티빙·CU택배 해킹 여파로 규제 데드라인 4개월 단축
1000건 이상 CI 처리 기관 8월 14일까지 이행 계획서 요구
[보안뉴스 조재호 기자] 최근 잇따른 해킹 사고로 연계정보(CI) 분리 보관 의무화 시점이 2027년 1월 1일로 4개월 앞당겨졌다. 이에 한국인터넷진흥원(KISA)은 지난 26일 온라인 설명회를 열고 1000건 이상 CI를 처리하는 기관을 대상으로 올해 서면 점검 시 예산 확보가 담긴 이행 계획서 제출을 필수화했다.
▲연계정보(CI) 실태점검 대응 절차 [출처:KISA]
‘연계정보(CI) 분리 보관 의무화’란 기업이 이용자 식별을 위해 본인확인기관으로부터 제공받은 CI(Connecting Information)를 데이터베이스 내에서 주민등록번호 등 다른 민감한 개인정보와 물리적 또는 논리적으로 철저히 분리해 저장·관리해야 한다는 규정이다.
당초 이 규정은 2027년 5월 1일부터 전면 시행될 예정이었으나, 최근 주요 플랫폼에서 대규모 개인정보 유출 사고가 발생하자 규제 당국이 사안의 시급성을 고려해 시행일을 앞당겼다. CI와 일반 개인정보가 같은 공간에 보관되어 함께 유출될 경우, 해커가 여러 사이트에서 사용자의 행적을 쉽게 교차 조합해 크리덴셜 스터핑(Credential Stuffing)이나 금융 범죄 등 심각한 2차 피해를 유발할 수 있기 때문이다.
시행 시점이 4개월이나 단축됨에 따라 기업들은 DB 인스턴스 분리, 스키마 재설계, 암호화 및 접근 권한 통제 등에 필요한 막대한 인프라 개편을 서둘러야 하는 상황이다. KISA가 올해 서면 점검부터 ┖예산 확보 내역이 포함된 이행 계획서┖를 강제한 것 역시, 기업들이 유예기간 단축에 대비해 즉각적이고 실효성 있는 보안 투자를 유도하기 위한 조치로 풀이된다.
이번 실태점검은 정보통신망법 제23조의6에 따라 본인확인기관으로부터 CI를 1000건 이상 제공받아 처리하는 대형 플랫폼 및 중소형 핀테크 사업자 전반을 대상으로 진행된다. 대상 기업은 2026년 8월 14일까지 안전조치 이행 여부에 대한 서면 자료와 자가점검표를 의무적으로 제출해야 한다.
올해 점검의 핵심은 데이터베이스(DB) 내 CI의 물리적 보관 여부와 무관하게 시스템 연계를 위한 일시적 조회 및 대조 행위만 발생해도 점검 대상에 포함된다는 점이다. 단, 중복가입확인정보(DI)만 처리하는 경우는 제외된다. CI 처리를 외부 수탁사에 위탁한 위탁사(점검 대상 기업) 역시 위수탁계약서 및 수탁사의 안전조치 이행 현황을 직접 확인하고 증빙해야 할 책임이 부여된다.
당국은 기술적·인적 통제 기준도 대폭 강화했다. 인터넷망 데이터 송수신 시 전송 계층 보안(TLS) 1.2 이상 또는 가상사설망(VPN) 적용이 필수적이며 취약점이 보고된 SSL 3.0이나 TLS 1.0 등 레거시 프로토콜 사용이 적발될 경우 행정처분이 내려질 수 있다. 또, 연 1회 이상의 CI 특화 보안 교육이 의무화돼 이를 단순 전사 개인정보 교육으로 갈음하는 관행은 불인정 처리된다.
가장 주목할 점은 규제 데드라인의 조기화다. 최근 티빙 및 CU택배 해킹 사고 등에서 주민등록번호와 CI가 동시에 유출되는 사태가 잇따르자, 방송미디어통신위원회는 물리적 논리적 분리 보관 의무화 시점을 당초 2027년 5월 1일에서 2027년 1월 1일로 4개월 앞당기는 조치를 추진했다. 다만 안전한 알고리즘을 활용한 저장 암호화 및 수집 이력 1년 보존 규정은 기존대로 내년 5월 시행된다.
