다. 개인정보의 기술적․관리적 보호조치
사업자는 개인정보를 취급하는 과정에서 안전하게 관리하지 않아 개인정보가 유출되는 사고가 빈발하여 사회문제로 대두되고 있다.
사업자는 이용자의 개인정보 취급에 있어 개인정보가 분실․도난․누출․변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적․관리적 조치를 취해야 한다.
개인정보에 대한 기술적․관리적 조치의 주요 내용은 다음과 같다.
1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단 시스템 등 접근통제장치의 설치․운영 - 접근권한의 부여․변경․말소 등에 관한 기준의 수집․시행 - 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 설치․운영 - 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영 3. 접속기록의 위조․변조 방치를 위한 조치 4. 개인정보를 안전하게 저장․전송할 수 있는 암호화기술 등을 이용한 보호조치 - 비밀번호 및 바이오정보의 일방향 암호화 저장 - 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장 - 보안서버 구축 등의 조치 5. 백신소프트웨어의 설치․운영 등 컴퓨터바이러스 방지 조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치 |
※ “KISA의 개인정보의 기술적․관ㄹ지적 보호조치 기준 해설서” 참조
개인정보의 안전한 취급을 위한 내부 관리계획의 수립 및 시행을 해야 하며, 내부 관리계획은 아래의 내용을 포함해야 한다.
1. 개인정보 내부 관리계획의 수집 및 승인에 관한 사항 2. 개인정보관리책임자의 자격요건 및 지정에 관한 사항 3. 개인정보취급자의 교육에 관한 사항 4. 개인정보의 기술적․관리적 보호조치 이행여부의 내부 점검에 관한 사항 5. 그 밖에 개인정보보호를 위해 필요한 사항 |
접근 통제의 목적은 개인정보에 인가되지 않은 접근을 차단하는 것이다.
- 개인정보처리시스템에 대한 접근권한은 개인정보관리책임자 및 개인정보취급자로 한정해야 하고 그 인원을 최소화해야 한다.
- 정당한 접근권한 여부를 확인하기 위한 비밀번호 등을 이용한 인증수단을 마련하여야 한다. 또한, 개인정보 취급직원이 사용할 수 있는 단말기를 제한하고 외부로부터의 접근을 차단하기 위하여 단말기 주소 등의 식별과 인증(예을 들면, MAC 주소 인증, IP 주소 인증 등)DMF 시시하여야 한다.
- 또한, 응용프로그램은 직원의 업무상 필요한 기능만 메뉴에 포함시키는 등의 접근권한 차별화를 권고한다.
- 외부의 권한이 없는 접근을 방지하기 위해서 ①침입차단시스템, ②침입탐지시스템 등을 설치 운영해야 한다. 이를 위해서 공개용 SW를 사용하거나, 운영체제에서 제공하는 기능을 활용하여 해당기능을 포함한 시스템을 설치․운영할 수 있다. 다만, 공개용 SW를 사용하는 경우 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.
| <참고 사이트> | |
| | |
1. 한국인터넷진흥원 - 공개용 웹방화벽을 이용한 홈페이지 보안 ☞ http://www.krcert.or.kr/firewall2/index.jsp 2. Microsoft 고객지원 사이트 - TCP/IP 필터링 구성 방법 ☞ http://support.microsoft.com/kb/309798/ko 3. 침임탐지시스템 Snort | ||
접속 기록은 개인정보 처리 내역을 파악할 수 있는 중요한 자료로써 불법적 접근 및 이용을 파악하는 데 유용하게 이용될 수 있다. 이런 접속 기록이 변경․훼손되지 않도록 하기 위해 백업 등의 방법을 사용해야 한다.
접속 기록은 월 1회 이상 확인․감독해야 하며 최소 6개월 이상 저장․보관해야 한다.
이용자의 비밀번호와 바이오정보 등 이용자 인증 정보는 일방향 암호화 하여 노출 또는 위․변조되지 않도록 한다.
개인정보 유․노출 시에 2차 피해가 발생할 가능성이 높은 주민등록번호 또는 신용카드 번호와 같은 금융정보는 암호화하여 저장․관리해야 한다.
또한, 사업자는 인터넷데이터센터 등에 개인정보시스템의 관리나 보수를 위탁하는 경우에는 당해 시스템에 보관중인 개인정보에 대한 복제 및 유출을 방지하기 위하여 암호화 등의 조치를 취해야 한다.
개인정보가 네트워크를 통해 송수신되면 공격자가 이를 읽을 수 있으므로, 개인정보를 보호하기 위해 다음과 같은 웹 페이지는 암호화하여 송수신한다.
1. 회원가입 및 조회, 수정 페이지 2. 상품 주문 및 조회 페이지 3. 상품 결제 페이지 4. 상담, 견적의뢰, 예약, A/S접수 등 회원가입 외의 개인정보 수집 페이지 5. 로그인 페이지 |
악성 프로그램은 개인정보를 손상․유출하거나 정상적 작업을 방해할 수 있다. 따라서 악성 프로그램에 대해 다음 각 호의 대책을 실시하여야 한다.
1. 바이러스 백신프로그램의 도입 2. 운영체제(OS), 응용 프로그램 등에 대한 보안 대책용 수정 소프트웨어(보안패치)의 적용 3. 악성프로그램 대책의 유효성․안전성의 확인(예를 들면, 패턴 파일이나 수정 소프트웨어 갱신의 적용 및 이에 대한 확인) |
(1) 관련 근거
(2) 벌칙: 제73조 제1호
위 조항 중 제1항 제2호부터 제5호까지의 규정에 따르지 아니하여 이용자의 개인정보를 분실․도난․누출․변조 또는 훼손한 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.
(3) 과태료: 제76조 제1항 제3호
위 조항 중 제1항 제1호 및 제6호에 따른 기술적․관리적 조치를 아니한 자는 3천만원 이하의 과태료를 부과한다.
(4) 과징금 : 제64조의3 제1항 제6호
제28조 제1항제2호부터 제5호까지의 조치를 하니 아니하여 이용자의 개인정보를 분실․도난․누출․변조 또는 훼손한 경우 방송통신위원회는 위반행위와 관련한 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과하거나 1억원 이하의 과징금을 부과할 수 있다.
(5) 관련 약관
(6) 관련 기준(고시)
개인정보 안심 진단 서비스 개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)
'개인정보 보호방법 알아보기' 카테고리의 다른 글
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드12_기술적/관리적 방안 (0) | 2011.12.30 |
|---|---|
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드11_기술적/관리적 방안 (1) | 2011.12.29 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드9_개인정보 관리 방안 (0) | 2011.12.26 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드8_개인정보 관리 방안 (0) | 2011.12.19 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드7_개인정보 관리 방안 (1) | 2011.12.12 |
