개인정보의 안전성 확보조치 개정 및 안내서(2025.10.31. 시행)

개인정보의 안전성 확보조치 기준 주요 개정사항.pdf

3.50MB

개인정보의 안전성 확보조치 기준.pdf

0.16MB

개인정보의 안전성 확보조치 기준 안내서(2025.11.).pdf

3.86MB

 

 2025년 10월 31일 개인정보의 안전성 확보조치가 개정되었다.

 

1.  주요 개정사항

ㅇ 비밀번호 정의 변경(제2조 제8호)

 - 정당한 접속 권한을 가진 자라는 것을 '인증'(기존:식별) 하는 것으로 수정

ㅇ 내부관리계획 수립 항목 확대(제4조 제1항)

 - '출력.복사 시 안전조치' 및 '개인정보의 파기'를 대상에 추가

ㅇ 개인정보 취급자 관련 고시 조문 변경(제5조 제1항 및 제6항, 제6조 제2항, 제8조 제1항 및 제3항)

 - '개인정보 취급자'에게만. 적용되었던 접근권한 차등 부여, 안전한 인증수단 적용, 접속기록 보관 대상을 오픈마켓 판매자 등으로 확대

ㅇ 인터넷망 차단 조치 개선(제6조 제6항 -> 제6조의2)

 - 10여년 간 일률적으로 적용해 온 인터넷망 차단조치 정책을 개인정보처리자가 위험 분석을 통해 자율적으로 적용할 수 있도록 개선

ㅇ 자율보호 체계 강화(제8조 제1항 및 제2항)

 

2. 개정 취지

ㅇ 내부관리계획 수립 항목 확대 관련

 - 고시 조항으로만 존재하였던 2개 조항(제12조, 제13조)을 내부 관리계획 수립 대상에 포함

ㅇ 개인정보 취급자 조문 변경 관련

 - 법원 판결*로 인해 개인정보 취급자가 개인정보처리자의 업무상 지휘, 감독을 받는 자로 한정됨에 따라 오픈마켓 판매자 등에 플랫폼 기능을 제공하여 보호수준을 높이려 함

 * 취급자는 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 자(법원은 지휘.감독을 민법상 사용자 책임에서의 지휘.감독으로 해석)

ㅇ 인터넷망 차단조치 개선 관련

 - 급격히 발전하고 있는 인공지능.클라우드와 같은 인터넷 기반 기술을 원활히 사용할 수 있도록 지원

ㅇ 자율보호 체계 강화 관련

 - 기존 고시가 접속기록 월 1회 점검.다운로드 사유 확인이라는 형식화된 절차에만 치중한다는 의견이 제기됨에 따라, 개인정보 처리자들이 스스로의 개인정보 처리 환경을 고려하여 접속기록 점검 주기.방법.사후조치 절차 등을 자율적으로 수행할 수 있는 환경 마련

 

3. 개정 사항에 관한 의견

ㅇ (종합) 개인정보 처리자 점검 시에 내부관리계획을 살펴보면, 표준 양식을 차용하여 제정한 후 사업자의 개인정보보호 조직, 개인정보 처리시스템 등을 고려하여 세부적인 기준을 수립하지 않은 회사가 많았다. 개인정보를 다운로드했을 때 점검 기준 등 내부관리계획에서 정하는 바에 따라 수행해야 하는 활동에 관한 세부 기준이 규정되어 있지 않는 경우가 많다. 개인정보 처리자가 개인정보 처리시스템의 서비스 특성에 따라 유연하게 내부관리계획을 수립. 관리하고 점검할 수 있도록 고시 전반적인 내용이 개정되었다. 사업자가 자율적으로 보호수준을 확립하고 관리할 수 있다는 점에서 긍정적이라고 생각한다.

 

1) 비밀번호 정의 관련 

 - 생체 인식 정보, AWS Access key 등 ID/PW 외의 인증수단을 사용하여 로그인하는 방법이 보편화되고 있다. 깃허브를 통해 AWS Access key가 유출되는 등 다양화된 인증수단을 통해 사고가 발생하고 있다. 이렇게 다각화된 인증 수단을 표현하기 위해 '식별'에서 '인증'으로 단어를 변경한 것 같다. 

 

2) 개인정보 취급자 관련

 - (배경) G마켓 등 오픈마켓 판매자는 개인정보 취급자가 아니며, 개인정보 보호법 제17조 제1항에 따라 개인정보를 제공받는 '제3자'의 지위라고 판결함(서울고등법원 2022누54360)

 - 다만, 플랫폼 사업자로서 개인정보 보호조치의 기능을 제공할 의무를 부과하려고 고시가 개정된 것 같다. 이메일 발송 서비스, 셀러툴 등 슈퍼 수탁사의 지위를 지닌 개인정보 처리자가 운영하는 플랫폼 서비스에서 보안상 미흡으로 인해 사고가 발생하는 경우에는, 제26조 등을 근거로 슈퍼 수탁사를 처분할 수 있다.(23.9월 보호법 2차 개정)

 - 그러나, 제3자 제공 관계에 해당하는 오픈마켓 판매자의 경우 플랫폼 서비스에서의 보안상 미흡으로 인하여 유출 사고가 발생하더라도, 개인정보위 위.수탁 관계가 아니므로 플랫폼 사를 제재할 수 있는 근거가 부족하다. 

