관련 조항

주요 내용

정의 (제2조)

• FTP서버 및 백업서버, 클라우드컴퓨팅 환경에 구축한 시스템 또는 서비스를 개인정보처리시스템의 예시로 추가함

• 원격데스크톱 연결과 같이 원격접속 설정을 통해 자원에 접근하도록 설정하는 것도 공유설정에 포함됨

• 회사에서 내부 직원의 인사관리에 사용되는 시스템을 보유·운영할 때에도 개인정보의 안전성 확보조치 기준을 이행하여야 함

내부 관리계획의 수립·시행 및 점검 (제4조)

• 내부 관리계획은 ‘개인정보의 안전성 확보조치 기준’이 정하는 기술적·관리적·물리적 안전조치에 관한 사항을 모두 포함하여야 하며, 개인정보 보호책임자의 자격 요건 및 지정에 관한 사항을 포함하여야 함

• 내부 관리계획에 포함하여야 하는 ‘위험 분석 및 관리에 관한 사항’ 중 위험 분석이란 ‘개인정보의 처리 방법 및 종류 등에 따라 개인정보의 분실·도난·유출·위조·변조·훼손 등 침해가 발생할 가능성과 정보주체에게 미치는 영향 등 그 위험의 정도를 분석하는 행위’를 의미하며, 개인정보 위험 분석 및 관리를 위한 방법과 절차는 개인정보처리자의 특성 및 상황 등을 고려하여 자체적으로 마련할 수 있음

• 개인정보보호 교육 내용은 개인정보 보호책임자와 개인정보취급자의 지위·직책, 담당 업무의 내용 및 성격, 업무 숙련도 등에 따라 차등화하여야 함. 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인정보보호 관련 법률 및 제도, 내부 관리계획 등 반드시 알아야 하는 사항을 포함하여 교육을 실시해야 함

접근 권한의 관리 (제5조)

• Root 계정과 같이 계정의 개별 발급이 불가능한 정당한 사유가 있는 경우에도, 계정 관리 대장, 접근제어시스템 도입 등 관리적 또는 기술적 보완통제로써 실제 개인정보처리시스템에 접속한 자를 식별할 수 있도록 하여야 함

• 개인정보취급자 또는 정보주체의 인증수단의 예시로, 기존 비밀번호 인증, OTP 인증, 생체 인증에 더하여 SMS 인증, 전화 인증, 소셜 로그인 등을 명시함

• 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 조치로 즉시 계정을 잠그거나 인증 재시도 가능 시간을 지연하는 등의 방법을 적용할 수 있으며, 봇(bot)의 접근을 제한하는 부수적인 수단으로 캡챠(CAPTCHA)를 활용할 수 있음

접근통제 (제6조)

• 개인정보취급자 단말기의 고정 IP 주소 또는 MAC 주소는 안전한 인증수단에 해당하지 않음을 명시함

• 크리덴셜 스터핑 공격 등으로 인한 개인정보 유출을 인터넷 홈페이지 등을 통한 개인정보 유·노출 유형 중 하나로 나열함

• 개인정보 유·노출 방지 조치의 예시로서, 로그인 횟수 증가 시 캡챠(CAPTCHA) 적용, 로그인 실패 비율에 대한 임계치 설정 모니터링, 개인정보 페이지 로그인 시 정당한 사용자인지를 확인할 수 있는 수단(SMS, 이메일 등) 활용 등을 명시함

• 개인정보의 유·노출 방지를 위한 취약점 점검 항목에 Identification and Authentication Failures 취약점, Server Side Request Forgery 취약점을 포함함

• 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되게 하는 '최대 접속가능 시간’의 통상적인 수준을 10분~60분 이내라고 제시함

• 개인용 스마트폰이나 태블릿 컴퓨터에 회사의 업무용 앱을 설치하여 업무 목적의 개인정보를 처리하는 경우, 또는 회사 이메일 서버 접속 후 업무 목적의 개인정보 처리 업무를 수행하는 경우, 해당 스마트폰이나 태블릿 컴퓨터는 안전조치를 해야 하는 모바일 기기에 해당함

개인정보의 암호화 (제7조)

• 비밀번호 일방향 암호화 시 무작위 대입공격, 레인보우 테이블공격 등에 대응하기 위한 수단으로 솔트값 추가 등을 고려할 수 있다고 제시함

출력·복사시 안전조치 (제12조)

• 출력 시 주의사항을 다음과 같이 제시함

• 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 안전조치로서 문서보안(DRM), 보안 USB, 유출방지(DLP), 매체 제어 등의 보안솔루션을 적용할 수 있음