| ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다. ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
안전조치 기준 제5조의 요지는 개인정보처리시스템에 대한 접근 권한을 최소한으로 관리하고, 관련 기록을 보관하고, 적절한 인증 보안 조치를 적용해야 한다는 것입니다. 비유하자면 사무실 열쇠를 누가 사용할 수 있는지 잘 관리하는 일과 비슷합니다.
접근 권한이란?
누군가 개인정보처리시스템에 접속하거나, 개인정보를 생성·변경·열람·삭제할 수 있는 경우 해당 인물이 개인정보처리시스템에 “접근 권한이 있다”고 말합니다. 일반적으로 CRM 등에 접속하는 계정 정보를 알고 있는 사람은 해당 개인정보처리시스템에 접근 권한이 있다고 볼 수 있습니다.
최소 권한의 원칙
디지털 보안에 있어서 중요한 원칙 중 하나는, 사용자 계정에 대한 권한을 꼭 필요한 것만 부여하고 필요없는 권한은 차단하는 것입니다. 이를 “최소 권한의 원칙”이라고 부릅니다. 권한을 최소한으로 부여해 관리함으로써 보안 사고가 발생할 수 있는 노출 지점을 줄일 수 있습니다. 1항에서 말하는 “최소한의 범위로 차등 부여”는 바로 이 최소 권한의 원칙을 가리킵니다.
예를 들어 회원 연락처를 조회하는 용도로 주로 사용하는 계정에, 주민등록번호를 조회하는 권한이나 해당 회원 정보를 수정/삭제할 수 있는 권한이 부여된다면 보안 리스크가 커진다는 것입니다. 업무 분장과 무관하게 모든 구성원에게 모든 회원에 대한 자료 열람 권한을 부여하는 것 또한 최소 권한의 원칙에 위배됩니다.
접근 권한 관리, 어떻게 하면 될까요?
🟢 필요한 사람만
실제로 개인정보를 취급하는 담당자에 한해서 접속 권한을 부여합니다. 업무상 개인정보처리시스템에 접속할 필요가 없는 개인의 경우, ID를 부여하지 않고 로그인 정보 또한 제공하지 않습니다.
🟢 1인 1 ID
같은 계정을 공유해서 사용하지 않습니다. 시스템 접근용 계정은 ‘정당한 사유가 없는 한’ 담당자별로 따로 발급해야 합니다. 여기서 ‘정당한 사유’는 여러 계정을 만들어 운영하는 것이 시스템 자체에서 기술적으로 불가능한 경우를 말합니다.
예컨대 일부 회원관리 툴에서는 대표계정 하나만 만들어 사용할 수 있는데, 이런 경우는 불가피하게 같은 계정을 공유해야 할 수도 있습니다. 이처럼 현실적으로 1인 1 ID 부여가 어려울 때에도 필요한 사람(업무분장상 담당자)에게만 권한을 부여(계정 접속 정보를 제공)하는 원칙은 지켜야 합니다.
계정을 공유해 사용할 경우, 불의의 보안 사고가 발생했을 때 그 원인/책임/경로를 추적하기 어려워집니다. 어디에서 뚫렸는지 확인이 어려우니 대책 마련도 그만큼 까다로워집니다.
🟢 업무가 바뀌면 접근 권한도 바뀐다
특정 인물이 개인정보를 취급할 필요가 없어질 경우, 시스템 접근 권한 역시 이를 즉시 반영해야 합니다.
- 담당자가 다른 사람으로 바뀌거나, 업무분장이 바뀌는 경우
- 인사이동, 조직개편, 퇴직, 휴직, 병가 등 사용자 업무가 변경되거나 종료되는 경우 등
안전조치 기준은 업무 수행에 필요한 선에서 접근 권한을 차등 부여하도록 요구합니다. 하지만 실무자 개개인마다 어떤 개인정보에 얼마나 접근할 수 있는지 일일이 판단하고 관리하는 것은 복잡합니다. 그렇다고 일을 단순화하기 위해 모든 사람이 똑같이 모든 권한을 갖거나, 아예 하나의 관리용 아이디를 나눠쓰는 것은 보안을 저해하는 요소가 됩니다. 특히 자원이 부족한 작은 단체일 수록 접근 권한 관리와 업무 효율 사이의 긴장이 생길 수 있는데요. 이때 활용할 수 있는 방식이 ‘역할 기반 권한 부여’입니다.
역할 기반 권한은 말 그대로 역할에 따라 누가 무엇을 할 수 있는지를 미리 정해둔다는 말입니다. 예를 들어 다음과 같이 세 단계로 구분하는 방법을 생각해볼 수 있습니다.
- 관리자: 시스템 전반에 대한 접근 권한을 가집니다. 후원회원 정보를 모두 열람하고, 새로운 직원 계정을 만들거나 삭제할 수 있습니다.
예: 조직이 사용하는 모든 서비스에 접근할 수 있는 계정 부여 - 기획자: 캠페인 자료, 보고서 등의 정보를 조회하고 수정할 수 있지만 재정 관련 정보나 전체 후원회원 명단은 볼 수 없습니다.
