, ⅱ) IP 주소로확인하는클라이언트인증, ⅲ) 서비스포트로인증과정을거치는세션인증등이있다.
유대종 : 정보통신망법상접근통제와내부망에관한검토 193 일반적으로시스템사용자는식별과인증이라는보안정책에의해구분되어허용여부가결정된다. 식별과인증은시스템자원을보호하기위한가장기본적인접근통제수단이며, 보안정책은접근통제시스템의설계및관리를위한지침으로서어떤주체 (Who) 가언제 (When) 어디 (Where) 에서어떤객체 (What) 에대해행위 (How) 하는것을허용또는거부할것인지결정하는것이다. 25) 외부에서개인정보처리시스템접속시접속자에대한식별및인증수단으로 ID( 식별수단 ) 와비밀번호 ( 인증수단 ) 만을이용하는경우, ID와비밀번호만유출되어도개인정보처리시스템이위험에노출되게된다. 이러한이유로, 보호조치기준에서는가설사설망 (VPN) 을구성함에있어외부침입자가공중망인인터넷을통해개인정보처리시스템에접근이가능할수있음으로게이트웨이-to-게이트웨이 (Gateway to Gateway) 방식의가설사설망 (VPN) 을구성하는경우즉, 전용망 ( 전용회선 ) 방식으로구성하는경우가아닌게이트웨이-to-클라이언트 (Gateway to Client) 방식으로가설사설망 (VPN) 을구성하여운영하는경우에는개인정보취급자의 ID 및비밀번호이외에추가적인인증수단을적용하여보안성을높이도록하고있다. 외부에서개인정보처리시스템접속시단순히 ID와비밀번호만을식별및인증수단으로사용할경우, 키로깅등에의해 ID와비밀번호만유출되어도외부침입자에의해개인정보처리시스템이위험에노출될수있기때문이다. 추가인증수단으로는공인인증서, 보안토큰, 휴대폰인증, 일회용비밀번호 (One Time Password, OTP), 바이오정보, IP인증등을제시하고있다. 이러한추가인증수단들은 ID와비밀번호를이용하여인증하는즉, 그사람이알고있는내용을사용하여인증하는것이아닌, 그사람이가지고있는것을통한인증에해당되어효과적인이중인증이가능하다. 26) 보호조치기준제4조제6항에서는업무망과공중망을분리하도록있다. 27) 업무망과공중망을분리한취지는개인정보유출위험성이높은접근권한을가지고있는개인정보취급자의계정이해킹되어대량의개인정보유출사고가발생함에따라이러한유출사고를예방하기위한것이라고볼수있다. 망분리안내서에서는외부에서내부업무망에접근하는것은개인정보유출위험성이높으므로, IDC, 출장근무등외부에서내부업무망에접근하는것이반드시필요한경우에는안 25) 방송통신위원회 한국인터넷진흥원, 개인정보의기술적 관리적보호조치기준해설서 ( 이하 2012 년해설서 라한다 ), 2012 년 9 월, 40 43 면 ; 방송통신위원회 한국인터넷진흥원, 2010 년해설서, 44 47 면에서도동일하게설명하고있다. 26) 방송통신위원회 한국인터넷진흥원, 2010 년해설서, 47 면 27) 방송통신위원회고시 ( 제 2015-3 호 ) 제 4 조제 6 항참조.
