Day 26: 개인정보의 안전성 확보조치 기준 (고시)
1. 안전성 확보조치 기준의 개요
1.1 안전성 확보조치 기준이란?
정식 명칭 : 개인정보의 안전성 확보조치 기준
성격 : 개인정보보호위원회 고시 (告示)
법적 근거 : 개인정보보호법 제29조 (안전조치의무)
최신 개정 : 2023년 9월 15일 시행
1.2 법률 체계
[법령 체계]
- 전자금융거래법 (법률)
- 개인정보보호법 시행령 (대통령령)
- 개인정보보호법 시행규칙 (총리령)
- 개인정보의 안전성 확보조치 기준 (고시) ← 오늘 학습!
법률 (개인정보보호법 제29조) :
“개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 한다”
고시 (안전성 확보조치 기준) : 위 법률의 구체적 시행 기준
1.3 적용 대상
모든 개인정보처리자
- 공공기관
- 민간기업
- 개인사업자
- 비영리단체
예외 없음
1.4 2023년 개정 주요 변화
(1) 암호화 강화
- 개인정보 **전송 시** 암호화 의무 추가
- 바이오정보 암호화 의무 명시
(2) 접속기록 보관 기간
- 접속기록의 접속기록 **3년** 보관 신설
(3) 클라우드 명시
- 클라우드 이용 시 안전성 확보조치 추가
(4) 가명정보
- 가명정보 안전조치 추가
2. 전체 구조
2.1 10개 조항
[10개 조항 전체]
- 제1조 (목적)
- 제2조 (정의)
- 제3조 (내부 관리계획의 수립·시행) - 관리적
- 제4조 (접근 권한의 관리) - 기술적
- 제5조 (접근통제) - 기술적
- 제6조 (개인정보의 암호화) - 기술적
- 제7조 (접속기록의 보관 및 점검) - 기술적
- 제8조 (악성프로그램 등 방지) - 기술적
- 제9조 (물리적 안전조치) - 물리적
- 제10조 (재해·재난 대비 안전조치) - 물리적
2.2 3가지 영역
관리적 보호조치
- 제3조: 내부 관리계획
기술적 보호조치
- 제4조: 접근 권한 관리
- 제5조: 접근통제
- 제6조: 암호화
- 제7조: 접속기록
- 제8조: 악성프로그램 방지
물리적 보호조치
- 제9조: 물리적 안전조치
- 제10조: 재해·재난 대비
3. 제3조: 내부 관리계획 수립·시행
3.1 조문
“개인정보처리자는 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다”
3.2 내부 관리계획 필수 포함 사항 (8가지)
(1) 개인정보 보호책임자의 지정
개인정보 보호책임자 지정
(2) 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임
역할 구분 :
- 보호책임자: 총괄
- 개인정보취급자: 실무 담당
(3) 개인정보취급자에 대한 교육
연 1회 이상 정기 교육
(4) 접근 권한의 관리
누가, 어떤 개인정보에 접근할 수 있는지
(5) 접근통제
인증, 권한 관리
(6) 개인정보의 암호화
암호화 대상 및 방법
(7) 접속기록의 보관 및 점검
로그 관리
(8) 악성프로그램 등 방지
백신 등
3.3 내부 관리계획 구성 예시
[ABC회사 개인정보 내부 관리계획]
- 1. 목적
- 2. 적용범위
- 3. 개인정보 보호책임자 지정 (성명 / 직위 / 연락처)
- 4. 개인정보취급자 역할 및 책임
- 5. 교육 계획 (연 1회)
- 6. 접근 권한 관리 방안
- 7. 접근통제 방안
- 8. 암호화 방안
- 9. 접속기록 관리 방안
- 10. 악성프로그램 방지 방안
- 11. 물리적 안전조치
- 12. 재해·재난 대비
4. 제4조: 접근 권한의 관리
4.1 조문 핵심
“개인정보처리자는 개인정보취급자가 담당 업무 수행에 필요한 최소한의 범위로 접근 권한을 부여하여야 한다”
4.2 주요 내용
(1) 최소 권한 부여
Need-to-know 원칙
[부서별 접근 권한 예시]
- 영업팀: 고객 연락처만 (주민등록번호 X)
- 배송팀: 배송지만
- CS팀: 전체 프로필 (문의 대응 위해)
(2) 권한 부여·변경·말소 절차
[신규 채용]
- 입사 → 상사 승인 → 계정 생성 → 권한 부여
[부서 이동]
- 이동 → 기존 권한 회수 → 새 권한 부여
[퇴사]
- 퇴사 당일 → **즉시 권한 말소**
(3) 정기적 권한 검토
최소 연 1회 접근 권한 점검
[점검 내용]
- 불필요한 권한 회수
- 퇴사자 계정 확인
4.3 실무 구현
RBAC (Role-Based Access Control) - 역할 기반 접근 제어
[역할별 권한]
