공공부문 개인정보 유출 방지 대책으로 개인정보 접속기록 관리 의무화
개인정보보호법 시행령 강화, 기술적 관리적 보호조치, 안전성 확보조치 기준 통폐합
이용자 접속기록 3개월간 보관, 공공시스템운영기관 특례 신설
[보안뉴스 김경애 기자] 개인정보보호법이 강화되면서 개인정보 접속기록이 갈수록 중요해지고 있다. 개인정보 접속기록 관리와 관련해서는 2019년 개인정보의 안전성 확보조치 기준이 변경되면서 접속기록 생성시 정보 주체 정보를 기록하고, 개인정보를 다운로드시에는 반드시 사유를 확인하도록 하고 있다. 또한, 접속기록 보관 기간도 최대 2년으로 확대됐으며, 접속기록 기준도 한층 강화됐다.
▲ISEC 2023에서 위즈코리아 김훈 부문장이 개인정보접속기록 관리의 중요성에 대해 설명하고 있다[사진=보안뉴스]
2022년에는 공공부문 개인정보 유출 방지 대책으로 개인정보 접속기록 관리가 의무화됐다. 또한, 집중관리대상 시스템 선정과 3단계(권한 변경 이력관리, 접속기록 관리 의무 도입, 소명 통지) 조치도 의무화됐다.
또한, 2023년 개인정보보호법 개정으로 개인정보보호법 시행령이 강화됐고, 기술적·관리적 보호조치 기준과 안전성 확보조치 기준이 통폐합됐다. 이용자 접속기록은 3개월간 보관해야 하고, 공공시스템운영기관 특례가 신설됐다.
공공시스템운영기관 등에 대한 특례 신설(제3장: 제15조~18조)은 제15조 공공시스템운영기관의 안전조치 기준 적용, 제16조 공공시스템운영기관의 내부 관리계획의 수립·시행, 제17조 공공시스템운영기관의 접근 권한의 관리, 제18조 공공시스템운영기관의 접속기록의 보관 및 점검이다.
특히, 제8조(초안) 접속기록의 보관 및 점검의 경우 ①개인정보처리자는 개인정보처리시스템에 접속한 자에 대한 접속기록을 생성하고 3개월 이상 보관·관리해야 한다. ②제1항에도 불구하고 개인정보처리자는 개인정보취급자의 접속기록은 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 ‘전기통신사업법’제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우다. ③제1항 및 제2항에 따른 접속기록은 식별자, 접속지 정보, 처리한 정보주체 정보, 수행업무를 포함해야 한다.
집중 관리대상이 되는 공공시스템의 지정 기준은 100만명 이상 개인정보 처리 또는 개인정보취급자 수 200명 이상인 단일접속 시스템, 대국민 행정 민원업무 처리에 사용되는 표준배포시스템 등으로 규정하고 있다. 공공시스템별로 내부 관리계획에 관리책임자 지정 및 안전조치 등에 관한 사항을 수립 및 시행해야 한다. 또한, 접근 권한 부여 변경 말소 시 인사정보와 연동, 원칙적으로 인사 정보에 등록되지 않은 자에게 계정을 발급해야 한다.
접속기록을 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오·남용 시도를 탐지(예, 접속기록관리시스템 등)하고, 공공시스템 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검할 수 있는 기능을 제공해야 한다. 특히, 7.14 정부대책에 따라 승인·소명 절차가 마련되고 있어 개인정보보호 자기관리 및 통합 소명관리 시스템이 도입돼야 한다.
