Day 09: 정보통신망법 기초
목차
Day 09: 정보통신망법 기초 #
1. 정보통신망법의 개요 #
1.1 정보통신망법이란? #
정식 명칭: 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (약칭: 정보통신망법)
정보통신망의 이용을 촉진하고, 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아동·청소년을 보호하며, 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위한 법률
1.2 제정 배경 및 연혁 #
- 1999년 2월 8일 제정: 정보통신망 발전 촉진 목적
- 2001년 개정: 개인정보보호 조항 대폭 강화
- 2020년 개정: 개인정보보호법과의 중복 조항 정리
1.3 적용 범위 #
적용 대상 #
정보통신서비스 제공자 (ISP: Information Service Provider)
- 전기통신사업법에 따른 전기통신사업자
- 영리 목적으로 정보통신서비스를 제공하는 자
주요 대상:
- 통신사 (SKT, KT, LG U+ 등)
- 인터넷 포털 (네이버, 카카오 등)
- 온라인 쇼핑몰
- 게임 서비스
- SNS, 메신저 서비스
- 기타 온라인 서비스
개인정보보호법과의 관계 #
- 정보통신망법은 특별법
- 정보통신서비스 제공자의 개인정보 처리에 대해서는 정보통신망법 우선 적용
- 정보통신망법에 규정이 없는 사항은 개인정보보호법 적용
2. 정보통신망법의 주요 내용 #
2.1 법의 구조 #
정보통신망법은 크게 6개 장으로 구성:
제1장 총칙
제2장 정보통신망의 이용 촉진
제3장 개인정보의 보호 ← 보안 컨설팅에서 가장 중요
제4장 정보통신망의 안전성 확보 등
제5장 통신과금서비스 등
제6장 보칙 및 벌칙
2.2 보안 컨설팅 관점에서 중요한 조항 #
| 조항 | 내용 | 중요도 |
|---|---|---|
| 제22조~제28조 | 개인정보 수집·이용·제공 | ★★★ |
| 제29조~제31조 | 개인정보 보호 조치 | ★★★ |
| 제32조 | 본인확인기관 | ★★ |
| 제44조의7 | 정보보호 최고책임자(CISO) 지정 | ★★★ |
| 제45조~제47조 | 정보보호 관리체계(ISMS) 인증 | ★★★ |
| 제48조 | 침해사고 대응 | ★★★ |
3. 개인정보보호법과의 차이점 #
3.1 주요 차이점 비교 #
| 구분 | 개인정보보호법 | 정보통신망법 |
|---|---|---|
| 적용 대상 | 모든 개인정보처리자 | 정보통신서비스 제공자 |
| 법의 성격 | 일반법 | 특별법 |
| 주민등록번호 | 원칙적 수집 금지 | 본인확인 등 법정 사유 시 가능 |
| 보호책임자 | 개인정보 보호책임자 | 개인정보 보호책임자 + CISO |
| 인증제도 | 개인정보 영향평가 | ISMS-P 인증 |
| 과징금 한도 | 매출액 3% | 매출액 3% |
3.2 중복 적용 시 우선순위 #
정보통신서비스 제공자의 경우:
- 정보통신망법에 규정이 있으면 → 정보통신망법 적용
- 정보통신망법에 규정이 없으면 → 개인정보보호법 적용
예시:
- 온라인 쇼핑몰(정보통신서비스 제공자)의 고객 개인정보 처리 → 정보통신망법 우선 적용
- 오프라인 마트의 고객 개인정보 처리 → 개인정보보호법 적용
4. 개인정보의 수집·이용·제공 (법 제22조~제25조) #
4.1 개인정보의 수집·이용 (법 제22조) #
수집 제한 원칙 #
정보통신서비스 제공자는 다음 중 하나에 해당하는 경우에만 개인정보 수집 가능:
- 이용자의 동의를 받은 경우
- 법률에 특별한 규정이 있는 경우
- 계약의 이행을 위해 불가피한 경우
동의 받을 때 고지사항 (개인정보보호법과 유사) #
- 개인정보의 수집·이용 목적
- 수집하는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리 및 동의 거부 시 불이익
4.2 개인정보의 제공 (법 제24조의2) #
제공 제한 원칙 #
원칙적으로 이용자의 동의 없이 제3자에게 제공 금지
예외:
- 이용자의 동의를 받은 경우
- 법률에 특별한 규정이 있는 경우
- 이용자 또는 제3자의 급박한 생명·신체·재산의 이익을 위해 필요한 경우
동의 받을 때 고지사항 #
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 보유 및 이용 기간
