기존 안전조치 해설서 2종 통합, 법 적용 기관 혼선 줄여
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 2023년 9월 ‘개인정보 보호법 시행령’에 따라 개정된 ‘개인정보의 안전성 확보조치 기준(이하 고시)’의 구체적 내용과 문의사례 등을 반영한 ‘개인정보의 안전성 확보조치 기준 안내서(이하 안내서)’를 10월 31일 공개했다.
[로고=개인정보위]
이번 안내서는 정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분되어 있던 기존 안전조치 해설서 2종을 통합해 법 적용 기관들의 혼선을 줄이는 한편, 최신 개인정보 처리환경을 반영한 것이다. 아울러, 신설된 공공시스템운영기관에 대한 안전조치 내용도 포함했다. 이번에 공개된 안내서의 주요 내용은 다음과 같다.
1. 최신 개인정보 처리환경 해설 반영
빠르게 발전하는 정보기술과 변화하는 개인정보 처리환경에 맞추어 적합한 예시를 추가하는 등 현장에서 적용 가능한 개인정보 처리 방법과 안전성 확보 방안 등을 현행화했다. 우선, 개인정보 인증수단의 선택 범위를 확대했다. 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에도 문자메시지, 전화인증, 소셜 로그인 등 다양한 방식을 추가했다.
또한, 로그인 반복 오류에 대한 접근제한 조치 방법으로 단순한 계정잠금 외에 캡챠(CAPCHA) 및 인증 재시도 가능 시간제한 등 다양한 방법을 추가했다. 이때 캡챠는 찌그러진 문자, 사진 등을 제시하여 반복적인 작업을 가능하게 하는 자동 프로그램을 통한 접근을 방지하기 위한 기술이다. 비밀번호의 안전한 저장을 위해 일방향 암호화하는 경우 솔트값 추가 등을 고려할 수 있다고 명시했다. 솔트값은 레인보우테이블 공격(해시함수를 사용해 만들어낼 수 있는 여러 해시값을 저장한 표를 이용해 암호화된 비밀번호를 복호화하는 공격) 등을 방어하기 위해 보안성을 높이는 방법이다. 원본 추측을 어렵게 하기 위해 해시함수에 넣기 전 비밀번호 앞뒤 등에 삽입하는 값을 말한다.
2. 공공시스템 운영기관 등의 안전조치 해설 반영
다음으로, 주요 개인정보 처리시스템을 보유 및 운영 중인 정부부처와 산하 공공기관이 안전조치 의무를 준수하는데 참고할 수 있는 다양한 내용을 포함했다.
특히, 공공시스템에 접속한 자의 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출․오용․남용 시도를 탐지하기 위한 사례와 접속기록 생성 시 필수정보를 누락 사례 및 이상행위 판단 기준 예시 등을 담았다.
3. 자주 묻는 질문(FAQ) 수록
마지막으로, 궁금한 사항을 찾아볼 수 있도록 자주 묻는 질문(FAQ)을 수록했다. 고시 개정(2023년 9월) 이후 접수된 민원에 대해 유사질의 발생 빈도 및 개정조항과의 연계성 등을 분석해 ‘비밀번호 작성규칙, 교육 대상자, 접속기록 보관내용 등’ 자주 묻는 질문(FAQ)을 마련했다.
안내서는 10월 31일부터 개인정보위 누리집(법령 > 지침(가이드라인))에서 확인할 수 있으며, 12월 개최 예정인 설명회를 통해 궁금한 사항에 대해 알기 쉽게 안내할 예정이다.
[박은주 기자(boan5@boannews.com)]
[보안뉴스 박은주 기자] 개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 2023년 9월 ‘개인정보 보호법 시행령’에 따라 개정된 ‘개인정보의 안전성 확보조치 기준(이하 고시)’의 구체적 내용과 문의사례 등을 반영한 ‘개인정보의 안전성 확보조치 기준 안내서(이하 안내서)’를 10월 31일 공개했다.
[로고=개인정보위]
이번 안내서는 정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분되어 있던 기존 안전조치 해설서 2종을 통합해 법 적용 기관들의 혼선을 줄이는 한편, 최신 개인정보 처리환경을 반영한 것이다. 아울러, 신설된 공공시스템운영기관에 대한 안전조치 내용도 포함했다. 이번에 공개된 안내서의 주요 내용은 다음과 같다.
1. 최신 개인정보 처리환경 해설 반영
빠르게 발전하는 정보기술과 변화하는 개인정보 처리환경에 맞추어 적합한 예시를 추가하는 등 현장에서 적용 가능한 개인정보 처리 방법과 안전성 확보 방안 등을 현행화했다. 우선, 개인정보 인증수단의 선택 범위를 확대했다. 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에도 문자메시지, 전화인증, 소셜 로그인 등 다양한 방식을 추가했다.
또한, 로그인 반복 오류에 대한 접근제한 조치 방법으로 단순한 계정잠금 외에 캡챠(CAPCHA) 및 인증 재시도 가능 시간제한 등 다양한 방법을 추가했다. 이때 캡챠는 찌그러진 문자, 사진 등을 제시하여 반복적인 작업을 가능하게 하는 자동 프로그램을 통한 접근을 방지하기 위한 기술이다. 비밀번호의 안전한 저장을 위해 일방향 암호화하는 경우 솔트값 추가 등을 고려할 수 있다고 명시했다. 솔트값은 레인보우테이블 공격(해시함수를 사용해 만들어낼 수 있는 여러 해시값을 저장한 표를 이용해 암호화된 비밀번호를 복호화하는 공격) 등을 방어하기 위해 보안성을 높이는 방법이다. 원본 추측을 어렵게 하기 위해 해시함수에 넣기 전 비밀번호 앞뒤 등에 삽입하는 값을 말한다.
2. 공공시스템 운영기관 등의 안전조치 해설 반영
다음으로, 주요 개인정보 처리시스템을 보유 및 운영 중인 정부부처와 산하 공공기관이 안전조치 의무를 준수하는데 참고할 수 있는 다양한 내용을 포함했다.
특히, 공공시스템에 접속한 자의 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출․오용․남용 시도를 탐지하기 위한 사례와 접속기록 생성 시 필수정보를 누락 사례 및 이상행위 판단 기준 예시 등을 담았다.
3. 자주 묻는 질문(FAQ) 수록
마지막으로, 궁금한 사항을 찾아볼 수 있도록 자주 묻는 질문(FAQ)을 수록했다. 고시 개정(2023년 9월) 이후 접수된 민원에 대해 유사질의 발생 빈도 및 개정조항과의 연계성 등을 분석해 ‘비밀번호 작성규칙, 교육 대상자, 접속기록 보관내용 등’ 자주 묻는 질문(FAQ)을 마련했다.
안내서는 10월 31일부터 개인정보위 누리집(법령 > 지침(가이드라인))에서 확인할 수 있으며, 12월 개최 예정인 설명회를 통해 궁금한 사항에 대해 알기 쉽게 안내할 예정이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
