행자부, 개정 ‘개인정보의 안전성 확보조치 기준’ 9월 1일부터 시행
[보안뉴스 김태형] 서울YMCA가 1,030만여명의 개인정보를 유출한 인터파크에 대해 개인정보보호법상 안전조치의무 해태, 정보통신망법과 개인정보보호법 및 시행령 안전성 확보 조치 미이행 등의 이유로, 지난 1일 인터파크 대표이사와 개인정보관리책임자를 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 위반혐의로 검찰에 고발했다고 밝혔다.
.jpg)
이렇듯 최근 개인정보 유출사고가 빈번하게 발생하고 있는 가운데 사업자들이 보유한 개인정보보호에 대해 보다 강화된 안전성 확보가 요구되고 있다. 이에 앞으로 개인정보를 많이 보유하고 있는 사업자 혹은 기관일수록 보다 강력한 수준의 개인정보보호 장치를 갖춰야 한다.
행정자치부(장관 홍윤식)는 기업 규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고, 보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 ‘개인정보의 안전성 확보조치 기준’을 9월 1일부터 시행했다.
그간 개인정보 유출사고 방지나 해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게 동일한 기준이 적용돼 왔다. 이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인 안전조치 사항을 반영하는데 어려움이 있었다.
1일 시행 ‘개인정보의 안전성 확보조치 기준’ 내용은?
이에 행정자치부는 ‘개인정보의 안전성 확보조치 기준’을 개정해 기업 규모 및 개인정보보유량에 따라 3가지 유형으로 분류하여 안전조치 의무사항을 차등화 했다. 개정된 주요 내용은 다음과 같다.
안전조치 의무 차등화
개인정보 보유량이 1만명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다. 아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치 일부도 면제된다.
개인정보 보유량이 100만명 미만 중소기업, 10만명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을 면제하고 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다.
개인정보 보유량이 10만명 이상 대기업 및 공공기관, 100만명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.
.jpg)
▲ ‘개인정보의 안전성 확보조치 기준’ 주요 개정 내용
관리적·기술적 안전조치 강화
개인정보 유출사고 예방을 위해 개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도 신설했다. 더불어 개인정보처리 시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치도 추가했다.
이인재 행정자치부 전자정부국장은 “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며, “안전성 확보조치 기준이 합리적으로 개선되어 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다”고 말했다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 서울YMCA가 1,030만여명의 개인정보를 유출한 인터파크에 대해 개인정보보호법상 안전조치의무 해태, 정보통신망법과 개인정보보호법 및 시행령 안전성 확보 조치 미이행 등의 이유로, 지난 1일 인터파크 대표이사와 개인정보관리책임자를 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 위반혐의로 검찰에 고발했다고 밝혔다.
이렇듯 최근 개인정보 유출사고가 빈번하게 발생하고 있는 가운데 사업자들이 보유한 개인정보보호에 대해 보다 강화된 안전성 확보가 요구되고 있다. 이에 앞으로 개인정보를 많이 보유하고 있는 사업자 혹은 기관일수록 보다 강력한 수준의 개인정보보호 장치를 갖춰야 한다.
행정자치부(장관 홍윤식)는 기업 규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고, 보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 ‘개인정보의 안전성 확보조치 기준’을 9월 1일부터 시행했다.
그간 개인정보 유출사고 방지나 해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게 동일한 기준이 적용돼 왔다. 이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인 안전조치 사항을 반영하는데 어려움이 있었다.
1일 시행 ‘개인정보의 안전성 확보조치 기준’ 내용은?
이에 행정자치부는 ‘개인정보의 안전성 확보조치 기준’을 개정해 기업 규모 및 개인정보보유량에 따라 3가지 유형으로 분류하여 안전조치 의무사항을 차등화 했다. 개정된 주요 내용은 다음과 같다.
안전조치 의무 차등화
개인정보 보유량이 1만명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다. 아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치 일부도 면제된다.
개인정보 보유량이 100만명 미만 중소기업, 10만명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을 면제하고 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다.
개인정보 보유량이 10만명 이상 대기업 및 공공기관, 100만명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.
▲ ‘개인정보의 안전성 확보조치 기준’ 주요 개정 내용
관리적·기술적 안전조치 강화
개인정보 유출사고 예방을 위해 개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도 신설했다. 더불어 개인정보처리 시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치도 추가했다.
이인재 행정자치부 전자정부국장은 “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며, “안전성 확보조치 기준이 합리적으로 개선되어 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다”고 말했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
