개인정보의기술적 관리적보호조치기준해설서 2017. 12.
Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 2. 법적근거 3. 제 개정연혁 4. 신 구조문대비표 - 1 -
Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 - 2 -
2. 법적근거 정보통신망법 제 28 조 ( 개인정보의보호조치 ) 제 64 조의 3( 과징금의부과등 ) 제 73 조 ( 벌칙 ) 제 76 조 ( 과태료 ) - 3 -
정보통신망법시행령 제 15 조 ( 개인정보의보호조치 ) - 4 -
- 5 -
3. 제 개정연혁 - 6 -
4. 신 구조문대비표 - 7 -
- 8 -
- 9 -
- 10 -
- 11 -
Ⅱ. 개인정보의기술적 관리적보호조치기준 전문 - 12 -
Ⅱ. 개인정보의기술적 관리적보호조치기준 전문 개인정보의기술적 관리적보호조치기준 제 1 조 ( 목적 ) 제 2 조 ( 정의 ) - 13 -
제 3 조 ( 내부관리계획의수립 시행 ) - 14 -
제 4 조 ( 접근통제 ) - 15 -
제 5 조 ( 접속기록의위 변조방지 ) 제 6 조 ( 개인정보의암호화 ) - 16 -
제 7 조 ( 악성프로그램방지 ) 제 8 조 ( 물리적접근방지 ) 제 9 조 ( 출력 복사시보호조치 ) - 17 -
제 10 조 ( 개인정보표시제한보호조치 ) 제 11 조 ( 규제의재검토 ) 부칙 부칙 부칙 부칙 부칙 - 18 -
Ⅲ. 개인정보의기술적 관리적보호조치기준 해설 제 1 조 ( 목적 ) 제 2 조 ( 정의 ) 제 3 조 ( 내부관리계획의수립 시행 ) 제 4 조 ( 접근통제 ) 제 5 조 ( 접속기록의위 변조방지 ) 제 6 조 ( 개인정보의암호화 ) 제 7 조 ( 악성프로그램방지 ) 제 8 조 ( 물리적접근방지 ) 제 9 조 ( 출력 복사시보호조치 ) 제10조 ( 개인정보표시제한보호조치 ) 제11조 ( 규제의재검토 ) - 19 -
Ⅲ. 개인정보의기술적 관리적보호조치기준 해설 제 1 조목적 제1조 ( 목적 ) 이기준은 정보통신망법 제 28 조제 1 항및같은법시행령제 15 조제 6 항에근거한다. - 20 -
정보통신망법 제 28 조 ( 개인정보의보호조치 ) 정보통신망법시행령 제 15 조 ( 개인정보의보호조치 ) - 21 -
이기준은개인정보를처리하는정보통신서비스제공자등 ( 법제67조에따라준용되는자를포함한다.) 에게적용된다. - 정보통신서비스제공자 : 전기통신사업법 에의한전기통신사업자 ( 기간 별정 부가통신사업자 ) 및영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말한다. 참고 영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자 : 인터넷홈페이지등을이용하여정보및서비스를제공하는자를의미하며, 보통영업행위를하는주체가홈페이지를개설하고회원가입을받을때에는모두적용대상이된다. ( 영리를목적 은자기또는제3자의재산적이익을얻기위한목적을말하는것으로해석하고있으며여기서의이익은계속적, 반복적일필요가없다.) - 22 -
- 정보통신서비스제공자로부터이용자의개인정보를제공받은자 : 정보통신망법 제 24 조의 2 제 1 항에따라사전에이용자로부터제 3 자제공에동의를받고정보통신 서비스제공자로부터개인정보를제공받은자를말한다. 제 25 조 ( 개인정보의처리위탁 ) 제 24 조의 2( 개인정보의제공동의등 ) 제 22 조 ( 개인정보의수집 이용동의등 ) - 방송사업자 : 정보통신망법 제 67 조제 1 항에따라제 28 조등 ( 제 4 장 ) 을준용한다. - 수탁자 : 정보통신망법 제 67 조제 2 항에따라제 28 조등을준용한다. 정보통신망법 제 67 조 ( 방송사업자에대한준용 ) - 23 -
참고 기준 적용 대상자 정보통신서비스제공자등 기간통신사업자음성 데이터등의송 수신, 주파수정 ( 전기통신사업법할당 제공, 전기통신회선설비임대역무등보제5조제1항 ) 통별정통신사업자기간통신사업자의전기통신회선설비전기통신신 ( 전기통신사업법등을이용한기간통신역무제공, 사업자서제19조 ) 구내전기통신역무제공등 비부가통신사업자기간통신사업자의전기통신회선설비를임차하여스 ( 전기통신사업법기간통신역무외의전기통신역무제공등제21조 ) 제공자 영리를목적으로전기통신사업자의전기통신역무를이용해정보를제공하거나매개하는자 인터넷홈페이지등을운영하는영리를목적으로하는사업자등 정보통신서비스제공자로부터법업무제휴등을위해이용자의동의를제24조의2제1항에따라이용자의얻어개인정보를제공받은자등동의를얻어개인정보를제공받은자 시청자의개인정보를수집 이용또는방송사업자제공하는자등 ( 정보통신망법제67조제1항 ) (IPTV 사업자는직접적용 ) 수탁자수탁자는법제28조의기술적 관리적 ( 정보통신망법제25조제1 항, 제67조제2 항 ) 보호조치규정을준용등 다른법률에서이법의적용을받는자 다른법률에서특별히규정된때등 - 이외, 다른법률에서 정보통신망법 의관련규정을준용할것을명시할때에는 이기준이적용된다. 다른법률에서준용하는경우 ( 예시 ) 인터넷주소자원에관한법률 ( 제15조 ) 장애인차별금지및권리구제등에관한법률 ( 제22조 ) 전자문서및전자거래기본법 ( 제12조 ) 인터넷주소관리기관등은 정보통신망법 제28조등관련규정을준용장애인의개인정보관리시 개인정보보호법 및 정보통신망법 등관련규정을준용전자거래사업자가전자거래이용자의개인정보를관리하는경우 정보통신망법 등관련규정을준수 - 24 -
정보통신서비스제공자등의스스로의환경에맞는개인정보보호조치에관한 기준을 최소한의기준 으로정함을원칙으로한다. - 정보통신서비스제공자등이개인정보를처리할때에는개인정보가분실 도난 유출 위조 변조또는훼손등이되지않도록기술적 관리적및물리적보호조치에관한 최소한의기준을준수하여야한다. - 정보통신서비스제공자등은사업규모, 서비스의유형, 개인정보보유수, 처리하는 개인정보의유형및중요도, 개인정보를처리하는방법및환경, 보안위험요인등을 고려하여스스로의환경에맞는개인정보보호조치기준을수립하고시행하여야한다. 정보통신서비스제공자등이이기준을준수하지않은경우에는 정보통신망법 의 관련규정에따라제재받을수있다. 정보통신망법 제64조의 3( 과징금의부과등 ) 제73조 ( 벌칙 ) 제76조 ( 과태료 ) - 25 -
정보통신서비스제공자등이개인정보를처리할때에는개인정보의분실 도난 유출 위조 변조 또는훼손을방지하고개인정보의안전성확보를위하여필요한보호조치를하여야한다. 개인정보의안전성확보를위하여필요한개인정보보호조치기준은다음과같은 사항등을고려하여수립하여야한다. - 이기준에서정하는기술적 관리적및물리적보호조치에관한사항은모두 포함하여야한다. - 사업규모, 서비스의유형, 개인정보보유수, 처리하는개인정보의유형및 중요도, 개인정보를처리하는방법및환경, 보안위험요인등을고려하여스스로의 환경에맞는개인정보보호조치기준을수립하여야한다. 개인정보보호조치기준 ( 예시 ) 이기준에서최소한으로정하는수준이상의기술적 관리적및물리적보호조치 * 비밀번호에유효기간을설정하여반기별 1회이상변경 분기별 1회이상변경 그밖에개인정보보호를위해필요한사항 * 웹해킹위험이높은경우에는웹방화벽을도입하고정책설정, 이상행위대응등운영 관리에관한사항등을수립등 정보통신서비스제공자등은수립한개인정보보호조치기준에따라시행하여야한다. 참고 이기준제 1 조제 2 항의 개인정보보호조치기준 은제 3 조제 3 항에따른 내부관리계획 에 포함하여수립 시행하도록한다. - 26 -
제 2 조정의 제2조 ( 정의 ) - 27 -
정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의 고충을처리하기위하여개인정보관리책임자를지정요건에맞게지정하고, 법률에따라 업무를수행하도록보장하여야한다. 참고 개인정보관리책임자의자격요건및지정등에관한사항은이기준제 3 조제 1 항해설에서 보다자세하게확인할수있다. - 28 -
정보통신망법시행령 ( 제15조제1항 ) 개정 (2016.9.22.) 으로개인정보취급자의정의가 정보통신서비스제공자의지휘 감독을받아이용자의개인정보를처리하는자 로개정된바, 이를따른다. - 지휘 감독 : 조직 인사상의지휘 감독뿐만아니라, 개인정보처리또는시스템등과관련된정책상의지휘 감독을포함할수있다. - 처리 : 개인정보를수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말한다.( 법시행령제14조제1항개정, 2016.9.22.) - 개인정보취급자는근로형태를불문하며, 이용자의개인정보를처리한다면정규직, 비정규직, 파견직, 시간제근로자등이모두이에해당한다. 또한고용관계가없더라도실질적으로정보통신서비스제공자의지휘 감독을받아이용자의개인정보를처리하는자도개인정보취급자에포함된다.( 예시 : 이동통신사영업점, 오픈마켓판매자등 ) 참고 개인정보취급자의역할및책임등에관한사항은이기준제 3 조제 1 항해설에서보다자세하게 확인할수있다. 내부관리계획이란정보통신서비스제공자등이개인정보의분실 도난 유출 위조 변조 또는훼손을방지하고개인정보의안전성확보를위하여필요한사항등을규정한 계획, 지침등을말한다. - 29 -
