개정 개인정보보호법, 주요 공공시스템 운영기관 안전조치 기준 강화
주요 위반 사항으로 암호화 미조치, 접근통제 의무 위반, 접속기록 관리 위반 등 지적
[보안뉴스 김경애 기자] 최근 개인정보보호위원회가 개인정보 관리수준이 미흡한 기관 8곳에 대해 과태료와 과징금을 부과한 바 있다. 주요 위반 사항으로는 △암호화 미조치 △접근통제 의무 위반 △접속기록 관리 위반 등이 지적됐다.
[이미지 = gettyimagesbank]
특히 주요 공공시스템 운영기관의 안전조치 기준이 강화돼 안전성 확보 조치는 갈수록 중요해지고 있다. 첫째, 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리할 수 있는 근거가 마련됐다. 둘째, 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무가 강화됐다.
이와 관련 공공시스템 운영기관에 대한 안전조치 특례 주요 내용을 살펴보면 ①내부 관리계획에 공공시스템별 안전성 확보 조치 포함 ②공공시스템 이용기관이 접근 권한 부여 등이 가능하도록 권한 부여 ③공공시스템 접속기록의 저장·분석, 점검·관리 등의 조치 ④정당한 권한 없이 또는 권한을 초과해 접근한 사실이 확인된 경우 지체없이 정보주체에 통지 ➄공공시스템 이용기관 수 등을 고려해 전담부서 운영 또는 전담인력 배치 ➅공공시스템 각각에 대해 총괄관리 부서장을 관리책임자로 지정 ➆운영기관, 수탁자, 주요 이용기관 등이 참여하는 협의회 설치·운영 등이다.
이 가운데 접속 기록과 접근 권한에 대한 문제가 두드러지고 있다. 개인정보 보호법 제5조에 따르면 개인정보처리 시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하고, 이 외에는 접근하지 못하도록 구분하는 등 업무 단위별로 세분화해 구분하도록 했다.
개인정보취급자 또는 개인정보취급자의 업무가 전보, 퇴직 등의 인사이동, 부서 내 업무조정 등과 같이 업무가 변경됐을 경우 지체없이 접근 권한을 변경 또는 말소해야 한다. 또한 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관해야 한다는 내용도 포함됐다.
이러한 개정 개인정보 보호법에 따라 개인정보처리자는 접속 기록이 위·변조되거나 도난, 분실되지 않도록 해당 접속 기록을 안전하게 보관 조치해야 한다.
개인정보 접속기록 보관 대상은 개인정보취급자의 개인정보처리 시스템에 대한 접속기록이다. 보관 항목은 개인정보처리 시스템에 접속해 수행한 업무내역에 대해 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등이다.
개인정보 접속기록 보관 기간은 개인정보취급자(공공기관/민간기업)의 경우 1년이지만, 5만명 이상 개인정보취급자, 고유식별정보 또는 민감정보 취급자, 기간통신사업자는 각각 2년이다. 보관 방법은 접속기록이 위·변조 및 도난, 분실되지 않도록 보관해야 한다.
개인정보 접속기록 점검주기는 월 1회 이상 정기적으로 점검해야 한다. 개인정보 파일의 다운로드가 확인된 경우에는 내부 관리계획 등 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
개인정보 접속기록 관리 솔루션을 공급하고 있는 피앤피시큐어 관계자는 “최근 개인정보보호 관련 규제가 강화되고 있는 가운데 관련 조항을 이해하지 못해 지적사항이 제기되고, 불필요한 과태료 납부로 이어지는 게 현실”이라며 “규제 강화에 따른 대비를 위해 개인정보 접속기록 관리와 접근통제 조치, 그리고 암호화는 필수사항”이라고 강조했다.
이어 그는 “개인정보 접속기록 관리 솔루션을 통해 개인정보 취급자의 접속기록을 분석하고 위험 규칙에 따라 이상 행위를 감지해 개인정보를 오·남용하거나 불필요한 다운로드 행위를 소명 처리할 수 있다”며 “규제 준수, 개인정보보호 책임자의 효율적인 점검 활동, ISMS-P 인증 대비 등의 차원에서 공공기관 외에 대규모 개인정보 취급 기업의 수요도 높아지는 추세”라고 전했다.
