| ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. ③ 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다. ④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다. ⑤ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다. ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. |
‘접근통제’의 내용은 크게 두 가지로 하나는 ‘문을 잘 잠궈야 한다’, 다른 하나는 ‘누가 문을 따고 들어왔다면 그 사실을 파악하고 대응해야 한다’입니다. 앞서 ‘접근 권한의 관리’는 ‘열쇠 관리’에 비유할 수 있다고 말씀드렸는데, 접근통제는 열쇠를 잃어버리거나 도둑맞았을 때, 혹은 누가 열쇠 없이 자물쇠를 따려 할 때 시스템을 보호할 수 있는 조치라고 볼 수 있습니다.
대부분의 항목은 ‘잘 잠그기’에 관한 이야기입니다.
개인정보처리시스템 접속 권한 제한
안전조치 기준 제1항제1호에서 말하는 IP 주소 기반 제한은 특정 IP 주소에서만 접속할 수 있도록 설정하는 것을 말합니다. 즉 ID와 비밀번호를 알고 있더라도 해당 IP 주소를 사용하는 기기에서 로그인하지 않으면 접근을 차단하라는 말입니다. 예컨대 사무실 IP 주소에서만 CRM에 접속 가능하게 설정할 경우, 조직 밖의 누군가 ID/비번을 탈취하더라도 시스템에 접속하기 어려워집니다.
외부 CRM 툴 등 사용하는 시스템에 IP 주소 등에 따른 제한 기능이 있는지 모르거나, 설정 방법을 모르는 경우에는 공식 문서를 확인하거나 해당 업체에 문의하여 IP 보안 관련 기능의 존재 여부와 사용 방법을 알 수 있습니다.
IP 주소 기반 제한 기능을 명시적으로 제공하지 않는 범용 툴(예: 구글)의 경우 다음 절에서 설명하는 2단계 인증 설정 등 다른 접속 보안 조치를 통해 비슷한 효과를 볼 수 있습니다.
외부 접속시 안전한 인증수단 또는 안전한 접속수단 적용
제2항의 ‘외부 접속’이란 지리적으로 분리된 서버나 데이터센터 등에 접속하는 경우를 말합니다. 비영리단체가 개인정보처리시스템 서버를 사무실에 두고 자체적으로 운영하는 경우는 거의 없기 때문에 사실상 외부 CRM 업체의 서버에 접속하거나 구글 드라이브 등 클라우드 기반 협업 도구를 사용해 온라인으로 수행하는 대부분의 개인정보 관련 업무에 적용됩니다.
앞서 ‘인증수단’이 본인이 맞다는 것을 증명하는 수단이라고 얘기했지요. 그런데 아이디+비밀번호 조합은 다른 누군가 그 정보를 알아내기만 하면, 본인이 아니더라도 로그인이 가능해지는 한계가 있습니다. (넷플릭스 계정을 가족이나 친구와 공유할 때를 생각해보면 됩니다.)
반면 ‘안전한 인증수단’은 본인이 소유한 특정 기기에 연동되어 있거나 시간제한이 있는 등의 방식으로, 다른 사람이 사칭하기 상대적으로 어려운 수단을 가리킵니다. 예를 들어 이런 것들입니다.
- 일회용 비밀번호(OTP)
- USB 키 등 물리적 보안토큰
- 인증서(공인인증서 류)
아이디+비밀번호에 더해 OTP나 인증서 등을 추가로 사용하는 인증방식을 2단계 인증(2FA)라고 하는데요. 2단계 인증의 구체적 방법은 <디지털 보안 가이드> 2장 “비밀번호와 인증의 실제”를 참고하세요.
이런 식으로 “이용자”의 개인정보와 “이용자가 아닌 정보주체”의 개인정보를 구분해서 다른 기준을 적용하는 내용이 안전조치 기준에 여러번 등장합니다. 이러한 구분은 기존 정보통신망법에서 다루던 정보통신망서비스 이용자 개인정보 보호 관련 내용과, 개인정보보호법이 통합된 흔적으로 보입니다.
비영리단체의 경우 보통 정보통신망서비스 제공자가 아니므로 회원 역시 ‘이용자’가 아니라고 볼 수 있습니다. 다만 회원이 온라인으로 가입하고, 회원과의 소통도 온라인으로 이루어지는 상황이라면 단체가 엄밀한 의미에서 ‘정보통신망서비스’를 제공하지 않더라도 회원과 이용자가 유사하다고 볼 여지 또한 있습니다.
이 가이드에서는 이처럼 비영리단체 특성상 ‘회원’과 ‘이용자’의 구분이 불명확할 수 있는 점과 개인정보 보호의 관점에서 모든 정보주체의 개인정보를 안전하게 관리하는 것이 바람직하다는 점을 고려해서, 법적으로 ‘이용자가 아닌 정보주체’에 덜 엄격한 기준이 적용되는 상황이어도 ‘이용자’에 대한 기준에 준해서 안전조치를 취하는 것이 바람직하다고 봅니다. 앞으로의 설명도 이와 같은 입장에서 서술합니다.