KISA는 해당 조항들이 현시점에서는 유예 기간에 있으나 2026년 서면 점검 시 예산 확보 및 시스템 구축 일정이 포함된 ‘이행 계획서’의 형태로 반드시 제출할 것을 지시했다. 기한 내 서면 자료를 미제출하거나 지연 제출하면 3000만원 이하의 과태료 처분을 받을 수 있으며, 제출 서류 간 상호 모순이 발견되면 즉각적인 현장점검으로 전환된다.
아래는 KISA 2026년 연계정보 안전조치 실태점검 설명회에서 나온 주요 질문과 답변이다.
Q. 실태점검의 정확한 대상 기준은 어떻게 되는가
연계정보(CI)를 1000건 이상 제공받아 처리하는 모든 이용기관이 대상이다. 대형 플랫폼은 물론 본인확인 서비스를 연동하는 중소형 핀테크·이커머스·플랫폼 사업자 전반이 포함된다.
Q. 기존 개인정보 내부 관리 계획과 별도로 연계정보 규정을 반드시 신설해야 하는가
그렇다. 기존 개인정보 관리 체계와 별도로 연계정보 수집과 저장, 위탁, 파기 등 생애주기 전반에 걸친 취급 관리 절차를 내부 규정으로 명문화해야 한다. 이는 경영진 승인을 거쳐 전 임직원에게 의무적으로 공개돼야 한다.
Q. 네트워크 송수신 시 요구되는 암호화 수준은 어느 정도인가
인터넷망을 통한 데이터 송수신 시 SSL이나 TLS를 적용하거나 가상사설망(VPN)을 반드시 도입해야 한다. 특히 취약점이 보고된 SSL 3.0이나 TLS 1.0 등 레거시 프로토콜 사용이 적발될 경우 행정처분이 이루어질 수도 있다.
Q. 데이터베이스(DB) 내 연계정보 저장 시 암호화가 의무인가
현시점에서는 권고사항이지만 2027년 5월 1일부터는 안전한 알고리즘을 활용한 연계정보 암호화 저장이 전면 의무화된다. 당국은 이를 앞두고 선제적인 암호화 조치 적용을 강력히 권고하고 있다.
Q. 연계정보 취급자 대상 교육의 구체적인 기준이 있는가
연 1회 이상 정기 보안 교육을 필수적으로 실시해야 한다. 단순히 전사 일괄 교육으로 갈음하는 것은 불인정되며, 연계정보를 취급하는 경우 연계정보에 대한 안전한 조치에 대한 내용을 받아야 한다.
Q. 자체적인 취약점 점검 의무도 명시되어 있는가
그렇다. 연계정보 처리 시스템에 대한 취약점 점검 절차를 내부 규정에 포함해야 한다. 이용기관은 연 1회 이상 연계정보 처리 실태에 대한 정기적인 자체 점검을 수행하는 것이 필수적이다.
Q. 침해사고 대응 계획 수립 시 반드시 포함해야 할 요소는 무엇인가
연계정보 유출 및 분실 사고 발생 시 가동할 즉각적인 보고 체계, 단계별 대응 조직 구성안, 피해 이용자 불만 접수 및 처리 절차 등 실무 매뉴얼이 반드시 구비되어야 한다.
Q. 이력 관리와 관련해 어떤 데이터를 어느 기간 동안 보관해야 하는가
연계정보 제공 기관, 제공 시기, 수집 목적 등 상세한 수발신 이력을 기록하고 최소 1년간 로그로 저장해 관리해야 한다. 이는 사고 발생 시 추적성을 확보하기 위한 핵심 조치로 2027년 5월 1일 시행을 앞두고 있다.
Q. 점검에 대비해 실무적으로 준비해야 할 증빙 자료의 범위는 어디까지인가
정책 문서 제정은 기본이며 SSL이나 TLS 적용 인증서 목록, 보안 솔루션 설정 결과서, 실제 DB 내 데이터가 암호화돼 저장된 상태를 직관적으로 증명하는 시스템 캡처 화면 등 인프라 적용 실태를 명확히 입증해야 한다.