여기서말하는데이터베이스시스템이란일반적으로데이터가저장되는데이터베이스 (DB) 와데이터베이스내의데이터를처리할수있도록해주는데이터베이스관리 시스템 (DBMS), 응용프로그램등이통합된것을의미한다. 따라서개인정보처리시스템에는개인정보가저장되는데이터베이스 (DB), 데이터베이스를생성하고관리하는데이터베이스관리시스템 (DBMS), 데이터베이스를용이하게이용하는데필요한응용프로그램등데이터베이스시스템의구성요소가모두포함된다. 개인정보처리시스템은정보통신서비스제공자등의개인정보처리방법, 시스템구성 및운영환경등에따라달라질수있다. 개인정보처리시스템 ( 예시 ) 데이터베이스를구성 운영하는시스템그자체 응용프로그램 (Web 서버, WAS 등 ) 등을데이터베이스의개인정보를처리할수있도록구성한때 개인정보의처리를위해파일처리시스템으로구성한때등 업무용컴퓨터, 노트북등도데이터베이스관련응용프로그램이설치 운영되어개인정보 취급자가개인정보를처리할수있도록구성되었다면개인정보처리시스템에해당될수있다. 망분리는정보통신서비스제공자등이개인정보를처리하는과정에서의외부와의 접점을차단하여외부로부터들어오는공격이나, 내부에서외부로의개인정보유출 등을차단하기위한조치를말한다. - 30 -
망분리는업무망과외부인터넷망에속하거나접근하는컴퓨터를각각분리하여두영역이서로접근할수없도록하는것으로일반적으로다음과같이구분할수있으며기술발전에따라확대될수있다. - 물리적망분리 : 통신망, 장비등을물리적으로이원화하여인터넷접속이불가능한컴퓨터와인터넷접속만가능한컴퓨터로분리하는방식이다. - 논리적망분리 : 물리적으로하나의통신망, 장비등을사용하지만가상화등의방법으로내부업무영역과인터넷접속영역을분리하는방식이다. 참고 불법적인접근 : 인가되지않은자 ( 내 외부자모두포함 ) 가사용자계정탈취, 자료유출등의목적으로개인정보처리시스템, 개인정보취급자의컴퓨터등에접근하는것을말한다. 식별자는정보주체식별을위한목적으로사용되는 ID, 사용자이름, 사용자계정명 등을말한다. 문자열은영대문자 (A~Z), 영소문자 (a~z), 숫자 (0~9), 특수문자 (~,!, @ 등 ) 을말한다. 타인에게공개되지않은정보의의미는타인이비밀번호를파악할수있도록관리되어서는 안된다는것이다. 이는본인이외의내부직원또는비인가자나공격자등이개인정보처리 시스템등에접속하여개인정보를유출하는등불법행위가가능하기때문이다. - 31 -
접속기록은이용자와개인정보취급자등의접속기록을모두포함한다. 식별자는개인정보처리시스템에접속한자를식별할수있도록부여된 ID 등을말한다. 접속일시는개인정보처리시스템에접속한시점또는업무를수행한시점 ( 년 - 월 - 일, 시 : 분 : 초 ) 을말한다. 접속지를알수있는정보는개인정보처리시스템에접속한자의컴퓨터또는서버의 IP 주소등을말한다. 수행업무는이용자또는개인정보취급자가개인정보처리시스템을이용하여수행한업무를알수있는정보를말한다. - 이용자측면에서는자신의개인정보조회, 수정, 탈퇴등을한내용을알수있는정보를말한다. - 개인정보취급자측면에서는개인정보처리시스템에서처리 ( 개인정보를수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 ) 한내용을알수있는정보를말한다. 전자적으로기록한것이란수기로작성한문서가아니라개인정보처리시스템의 로그 (Log) 파일또는로그관리시스템등에전자적으로기록한것을말한다. 지문, 얼굴, 홍채, 정맥, 음성, 필적등의바이오정보는각개인마다고유의특징을갖고있어개인을식별하는정보로사용되며, 이러한바이오정보는신체적특징과행동적특징을기반으로생성된정보로구분할수있다. - 신체적특징 : 지문, 얼굴, 홍채, 정맥, 망막, 손모양, 손가락모양, 열상등 - 행동적특징 : 필적, 키보드타이핑, 입술움직임, 걸음걸이등 또한, 바이오정보는사람의신체적또는행동적특징을입력장치를통해수집되어 가공되지않은 원본정보 와그중특정알고리듬을통해특징만을추출하여생성된 - 32 -
특징정보 로구분하기도한다. 개인을식별할수있는 의의미는특정개인을다른사람과구별할수있다는것 (Identification) 이다. 또한, 바이오정보는개인에따라고유의특성을가지므로개인을 특정지어본인임을인증 (Authentication) 하는수단등으로활용되고있다. 참고 바이오정보의개념및보호원칙등은 바이오정보보호가이드라인 ( 방송통신위원회 한국인터넷 진흥원, 2017.12 월 ) 을참고하도록한다. P2P 는서버등의중간매개자없이정보제공자 ( 개인 ) 와정보수신자 ( 개인 ) 가직접 연결되어각개인이가지고있는파일등을공유하는것을말한다.( 개인 개인 ) 정보제공자및정보수신자모두가동시에접속하지않고서도정보제공자가어떠한파일을공유하면정보수신자가그파일을내려받을수있는형태를말한다. - 개인이인터넷상에서정보검색등을통해파일을찾는방식 ( 개인 서버 ) 과는다른개념이다. 공유설정은컴퓨터소유자의파일, 폴더등을타인이접근하여조회, 변경, 복사 등을할수있도록권한을설정하는것을말한다. 보안서버는정보통신망에서송 수신하는정보를암호화하는기능을말한다.{ 이용자 PC ( 암호화통신 ) 개인정보처리시스템등 } - 33 -
보안서버는일반적으로서버기반시스템의유효성을증명하여보안인증서를설치하거나 암호화소프트웨어를설치하여암호통신기능을제공한다. 주요보안프로토콜에는 SSL/TLS, SHTTP, PCT 및 IPSec 등이있다. 시스템등이요구한식별자 는해당시스템에접속하여업무를수행하기위해서 시스템에게알려주어야하는 ID 등의정보로서, 시스템에등록시이용자가선택하거나 계정 ( 또는권한 ) 관리자가부여한고유한문자열이다. 신원을검증하는데사용되는정보 는해당시스템에서업무를수행할수있는정당한 식별자임을증명하기위하여식별자와연계된정보로서비밀번호, 바이오정보, 전자 서명값등이있다. 모바일기기는손에들거나몸에간편하게지니고다닐수있는스마트폰, 태블릿 PC 등무선망 ( 이동통신망, 와이파이 (Wi-Fi) 등 ) 을이용할수있는휴대용기기를말한다. 보조저장매체에는이동형하드디스크, USB 메모리, CD, SD 메모리카드등은물론 경우에따라스마트폰도포함될수있다. 참고 이기준에서정의되지않은용어정의는통상적인 IT 용어정의와같다. - 34 -
제 3 조내부관리계획의수립 시행 제3조 ( 내부관리계획의수립 시행 ) - 35 -
정보통신서비스제공자등은개인정보를안전하게처리하기위하여다음각호의 사항을정하여개인정보보호조직을구성하고운영하여야한다. 1. 개인정보보호책임자의자격요건및지정에관한사항 2. 개인정보보호책임자와개인정보취급자의역할및책임에관한사항 3. 개인정보내부관리계획의수립및승인에관한사항 4. 개인정보의기술적 관리적보호조치이행여부의내부점검에관한사항 5. 개인정보처리업무를위탁하는경우수탁자관리및감독에관한사항 6. 개인정보의분실 도난 유출 변조 훼손등이발생한때의대응절차및방법에 관한사항 7. 그밖에개인정보보호를위해필요한사항 참고 그밖에개인정보보호를위해필요한사항으로는정보통신서비스제공자등의사업규모, 서비스의유형, 개인정보보유수, 처리하는개인정보의유형및중요도, 개인정보를처리하는방법및환경, 보안위험요인등을고려하도록한다. 개인정보보호조직은인사명령, 업무분장, 내부관리계획등에명시하도록하며해당 인력의역량및요건등적정성에관한사항등을추가적으로정할수있다. - 36 -
정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의 고충을처리하기위하여개인정보보호책임자를인사명령등을통해공식적으로 지정하여야한다. 책임있는의사결정을할수있는임원, 개인정보의처리에대해실질적권한을 가지는부서의장등을개인정보보호책임자로지정할수있다. 정보통신서비스제공자등은스스로의환경을고려하여다음의법률에서정하는 자격요건을충족한자를개인정보보호책임자로지정하여야하며, 이에관한사항을 내부관리계획에포함하여야한다. 정보통신망법 정보통신망법시행령 - 37 -
참고 개인정보보호책임자 (CPO) 와법제 45 조의 3 에서정하고있는정보보호최고책임자 (CISO) 는 동일인으로지정할수있다. * 이경우법률에서정하는자격요건을모두충족한자로지정 개인정보보호책임자 (CPO) 와정보보호최고책임자 (CISO) 를별도로지정할수있다. * 기술적 관리적및물리적보호조치에관하여상호간의명확한업무분장필요 개인정보보호책임자는정보통신서비스제공자등의개인정보보호에관한업무를총괄하여야한다. - 개인정보보호관련계획수립 시행, 처리실태조사및개선, 이용자고충처리, 내부통제시스템구축등의역할을한다. - 개인정보처리실태등에대하여조사하거나관계당사자로부터보고를받을수있으며, 필요하면정보통신서비스제공자등의사업주또는대표자에게조사결과및개선조치를보고하는등개인정보보호업무에관하여책임질수있어야한다. 개인정보보호책임자의역할및책임 ( 예시 ) 개인정보보호관련계획수립및시행 개인정보처리실태및관행의정기적인조사및개선 개인정보처리와관련한불만의처리및피해구제 개인정보유출및오 남용방지를위한내부통제시스템의구축 개인정보보호교육계획수립및시행 그밖에개인정보의적절한처리를위하여필요한사항등 개인정보취급자는정보통신서비스제공자의지휘 감독을받아이용자의개인정보를처리 ( 개인정보를수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 ) 하는역할을한다. - 38 -
개인정보취급자의역할및책임 ( 예시 ) 내부관리계획등각종규정, 지침등준수 개인정보처리시스템의안전한운영및관리 개인정보의기술적 관리적보호조치기준이행 개인정보보호교육참석 개인정보침해사고발생시대응및보고 개인정보처리현황, 처리체계등의점검및보고등 정보통신서비스제공자등은스스로의환경에맞도록개인정보보호책임자와개인정보 취급자의역할및책임에관한사항을내부관리계획에포함하여야한다. 정보통신망법 - 39 -