194 정보법학제 20 권제 2 호 전한방법을사용하도록하면서, 외부에서내부망에접근하기위한방법으로외부접근이차단된전용망, 28) 가설사설망 (VPN) 전용선을사용하도록하고있다. 29) 또한, 정보보호관리체계 (Information Security Management System, ISMS) 30) 인증기준의통제분야중 원격운영관리 (11.2.5) 에서도내부네트워크를통하여정보시스템을관리하는경우특정단말에서만접근을할수있도록제한하고, 원격지에서인터넷등외부네트워크를통하여정보시스템을관리하는것은원칙적으로금지하고있다. 다만, 부득이한사유로인해허용하는경우에는정보보호최고책임자승인, 접속단말및사용자인증, 구간암호화, 접속단말보안 ( 백신, 패치등 ) 등의보호대책을수립하도록하고있다. 31) 전술한바와같이내부망이란접근통제시스템 ( 방화벽, IDS 등 ) 에의해공중망 ( 외부망 ) 에서직접적인접근이차단된정보통신서비스제공자의업무망이라고볼수있다. 이러한내부망은개인정보취급자가근무하는장소의내부망, 개인정보처리시스템이위치하고있는 IDC의내부망등접근통제시스템에의해접근을차단되는여러개의내무망들이존재하게되며, 이러한내무망을연결하는도구가가설사설망이라고볼수있다. 결국가설사설망은정토통신서비스제공자가운영하고있는상호분리된각각의내부망을연결하는도구라볼수있다. 2. 기술적 관리적보호조치기준상 외부에서 의의미전술한바와같이보호조치기준제4조제4항은 정보통신서비스제공자등은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속이필요한경우에는안전한인증수단을적용하여야한다. 고규정하고있으며, 개인정보처리시스템은개인정보를집합적으로처리할수있도록체계적으로구성한데이터베이스시스템을의미한다. 그러나 DB응용프로그램이설치 운영되지않는 PC, 28) 전용망은물리적으로공중망을통하지않고본사와외부지사를연결한통신망으로서외부인터넷에서의접근이차단된망이다. 29) 방송통신위원회 한국인터넷진흥원, 정보통신서비스제공자등을위한외부인터넷망차단조치안내서, 2013 월 2 월, 13 14 면. 30) 미래창조과학부고시 ( 제 2016-59 호 ) ; 정보보호관리체계 (ISMS) 는정보통신망에서개인정보보호활동을체계적이고지속적으로수행하기위하여필요한관리적 기술적 물리적보호조치를포함한종합적관리체계로서, 개인정보의기술적 관리적보호조치기준에서정하고있는사항들에대한구체적인이행조건들이모두반영되어있다. 31) 정보보호관리체계인증기준의원격운영관리 (11.2.5) 세부점검항목참조.
유대종 : 정보통신망법상접근통제와내부망에관한검토 195 노트북과같은업무용컴퓨터는개인정보처리시스템에포함되지않는다. 정보보호관리체계 (ISMS) 인증기준의사용자인증및식별항목에서는정보시스템 ( 네트워크장비, 서버, 응용프로그램, DB 등 ) 및정보보호시스템에대한접근은사용자인증, 로그인횟수제한, 불법로그인시도경고등안전한사용자인증절차에의해통제하여야하며, 공개인터넷망을통하여접속을허용하는주요정보시스템의경우 ID, 패스워드기반의사용자인증이외의강화된인증수단 (OTP, 공인인증서등 ) 적용을고려하도록하고있다. 32) 또한, 네트워크접근 (10.4.1) 항목에서도네트워크에대한비인가접근을통제하기위해필요한네트워크접근통제리스트, 네트워크식별자등에대한관리절차를수립하고서비스, 사용자그룹, 정보자산의중요도에따라내 외부네트워크를분리하도록하고있으며, 물리적으로떨어진 IDC, 지사, 대리점등과의네트워크연결시전용회선을구축하고전용선구축이불가능한경우에는가설사설망 (VPN) 등전용선을활용하여보안성을강화하도록하고있다. 33) 개인정보처리시스템이위치하고있는 IDC에접근할수있는방법으로는 1) PC 방, 집등과같이공중망을이용하여 IDC에접근하는방법 ( 이하 공중망접속방법 이라한다 ) 과 2) 네트워크보안장비 (IDS, 방화벽등 ) 가구축되어있는인트라넷환경에서전용선또는가설사설망 (VPN) 등을이용하여 IDC에접근하는방법 ( 이하 인트라넷접속방법 이라한다 ) 으로나누어볼수있다. 먼저, 공중망접속방법을이용하여개인정보처리시스템이위치하고있는 IDC에접근하는경우전송되는정보가암호화되어있지않거나네트워크상의영향을받아정보전송이안전하지않을수있어스니퍼 (Sniffer), 키로깅이가능한악성코드등을이용하여 ID 및비밀번호의탈취가상대적으로용이하고, 탈취한 ID와비밀번호만을이용하여개인정보처리시스템에접근이가능하다. 따라서이러한환경에서는비인가자의개인정보처리시스템접근위험을감소시키기위해 ID와비밀번호를통한접근권한자의식별 인증과더불어공인인증서등을활용한추가적인인증즉, Two-Factor 인증을하여야만비인가자의접근을차단하는것이용이하다. 그러나인트라넷접속방법은지리적으로떨어져있는네트워크간을안전하게연결하기위한접속수단 34) 인전용선또는가설사설망 (VPN) 을이용하여개인정보처 32) 정보보호관리체계인증기준의사용자인증 (10.3.1) 및사용자식별 (10.3.2) 세부점검항목참조. 33) 정보보호관리체계인증기준의네트워크접근 (10.4.1) 세부점검항목참조. 34) 행정자치부 한국인터넷진흥원, 2015 년해설서, 43 면에서도안정성확보조치제 5 조제 2 항을설