- 동의를 거부할 권리 및 동의 거부 시 불이익
4.3 주민등록번호의 처리 제한 (법 제23조의2) #
원칙: 주민등록번호 수집 금지 #
정보통신서비스 제공자는 원칙적으로 주민등록번호를 수집·이용할 수 없음
예외: 법령상 의무 이행 등 #
다음의 경우에만 수집 가능:
- 법령에서 구체적으로 주민등록번호 처리를 요구하거나 허용한 경우
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령에서 정한 경우:
- 본인확인기관을 통한 본인확인
- 성인 인증
- 법률상 의무 이행
대체 수단 제공 의무 #
주민등록번호를 사용하지 않는 본인확인 수단을 제공해야 함:
- 휴대폰 본인인증
- 아이핀(I-PIN)
- 공동인증서
- 생체인증 등
5. 개인정보 보호 조치 (법 제28조) #
5.1 안전성 확보 조치 의무 #
정보통신서비스 제공자는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 해야 함
기술적 조치 #
개인정보의 암호화
- 비밀번호: 일방향 암호화
- 주민등록번호, 신용카드번호 등: 양방향 암호화
- 통신 구간 암호화 (HTTPS)
접근 통제
- 개인정보처리시스템 접근 권한 관리
- 접근 통제 시스템 설치
접속 기록 보관 및 점검
- 최소 6개월 이상 보관
- 월 1회 이상 점검
보안 프로그램 설치
- 백신 프로그램 설치
- 보안 패치
관리적 조치 #
- 내부 관리계획 수립
- 개인정보 보호책임자 지정
- 개인정보 취급자 교육
- 접근 권한 관리
5.2 개인정보 유출 통지 (법 제27조의3) #
통지 의무 #
정보통신서비스 제공자는 개인정보 유출 사실을 알게 된 때 지체 없이:
- 이용자에게 통지
- 한국인터넷진흥원에 신고
통지 내용 #
- 유출된 개인정보 항목
- 유출 시점과 경위
- 이용자가 취할 수 있는 조치
- 정보통신서비스 제공자의 대응 조치
- 담당 부서 및 연락처
6. 정보보호 최고책임자(CISO) (법 제45조의3) #
6.1 CISO 지정 의무 #
다음 정보통신서비스 제공자는 CISO(Chief Information Security Officer) 지정 의무:
- 전년도 말 기준 직전 3개월간 일일평균 이용자 수가 100만명 이상인 자
- 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
6.2 CISO의 자격 요건 #
- 임원급 이상 권장
- 정보보호 업무 총괄 권한 보유
- 독립적인 지위 보장
6.3 CISO의 업무 #
- 정보보호 관리체계 수립 및 운영
- 정보보호 취약점 분석·평가 및 개선
- 침해사고의 예방 및 대응
- 정보보호 사전 점검 및 사후 조치
- 정보보호 교육 및 훈련
- 정보보호 예산 및 인력 운영
6.4 개인정보 보호책임자(CPO)와의 차이 #
| 구분 | CISO | CPO |
|---|---|---|
| 법적 근거 | 정보통신망법 | 개인정보보호법 |
| 주요 업무 | 정보보호 전반 | 개인정보보호 |
| 지정 대상 | 일정 규모 이상 정보통신서비스 제공자 | 모든 개인정보처리자 (일부 예외) |
| 겸직 가능 여부 | CPO와 겸직 가능 | CISO와 겸직 가능 |
실무상 CISO와 CPO를 동일인이 겸임하는 경우가 많음
7. 정보보호 관리체계(ISMS) 인증 (법 제47조) #
7.1 ISMS-P 인증이란? #
ISMS-P: Information Security Management System - Personal information & information security management system
정보보호 및 개인정보보호 관리체계 인증
7.2 인증 의무 대상 #
다음에 해당하는 정보통신서비스 제공자는 ISMS-P 인증 의무:
- 일일평균 이용자 수 100만명 이상인 정보통신서비스 제공자
- 전년도 매출액 100억원 이상인 정보통신서비스 제공자
- 전년도 직전 3개월간 개인정보 100만명 이상 보유한 정보통신서비스 제공자
7.3 인증 절차 #
[1단계] 인증 신청
↓
[2단계] 서면 심사
↓
[3단계] 현장 심사
↓
[4단계] 인증위원회 심의
↓
[5단계] 인증서 발급
7.4 인증 유효 기간 #
- 3년
- 매년 사후 관리 심사 실시
8. 보안 컨설팅 관점의 시사점 #
8.1 정보통신서비스 제공자 판단 #
클라이언트가 정보통신서비스 제공자인지 판단:
- 온라인 서비스를 제공하는가?