정보통신서비스제공자등은스스로의환경을고려하여내부관리계획의수립에관한 사항을마련하여야한다. - 내부관리계획은조직 ( 회사 ) 전체를대상으로마련 - 이기준에서정하는기술적 관리적및물리적보호조치에관한사항은모두포함 참고 내부관리계획의문서제목은가급적 내부관리계획 이라는용어를사용하는것이바람직하나, 정보통신서비스제공자등의내부방침에따라다른용어를사용할수있다. 다른용어를사용할때에도이기준에관한사항을이행하여야한다. - 법률또는이기준에서규정하는내용만을그대로반영하는것이아니라, 스스로의환경에맞는내부관리계획을수립참고 사업규모, 서비스의유형, 개인정보보유수, 처리하는개인정보의유형및중요도, 개인정보를처리하는방법및환경, 보안위험요인등을고려 - 내부관리계획을구체적으로수립하고, 이를기초로세부지침, 절차, 가이드, 안내서등을추가적으로수립등 정보통신서비스제공자등은스스로의환경을고려하여수립한내부관리계획의승인에관한사항을다음과같이마련하여야한다. - 내부관리계획은전사적인계획내에서시행될수있도록사업주또는대표자에게내부결재등의승인을득함 - 사내게시판게시, 교육등의방법으로서모든임직원및관련자에게전파참고 예시 : 내부관리계획은 회사 CEO 의승인을거쳐 회사전임직원에게공표한다. - 개인정보처리방법및환경등의변화로인하여내부관리계획에중요한변경이 있을때에는변경사항을즉시반영하고내부관리계획을승인 - 내부관리계획수정 변경시내용및시행시기등그이력의관리등 - 40 -
정보통신서비스제공자등은이기준에서정하는기술적 관리적및물리적보호조치에 관한사항은모두이행하여야한다. 참고 제 3 조 ( 내부관리계획의수립 시행 ) 부터제 9 조 ( 출력 복사시보호조치 ) 까지 내부관리계획의적정성과실효성을보장하기위하여내부관리계획에따른기술적 관리적및물리적보호조치의이행여부의점검 관리에관한사항을포함하여야한다. - 년개인정보보호조치이행점검계획 ( 안 ) 등과같은형태로수립할수있으며, 점검대상, 점검항목및방법등을포함하도록한다. 이행점검 ( 예시 ) 점검대상및시기 점검조직및인력 점검항목및내용 점검방법및절차 점검결과기록및보관 점검결과후속조치 ( 개선, 보고 ) 등 - 이행점검은사내독립성이보장되는부서 ( 감사팀등 ), 관련부서 ( 개인정보보호팀 ) 또는개인정보보호전문업체등에서수행할수도있다. - 이행점검은개인정보취급자가적절하게개인정보보호조치를이행하고있는지여부등을파악할수있도록정기적으로 ( 최소연 1회권고 ) 점검하도록한다. - 이행점검결과는 년개인정보보호조치이행점검결과 등과같은형태로작성할수있으며, 필요하면사업주또는대표자에게점검결과및개선조치를보고할수있다. - 41 -
정보통신서비스제공자등은수탁자가개인정보의안전성확보를위해이기준을준수하도록하는등수탁자를관리 감독하여야한다. 수탁자관리및감독 ( 예시 ) 관리 감독대상및시기 관리 감독항목및내용 관리 감독방법및절차 관리 감독결과기록및보관 관리 감독결과후속조치 ( 개선, 보고 ) 등 참고 사업자선정부터사업종료시까지전과정에걸쳐안전성확보를위한보호조치사항포함 * 제안요청서, 계약서등에기술적 관리적및물리적보호조치에관한사항을명시하고, 이에대한이행여부를분기별또는반기별로주기적관리 감독및확인 개인정보가분실 도난 유출 위조 변조또는훼손등 ( 이하 유출 ) 이발생한때에는신속한대응조치를통해개인정보의추가유출을막고, 유출로인한이용자피해를최소화하기위한대응절차및그방법에관한사항을포함하여야한다. - 개인정보유출신속대응체계구축 : 개인정보유출사실을알게된때에는개인정보보호책임자는즉시사업주또는대표자에게보고하고개인정보보호 정보보호부서를중심으로 개인정보유출신속대응팀 을구성하여, 추가유출및이용자피해발생방지를위한조치를강구하여야한다. - 유출원인파악및추가유출방지조치 : 개인정보유출원인을파악한후추가유출방지를위해유출원인별보호조치를실시하여야한다. - 42 -
- 개인정보유출신고및통지 ( 신고 ) 개인정보의유출사실을알게된때에는즉시 (24 시간이내 ) 개인정보유출 사실을방송통신위원회또는한국인터넷진흥원에신고하여야한다. 참고 개인정보유출로인한피해를막기위해서는해커등개인정보유출자검거를위해경찰청사이버안전국에범인검거를위한수사를요청하고유출된개인정보회수를위한조치실시 인터넷상침해사고가발생하면과학기술정보통신부또는한국인터넷진흥원에신고하여침해사고원인분석및취약점보완조치등을실시 ( 통지 ) 유출된개인정보로인하여추가적인피해가발생하지않도록개인정보유출사실을 알게된후즉시 (24 시간이내 ) 해당이용자에게개인정보유출사실을통지하여야한다. - 이용자피해구제및재발방지대책마련 : 이용자피해구제방법을안내하고유사 사고의재발방지를위한대책을마련하여야한다. 참고 방송통신위원회 한국인터넷진흥원이운영하는온라인개인정보보호포털 (https://www.i-privacy.kr) 에서제공하는 정보통신서비스제공자등을위한개인정보유출대응매뉴얼 을활용할수있다. 개인정보의분실 도난 유출 위조 변조또는훼손을방지하고안전성확보를위하여필요한개인정보보호조치에관한사항을추가적으로포함하여야한다. - 정보통신서비스제공자등은사업규모, 서비스의유형, 개인정보보유수, 처리하는개인정보의유형및중요도, 개인정보를처리하는방법및환경, 보안위험요인등을고려하도록한다. 그밖에개인정보보호조치 ( 예시 ) 개인정보보호관리체계 (PIMS) 등개인정보보호관련인증획득 개인정보보호컨설팅 위험관리 ( 자산식별, 위험평가, 대책마련, 사후관리 ) 개인정보처리시스템설계, 개발, 운영보안 보안장비및보안솔루션도입및운영, 형상 운영관리및기록 개인정보보호예산및인력의적정수준반영 개인정보보호관련지침, 규정등수립및시행 개인정보파기절차수립및시행등 - 43 -
정보통신서비스제공자등은개인정보의안전한처리를위하여개인정보보호책임자 및개인정보취급자에게최소연 1 회이상필요한교육을실시하여야한다. 개인정보보호교육의구체적인사항은교육목적및대상, 교육내용 ( 프로그램등 ), 교육일정및방법등을포함하도록한다. 내부관리계획등에규정하거나 년 개인정보보호교육계획 ( 안 ) 등과같은형태로수립할수있다. 교육내용은개인정보보호책임자그리고개인정보취급자의지위 직책, 담당업무의내용, 업무숙련도등에따라각기다르게할필요가있다. 해당업무를수행하기위한분야별전문기술교육뿐만아니라개인정보보호관련법률및제도, 내부관리계획등필히알고있어야하는사항을포함하여교육을실시하도록한다. 교육내용 ( 예시 ) 개인정보보호의중요성 개인정보내부관리계획등규정, 지침의제 개정에따른사항 개인정보처리시스템의안전한운영 사용법 ( 하드웨어, 소프트웨어등 ) 개인정보의기술적 관리적보호조치기준 개인정보처리업무위 수탁시보호조치 개인정보보호업무의절차, 책임, 방법 개인정보처리절차별준수사항및금지사항 개인정보유 노출및침해신고등에따른사실확인및보고, 피해구제절차등 교육방법에는사내교육, 외부교육, 위탁교육등여러종류가있을수있으며, 조직의 여건및환경을고려하여집체교육, 온라인교육등다양한방법을활용할수있다. - 44 -
참고 방송통신위원회 한국인터넷진흥원이운영하는온라인개인정보보호포털 (https://www.i-privacy.kr) 에서 제공하는온라인및현장교육프로그램, 교육자료그리고전문강사단등을활용할수있다. 교육실시결과는 년개인정보보호교육결과 등과같은형태로작성할수 있으며, 교육일시 내용 참석자등을확인할수있는정보를전자적으로기록하거나 수기로작성하여야한다. 참고 교육결과의세부실적은정보통신서비스제공자등이실시한개인정보보호관련사내교육, 외부교육, 위탁교육등에서교육과정별수료증등을발급 보관함으로써관리할수있다. 교육참석자를확인할수있는정보로는해당교육시간에교육장소에출입한기록 ( 태그등 ), 교육참석자명단에수기로서명한자료등을활용할수있다. 정보통신서비스제공자등은개인정보의안전한처리를위하여보호조치이행을 위한세부적인추진방안을포함하는내부관리계획을수립하여야한다. - 제 1 항제 4 호 ( 개인정보의기술적 관리적보호조치이행여부의내부점검에관한사항 ) 에 따라이기준에서정하는기술적 관리적및물리적보호조치에관한사항은모두 포함되어야한다. - 45 -
참고 제 3 조 : 개인정보보호책임자의지정등개인정보보호조직의구성ㆍ운영에관한사항, 개인정보취급자등대상정기적인교육, 그밖에필요한사항등 제 4 조 : 접근권한부여 변경 말소, 정보통신망을통한불법적인접근및침해사고방지등 제 5 조 : 개인정보취급자가개인정보처리시스템에접속한기록보존 관리및확인 감독등 제 6 조 : 비밀번호등암호화저장, 개인정보등암호화송 수신등 제 7 조 : 악성프로그램등을방지 치료할수있는보안프로그램설치 운영등 제 8 조 : 개인정보의물리적보관장소에출입통제등 제 9 조 : 개인정보의출력 복사물을안전하게관리하기위한보호조치등 - 이기준제 1 조제 2 항에따라정보통신서비스제공자등이스스로정하는 개인정보 보호조치기준 에관한사항도포함되어야한다. 제 1 조총칙 개인정보내부관리계획목차 ( 예시 ) * 목적 * 용어정의 * 적용범위 제2조내부관리계획의수립및시행 * 내부관리계획의수립및승인 * 내부관리계획의공표 제3조개인정보보호조직구성및운영 * 개인정보보호책임자의지정 * 개인정보보호책임자의역할및책임 * 개인정보취급자의역할및책임 제4조개인정보보호교육 * 개인정보보호책임자의교육 * 개인정보취급자의교육 제5조기술적 관리적및물리적보호조치 * 접근통제 * 접속기록의위 변조방지 * 개인정보의암호화 - 46 -