196 정보법학제 20 권제 2 호 리시스템에접근하는경우로서공중망접근방법에서발생할수있는위험이감소하게된다. 35) 또한, 인트라넷환경에서개인정보처리시스템이위치하고있는 IDC 에접근한다고하는것은지리적으로떨어져있는두개의내부망이라고하는네트워크를가설사설망 (VPN) 등의전용선을통하여연결함으로접속계정이스니핑등을통해탈취되는것을막을수있다. 인트라넷접속방법에서는개인정보취급자의근무지 ( 접속지 ) 의내부통신망, 서버및 PC 등과개인정보처리시스템이위치하고있는 IDC의내부통신망, 서버및 PC 등은정보통신서비스제공자가독점적으로보유및관리하고, 공중망으로부터비인가된불법적인접근을차단하기위하여접근통제시스템 ( 방화벽, IDS 등 ) 을설치하여외부로부터의접근을차단하거나제한하여보안을유지하고있어외부의제3자또는비인가자는접근이불가능하다. 따라서인트라넷접속방법은안정성확보조치기준제2조제10호에서정한내부망즉, 인터넷구간과물리적으로망이분리되어있거나, 비인가된불법적인접근을차단하는기능등을가진접근통제시스템에의하여인터넷구간에서의직접접근이불가능하도록통제 차단되어있는구간에해당된다고볼수있을것이다. 서울고등법원은네이트해킹사건 36) 에서 내부망이란인터넷구간과물리적으로망이분리되어있거나비인가된불법적인접근을차단하는기능등을가진접근통제시스템에의하여인터넷구간에서의직접접근이불가능하도록통제 차단되어있는구간으로정의하고있는사실, 사업환경에따라지리적으로떨어진지사나대리점등에서개인정보처리시스템에접속할경우공중망을이용하지않고전용회선이나가설사설망 (VPN) 을이용하여내부네트워크처럼구성하여사용할수있는사실, 이러한가설사설망 (VPN) 은두곳의전산설비사이를물리적으로직접연결하지않고일반공중망을통하여연결하지만거기에암호프로토콜을사용한터널링기술을적용하여외부로부터의침 명하면서, 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단하여야한다. 다만개인정보처리자가외부망을통해개인정보처리시스템에접속이필요한경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등의안전한접속수단을적용하여야한다. 라고하여가설사설망 (VPN) 은외부망에서내부망의개인정보처리시스템에접속하기위한수단으로설명하고있다. 35) 가설사설망 (VPN) 등전용선을이용하여개인정보처리시스템에접근하게하는경우에도개인정보취급자의 PC 가악성코드에감염되어인증및식별수단인 ID 및비밀번호가탈취될가능성은존재하기때문에그러한위험이감소된뿐완벽한안전성은보장되지않는다. 36) 서울고등법원 2015. 3. 20. 선고 2013 나 20047 판결.
유대종 : 정보통신망법상접근통제와내부망에관한검토 197 입을차단함으로써논리적으로전용의상태를만들어주는기능을하는사실을인정할수있는바, 위인정사실에의하면장소적으로떨어져있는두개의전산네트워크사이를가설사설망 (VPN) 등의전용선을통하여연결하고있으면이네트워크전체를하나의내부망으로볼수있다. 고하여, 인트라넷접속방법으로개인정보처리시스템에접속하는것은외부에서의접근이아닌내부에서의접근으로보았다. 전술한개인정보처리시스템및정보보호관리체계 (ISMS) 인증기준세부검검항목을고려하여개인정보처리시스템에접속하는장소적개념에서개인정보처리시스템을해석한다면, 보호조치기준제4조제4항에서의 외부에서 의의미는 IDC 내에서개인정보처리시스템에접속하는경우즉, 내부망을통해접속하는경우를제외하고는모두외부에서개인정보처리시스템에접근하는것으로해석할수도있을것이다. 그러나이와같이 외부에서 의의미를문리적으로해석하게되는경우개인정보를포함한정토통신망안정성확보를위해두고있는정보보호조치에관한지침, 정보보호관리체계인증등에관한고시규정들과정합성을유지하는것이어렵다고보여진다. 따라서공중망으로부터비인가된불법적인접근을차단하기위하여접근통제시스템 ( 방화벽, IDS 등 ) 을설치하여외부로부터의접근을차단하거나제한하는보안조치를취하고있는두개의내부망을가설사설망 (VPN) 등전용선을이용하여접근하는경우하나의네트워크로보아 외부에서 의접근이아닌내부에서의접근즉, 내부망에서의접근으로해석하는것이개인정보의안정성확보를위한고시들간의정합성을유지할수있는해석이라고생각된다. Ⅳ. 결론 정보통신환경은계속하여변화하고정보통신서비스제공자는변화하는인터넷환경에서자신이제공하는서비스의경쟁력을위해다양한방식으로서비스를구현하기하고, 서비스관련시스템을이에최적화되도록구축하거나개선하게된다. 정보통신서비스제공자는이러한시스템을구축 개선함에있어보호조치기준에서정한기준에따라시스템을설계하게되나, 개인정보보호의안정성확보를위한보호조치기준과정보보호관리체계인증기준등의내용들은기술적으로복잡하면서도기술발전에따라지속적으로개정되는특성을가지고있다. 이러한특성으로인하여정보통신서비스제공자가개인정보보호를위해갖추어야할보호조치