예: 업무용 구글 드라이브에 접근할 수 있되 재정/인사 관련 폴더 접근 권한은 차단, 후원회원 관리용 CRM 권한 부여하지 않음 - 자원봉사자: 기부자 정보에는 접근할 수 없고, 활동 스케줄이나 공지사항만 확인할 수 있습니다.
예: 별도 계정 없이 전체 공개 문서를 통해 소통
이처럼 역할 기반 권한 부여를 통해 안전성과 효율성 사이의 균형을 추구할 수 있는데요. 위의 예보다 세부화하거나 단순화할 여지도 충분히 있어, 조직의 상황과 자원, 사용하는 도구의 특성에 따라 현실적으로 알맞은 접근을 내부적으로 논의하고 찾아갈 필요가 있습니다.
예컨대 회원관리를 맡은 주 담당자가 한 명일 경우 해당 담당자에게만 권한이 부여되는 것이 원칙적으로 바람직하지만, 담당자 부재시에도 해당 업무를 보완할 수 있도록 정/부 담당자를 지정하여 권한을 동등하게 부여하는 것도 고려해볼 수 있습니다.
🟢 기록 보관
개인정보시스템에 대한 접근 권한 부여/변경/말소 내역은 최소 3년간 기록을 보관해야 합니다.
CRM 등 회원관리 툴을 사용할 경우, 시스템 자체적으로 계정 관리 내역을 제공하는지 해당 업체에 문의하여 확인하고 해당 기록을 활용합니다.
구글 워크스페이스의 경우 유료 버전에서는 ‘어드민 콘솔’의 ‘감사 로그’ 기능을 사용해 권한 부여 관련 기록을 확인할 수 있습니다. 다만 보관 기간이 6개월로 설정되어 있으므로, 데이터를 구글 클라우드에 저장하도록 설정하거나 별도로 백업하여 수동으로 보관할 수 있습니다.
구글 워크스페이스 어드민 콘솔의 감사 로그 화면 갈무리
만약 사용하는 툴이 계정 관리 내역을 제공하지 않을 경우, 불편하더라도 수동으로 기록해둡니다. 예를 들어 일시, 권한 관리 대상, 권한 관리 주체, 내용을 기록하는 엑셀 파일을 관리할 수 있습니다.
<접근 권한 관리 수동 장부의 예>
| 일시 | 대상 | 직위 | 관리주체 | 내용 | 사유 |
|---|---|---|---|---|---|
| 2024. 00. 00 | OOO | 활동가 | XXX (보호책임자) | A 개인정보처리시스템 ID 생성 및 전달 (OOO@abc.xyz) | 후원회원 담당자 신규 채용에 따른 CRM 접속권한 부여 |
| 2024. 00. 00 | △△△ | 활동가 | XXX (보호책임자) | A 개인정보처리시스템 ID 회수 및 비밀번호 변경 (△△△@abc.xyz) | 담당자 업무변경에 따른 CRM 접속권한 말소 |
계정 관련 기록만 따로 관리하는 것보다, 기록 보관 절차를 명시적으로 만드는 것도 고려해볼 만합니다. 예를 들어 접근 권한을 신청/심사/승인/부여하는 절차를 명문화하여 기록이 남도록 하거나, 접근 권한 관리 내역을 인사 기록 항목에 포함하여, 인사가 발생할 경우 접근 권한 부여/변경/말소 또한 함께 처리하도록 하는 등 기존 업무에 자연스럽게 개인정보처리시스템 권한 관리 또한 포함되는 방식을 생각해볼 수 있습니다. 어떻게 보면 번거로울 수 있지만 인사 기록이라고 보면 자주 바뀌는 정보는 아닐 것 같습니다. 각 단체의 사정에 적합한 방법을 찾아 안전조치 기준을 잘 준수해봅시다!
인증수단이란?
‘인증수단’은 특정 시스템이나 단말기에 접속하려는 사람이, 본인이 맞다는 것을 증명하기 위해 사용할 수 있는 수단입니다. 대표적인 인증수단으로는 ID와 비밀번호 조합이 있으며, 그밖에 인증서, 일회용 비밀번호(OTP), 보안토큰, MFA/2FA 등도 인증수단에 해당합니다. 인증수단을 안전하게 관리하는 법에 관해서는 <디지털 보안 가이드> 2장 “비밀번호와 인증의 실제”를 참고하세요.
🟢 인증 실패시 접근 제한하기
로그인 일정 횟수 이상 인증에 실패한 경우 접근을 제한하도록 합니다. 예를 들어 아이디/비밀번호 입력을 세 번 이상 틀린 경우 추가 인증 정보를 요구한다거나, 일정 시간이 지나야 로그인을 재시도할 수 있게 하는 등의 조치를 말합니다. 이런 조치는 개인정보처리시스템 수준에서 제공되는 기능이기 때문에 각 단체에서는 활용하는 시스템에 이러한 기능이 있는지 공식 문서나 업체에 문의해서 확인할 수 있습니다.