- 영리 목적인가? → Yes이면 정보통신망법 적용
8.2 CISO 지정 대상 여부 확인 #
- 일일평균 이용자 100만명 이상?
- 매출액 100억원 이상? → CISO 지정 필요
8.3 ISMS-P 인증 대상 여부 확인 #
- 일일평균 이용자 100만명 이상?
- 매출액 100억원 이상?
- 개인정보 100만명 이상 보유? → ISMS-P 인증 필요
8.4 주민등록번호 수집 최소화 #
- 법적 근거가 있는가?
- 대체 수단을 제공하는가? → 원칙적으로 수집 금지, 대체 수단 제공 필수
9. 실무 사례 #
사례 1: 스타트업 온라인 쇼핑몰 #
상황: 이용자 5만명, 매출 10억원인 온라인 쇼핑몰
적용 법률:
- 정보통신서비스 제공자 → 정보통신망법 적용
컨설팅 조언:
- CISO 지정 의무 없음 (100만명 미만, 100억원 미만)
- ISMS-P 인증 의무 없음
- 다만, 개인정보 보호책임자는 지정 필요
- 주민등록번호 수집 시 대체 수단 제공
사례 2: 대형 포털 #
상황: 일일 이용자 1,000만명, 매출 5,000억원
적용 법률:
- 정보통신서비스 제공자 → 정보통신망법 적용
컨설팅 조언:
- CISO 지정 의무 (100만명 이상, 100억원 이상)
- ISMS-P 인증 의무 (100만명 이상)
- 주민등록번호 수집 최소화, 대체 수단 제공
- 침해사고 대응 체계 구축
10. 체크리스트 #
- 우리 회사가 정보통신서비스 제공자에 해당하는가?
- CISO 지정 대상에 해당하는가?
- ISMS-P 인증 대상에 해당하는가?
- 주민등록번호를 수집하는 경우 법적 근거가 있는가?
- 주민등록번호 대체 수단을 제공하는가?
- 개인정보 수집 시 동의를 받고 있는가?
- 개인정보를 제3자에게 제공 시 별도 동의를 받는가?
- 개인정보 암호화를 하고 있는가?
- 접속 기록을 6개월 이상 보관하는가?
- 개인정보 유출 시 통지·신고 체계가 마련되어 있는가?
학습 정리 #
오늘 학습한 핵심 내용:
- 정보통신망법은 정보통신서비스 제공자에 적용되는 특별법
- 개인정보보호법보다 우선 적용 (정보통신서비스 제공자의 경우)
- 주민등록번호 원칙적 수집 금지, 대체 수단 제공 의무
- 일정 규모 이상 사업자는 CISO 지정 의무
- ISMS-P 인증 의무 대상 확인 필요
- 개인정보 유출 시 이용자 통지 + 한국인터넷진흥원 신고
다음 학습 주제 #
Day 10: 정보통신망법 심화 - ISMS-P 인증 기준 및 침해사고 대응