- 영업팀: 고객_기본정보 (이름, 연락처, 이메일)
- 인사팀: 직원_전체정보 (주민등록번호, 급여 등)
- 개발팀: 개발DB (마스킹된 데이터)
- IT팀: 시스템_관리 (서버, 네트워크)
권한 관리 대장
엑셀 또는 시스템으로 관리
| 이름 | 부서 | 접근 가능 시스템 | 권한 부여일 | 승인자 |
|---|---|---|---|---|
| 홍길동 | 영업 | CRM | 2024-01-15 | 김부장 |
| 이영희 | 인사 | 인사시스템 | 2024-02-01 | 박이사 |
5. 제5조: 접근통제
5.1 조문 핵심
개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지
5.2 주요 조치 (6가지)
(1) 사용자 식별 및 인증
[고유 식별자]
- 사용자별 **개별 계정** 부여
- 공용 계정 금지
[인증]
- 비밀번호
- OTP, 생체인증 등
(2) 안전한 비밀번호 사용
비밀번호 기준 (2023년 개정) :
[개인정보취급자]
- 영문, 숫자, 특수문자 중 2종류 이상 조합 → **10자리 이상**
- 3종류 이상 조합 → 8자리 이상
[일반 이용자]
- 영문, 숫자, 특수문자 중 2종류 이상 조합 → 10자리 이상
- 3종류 이상 조합 → 8자리 이상
비밀번호 변경 주기 :
- **정기 변경 의무 삭제** (2023년 개정)
- 유출 시 즉시 변경
(3) 비밀번호 보호
[저장 시]
- 일방향 암호화 (해시)
- SHA-256 이상
[전송 시]
- HTTPS
(4) 접근통제 시스템 설치·운영
방화벽, IPS/IDS
[네트워크 분리]
- 업무망 / 개발망 / 인터넷망
(5) 불법적인 접근 및 침해사고 기록·보관·점검
접속 로그 관리 (제7조와 연계)
(6) 개인정보 다운로드 제한
인가된 사용자만 다운로드 가능
[개인정보처리시스템 100만명 이상 추가 요건]
- 다운로드 **건수 제한**
- 다운로드 **로그 기록**
- **경고 메시지** 표시
5.3 실무 구현 예시
[인증 강화 수준별 적용]
- 일반 계정: ID + 비밀번호 (10자 이상)
- 관리자 계정: ID + 비밀번호 + OTP (2차 인증)
- 고위험 시스템: 생체인증 추가
[비밀번호 설정 규칙]
- 최소 10자 이상
- 영문 대소문자, 숫자, 특수문자 중 2종류 이상
- 연속된 문자 금지 (예: 1234, abcd)
- 동일 문자 반복 금지 (예: aaaa)
- ID와 동일 금지
- 5회 로그인 실패 시 계정 잠금
6. 제6조: 개인정보의 암호화
6.1 암호화 대상 (4가지)
(1) 비밀번호 - 일방향 암호화 (해시)
알고리즘 :
- SHA-256 이상
- bcrypt, scrypt, PBKDF2 권장
솔트(Salt) 사용 권장
[비밀번호 해시 예시]
- 평문 비밀번호: password123
- 해시 결과: 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
(2) 주민등록번호
[저장 시]
- 양방향 암호화 (AES-256 등)
- 안전한 키 관리
[예외]
- 법령에서 구체적으로 주민등록번호 처리를 요구·허용한 경우에만 저장 가능
(3) 바이오정보 (2023년 추가)
바이오정보 = 생체인식정보
- 지문
- 얼굴
- 홍채
- 정맥
- 음성
저장 시 암호화 필수
(4) 100만명 이상 처리 시 추가 암호화 대상
- 여권번호
- 운전면허번호
- 외국인등록번호
- 민감정보 (건강, 사상·신념, 노조·정당 가입, 유전정보, 범죄경력 등)
- 계좌정보
6.2 암호화 알고리즘
양방향 암호화 (대칭키)
알고리즘 :
- **AES-256** (권장)
- ARIA-256
- SEED-256
키 길이 :
- 최소 128비트 이상
- 256비트 권장
운영 모드 :
- CBC, GCM 등
일방향 암호화 (해시) - 비밀번호 전용
알고리즘 :
- SHA-256 이상
- SHA-512
- bcrypt (권장)
- scrypt (권장)
- PBKDF2
6.3 전송 시 암호화 (2023년 추가)
인터넷 구간 전송 시 :
- **TLS 1.2 이상** (HTTPS)
- VPN
대상 :
- 고유식별정보
- 민감정보
- 바이오정보
6.4 암호키 관리
암호키 ≠ 암호화된 개인정보 → 별도 저장, 안전한 관리
[관리 방법]
- HSM (Hardware Security Module)
- KMS (Key Management Service)
- 접근 통제