[조재호 기자(zephyr@boannews.com)]
1000건 이상 CI 처리 기관 8월 14일까지 이행 계획서 요구
[보안뉴스 조재호 기자] 최근 잇따른 해킹 사고로 연계정보(CI) 분리 보관 의무화 시점이 2027년 1월 1일로 4개월 앞당겨졌다. 이에 한국인터넷진흥원(KISA)은 지난 26일 온라인 설명회를 열고 1000건 이상 CI를 처리하는 기관을 대상으로 올해 서면 점검 시 예산 확보가 담긴 이행 계획서 제출을 필수화했다.
▲연계정보(CI) 실태점검 대응 절차 [출처:KISA]
‘연계정보(CI) 분리 보관 의무화’란 기업이 이용자 식별을 위해 본인확인기관으로부터 제공받은 CI(Connecting Information)를 데이터베이스 내에서 주민등록번호 등 다른 민감한 개인정보와 물리적 또는 논리적으로 철저히 분리해 저장·관리해야 한다는 규정이다.
당초 이 규정은 2027년 5월 1일부터 전면 시행될 예정이었으나, 최근 주요 플랫폼에서 대규모 개인정보 유출 사고가 발생하자 규제 당국이 사안의 시급성을 고려해 시행일을 앞당겼다. CI와 일반 개인정보가 같은 공간에 보관되어 함께 유출될 경우, 해커가 여러 사이트에서 사용자의 행적을 쉽게 교차 조합해 크리덴셜 스터핑(Credential Stuffing)이나 금융 범죄 등 심각한 2차 피해를 유발할 수 있기 때문이다.
시행 시점이 4개월이나 단축됨에 따라 기업들은 DB 인스턴스 분리, 스키마 재설계, 암호화 및 접근 권한 통제 등에 필요한 막대한 인프라 개편을 서둘러야 하는 상황이다. KISA가 올해 서면 점검부터 ┖예산 확보 내역이 포함된 이행 계획서┖를 강제한 것 역시, 기업들이 유예기간 단축에 대비해 즉각적이고 실효성 있는 보안 투자를 유도하기 위한 조치로 풀이된다.
이번 실태점검은 정보통신망법 제23조의6에 따라 본인확인기관으로부터 CI를 1000건 이상 제공받아 처리하는 대형 플랫폼 및 중소형 핀테크 사업자 전반을 대상으로 진행된다. 대상 기업은 2026년 8월 14일까지 안전조치 이행 여부에 대한 서면 자료와 자가점검표를 의무적으로 제출해야 한다.
올해 점검의 핵심은 데이터베이스(DB) 내 CI의 물리적 보관 여부와 무관하게 시스템 연계를 위한 일시적 조회 및 대조 행위만 발생해도 점검 대상에 포함된다는 점이다. 단, 중복가입확인정보(DI)만 처리하는 경우는 제외된다. CI 처리를 외부 수탁사에 위탁한 위탁사(점검 대상 기업) 역시 위수탁계약서 및 수탁사의 안전조치 이행 현황을 직접 확인하고 증빙해야 할 책임이 부여된다.
당국은 기술적·인적 통제 기준도 대폭 강화했다. 인터넷망 데이터 송수신 시 전송 계층 보안(TLS) 1.2 이상 또는 가상사설망(VPN) 적용이 필수적이며 취약점이 보고된 SSL 3.0이나 TLS 1.0 등 레거시 프로토콜 사용이 적발될 경우 행정처분이 내려질 수 있다. 또, 연 1회 이상의 CI 특화 보안 교육이 의무화돼 이를 단순 전사 개인정보 교육으로 갈음하는 관행은 불인정 처리된다.
가장 주목할 점은 규제 데드라인의 조기화다. 최근 티빙 및 CU택배 해킹 사고 등에서 주민등록번호와 CI가 동시에 유출되는 사태가 잇따르자, 방송미디어통신위원회는 물리적 논리적 분리 보관 의무화 시점을 당초 2027년 5월 1일에서 2027년 1월 1일로 4개월 앞당기는 조치를 추진했다. 다만 안전한 알고리즘을 활용한 저장 암호화 및 수집 이력 1년 보존 규정은 기존대로 내년 5월 시행된다.