* 악성프로그램방지 * 물리적접근방지 * 출력 복사시보호조치 * 개인정보표시제한보호조치 제6조관리및감독 * 기술적 관리적및물리적보호조치이행점검 * 수탁자관리및감독 제7조개인정보침해사고대응절차및방법 제8조그밖에개인정보보호를위해필요한사항 내부관리계획은전사적인계획내에서개인정보가관리될수있도록사업주또는 대표자에게내부결재등의승인을받아모든임직원및관련자에게알리고이를 준수할수있도록하여야한다. 참고 개인정보처리방침을내부관리계획으로사용할수없다. * 개인정보처리방침 : 개인정보처리에관한사항을이용자에게홈페이지등으로공개 ( 근거 : 법제27조의2( 개인정보처리방침의공개 ) * 개인정보내부관리계획 : 개인정보를안전하게처리하기위한조직 ( 회사 ) 전체대상 ( 근거 : 법제28조 ( 개인정보의보호조치 )) 정보통신서비스제공자등은제 3 항에따라 ( 이기준제 1 조제 2 항에따른 개인정보 보호조치기준 을포함한다.) 수립한내부관리계획을시행하여야한다. 참고 내부관리계획이적절하게시행되기위해서는개인정보보호책임자가정기적으로내부관리계획의이행실태를점검 관리하고, 그결과에따라적절한조치를취하여야한다. * 중대한영향을초래하거나해를끼칠수있는사안등에대해서는사업주또는대표자에게보고후, 의사결정절차를통하여적절한대책을마련하여야한다. - 47 -
제 4 조접근통제 제4조 ( 접근통제 ) - 48 -
정보통신서비스제공자등은개인정보처리시스템에대한접근권한을서비스제공을위해필요한최소한의인원에게부여하여야한다. - 특히, 개인정보처리시스템의데이터베이스 (DB) 에직접접속은데이터베이스운영 관리자에한정하는등의보호조치를적용할필요성이있다. 정보통신서비스제공자등은개인정보처리시스템에열람, 수정, 다운로드등접근권한을부여할때에는서비스제공을위해필요한범위에서구체적으로차등화하여부여하여야한다. 여기서말하는접근권한은본인이외의개인정보에대한접근권한을의미하며, 이용자가자신의개인정보를조회 수정하는등의접근권한은포함하지않는다. - 49 -
정보통신서비스제공자등은개인정보취급자가전보또는퇴직, 휴직등인사이동이 발생하여개인정보처리시스템에사용자계정등접근권한의변경 말소등이필요할 때에는정당한사유가없는한즉시조치하여야한다. 정보통신서비스제공자등은불완전한접근권한의변경또는말소조치로인하여정당한권한이없는자가개인정보처리시스템에접근될수없도록하여야한다. 접근권한변경 말소미조치사례 ( 예시 ) 다수시스템의접근권한변경 말소가필요함에도일부시스템의접근권한만변경 말소할때 접근권한의전부를변경 말소하여야함에도일부만변경 말소할때 접근권한말소가필요한계정을삭제또는접속차단조치를하였으나, 해당계정의인증값등을이용하여우회접근이가능할때등 참고 내부관리계획등에 개인정보취급자가퇴직할때에는개인정보처리시스템에사용자계정등접근권한을지체없이말소한다. 등을반영하여이행할수있다. 개인정보취급자가퇴직할때에는사용자계정말소를효과적으로이행하기위해서는퇴직점검표에사용자계정말소등의내용을반영하여이행여부에대해확인을받을수도있다. 정보통신서비스제공자등은개인정보처리시스템에접근권한부여, 변경, 말소내역을전자적으로기록하거나수기로작성한관리대장등에기록하고해당기록을최소 5년간보관하여야한다. - 관리대장등에는신청자정보, 신청및적용일시, 승인자및발급자정보, 신청및발급사유등의내용이포함되어야하며공식적인절차를통하여관리하도록한다. - 50 -
인터넷구간등외부로부터개인정보처리시스템에접속은원칙적으로차단하여야하나, 정보통신서비스제공자등의업무특성또는필요에의해개인정보취급자가노트북, 업무용컴퓨터, 모바일기기등으로외부에서정보통신망을통해개인정보처리시스템에접속이필요할때에는안전한인증수단을적용하여야한다. - 안전한인증수단의적용 : 개인정보처리시스템에사용자계정과비밀번호를입력하여정당한개인정보취급자여부를식별 인증하는절차이외에추가적인인증수단의적용을말한다. 인증수단 ( 예시 ) 인증서 (PKI, Public Key Infrastructure) : 전자상거래등에서상대방과의신원확인, 거래사실증명, 문서의위 변조여부검증등을위해사용하는전자서명으로서해당전자서명을생성한자의신원을확인하는수단 보안토큰 : 암호연산장치등으로내부에저장된정보가외부로복사, 재생성되지않도록공인인증서등을안전하게보호할수있는수단으로스마트카드, USB 토큰등이해당 일회용비밀번호 (OTP, One Time Password) : 무작위로생성되는난수를일회용비밀번호로한번생성하고, 그값을한번만사용가능하도록하는방식 안전한인증수단을적용할때에도보안성강화를위하여 VPN, 전용선등안전한 접속수단의적용을권고한다. 참고 가상사설망 (VPN : Virtual Private Network) : 개인정보취급자가사업장내의개인정보처리시스템에대해원격으로접속할때 IPsec이나 SSL 기반의암호프로토콜을사용한터널링기술을통해안전한암호통신을할수있도록해주는보안시스템을말한다. * IPsec(IP Security Protocol) 은인터넷프로토콜 (IP) 통신보안을위해패킷에암호화기술이적용된프로토콜집합 * SSL(Secure Sockets Layer) 은웹브라우저 ( 클라이언트 ) 와웹서버 ( 서버 ) 간에데이터를안전하게주고받기위해암호화기술이적용된보안프로토콜 * IPsec, SSL 등의기술이사용된가상사설망을안전하게사용하기위해서는, 잘알려진취약점 ( 예시 : Open SSL의 HeartBleed 취약점 ) 들을조치하고사용할필요가있다. 전용선 : 두지점간에독점적으로사용하는회선으로본점과지점간직통으로연결하는회선등을말한다. - 51 -
정보통신서비스제공자등은불법적인접근및침해사고방지를위해다음과같은 시스템등을스스로의환경을고려하여접근제한기능및유출탐지기능이적합하게 수행되도록설치 운영하여야한다. 참고 불법적인접근 : 인가되지않은자 ( 내 외부자모두포함 ) 가사용자계정탈취, 자료유출등의목적으로개인정보처리시스템, 개인정보취급자의컴퓨터등에접근하는것을말한다. 침해사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태를말한다.( 정보통신망법 제2조) - 해당시스템으로는침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안운영체제 (Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List) 을적용한네트워크장비, 통합보안관제시스템등을활용할수있다. 다만, 어느경우라도접근제한기능및유출탐지기능이모두충족되어야한다. - SOHO 등소기업은인터넷데이터센터 (IDC), 클라우드서비스등에서제공하는보안서비스 ( 방화벽, 침입방지, 웹방화벽등 ) 를활용하거나공개용 ( 무료 ) S/W를사용하여해당기능을구현한시스템을설치 운영할수있다. 다만, 공개용 ( 무료 ) S/W를사용할때에는적절한보안이이루어지는지를사전에점검할필요가있다. 참고 보안제품등을도입할때에는 IT 보안인증사무국 (http://www.itscc.kr) 에서제공하는인증제품 목록 ( 제품유형 : 개인정보보호, DB 접근통제, 통합로그관리등 ) 등을활용할수도있다. - 52 -
접근제한기능및유출탐지기능의충족을위해서는단순히시스템을설치하는것만으로는부족하며, 신규위협대응및정책의관리를위하여다음과같은방법등을활용하여체계적으로운영 관리하여야한다. - 정책설정운영 : 신규위협대응등을위하여접근제한정책및유출탐지정책을설정하고지속적인업데이트적용및운영 관리 정책설정운영 ( 예시 ) 신규취약점또는침해사고발생시보안업데이트적용 과도하게허용되거나사용되지않는정책등에대하여주기적검토및조치등 - 이상행위대응 : 모니터링등을통해인가받지않은접근을제한하거나인가자의비정상적인행동에대응 이상행위대응 ( 예시 ) 동일 IP, 해외 IP 주소에서의과도한또는비정상적인접속시도탐지및차단조치 개인정보처리시스템에서과도한또는비정상적인트래픽발생시탐지및차단조치등 - 로그분석 : 로그등의대조또는분석을통하여이상행위를탐지또는차단 참고 로그 는침입차단시스템또는침입탐지시스템의로그기록에한정하지않고개인정보처리시스템의 접속기록, 네트워크장비의로그기록, 보안장비소프트웨어의기록등을포함 IP 주소등에는 IP 주소, 포트그자체뿐만아니라, 해당 IP 주소의행위 ( 과도한접속성공및실패, 부적절한명령어등이상행위관련패킷 ) 를포함한다. 망분리를하여야하는정보통신서비스제공자등은다음과같다. - 전년도말기준직전 3 개월간그개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상 ( 제공하는정보통신서비스가다수일때에는전체를합산하여적용 ) - 53 -