공개/유출 방지
권한이 없는 사람이 개인정보를 볼 수 없도록 개인정보처리시스템뿐만 아니라 업무에 사용하는 각종 기기에도 조치를 해야 합니다.
🟢 개인정보를 다루는 인터넷 홈페이지를 운영할 경우
정기적으로 웹 보안 취약점을 점검합니다. 서비스 제공에 사용되지 않거나, 관리되지 않는 사이트 및 세부 URL을 삭제 및 차단합니다. 이러한 사항을 웹사이트 관리자/개발자와 상의하여 안전하게 운영할 필요가 있습니다.
홈페이지의 설계·개발 오류, 업무상 부주의 등으로 관리자 페이지가 노출되거나 개인정보를 공개된 페이지에 기록할 경우, 검색엔진을 통해 해당 정보가 외부에 노출되어 개인정보 유노출 위험을 키울 수 있습니다. 인터넷 검색엔진은 서비스 제공에 필요한 자료를 수집하기 위해 웹사이트를 자동으로 조회합니다. 단체 웹사이트가 관련 키워드 검색 결과로 등장하려면 필요한 과정인데요. 이때 어떤 페이지를 검색엔진 및 일반에 공개하고 어떤 페이지는 숨길지 주의해야 합니다.
🟢 공유 설정은 하지 않는 것이 원칙
개인정보처리시스템, 업무용 PC, 모바일 기기 등에서는 P2P나 파일 공유 설정을 사용하지 않는 것이 원칙입니다. 만약 업무상 꼭 필요하다면 전체공유로 풀어놓는 것이 아니라 권한을 구체적으로 설정하여 권한이 없는 자에게 공개되거나 유출되지 않도록 합니다. 주기적 점검을 통해 전체 폴더나 불필요한 폴더의 공유를 막고, 개인정보 파일이 포함되지 않도록 합니다.
특히 구글 드라이브나 노션 등 클라우드를 통해 개인정보를 처리하는 경우 권한 설정에 주의하도록 합니다. 개인정보가 포함된 문서는 전체 공개 설정하지 않고, 필요한 사람에게 한해 직접 권한을 부여해서 관리하도록 합니다. 클라우드 서비스 보안에 관해서는 <디지털 보안 가이드> 7장 “클라우드 서비스 및 협업 툴 보안”을 참고하세요.
🟢 공개된 무선망을 사용할 경우
노트북이나 모바일 기기로 업무를 볼 경우 와이파이를 이용하게 되지요. 공개된 무선망은 불특정 다수가 무선접속장치(AP, 흔히 ‘공유기’라고 부르는 장비)를 통하여 인터넷을 이용할 수 있는 망입니다. 흔히 카페, 도서관, 교통시설, 공공기관 등에 설치된 와이파이를 지칭합니다.
개인정보처리자가 직원의 업무처리 목적으로 사무실, 회의실 등에 무선접속장치(AP)를 설치하여 운영하는 경우는 공개된 무선망으로 간주하지 않고 CDMA, WCDMA 등의 기술을 사용하는 이동통신망 역시 공개된 무선망으로 간주하지 않습니다. 이런 구분이 존재하는 이유는 ‘공개된’ 무선망을 이용해 개인정보 취급 업무를 할 경우 추가적인 보안 조치를 요구하기 때문인데요. 단체 내부 와이파이를 사용하는 경우에도 (설령 법적 요건이 아니더라도) 보안 조치는 중요하므로, 이 가이드에서는 ‘공개된’ 무선망과 그렇지 않은 무선망을 따로 구분해서 생각하지 않습니다.
가장 먼저, 안전한 무선망을 이용해야 합니다. 안전하다는 것은 다음과 같은 특징을 말합니다.
- 설치자/관리자를 신뢰할 수 있다
- 안전한 비밀번호를 적용했다
- WPA2 이상의 보안 프로토콜을 사용한다
우선 와이파이 접속시 비밀번호를 입력하게끔 되어 있는 것을 사용해야 합니다. 또, 비밀번호를 입력한다고 반드시 안전한 보안 프로토콜을 사용하는 것은 아닌데요. 비밀번호 자체와 상관없이 해당 와이파이에 걸린 ‘암호화 기술’의 수준이 낮을 수 있다는 말입니다. 암호화 기술 즉 보안 프로토콜의 수준은 보통 와이파이에 접속한 다음 해당 와이파이 세부정보 화면에서 확인할 수 있습니다.
🟢 아이폰 등 iOS 기기를 사용할 때
WPA2 미만의 구형 보안 프로토콜을 이용하는 네트워크에 접속하면 네트워크 이름 옆에 “보안이 취약함”이라고 표시됩니다.
와이파이 비밀번호를 입력할 때, 혹은 접속 후 네트워크 세부정보 화면에서 확인할 수 있습니다.
iOS 기기의 와이파이 네트워크 목록
🟢 안드로이드 기기를 사용할 때
접속 후 해당 네트워크 세부 정보로 들어가면 보안 프로토콜이 표시됩니다.