198 정보법학제 20 권제 2 호 사항은매우상세하게규정되어있다. 이와같이정보통신망법및그하위법령에서개인정보보호의안정성확보를위한상세한규정을둔취지는계속적으로변화하는정보통신환경에서정보통신서비스제공자로서준수하여야하는주의의무와과실기준을상세히정하는것이수범자의예측가능성을높일수있기때문이라고볼수있을것이다. 만약고의또는과실의기준이명확하지않고사후적으로주관적판단에따라다르게판단될수있다면, 정보통신서비스제공자들은각자의판단에따라서로다른개인정보보호를위한조치를취하게되고, 그럴경우한편으로는개인정보보호에필요한정도에미치지못하는정도의조치를취하는정보통신서비스제공자에대한해킹등침해사고발생위험은더높아지고그에따라개인정보유출의위험도커지게될것이다. 따라서정보통신서비스제공자가개인정보의안전성확보를위한주의의무는합리적기대가능성이라는테두리안에서인정되어야한다. 정보통신서비스제공자가어떠한보안조치를취하지않은사실및그것이해킹등침해사고의원인이된사실이확인되더라도그자체로주의의무위반이성립되는것이아니라그러한보안조치를취하는것이합리적으로기대가능한지여부도과실여부를판단함에있어고려되어야한다. 그리고명확하고예측가능한기준에의할때라야비로소과실책임주의의중요한기능중하나인예방적기능을수행할수있다는점을감안하면더욱그러할것이다. * 논문최초투고일 : 2016 년 7 월 4 일 ; 논문심사 ( 수정 ) 일 : 2016 년 8 월 20 일 ; 논문게재확정일 : 2016 년 8 월 26 일
유대종 : 정보통신망법상접근통제와내부망에관한검토 199 참고문헌 구태언, 네이트손해배상판결의분석과전망, 2013년 Concert 세미나자료, 2013년 3월 20일. 권영준, 해킹 (hacking) 사고에대한개인정보처리자의과실판단기준, 저스티스( 제 132호 ), 2012년 10월. 박상철, 정보보안의법적규율, 개인정보보호의법과정책 ( 고학수편 ), 박영사, 2014년. 변무웅, 행정규칙특히고시의법적성격, 법과정책연구 ( 제10집제1호 ), 2010 년 4월. 이인호, 개인정보보호법상의개인정보개념에대한해석론, 정보법학( 제19권제1호 ), 2015년 5월. 전원열, K&C 수행개인정보사건최근판결들의시사점 ( 옥션및 SK컴즈사건을중심으로 ), Privacy Global Edge 2015 발표자료, 2015년 4월 10일. 최호진, 해킹에의한개인정보유출과정보통신서비스제공자에대한손해배상책임에관한고찰 : SK컴즈사건을중심으로, 법조( 제63권제2호 ), 2014년 2월. 국무조정실外관계부처, 개인정보비식별조치가이드라인, 2016년 6월. 방송통신위원회 한국인터넷진흥원, 개인정보의기술적 관리적보호조치기준해설서, 2010년 2월. 방송통신위원회 한국인터넷진흥원, 개인정보의기술적 관리적보호조치기준해설서, 2012년 9월. 방송통신위원회 한국인터넷진흥원, 정보통신서비스제공자등을위한외부인터넷망차단조치안내서, 2013년 2월. 행정자치부 한국인터넷진흥원, 개인정보의안전성확보조치기준해설서, 2015 년 2월. Committee on National Security Systems, National Information Assurance(IA) Glossary, CNSS Instruction No. 4009, 26 April 2010.
200 정보법학제 20 권제 2 호 Abstract This paper, we review whether such access method is subject to access control established by that Guidelines for Technical and administrative of personal information protection. In addition, the review will be compared with those matters that are defined in Guidelines for Technical and administrative of personal information protection, Information protection guidelines and Information Security Management System Certification Criteria. This study specifically examines matters that Guidelines for Technical and administrative of personal information protection applicable to access to personal data management system which geographically using a VPN in the internal network. Keywords: Internal Network, Private Network, Virtual Private Network(VPN), Public Network, Acess Control, Personal Data Management System.