[김경애 기자(boan3@boannews.com)]
주요 위반 사항으로 암호화 미조치, 접근통제 의무 위반, 접속기록 관리 위반 등 지적
[보안뉴스 김경애 기자] 최근 개인정보보호위원회가 개인정보 관리수준이 미흡한 기관 8곳에 대해 과태료와 과징금을 부과한 바 있다. 주요 위반 사항으로는 △암호화 미조치 △접근통제 의무 위반 △접속기록 관리 위반 등이 지적됐다.
[이미지 = gettyimagesbank]
특히 주요 공공시스템 운영기관의 안전조치 기준이 강화돼 안전성 확보 조치는 갈수록 중요해지고 있다. 첫째, 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리할 수 있는 근거가 마련됐다. 둘째, 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무가 강화됐다.
이와 관련 공공시스템 운영기관에 대한 안전조치 특례 주요 내용을 살펴보면 ①내부 관리계획에 공공시스템별 안전성 확보 조치 포함 ②공공시스템 이용기관이 접근 권한 부여 등이 가능하도록 권한 부여 ③공공시스템 접속기록의 저장·분석, 점검·관리 등의 조치 ④정당한 권한 없이 또는 권한을 초과해 접근한 사실이 확인된 경우 지체없이 정보주체에 통지 ➄공공시스템 이용기관 수 등을 고려해 전담부서 운영 또는 전담인력 배치 ➅공공시스템 각각에 대해 총괄관리 부서장을 관리책임자로 지정 ➆운영기관, 수탁자, 주요 이용기관 등이 참여하는 협의회 설치·운영 등이다.
이 가운데 접속 기록과 접근 권한에 대한 문제가 두드러지고 있다. 개인정보 보호법 제5조에 따르면 개인정보처리 시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하고, 이 외에는 접근하지 못하도록 구분하는 등 업무 단위별로 세분화해 구분하도록 했다.
개인정보취급자 또는 개인정보취급자의 업무가 전보, 퇴직 등의 인사이동, 부서 내 업무조정 등과 같이 업무가 변경됐을 경우 지체없이 접근 권한을 변경 또는 말소해야 한다. 또한 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관해야 한다는 내용도 포함됐다.
이러한 개정 개인정보 보호법에 따라 개인정보처리자는 접속 기록이 위·변조되거나 도난, 분실되지 않도록 해당 접속 기록을 안전하게 보관 조치해야 한다.
개인정보 접속기록 보관 대상은 개인정보취급자의 개인정보처리 시스템에 대한 접속기록이다. 보관 항목은 개인정보처리 시스템에 접속해 수행한 업무내역에 대해 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등이다.
개인정보 접속기록 보관 기간은 개인정보취급자(공공기관/민간기업)의 경우 1년이지만, 5만명 이상 개인정보취급자, 고유식별정보 또는 민감정보 취급자, 기간통신사업자는 각각 2년이다. 보관 방법은 접속기록이 위·변조 및 도난, 분실되지 않도록 보관해야 한다.
개인정보 접속기록 점검주기는 월 1회 이상 정기적으로 점검해야 한다. 개인정보 파일의 다운로드가 확인된 경우에는 내부 관리계획 등 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
개인정보 접속기록 관리 솔루션을 공급하고 있는 피앤피시큐어 관계자는 “최근 개인정보보호 관련 규제가 강화되고 있는 가운데 관련 조항을 이해하지 못해 지적사항이 제기되고, 불필요한 과태료 납부로 이어지는 게 현실”이라며 “규제 강화에 따른 대비를 위해 개인정보 접속기록 관리와 접근통제 조치, 그리고 암호화는 필수사항”이라고 강조했다.
이어 그는 “개인정보 접속기록 관리 솔루션을 통해 개인정보 취급자의 접속기록을 분석하고 위험 규칙에 따라 이상 행위를 감지해 개인정보를 오·남용하거나 불필요한 다운로드 행위를 소명 처리할 수 있다”며 “규제 준수, 개인정보보호 책임자의 효율적인 점검 활동, ISMS-P 인증 대비 등의 차원에서 공공기관 외에 대규모 개인정보 취급 기업의 수요도 높아지는 추세”라고 전했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