- 정보통신서비스부문전년도 ( 법인일때에는전사업연도를말한다 ) 매출액이 100 억원 이상 ( 정보통신서비스와그외서비스를함께제공할때에는정보통신서비스부문을 합산한매출액만적용 ) 참고 위에해당하지아니하는정보통신서비스제공자등은망분리를적용하지아니할수있으나, 보안성강화등을위해서적용을권고한다. 망분리는다음과같은방법등을활용할수있으며, 세부내용은 [ 부록 ] 정보통신서비스제공자등을위한망분리해설 을참고하도록한다. - 물리적망분리 : 통신망, 장비등을물리적으로이원화하여인터넷접속이불가능한컴퓨터와인터넷접속만가능한컴퓨터로분리하는방식이다. - 논리적망분리 : 물리적으로하나의통신망, 장비등을사용하지만가상화등의방법으로인터넷접속이불가능한내부업무영역과인터넷접속영역을분리하는방식이다. 참고 정보통신서비스제공자등은스스로의환경에맞는망분리를적용하여개인정보를처리하는과정에서의외부와의접점을최소화함으로써외부로부터들어오는공격이나내부에서외부로의개인정보유출등을차단하여야한다. 정보통신서비스제공자등이망분리를할때인터넷망으로부터분리되어야하는 대상은다음과같다. - 개인정보처리시스템에서개인정보를다운로드할수있는개인정보취급자의컴퓨터등 참고 다운로드 : 개인정보처리시스템에직접접속하여개인정보취급자의컴퓨터등에개인정보를 엑셀, 워드, 텍스트, 이미지등의파일형태로저장하는것을말한다. - 개인정보처리시스템에서개인정보를파기할수있는개인정보취급자의컴퓨터등 참고 파기 : 개인정보처리시스템에저장된개인정보파일, 레코드, 테이블또는데이터베이스 (DB) 를 삭제하는것을말한다. - 54 -
- 개인정보처리시스템에접근권한을설정할수있는개인정보취급자의컴퓨터등 참고 접근권한설정 : 개인정보처리시스템에접근하는개인정보취급자에게다운로드, 파기등의 접근권한을설정하는것을말한다. - 개인정보처리시스템에서단순히개인정보를열람, 조회등만을할때에는망분리를 적용하지아니할수있다. 정보통신서비스제공자등은이용자가안전한비밀번호를설정하여이용할수있도록 비밀번호작성규칙을수립하고, 이를인터넷홈페이지등에적용하여야한다. 안전한비밀번호이용방안 ( 예시 ) ( 생성 ) 비밀번호길이와복잡도설정, 계정 (ID) 과비밀번호를동일하게생성금지, 비밀번호재발급시랜덤하게임시비밀번호를발급하여최초로그인시새로운비밀번호로변경하도록적용등 ( 암호화 ) 비밀번호는전송시암호화적용, 저장시일방향 ( 해쉬 ) 암호화적용등 ( 변경 ) 비밀번호사용만료일이전에이용자에게알려주어변경유도, 비밀번호유효기간을설정하여강제변경등 ( 공격대응 ) 5회이상로그인시도실패시계정잠금, 로그인실패횟수에따라로그인지연시간설정, 사전에있는단어사용금지, 비밀번호에난수추가 (salting) 등 ( 운영관리 ) 일정시간작업이없는로그온세션종료, 장기휴면계정계정삭제, 비밀번호공유금지, 초기값 (Default) 비밀번호변경후사용, 로그인시도및로그인기록유지, 비밀번호재사용금지등 참고 비밀번호이외의추가적인인증에사용되는 SMS 인증, 일회용비밀번호 (OTP) 등은비밀번호작성규칙을적용하지아니할수있다. 안전한비밀번호설정을위해한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 (http://seed.kisa.or.kr) 에서제공하는 패스워드선택및이용안내서 나비밀번호안전성검증소프트웨어등을활용할수있다. - 55 -
정보통신서비스제공자등은개인정보취급자가안전한비밀번호를설정하여이행할수있도록다음의사항을포함하는비밀번호작성규칙을수립하고이를개인정보처리시스템등에적용하여야한다. - 영대문자, 영소문자, 숫자, 특수문자중 2종류이상을조합하여최소 10자리이상또는 3종류이상을조합하여최소 8자리이상의길이로구성하여야한다. - 연속적인문자열이나숫자, 생년월일, 전화번호등추측하기쉬운정보및아이디와비슷한비밀번호는사용하지않는것을권고한다. - 비밀번호에유효기간을설정하여반기별 1회이상변경하여야한다. 비밀번호는정당한접속권한을가지지않는자가추측하거나접속을시도하기 어렵도록문자, 숫자등으로조합 구성하여야한다. 비밀번호작성규칙 ( 예시 ) 비밀번호는문자, 숫자의조합 구성에따라최소 10 자리또는 8 자리이상의길이로설정 ( 기술발달에따라비밀번호의최소길이는늘어날수있다.) * 최소 10 자리이상 : 영대문자 (A~Z, 26 개 ), 영소문자 (a~z, 26 개 ), 숫자 (0~9, 10 개 ), 특수문자 (#, [,, < 등, 32 개 ) 중 2 종류이상으로조합 구성할때 * 최소 8 자리이상 : 영대문자, 영소문자, 숫자, 특수문자중 3 종류이상으로구성할때 비밀번호는추측하거나유추하기어렵도록설정 * 일련번호 (12345678 등 ), 전화번호, 잘알려진단어 (love, happy 등 ), 키보드상에서나란히있는문자열 (qwer 등 ) 등을사용하지않도록한다. 비밀번호를최소 6 개월마다변경하도록변경기간을적용하는등장기간사용하지않는다. * 변경시동일한 ( 예시 : Mrp15@*1aT 와 Mrp15@*1at) 비밀번호를교대로사용하지않도록한다. 개인정보처리시스템에권한없는자의접근을방지하기위하여비밀번호등을일정 횟수이상잘못입력할때에는개인정보처리시스템에접근을제한하는등의보호조치를 추가적으로적용할수있다. - 56 -
인터넷홈페이지를통한개인정보유 노출방지조치 - 정보통신서비스제공자등은규모, 여건등을고려하여스스로의환경에맞는보호조치를하되, 보안대책마련, 보안기술마련, 운영및관리측면에서의개인정보유 노출방지조치를하여야한다. 참고 인터넷홈페이지를통한개인정보유 노출유형 * 검색엔진 ( 구글링등 ) 등을통한개인정보유 노출 * 웹취약점을통한개인정보유 노출 * 인터넷게시판을통한개인정보유 노출 * 홈페이지설계 구현오류로인한개인정보유 노출 * 기타방법을통한개인정보유 노출 - ( 보안대책마련 ) 인터넷홈페이지설계시개인정보유 노출에영향을미칠수있는 위험요소를분석하여필요한보안대책을마련하여야한다. 보안대책 ( 예시 ) 입력데이터의유효성을검증 인증, 접근통제등의보호조치적용 에러, 오류상황이처리되지않거나불충분하게처리되지않도록구성 세션을안전하게관리하도록구성등 - ( 보안기술적용 ) 인터넷홈페이지개발시개인정보유 노출방지를위한보안 기술을적용하여야한다. 보안기술적용 ( 예시 ) 홈페이지주소 (URL), 소스코드, 임시저장페이지등에개인정보사용금지 홈페이지에관리자페이지의주소링크생성금지, 관리자페이지주소는쉽게추측하기어렵도록생성, 관리자페이지노출금지 엑셀파일등숨기기기능에의한개인정보유 노출금지 시큐어코딩 (secure coding) 도입 취약점을점검하고그결과에따른적절한개선조치 인증우회 (authentication bypass) 에대비하는조치등 - 57 -
참고 시큐어코딩항목 : 입력데이터검증및표현 (SQL 삽입등 ), 보안기능 ( 부적절한인가등 ), 시간및상태 ( 종료되지않는반복문등 ), 에러처리 ( 오류상황대응부재등 ), 코드오류 ( 해제된 자원사용 ), 캡슐화 ( 잘못된세션에의한정보노출 ), API 오용 ( 취약한 API 사용등 ) 등 * 시큐어코딩에관한세부내용은소프트웨어개발보안가이드 ( 행정안전부 한국인터넷진흥원, 2017.1 월 ) 등을참고하도록한다. - ( 운영및관리 ) 인터넷홈페이지운영 관리시개인정보유 노출방지를위한보안대책 및기술적용에따른적정성을검증하고개선조치를하여야한다. 운영및관리 ( 예시 ) 인터넷홈페이지등에보안대책을정기적으로검토 홈페이지게시글, 첨부파일등에개인정보포함금지, 정기적점검및삭제등의조치 서비스중단또는관리되지않는홈페이지는전체삭제또는차단조치 공격패턴, 위험분석, 침투테스트등을수행하고발견되는결함에따른개선조치 취약점을점검하고그결과에따른적절한개선조치등 참고 취약점점검항목 : SQL Injection 취약점, CrossSiteScript 취약점, File Upload 및 Download 취약점, ZeroBoard 취약점, Directory Listing 취약점, URL 및 Parameter 변조등 * 취약점점검항목은행정안전부, 국가사이버안전센터 (NCSC), 한국인터넷진흥원 (KrCERT), OWASP( 오픈소스웹보안프로젝트 ) 등에서발표하는항목을참조하도록한다. 인터넷홈페이지의취약점점검시에는기록을남겨책임추적성확보및앞으로개선조치등에활용할수있도록할필요가있다. 인터넷홈페이지의취약점점검은정보통신서비스제공자등의자체인력, 보안업체등을활용할수있으며, 취약점점검은상용도구, 공개용도구, 자체제작도구등을사용할수있다. 취약점점검과함께정기적으로웹쉘등을점검하고조치한다면취급중인개인정보가인터넷홈페이지를통해열람권한이없는자에게공개되거나유출되는위험성을더욱줄일수있다. 기술과서비스발전에따라시스템등에신규취약점은계속적으로발생하고있으며, 정기적인취약점점검및개선조치등개인정보유출을예방하기위한보호조치가필요하다. P2P 및공유설정을통한개인정보유 노출방지조치 - 개인정보처리시스템, 컴퓨터, 모바일기기등에서 P2P, 공유설정은기본적으로사용하지않는것이원칙이나, 업무상반드시필요할때에는권한설정등의조치를통해권한이있는자만접근할수있도록설정하여개인정보가열람권한이없는자에게공개되거나유출되지않도록접근통제등에관한보호조치를하여야한다. - 58 -