- 정기적 키 변경
6.5 실무 암호화 구현 예시
[DB 암호화 - 나쁜 예]
- CREATE TABLE users (name VARCHAR, ssn VARCHAR) → 평문 저장 절대 금지
[DB 암호화 - 좋은 예]
- CREATE TABLE users (name VARCHAR, ssn_encrypted BLOB) → 암호화된 값 저장
[비밀번호 해시 처리 흐름]
- bcrypt 라이브러리 사용
- hashpw() 함수로 해시값 생성 (gensalt 적용)
- checkpw() 함수로 입력값 검증
- 원문 비밀번호는 DB에 저장하지 않음
7. 제7조: 접속기록 보관 및 점검
7.1 보관 기간
[보관 기간 기준]
- 일반 개인정보처리시스템: **최소 1년 이상**
- 100만명 이상 개인정보처리시스템: **최소 2년 이상**
- 접속기록의 접속기록 (2023년 개정): **3년 이상**
7.2 기록 대상
[접속기록 필수 포함 항목]
- 누가: 사용자 ID
- 언제: 접속 일시
- 무엇을: 처리한 개인정보 내역 (파일 다운로드, 수정, 삭제 등)
- 어디서: 접속 IP
7.3 위·변조 방지
접속기록 위·변조 방지 조치
- 별도 서버 저장
- 읽기 전용
- 해시값 검증
7.4 정기 점검
최소 월 1회 점검
[점검 내용]
- 불법적인 접근
- 대량 다운로드
- 비정상 시간 접속
- 권한 외 접근
7.5 실무 구현
[접속 로그 형식 예시]
- 2024-03-10 14:23:15 | user_hong | 192.168.1.100 | 고객 정보 조회 | 홍길동
- 2024-03-10 14:25:30 | user_hong | 192.168.1.100 | 개인정보 다운로드 | 1000건
[SIEM 활용 도구]
- Splunk
- ELK Stack
- 로그 중앙 집중화
- 실시간 알림
8. 제8조: 악성프로그램 방지
8.1 주요 조치
(1) 백신 소프트웨어 설치·운영
최신 버전 유지
(2) 자동 업데이트
백신 정의 파일 자동 업데이트
(3) 주기적 검사
최소 주 1회 이상
8.2 실무 구현
[PC 환경]
- Windows Defender (무료)
- V3, 알약 등
[서버 환경]
- ClamAV (Linux)
- Trend Micro
[네트워크 환경]
- 차세대 방화벽 (NGFW)
- IPS
9. 제9조: 물리적 안전조치
9.1 조문 핵심
개인정보가 포함된 서류, 보조저장매체 등의 물리적 보호
9.2 주요 조치
(1) 출입통제
전산실, 자료보관실 출입통제
[방법]
- 출입카드
- 생체인증
- 출입 기록
(2) 개인정보 보관
잠금장치가 있는 안전한 장소
[예시]
- 서류: 잠금 캐비닛
- USB: 금고
- 백업 테이프: 별도 보관실
(3) 반출·파기 기록
개인정보 반출 및 파기 대장 작성
9.3 실무 구현
[출입통제]
- 전산실: 출입카드 + 생체인증
- 방문자: 담당자 동행 필수
- CCTV: 24시간 녹화
[문서 관리]
- 개인정보 문서: 잠금 캐비닛
- 파기 시: 파쇄기 사용
- 파기 대장 작성
10. 제10조: 재해·재난 대비
10.1 주요 조치
(1) 백업 및 보관
개인정보 정기 백업
[백업 주기]
- 중요 시스템: 일일
- 일반 시스템: 주간
[보관 장소]
- **별도 장소** (오프사이트)
(2) 복구 계획
재해 복구 계획 (DRP: Disaster Recovery Plan)
- **RTO (Recovery Time Objective)**: 목표 복구 시간
- **RPO (Recovery Point Objective)**: 목표 복구 시점 (데이터 손실 허용 범위)
10.2 실무 구현
[백업 전략]
- DB: 일일 백업 (매일 03:00)
- 파일 서버: 주간 백업 (매주 일요일)
- 백업 보관: AWS S3 (다른 리전)
[재해 복구 기준]
- RTO: 4시간
- RPO: 24시간
- 복구 훈련: 연 1회
11. 개인정보 규모별 요구사항
11.1 100만명 미만
적용 조항 : 제3조~제10조 전체
[핵심 요구사항]
- 접속기록 **1년**
- 비밀번호 암호화
- 주민등록번호 암호화
- 바이오정보 암호화
11.2 100만명 이상
추가 요구사항 :
- 접속기록 **2년** 이상
- **고유식별정보, 민감정보, 계좌정보 암호화** 추가
- **다운로드 제한** (건수 제한, 로그, 경고)
12. 실무 체크리스트
관리적 보호조치
- [ ] 내부 관리계획을 수립했는가?