KISA는 해당 조항들이 현시점에서는 유예 기간에 있으나 2026년 서면 점검 시 예산 확보 및 시스템 구축 일정이 포함된 ‘이행 계획서’의 형태로 반드시 제출할 것을 지시했다. 기한 내 서면 자료를 미제출하거나 지연 제출하면 3000만원 이하의 과태료 처분을 받을 수 있으며, 제출 서류 간 상호 모순이 발견되면 즉각적인 현장점검으로 전환된다.
아래는 KISA 2026년 연계정보 안전조치 실태점검 설명회에서 나온 주요 질문과 답변이다.
Q. 실태점검의 정확한 대상 기준은 어떻게 되는가
연계정보(CI)를 1000건 이상 제공받아 처리하는 모든 이용기관이 대상이다. 대형 플랫폼은 물론 본인확인 서비스를 연동하는 중소형 핀테크·이커머스·플랫폼 사업자 전반이 포함된다.
Q. 기존 개인정보 내부 관리 계획과 별도로 연계정보 규정을 반드시 신설해야 하는가
그렇다. 기존 개인정보 관리 체계와 별도로 연계정보 수집과 저장, 위탁, 파기 등 생애주기 전반에 걸친 취급 관리 절차를 내부 규정으로 명문화해야 한다. 이는 경영진 승인을 거쳐 전 임직원에게 의무적으로 공개돼야 한다.
Q. 네트워크 송수신 시 요구되는 암호화 수준은 어느 정도인가
인터넷망을 통한 데이터 송수신 시 SSL이나 TLS를 적용하거나 가상사설망(VPN)을 반드시 도입해야 한다. 특히 취약점이 보고된 SSL 3.0이나 TLS 1.0 등 레거시 프로토콜 사용이 적발될 경우 행정처분이 이루어질 수도 있다.
Q. 데이터베이스(DB) 내 연계정보 저장 시 암호화가 의무인가
현시점에서는 권고사항이지만 2027년 5월 1일부터는 안전한 알고리즘을 활용한 연계정보 암호화 저장이 전면 의무화된다. 당국은 이를 앞두고 선제적인 암호화 조치 적용을 강력히 권고하고 있다.
Q. 연계정보 취급자 대상 교육의 구체적인 기준이 있는가
연 1회 이상 정기 보안 교육을 필수적으로 실시해야 한다. 단순히 전사 일괄 교육으로 갈음하는 것은 불인정되며, 연계정보를 취급하는 경우 연계정보에 대한 안전한 조치에 대한 내용을 받아야 한다.
Q. 자체적인 취약점 점검 의무도 명시되어 있는가
그렇다. 연계정보 처리 시스템에 대한 취약점 점검 절차를 내부 규정에 포함해야 한다. 이용기관은 연 1회 이상 연계정보 처리 실태에 대한 정기적인 자체 점검을 수행하는 것이 필수적이다.
Q. 침해사고 대응 계획 수립 시 반드시 포함해야 할 요소는 무엇인가
연계정보 유출 및 분실 사고 발생 시 가동할 즉각적인 보고 체계, 단계별 대응 조직 구성안, 피해 이용자 불만 접수 및 처리 절차 등 실무 매뉴얼이 반드시 구비되어야 한다.
Q. 이력 관리와 관련해 어떤 데이터를 어느 기간 동안 보관해야 하는가
연계정보 제공 기관, 제공 시기, 수집 목적 등 상세한 수발신 이력을 기록하고 최소 1년간 로그로 저장해 관리해야 한다. 이는 사고 발생 시 추적성을 확보하기 위한 핵심 조치로 2027년 5월 1일 시행을 앞두고 있다.
Q. 점검에 대비해 실무적으로 준비해야 할 증빙 자료의 범위는 어디까지인가
정책 문서 제정은 기본이며 SSL이나 TLS 적용 인증서 목록, 보안 솔루션 설정 결과서, 실제 DB 내 데이터가 암호화돼 저장된 상태를 직관적으로 증명하는 시스템 캡처 화면 등 인프라 적용 실태를 명확히 입증해야 한다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