P2P 및공유설정을통한개인정보유 노출방지조치 ( 예시 ) 불가피하게공유설정등을할때에는업무용컴퓨터에접근권한비밀번호를설정하고, 사용이완료된후에는공유설정을제거 파일전송이주된목적일때에는읽기권한만을주고상대방이쓰기를할때만개별적으로쓰기권한을설정 P2P 프로그램, 상용웹메일, 웹하드, 메신저, SNS 서비스등을통하여고의 부주의로인한개인정보유 노출방지 WPA2(Wi-Fi Protected Access 2) 등보안프로토콜이적용된무선망이용등 참고 P2P, 웹하드등의사용을제한할때에는단순히사용금지조치를취하는것이아니라시스템 상에서해당포트를차단하는등근본적인보호조치를취하는것이필요하다. 정보통신서비스제공자등은개인정보처리시스템에불법적인접근및침해사고방지를위하여개인정보취급자가일정시간이상업무처리를하지않을때에는자동으로시스템접속이차단되도록최대접속시간제한등의조치를취하여야한다. - 최대접속시간제한조치는개인정보처리시스템에접속하는업무용컴퓨터등에서해당개인정보처리시스템에대한접속을차단하는것을의미하며, 최대접속시간이경과하면개인정보처리시스템과연결이완전히차단되어정보의송 수신이불가능한상태가되어야한다. - 개인정보취급자가최대접속시간제한등의조치로인하여개인정보처리시스템에대한접속이차단된이후다시접속하고자할때에는그방법 절차등이최초의접속방법 절차등과동일한수준이상이되어야한다. 접속차단미조치사례 ( 예시 ) 개인정보처리시스템에접속차단등의조치없이업무용컴퓨터에화면보호기만을설정한때 개인정보처리시스템등에다시접속시자동로그인기능을사용한때 서버접근제어프로그램등을이용하여별도의로그인절차없이개인정보처리시스템에접속이가능하도록구성하면서해당프로그램에접속차단조치를하지않은때 참고 정보통신서비스제공자등은개인정보를처리하는방법및환경, 보안위험요인, 업무특성 (DB 운영 관리, 시스템모니터링및유지보수등 ) 등을고려하여스스로의환경에맞는최대접속시간을각각정하여시행할수있다. 최대접속시간은최소한 ( 통상 10 30 분이내 ) 으로정하여야한다. 다만, 장시간접속이필요할때에는접속시간등그기록을보관 관리하여야한다. - 59 -
제 5 조접속기록의위 변조방지 제5조 ( 접속기록의위 변조방지 ) 정보통신서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록을월 1회이상정기적으로확인 감독하여개인정보처리를위한업무수행과관련이없거나과도한개인정보의조회, 정정, 다운로드, 삭제등비정상적인행위를탐지하고적절한대응조치를하여야한다. 정보통신서비스제공자등은개인정보처리시스템에불법적인접속및운영, 비정상적인행위등이상유무의확인등을위해다음의사항등을포함하는접속기록을최소 6개월이상보존 관리하여야한다. - 식별자 : 개인정보처리시스템에서개인정보취급자를식별할수있도록부여된 ID 등 - 접속일시 : 개인정보처리시스템에접속한시점또는업무를수행한시점 ( 년- 월- 일, 시 : 분 : 초 ) - 접속지 : 개인정보처리시스템에접속한자의컴퓨터또는서버의 IP 주소등 - 60 -
- 수행업무 : 개인정보처리시스템에서개인정보취급자가처리 ( 개인정보를수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 ) 한내용을알수있는정보를말한다. 접속기록항목 ( 예시 ) 식별자 : A0001( 개인정보취급자식별정보 ) 접속일시 : 2012-06-03, 15:00:00 접속지 : 172.168.168.11 수행업무 : 홍길동 ( 이용자식별정보 ) 연락처조회등 기간통신사업자일때에는대규모의이용자개인정보를처리하고개인정보의유출 등으로인한피해가능성이매우높은특수성등으로인하여기간통신사업자일때에는 최소 2 년이상접속기록을보존 관리하여야한다. 전기통신사업법제 5 조 ( 전기통신사업의구분등 ) 정보통신서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록이위 변조되지않도록다음과같은보호조치등을취하여야한다. - 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의물리적인저장장치에보관 - 접속기록을수정가능한매체 ( 하드디스크, 자기테이프등 ) 에백업할때에는위 변조여부를확인할수있는정보를별도의장비에보관 관리 - 다양한접속기록위 변조방지기술의적용등 - 61 -
제 6 조개인정보의암호화 제6조 ( 개인정보의암호화 ) - 62 -
정보통신서비스제공자등은이용자및개인정보취급자등의비밀번호가노출또는위 변조되지않도록개인정보처리시스템, 업무용컴퓨터, 보조저장매체등에일방향암호화 ( 해쉬함수적용 ) 하여저장하여야한다. - 일방향암호화는개인정보취급자및이용자등이입력한비밀번호를평문형태가아닌해쉬함수를통해얻은결과값으로시스템에저장하는것을말한다. 입력한비밀번호와시스템에저장된비밀번호를비교하여인증된사용자임을확인한다. 참고 정보통신서비스제공자등은이용자가비밀번호의분실등을이유로재발급을원할때에는정당한이용자여부를확인가능한수단 (SMS, 이메일등 ) 을활용하여임시비밀번호를부여하고이용자가확인후사이트에접속하여비밀번호를변경하여사용하도록한다. - 비밀번호를암호화할때에는국내 외암호연구관련기관에서사용권고하는 안전한암호알고리듬으로암호화하여저장하도록한다. 사용권고하는일방향암호알고리듬 ( 예시 ) 미국 (NIST) 일본 (CRYPTREC) 유럽 (ECRYPT) 국내 SHA-224/256/384/512 SHA-256/384/512 SHA-224/256/384/512 Whirlpool SHA-224/256/384/512 국내 외암호연구관련기관에서대표적으로다루어지는권고암호알고리듬만표시 ( 16.9 월기준 ) MD5, SHA-1 등보안강도가낮은것으로판명된암호알고리듬을사용하여서는안된다. 처리속도등기술발전에따라사용권고암호알고리듬은달라질수있으므로, 암호화적용시국내 외암호관련연구기관에서제시하는최신정보확인필요 국내외암호연구관련기관은한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 (http://seed.kisa.or.kr) 의 암호표준화및유관기관 에서도확인가능 무작위대입공격 (Brute Force), 레인보우테이블공격등을이용한비밀번호복호화에대응하기위하여난수추가 (salting) 등의조치를하여야한다. - 63 -
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 바이오정보는국내및미국, 일본, 유럽등의국외암호연구관련기관에서사용 권고하는안전한암호알고리듬으로암호화하여저장하여야한다. - 주민등록번호는다음에해당할때를제외하고는수집 이용할수없다. 참고 제23조의 2( 주민등록번호의사용제한 ) - 64 -
사용권고하는암호알고리듬 ( 예시 ) 분류미국 (NIST) 일본 (CRYPTREC) 유럽 (ECRYPT) 국내 AES-128/192/256 AES-128/192/256 대칭키 3TDEA AES-128/192/256 Blowfish SEED, HIGHT 암호 Camellia-128 3TDEA KASUMI ARIA-128/192/256 알고리듬 /192/256 3TDEA MISTY1 공개키암호 RSA RSAES-OAEP RSAES-OAEP RSAES-OAEP 알고리듬 ( 사용권고하는 RSAES-PKCS1 RSAES-PKCS1 ( 메시지키길이확인필요 ) 암 복호화 ) ( 키길이 2048 이상 ) 국내 외암호연구관련기관에서대표적으로다루어지는권고암호알고리듬만표시 ( 16.9 월기준 ) 처리속도등기술발전에따라사용권고암호알고리듬은달라질수있으므로, 암호화적용시국내 외암호관련연구기관에서제시하는최신정보확인필요 국내외암호연구관련기관은한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 (http://seed.kisa.or.kr) 의 암호표준화및유관기관 에서도확인가능 암호화에사용되는암호키는암호화된데이터를복호화할수있는중요한정보이므로암호키의안전한관리절차수립 시행을권고한다. 참고 암호이용활성화 (http://seed.kisa.or.kr) 에서제공하는 암호키관리안내서 등을참고할수있다. - 65 -
정보통신서비스제공자등은이용자의성명, 연락처등의개인정보와인증정보를정보통신망을통해인터넷구간으로송 수신할때에는안전한보안서버구축등의조치를통해암호화하여야한다. - SSL 인증서를이용한보안서버는별도의보안프로그램설치없이, 웹서버에설치된 SSL 인증서를통해개인정보를암호화전송하는방식이다. 참고 SSL(Secure Sockets Layer) 은웹브라우저와웹서버간에데이터를안전하게주고받기위해암호화기술이적용된보안프로토콜이다. 보안서버구축시, 잘알려진취약점 ( 예시 : Open SSL의 HeartBleed 취약점등 ) 을조치하여운영할필요가있다. - 응용프로그램을이용한보안서버는웹서버에접속하여보안프로그램을설치하여 이를통해개인정보를암호화전송하는방식이다. 정보통신서비스제공자등은이용자의개인정보를업무용컴퓨터, 모바일기기및보조저장 매체등에저장할때에는다음과같은방법등을활용하여암호화하여야한다. 참고 개인정보 : 생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있을때에는그정보를포함한다 ) 를말한다. - 안전한암호화알고리듬이탑재된암호화소프트웨어등을활용 - 개인정보의저장형태가오피스파일형태일때에는해당프로그램에서제공하는 암호설정기능을활용 - 66 -