 - 이에, 보호조치 확보를 위하여 개인정보 취급자에 해당하는 조문을 변경하였고, 동일 플랫폼을 이용하는 개인정보처리자들의 보호수준을 향상할 수 있는 방안이 확보되었다는 점에서 긍정적이다.

 

3) 접속기록 점검 관련

 - 개인정보 담당자로 근무하며, 개인정보 보호법 중 가장 형식적이라고 생각했던 업무가 월1회 접속기록을 점검을 하는 것이었다.  각 시스템 운영부서에서 접속기록을 1차로 검토하고 그 적정성을 2차로 검토했는 데 매월 점검하다 보니 실질적인 점검은 이루어지지 않았다. 그냥 증빙자료를 남기려고 매월 결재를 받곤 했다.

 - 내부관리계획에 따라 개인정보를 다운로드한 경우 그 사유를 확인하게끔 되어 있는데 타 개인정보 처리자를 점검할 때 살펴보면, 내부관리계획에 그 기준이 명시되어 있지 않은 경우도 많았다. 

 - 물론, 내부자의 고의 유출로 인한 사고도 많이 발생하고 접속기록 점검은 필요하다. 다만, 고시에서 요구하는 월 1회 주기를 준수하기 위해 매번 결재를 올리는 행위가 나에게 많은 회의감을 갖게 했다.

 - 고시 중에 가장 형식적인 조항이라고 생각했는 데, 개인정보 처리자의 상황에 맞춰 점검 주기, 방법 등을 유연하게 정할 수 있도록 개정되어 좋은 것 같다. 이번 고시 개정에 따라, 제12조, 제13조 내용을 포함하여 실질적인 보호 수준을 높일 수 있도록 내부관리계획을 개정하면 좋을 것 같다. 

- 예를 들어, 내부에 개인정보 처리 시스템이 여러 개인 경우 매월 집중 대상 시스템을 선정하여 점검하거나, 보유하고 있는 개인정보 수와 개인정보 취급자의 업무를 고려하여 개인정보 취급자별 평균 개인정보 조회/다운로드 건수의 기준을 정하고 이를 상향하는 기록이 있을 경우 점검하는 등의 기준을 수립하면 실효성 있는 점검을 할 수 있을 거 같다.

 

4) 인터넷망 차단조치 관련

- (참고) 개인정보 처리자가 제공하는 정보통신서비스의 종류가 다수일 때에는 이를 합산하여 이용자 수가 100만 명 이상에 해당하는지 여부를 판단함

 - (참고) 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보 취급자의 컴퓨터 등은 위험분석 결과에 따라 확인된 위험이 현저히 낮아지거나, 위험을 감소시킬 수 있는 보호조치를 적용한 경우 인터넷망 차단조치를 하지 않을 수 있음. 다만, 법 23조에 따른 민감정보 또는 고시 제7조 제1항 및 제2항에 따른 암호화 대상 정보에 해당하는 개인정보를 다운로드 또는 파기할 수 있는 개인정보 취급자의 컴퓨터 등은 인터넷망 차단 조치를 하여야 함

 - (참고) 인터넷망 차단 조치 대상 컴퓨터 등의 판단을 위한 위험 분석은 개인정보처리자 스스로가 개인정보 처리 환경 및 맥락 등을 고려하여 자체 수립한 방법을 내부 관리계획에 반영 후 수행할 수 있음

 - 보호법 2차 개정('23.9월) 이후 클라우드 컴퓨팅서비스를 위한 접속 시에는 인터넷을 차단하지 않아도 되도록 고시가 개정되었다. 여기에 세부 위험도 분석을 통해 세부 기준을 내부관리계획에 반영 후 수행토록 개정되었다. 

 

 

5) 기타 안내서 문구 개선 - (제6조) 내부 내트워크 내 수평이동 방지 조치 권고

 - SKT 사건 등 개인정보 유출에서 초기 침투 경로는 개인정보 처리시스템이 아닌 경우가 있다. DMZ에 있는 탈 시스템을 경유하여 개인정보 처리시스템으로 수평이동 한 후 개인정보를 유출하는 사례가 많다. 이 경우 개인정보처리시스템을 운영할 때 타 시스템 간 연동이 필요한 지 등을 확인한다. 이에, 안내서에 내부 내트워크 내 수평이동을 방지하는 조치를 할 수 있도록 예시 문구를 넣은 것 같다. 

 

6) 기타 안내서 문구 개선 - (제6조) 최대접속 가능시간

 - 개인정보 실태조사 설명회, 개인정보 점검 시 자주 이슈가 되는 항목이다. 최대 접속 가능시간을 몇 분으로 설정해야 하는가에 관한 질문이 종종 제기되곤 한다. 예전에 봤던 홈페이지 구축운영 가이드에서 중요시스템은 세션타임아웃을 10분으로 정하도록 권고하고 있다. 다만, 관제 모니터링 목적의 계정 등은 세션타임아웃을 10분으로 설정하기 부담스럽기에, 내부관리계획에 그 기준을 정하여 운영해야 한다고 생각했다. 내가 생각하고 답변했던 내용이 안내서에도 반영되어 왠지 뿌듯하다 :)

 

 

[참고] 개인정보위 개인정보 정책 설명회
https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=11674#LINK