▲접속기록 생성의 기본원칙의 중요포인트[사진=보안뉴스]
이와 관련 위즈코리아 김훈 부문장은 ISEC 2023 강연을 통해 “잘못된 접속기록 생성 방식의 선택은 기본적인 법규 준수 조차 불가능하며 운영 시 여러 관리상 문제가 초래된다”며 “접속기록 생성의 기본원칙은 누가(식별자), 누구의(처리한 정보주체 정보), 언제(접속일시), 어디서(접속지 정보), 업무내역(수행업무), 조회된 사람의 명수 등 개인정보처리시스템에 접속해 수행한 모든 업무내역들이 유실 및 누락되지 않도록 기록돼야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
개인정보보호법 시행령 강화, 기술적 관리적 보호조치, 안전성 확보조치 기준 통폐합
이용자 접속기록 3개월간 보관, 공공시스템운영기관 특례 신설
[보안뉴스 김경애 기자] 개인정보보호법이 강화되면서 개인정보 접속기록이 갈수록 중요해지고 있다. 개인정보 접속기록 관리와 관련해서는 2019년 개인정보의 안전성 확보조치 기준이 변경되면서 접속기록 생성시 정보 주체 정보를 기록하고, 개인정보를 다운로드시에는 반드시 사유를 확인하도록 하고 있다. 또한, 접속기록 보관 기간도 최대 2년으로 확대됐으며, 접속기록 기준도 한층 강화됐다.
▲ISEC 2023에서 위즈코리아 김훈 부문장이 개인정보접속기록 관리의 중요성에 대해 설명하고 있다[사진=보안뉴스]
2022년에는 공공부문 개인정보 유출 방지 대책으로 개인정보 접속기록 관리가 의무화됐다. 또한, 집중관리대상 시스템 선정과 3단계(권한 변경 이력관리, 접속기록 관리 의무 도입, 소명 통지) 조치도 의무화됐다.
또한, 2023년 개인정보보호법 개정으로 개인정보보호법 시행령이 강화됐고, 기술적·관리적 보호조치 기준과 안전성 확보조치 기준이 통폐합됐다. 이용자 접속기록은 3개월간 보관해야 하고, 공공시스템운영기관 특례가 신설됐다.
공공시스템운영기관 등에 대한 특례 신설(제3장: 제15조~18조)은 제15조 공공시스템운영기관의 안전조치 기준 적용, 제16조 공공시스템운영기관의 내부 관리계획의 수립·시행, 제17조 공공시스템운영기관의 접근 권한의 관리, 제18조 공공시스템운영기관의 접속기록의 보관 및 점검이다.
특히, 제8조(초안) 접속기록의 보관 및 점검의 경우 ①개인정보처리자는 개인정보처리시스템에 접속한 자에 대한 접속기록을 생성하고 3개월 이상 보관·관리해야 한다. ②제1항에도 불구하고 개인정보처리자는 개인정보취급자의 접속기록은 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 ‘전기통신사업법’제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우다. ③제1항 및 제2항에 따른 접속기록은 식별자, 접속지 정보, 처리한 정보주체 정보, 수행업무를 포함해야 한다.
집중 관리대상이 되는 공공시스템의 지정 기준은 100만명 이상 개인정보 처리 또는 개인정보취급자 수 200명 이상인 단일접속 시스템, 대국민 행정 민원업무 처리에 사용되는 표준배포시스템 등으로 규정하고 있다. 공공시스템별로 내부 관리계획에 관리책임자 지정 및 안전조치 등에 관한 사항을 수립 및 시행해야 한다. 또한, 접근 권한 부여 변경 말소 시 인사정보와 연동, 원칙적으로 인사 정보에 등록되지 않은 자에게 계정을 발급해야 한다.
접속기록을 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오·남용 시도를 탐지(예, 접속기록관리시스템 등)하고, 공공시스템 이용기관이 소관 개인정보취급자의 접속기록을 직접 점검할 수 있는 기능을 제공해야 한다. 특히, 7.14 정부대책에 따라 승인·소명 절차가 마련되고 있어 개인정보보호 자기관리 및 통합 소명관리 시스템이 도입돼야 한다.
▲접속기록 생성의 기본원칙의 중요포인트[사진=보안뉴스]
이와 관련 위즈코리아 김훈 부문장은 ISEC 2023 강연을 통해 “잘못된 접속기록 생성 방식의 선택은 기본적인 법규 준수 조차 불가능하며 운영 시 여러 관리상 문제가 초래된다”며 “접속기록 생성의 기본원칙은 누가(식별자), 누구의(처리한 정보주체 정보), 언제(접속일시), 어디서(접속지 정보), 업무내역(수행업무), 조회된 사람의 명수 등 개인정보처리시스템에 접속해 수행한 모든 업무내역들이 유실 및 누락되지 않도록 기록돼야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