참고 한컴오피스 : 파일 >> 다른이름으로저장하기 >> 문서암호설정에서암호설정가능 MS 오피스 : 파일 >> 다른이름으로저장하기 >> 도구 >> 일반옵션에서암호설정가능 어도비아크로뱃 : 고급 >> 보안 >> 암호로암호화또는인증서로암호화 - MS Windows 등운영체제에서제공하는암호화기능을활용 참고 MS Windows 폴더 ( 파일 ) 암호화 : 암호화폴더 ( 파일 ) 선택하고마우스오른쪽버튼클릭 >> 속성 >> 일반 >> 고급에서암호설정가능 보다자세한오피스, 운영체제에서의암호기능이용방법은한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 (http://seed.kisa.or.kr) 에서제공하는 상용소프트웨어에서의암호기능이용안내서 등을활용할수있다. - 모바일기기에저장할때에는디바이스암호화기능을활용 참고 모바일기기분실 도난등으로개인정보가유출되지않도록모바일기기제조사및이동통신사가제공하는기능을이용한원격잠금, 원격데이터삭제등 MDM(Mobile Device Management) 등모바일단말관리프로그램을설치하여원격잠금, 원격데이터삭제, 접속통제등을추가적으로할수있다. - 보조저장매체에저장할때에는이용자의개인정보를암호화한후저장하거나암호화기능을제공하는보안 USB 등을활용등 - 개인정보처리시스템으로부터개인정보파일을내려받는경우암호설정이된상태로내려받는기능을활용 파일암호화에사용되는비밀번호는본해설서에서안내하는제 4 조제 8 항의 비밀번호 작성규칙 을적용하고, 암호알고리듬은보안강도 128 비트이상을사용하는것이 바람직하다. - 67 -
제 7 조악성프로그램방지 제7조 ( 악성프로그램방지 ) 정보통신서비스제공자등은개인정보처리시스템, 컴퓨터등에악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을설치하여야한다. - 보안프로그램은그목적과기능에따라다양한종류의제품이있으므로, 정보통신서비스제공자등은스스로의환경에맞는보안프로그램을설치하도록한다. 참고 불법또는인가되지않은보안프로그램사용시, 악성프로그램침투경로로이용되거나보안취약점제거를위한업데이트지원을받지못하여개인정보유출사고발생가능성이있으므로정품 S/W만을사용하도록한다. - 68 -
정보통신서비스제공자등은설치한보안프로그램을적절하게운영하여야한다. - 보안프로그램설치후, 최신상태의보안업데이트적용 - 보안프로그램의정책 환경설정등을통해사내의보안정책을적용 - 보안프로그램을통해발견되는악성프로그램등확산방지조치 ( 삭제 치료, 물리적차단 분리등 ) 백신소프트웨어등의보안프로그램은실시간감시등을위해항상실행된상태를 유지해야한다. 백신소프트웨어등보안프로그램은자동업데이트기능을사용하거나, 일 1회이상업데이트를실시하여최신의상태로유지해야한다. - 실시간으로신종 변종악성프로그램등이유포됨에따라보안프로그램을최신의업데이트상태로적용하여유지해야한다. 참고 특히대규모의개인정보를처리하거나주민등록번호, 금융정보등중요도가높은개인정보를처리할때에는키보드, 화면, 메모리해킹, 랜섬웨어등신종악성프로그램에대해대응할수있도록보안프로그램을운영할필요가있으며, 항상최신의상태로유지하여야한다. 응용프로그램이나운영체제 (OS) 보안취약점등을악용하는악성프로그램관련 경보가발령되었거나, 응용프로그램이나운영체제소프트웨어의제작업체에서보안 업데이트공지가있을때에는즉시업데이트를실시하여야한다. - 69 -
- 응용프로그램이나운영체제에보안업데이트를적용할때에는업무연속성이이루어질수있도록보안업데이트를적용하는것이필요하며, 가능한자동으로보안업데이트가설정되도록할필요가있다. 참고 한컴오피스, MS 오피스등개인정보처리에자주이용되는응용프로그램은자동업데이트설정시, 보안업데이트공지에따른즉시업데이트가용이하다. - 개인정보처리시스템등의보안업데이트적용일자및설치 변경 제거내용등을기록하는형상관리를권고한다. - 사이버위기경보단계및보안업데이트공지여부를지속적으로확인하여보안업데이트적용시점및방법등을검토하고적용하여야한다. 참고 한국인터넷진흥원이운영하는인터넷보호나라 &KrCERT(https://krcert.or.kr) 에서제공하는 보안공지 등을활용할수있다. - 70 -
제 8 조물리적접근방지 제8조 ( 물리적접근방지 ) 정보통신서비스제공자등은개인정보의분실 도난 유출 위조 변조또는훼손을방지하고개인정보의안전성을확보하기위하여전산실, 자료보관실등개인정보를보관하고있는물리적보관장소에출입통제절차를수립 운영하여야한다. - 출입요청및승인 : 전산실, 자료보관실등에 출입신청서 를작성하여개인정보보호책임자또는전산실, 자료보관실등운영 관리책임자의승인을받아야한다. - 출입기록작성 : 출입에관한사항을 출입관리대장 에기록하고해당업무관계자가이를확인하여야한다. - 출입기록관리 : 정상 비정상적인출입여부, 장비반입 반출의적정성등을정기적으로검토하여야한다. - 71 -
출입신청서및관리대장작성 ( 예시 ) 출입신청서 : 소속, 부서명, 신청자, 연락처, 출입일자, 입실 퇴실시간, 출입목적, 작업내역등 출입관리대장 : 출입일자, 입실 퇴실시간, 출입자정보 ( 소속, 성명, 연락처 ), 출입목적, 승인부서, 입회자정보 ( 성명등 ), 승인자서명등 - 이외에도출입을통제하는방법으로는물리적접근방지장치 ( 비밀번호기반, 스마트 카드기반, 지문등바이오정보기반, CCTV 카메라기반출입통제장치등 ) 를설치 운영 하고출입내역을전자적인매체에기록하는방법등이있다. 참고 전산실은다량의정보시스템을운영하기위한별도의물리적인공간으로전기시설 (UPS, 발전기등 ), 공조시설 ( 항온항습기등 ), 소방시설 ( 소화설비등 ) 을갖춘시설을말한다. 자료보관실은가입신청서등의문서나 DAT(Digital Audio Tape), LTO(Linear Tape Open), DLT(Digital Linear Tape), 하드디스크등이보관된물리적저장장소를말한다. 정보통신서비스제공자등은개인정보가포함된서류, 보조저장매체 ( 이동형하드디스크, USB 메모리등 ) 등을금고, 잠금장치가있는캐비넷등안전한장소에보관하여야한다. 정보통신서비스제공자등은 USB 메모리, 이동형하드디스크등의보조저장매체를 통한개인정보의유출등을방지하기위하여개인정보가저장 전송되는보조저장매체의 반출 입통제를위한보안대책을마련하여야한다. 보조저장매체반출 입통제시고려사항 ( 예시 ) 보조저장매체보유현황파악및반출 입관리계획 개인정보취급자및수탁자등에의한개인정보유출가능성 보조저장매체의안전한사용방법및인가되지않은사용의대응조치 USB를 PC에연결시바이러스점검을디폴트로설정하는등기술적안전조치방안등 - 72 -
제 9 조출력 복사시보호조치 제9조 ( 출력 복사시보호조치 ) 정보통신서비스제공자등은개인정보처리시스템에서개인정보를출력 ( 인쇄, 화면표시, 파일생성등 ) 할때에는다음과같은사항등을고려하여용도를특정하고, 용도에 따라출력항목을최소화하여야한다. - 정보통신서비스제공자등의업무수행형태및목적, 유형, 장소등여건및환경에 따라개인정보처리시스템에대한접근권한범위내에서최소한의개인정보를출력 참고 출력시주의사항 * 오피스 ( 엑셀등 ) 에서개인정보가숨겨진필드형태로저장되지않도록조치 * 웹페이지소스보기등을통하여불필요한개인정보가출력되지않도록조치등 - 73 -
정보통신서비스제공자등은개인정보가포함된종이인쇄물, 외부저장매체등 출력 복사물을통해개인정보의분실 도난 유출등을방지하고출력 복사물을안전하게 관리하기위해출력 복사기록등에필요한보호조치를갖추어야한다. 출력 복사물보호조치 ( 예시 ) 출력 복사물보호및관리정책, 규정, 지침등마련 출력 복사물생산 관리대장마련및기록 출력 복사물운영 관리부서지정 운영 출력 복사물외부반출및재생산통제 신고 제한등 - 74 -
제 10 조개인정보표시제한보호조치 제 10 조 ( 개인정보표시제한보호조치 ) 정보통신서비스제공자등은개인정보업무처리를목적으로개인정보의조회, 출력 등의업무를수행하는과정에서개인정보보호를위하여개인정보를마스킹하여 표시제한조치를취할수있다. 이용자의개인정보를다수의개인정보처리시스템등에서각기다른방식으로마스킹할 때에는다수의개인정보처리시스템을이용하여개인정보취급자가이용자개인정보 집합을구성할수있으므로동일한방식의표시제한조치가필요하다. 이용자의개인정보를마스킹하면개인정보유출로인한 2 차피해확산을방지할 수도있다. 표시제한조치 ( 예시 ) 성명 : 홍 * 동 연락처 : 010-****-1234 주소 : 서울시송파구중대로 ** 접속지 IP: 123.123.***.123 구분 ᄀ시스템 ᄂ시스템 성명 홍길동 홍길동 연락처 010-****-5678 010-1234-**** 주소 송파구중대로 1 송파구중대로 1 위와같이연락처를다른방식으로마스킹할때개인정 보취급자가ᄀ, ᄂ시스템을통하여홍길동의연락처가 02-1234-5678 이라는것을확인할수있으므로동일 한방식의표시제한조치를권고한다. - 75 -
제 11 조규제의재검토 제11조 ( 규제의재검토 ) 방송통신위원회는신규침해위협및기술 서비스발전등을고려하여이기준에 대하여정기적으로그타당성을검토하여개선등의조치를하여야한다. [ 부칙 ] - 76 -
Ⅳ. 부록 1. 정보통신서비스제공자등을위한망분리해설 2. F A Q - 77 -
Ⅰ. 정보통신서비스제공자등을위한망분리해설 1. 망분리개요 1. 법적근거및취지 개인정보취급자의업무용컴퓨터등이정보통신망을통하여악성코드에감염되는등불법적인접근을차단하고침해사고를방지하기위하여망분리제도가시행되었다. 정보통신망법에서는대규모개인정보유출사고가발생하는것을방지하기위하여다음과같이망분리에관한사항을규정하고있다. 정보통신망법시행령 기술적 관리적보호조치기준 - 78 -
2. 용어정의 망분리 란외부인터넷망을통한불법적인접근과내부정보유출을차단하기 위해업무망과외부인터넷망을분리하는망차단조치를말한다. 다운로드 란개인정보처리시스템에접근하여개인정보취급자의컴퓨터등에 개인정보를엑셀, 워드등의파일형태로저장하는것을말한다. 파기 란개인정보처리시스템에저장된개인정보파일, 테이블또는데이터 베이스 (DB) 를삭제하는것을말한다. 접근권한설정 이란개인정보처리시스템에접근하는개인정보취급자에게다운로드, 파기등접근권한을설정하는것을말한다. 3. 적용대상및범위 망분리를적용하여야하는정보통신서비스제공자등은다음과같다. 위에해당하는정보통신서비스제공자등은다음에대하여망분리를적용하여야한다. - 79 -