- [ ] 개인정보 보호책임자를 지정했는가?
- [ ] 개인정보취급자 교육을 연 1회 실시하는가?
기술적 보호조치 - 접근 권한
- [ ] 최소 권한 원칙을 적용하는가?
- [ ] 연 1회 권한을 검토하는가?
- [ ] 퇴사자 계정을 즉시 삭제하는가?
기술적 보호조치 - 접근통제
- [ ] 사용자별 개별 계정을 부여하는가?
- [ ] 비밀번호는 10자 이상인가?
- [ ] 방화벽을 설치했는가?
기술적 보호조치 - 암호화
- [ ] 비밀번호를 SHA-256 이상으로 해시하는가?
- [ ] 주민등록번호를 AES-256 등으로 암호화하는가?
- [ ] 바이오정보를 암호화하는가?
- [ ] (100만명 이상) 고유식별정보, 민감정보, 계좌정보를 암호화하는가?
- [ ] 개인정보 전송 시 HTTPS(TLS 1.2)를 사용하는가?
- [ ] 암호화 키를 안전하게 관리하는가?
기술적 보호조치 - 접속기록
- [ ] 접속기록을 1년(또는 2년) 보관하는가?
- [ ] 월 1회 접속기록을 점검하는가?
- [ ] 접속기록 위·변조 방지 조치를 했는가?
기술적 보호조치 - 악성프로그램
- [ ] 백신 소프트웨어를 설치했는가?
- [ ] 백신을 자동 업데이트하는가?
- [ ] 주 1회 검사를 수행하는가?
물리적 보호조치
- [ ] 전산실 출입을 통제하는가?
- [ ] 개인정보 문서를 잠금장치에 보관하는가?
- [ ] 반출·파기 기록을 유지하는가?
재해·재난 대비
- [ ] 정기적으로 백업하는가?
- [ ] 백업본을 별도 장소에 보관하는가?
- [ ] 재해 복구 계획이 있는가?
13. 위반 시 제재
13.1 과태료
개인정보보호법 제75조
3천만원 이하 : 안전성 확보조치 미이행
[실제 사례]
- A회사: 비밀번호 평문 저장 → 과태료 1,000만원
- B회사: 주민등록번호 미암호화 → 과태료 2,000만원
- C회사: 접속기록 미보관 → 과태료 500만원
13.2 개인정보보호위원회 시정명령
- 시정 기간 부여
- 미이행 시 과태료 가중
학습 정리
오늘 학습한 핵심 내용 :
- 안전성 확보조치 기준은 개인정보보호법 제29조의 구체적 시행 기준 (고시)
- 10개 조항: 내부 관리계획, 접근 권한, 접근통제, 암호화, 접속기록, 악성프로그램, 물리적 안전조치, 재해·재난
- 제6조 암호화: 비밀번호(해시), 주민등록번호(양방향), 바이오정보(양방향), 전송(TLS)
- 암호화 알고리즘: AES-256, SHA-256, bcrypt 등
- 비밀번호 10자 이상, 2023년부터 정기 변경 의무 삭제
- 접속기록: 1년/2년/3년, 월 1회 점검
- 100만명 이상: 접속기록 2년, 고유식별정보 등 암호화, 다운로드 제한
다음 학습 주제
Day 27: 전자금융감독규정 (금융권 보안 실무)