2. 주요망분리방식 1. 망분리방식비교 업무망과인터넷망을분리하는방식은물리적망분리와논리적망분리등으로구분할수있으며, 다음에서제시된방식이외에도다양한방식이존재할수있다. 다만, 외부인터넷망을통한불법적인접근과내부정보유출을차단할수있도록업무망과외부인터넷망을분리하여야한다. 물리적망분리와논리적망분리는다음과같은장 단점을가지고있다. 이러한장 단 점은일반적인상황을가정한것으로서구성방식과설정등에따라달라질수있다. - 80 -
2. 물리적망분리 물리적망분리는업무망과인터넷망을물리적으로분리할뿐만아니라각망에접속하는컴퓨터도물리적으로분리하여망간접근경로를차단하는방식을말한다. - 어떠한때에도동일한시점에한컴퓨터에서업무망과인터넷망을동시에접속할수없도록하는방식 - 업무망컴퓨터에서인터넷망과의연결점을제거하여인터넷으로부터의악성코드감염, 해킹, 개인정보유출등의경로를원천적으로차단하는방법 물리적망분리를적용하기위해서는 1 [ 방식1] 2대컴퓨터이용망분리, 2 [ 방식2] 망전환장치이용망분리, 3 [ 방식3] 물리적폐쇄망구축등의방식을선택할수있다. - 이외에도물리적망분리와논리적망분리를혼용하거나, 컴퓨터는 2대로분리하되네트워크는하나의망을가상화하는등의하이브리드형태의망분리도적용가능 물리적망분리적용시, 업무망컴퓨터에서인터넷이접속되거나악성코드가감염되지않도록하는등의보안정책을수립하고안전하게관리하는것이매우중요하며다음과같은방법등이활용될수있다. - 비인가된디바이스 ( 컴퓨터, 스마트폰등 ) 의업무망 ( 폐쇄망 ) 연결통제 - 업무망컴퓨터의 IP변경, 인터넷용랜케이블연결등을통한인터넷망연결차단 - 업무망컴퓨터에서의테더링등망분리우회등을통한인터넷사용차단 - 2개의랜카드를사용하여업무망과인터넷망동시연결차단 - 업무망과인터넷망간의자료전송이반드시필요할때에는안전한방식적용 ( 망연계시스템, 보안 USB 등 ) - 외부이메일을통한악성코드유입및개인정보유출차단 ( 인터넷용메일시스템도입등 ) - USB 연결을통한악성코드유입및개인정보유출차단 - 프린터등주변기기에대하여도업무용, 인터넷용분리운영 - 81 -
1 [ 방식 1] 2 대컴퓨터이용망분리 2대컴퓨터이용망분리 란인터넷망에접근하는컴퓨터와업무망에접근하는컴퓨터를별도로사용하는방식을말한다. - 인터넷용컴퓨터와업무용컴퓨터를구분하고, 인터넷용컴퓨터는인터넷망에그리고업무용컴퓨터는업무망에연결하여사용한다. 이방식은업무망과인터넷망간의접근경로가물리적으로차단되어보안성이 높다는장점이있으나별도네트워크구축, 컴퓨터추가구매등에따라비용 증가및관리의어려움이있다는단점이있다. - 82 -
2 [ 방식 2] 1 대컴퓨터이용망분리 1 대컴퓨터이용망분리 란하드디스크, IP 주소등정보처리및네트워크연결 자원을분할한컴퓨터에망전환장치를사용하여인터넷망과업무망에선택적으로 접속하는방식을말한다. 이방식은사무공간이협소할때적합할수있으나망전환시재부팅등이용자불편을초래하는단점이있을수있다. - 하나의컴퓨터케이스에 2개의메인보드, 하드드라이브가각각설치되어동시에부팅및사용이가능한듀얼컴퓨터등다양한하드웨어장치가존재한다. - 83 -
3 [ 방식 2] 물리적폐쇄망구성 (SOC 등 ) 업무적으로인터넷사용이반드시필요할때가아니라면, 업무망컴퓨터에인터넷망과의연결점을제거하여특정물리적공간을폐쇄망으로구성하는방식을고려할수있다. - SOC(Security Operation Center) : 물리적으로접근이통제된공간을폐쇄망으로구성하여, 개인정보처리시스템의운영, 관리목적의접근은 SOC에서만가능하도록구성한다. - 데이터센터운영실을인터넷접속이불가능한폐쇄망으로구성하고인터넷접속이필요할때별도의인터넷접속용컴퓨터를통해서접속하도록구성한다. 이방식은개인정보처리시스템의직접접속은물리적으로분리된공간에서만가능하게함으로써보안성을향상할수있는장점이있는반면에물리적공간및통제장치마련에따라비용이크게소요될수있으며업무불편이증가할수있다. 이는폐쇄망구성을어떻게하는지에따라매우상이하므로구축방식에따른비용, 효과성등을사전에충분히검토후적용할필요가있다. - 84 -
3. 논리적망분리 논리적망분리는가상화기술을이용하여서버또는컴퓨터를가상화함으로써논리적으로업무망과인터넷망을분리하는방식을말한다. - 일반적으로 1대의컴퓨터에서일반영역과가상영역을접속하여업무를수행 - 가상환경접속용전용장치 (Zero Client 등 ) 를사용등 논리적망분리방식은 1 [ 방식1] 서버기반논리적망분리 (SBC, Server Based Computing), 2 [ 방식2] 컴퓨터기반논리적망분리 (CBC, Client Based Computing) 등으로구분할수있다. - 이외에도컴퓨터에설치된서버접속용프로그램으로인터넷망터미널서버에접속하여인터넷을사용하는터미널서버기반인터넷망분리방식이있을수있다. 논리적망분리는일반적으로물리적망분리에비해상대적으로보안성이떨어질수있으므로, 논리적망분리방식을적용할때에는가상화기술에관한보안위협등에대해충분히검토하고대책을수립하여야하며, 이를위해다음과같은방법등이활용될수있다. - 가상화기술 ( 하이퍼바이저등 ) 의취약점확인및조치 - 업무망과인터넷망간의자료전송이필요할때에는안전한방식적용 ( 망연계시스템등 ) - 외부이메일통한악성코드유입및개인정보유출차단 ( 인터넷용메일시스템도입등 ) - 논리적망분리설정오류등에따른업무망과인터넷망간의접점또는우회접속경로차단 - 동일한네트워크구간에위치한망분리미적용컴퓨터에의한침해대책마련 - 가상화되지않은영역 ( 로컬컴퓨터등 ) 에대한침해로인해가상화영역이동시에침해받을수있는가능성검토및대책마련등 - 85 -
1 [ 방식 1] 서버기반논리적망분리 서버기반논리적망분리는인터넷접속, 업무수행등기존에수행하던작업을 가상화서버, 터미널서버등에접속하여수행함으로써, 논리적으로인터넷망과 업무망을분리한다. - 세부적으로는윈도우즈, 리눅스등운영체제 (OS) 레벨에서가상환경을제공하는 VDI(Virtual Desktop Infrastructure, 데스크톱가상화 ) 와특정어플리케이션에가상 환경을제공하는어플리케이션가상화방식으로구분될수있다. 서버기반논리적망분리를할때개인정보처리시스템의운영 개발 보안을목적으로 DB 서버등에접속하는개인정보취급자 ( 예시 : 데이터베이스운영관리자 ) 의컴퓨터는인터넷망영역을가상화하는방식을적용하여야한다. 업무망영역을가상화할때는사용자컴퓨터 ( 로컬영역 ) 가악성코드에감염되거나해킹을당할때, 업무망으로의악성코드유입및불법적인침해발생이가능하기때문이다. - 86 -
인터넷망가상화방식과업무망가상화방식은다음과같이비교할수있다. - 87 -
2 [ 방식 2] 컴퓨터기반논리적망분리 컴퓨터기반논리적망분리는인터넷접속등의작업을컴퓨터기반가상화기술 (CBC, Client Based Computing) 이적용된영역에서수행함으로써인터넷망과업무망을논리적으로분리한다. - 세부적으로는윈도우즈, 리눅스등운영체제 (OS) 레벨에서가상환경을제공하는 OS커널가상화와웹브라우저등특정어플리케이션에가상환경을제공하는어플리케이션가상화방식으로구분될수있다. 이방식은사용자컴퓨터의영역을분리하는컴퓨터가상화전용프로그램을설치하고, 분리된가상영역에서인터넷등을사용하도록구성된다. - 서버가상화기반망분리방식에비해별도의가상화서버구축이불필요함에따라비용이상대적으로절감되는장점이있는반면에, 사용자컴퓨터에설치된운영체제, 응용프로그램과의호환성등에대해충분한검토가필요하다. - 88 -
3. 망분리적용시고려사항 망분리구성및설정상의취약점을이용한업무망침투, 대량의개인정보유출 사고등이발생하고있으므로망분리적용시충분한보안성검토등을통하여 안전하게구성하여야한다. 또한, 망분리적용자와미적용자가동일한네트워크구간에존재하는경우망분리 미적용자의컴퓨터를경유하여개인정보처리시스템에침투하는사례도발생하고 있으므로이에필요한대책을수립 적용할필요가있다. - 89 -
- 90 -
Ⅱ. FAQ Q1 Q2 Q3-91 -
Q4 Q5-92 -
Q6 Q7 개인정보처리시스템 ( 예시 ) 데이터베이스를구성 운영하는시스템그자체 응용프로그램 (Web 서버, WAS 등 ) 등을데이터베이스의개인정보를처리할수있도록구성할때 개인정보의처리를위해파일처리시스템으로구성할때 업무용컴퓨터, 노트북등에데이터베이스관련응용프로그램을설치 운영하여개인정보취급자가개인정보를처리할수있도록구성할때등 - 93 -
Q8 Q9 Q10-94 -
Q11 Q12 Q13-95 -
Q14 Q15 접근권한변경 말소미조치사례 ( 예시 ) 다수시스템의접근권한변경 말소가필요함에도일부시스템의접근권한만변경 말소할때 접근권한의전부를변경 말소하여야함에도일부만변경 말소할때 접근권한말소가필요한계정을삭제또는접속차단조치를하였으나, 해당계정의인증값등을이용하여우회접근이가능할때등 - 96 -
Q16 Q17 Q18-97 -
Q19 Q20 Q21-98 -
Q22 Q23 Q24 Q25-99 -
Q26 Q27 Q28-100 -
Q29 통신비밀보호법 통신비밀보호법시행령 - 101 -
Q30 참고 출력시주의사항 * 오피스 ( 엑셀등 ) 에서개인정보가숨겨진필드형태로저장되지않도록조치 * 웹페이지소스보기등을통하여불필요한개인정보가출력되지않도록조치등 Q31-102 -