안드로이드 기기의 네트워크 세부정보 화면
🟢 윈도우 기기를 사용할 때
구형 보안 프로토콜을 사용하는 와이파이의 경우 와이파이 목록에서 경고문이 표시됩니다.
윈도우 기기의 와이파이 보안 관련 경고문 (목록에서)
구형 암호화 기술을 적용한 와이파이에 접속했을 경우 해당 네트워크가 안전하지 않다는 메시지가 나옵니다. (표현 방식은 윈도우 버전에 따라 달라질 수 있습니다.)
윈도우 기기의 와이파이 보안 관련 경고문 (접속 후)
🟢 mac OS 기기를 사용할 때
와이파이에 접속하기 전, 비밀번호를 입력하는 화면에서 해당 와이파이의 보안 프로토콜을 확인할 수 있습니다. (WPA2 혹은 WPA3 프로토콜이 바람직합니다.
macOS 기기의 와이파이 접속 화면
구형 암호화 기술을 적용한 와이파이에 접속했을 경우 와이파이 상세 정보에서 보안이 취약하다는 메시지가 나옵니다.
macOS 기기의 와이파이 보안 경고
고유식별정보 등 개인정보가 포함된 파일을 이메일/메신저 등 온라인으로 전달하는 경우에는 파일에 비밀번호를 걸어 저장한 후 송신합니다. 공개된 무선망이건 아니건 개인정보 파일은 비밀번호 적용을 권장합니다.
개인정보처리시스템에 비밀번호를 입력하는 등 중요한 개인정보를 전송할 경우에는 전송 암호화 기능이 적용된 조건에서 전송해야 합니다. (전송 ‘암호화’ 기술과 와이파이 ‘비밀번호’는 별개의 개념이라는 점을 기억합시다!) 예를 들어 웹브라우저에서 주소가 http://가 아니라 https://로 시작하는 경우, SSL 암호화 기술이 적용된 것으로 볼 수 있습니다. 메신저를 이용할 경우에도 암호화 기술이 적용된 상황에서 이용해야 합니다. 메신저의 암호화와 안전한 이용에 관해서는 <디지털 보안 가이드> 5장 “통신, E-Mail 및 메신저 보안”을 참고하세요.
카페 같은 곳에 설치된 무선망은 적절한 보안 프로토콜을 사용하더라도 엄밀히 말해 100% 신뢰할 수는 없습니다. 누군가 악의적으로 설치했거나, 제대로 관리가 되지 않고 있을 가능성을 배제할 수 없기 때문입니다. 이처럼 안전을 보증할 수 없는 환경이나 공개된 장소에서는 개인정보 관련 업무를 취급하지 않는 것을 원칙으로 하는 것이 바람직합니다. 정말 부득이하게 이런 환경에서 무선망을 사용할 경우에는 WPA2나 WPA3 보안 프로토콜을 사용하는 무선망인지 확인하고, 파일 및 전송 암호화를 반드시 적용하여 혹시 모를 위험에 대비하도록 합시다. 휴대폰 데이터를 테더링해서 이동통신망을 이용하는 것도 고려해볼 만합니다.
자동 접속 차단
개인정보처리시스템의 경우, 일정시간 이상 사용하지 않으면 자동으로 시스템 접속을 차단하는 세션 타임아웃을 적용해야 합니다. 보통 ‘자동 로그아웃’이라고 부르는 기능에 해당합니다.
일반 구글 계정의 경우 수동으로 로그아웃하기 전까지는 브라우저를 껐다 켜도 로그인 상태가 유지되므로 주의할 필요가 있습니다. (구글 워크스페이스 유료 버전 일부 요금제에서는 사용자 ‘세션 길이’를 설정할 수 있고, 기본값은 14일입니다.) 공용 장비에서는 사생활 창을 이용하면 창을 닫을 때 자동으로 로그아웃되는 특성을 활용할 수 있고, 아래 설명하는 것처럼 기기 자체에 시간 제한을 걸어두는 것도 방법입니다.
업무용 컴퓨터 역시 사용하는 응용프로그램/업무의 특성/위험의 정도 등을 고려해 사용자가 일정시간 이상 업무 처리를 하지 않는 경우 자동으로 접속을 차단 후, 재접속은 최초 로그인과 동일한 방법으로 접속하도록 합니다. OS 설정에서 잠금 화면 시간 제한을 적용하고, 다시 시작할 때 로그인 화면을 띄우는 설정을 켜둡니다.
비밀번호 설정
업무용 모바일 기기(스마트폰, 태블릿PC 등)는 비밀번호 설정 등 보호조치를 취해야 합니다. 기기 보안에 관해서는 <디지털 보안 가이드> 2-1장 “비밀번호”와 4-3장 “스마트폰 자체의 보안”을 참고하세요.
모바일 기기는 기기에 저장된 개인정보나 해당 기기를 통한 개인정보처리시스템 접속뿐만 아니라 각종 인증수단이나 메신저 등 연락망을 포함하는 경우가 많기 때문에 분실·도난시 큰 위험이 생깁니다. 따라서 최소한 비밀번호 설정 등의 조치를 통해 보호하는 것이 좋습니다.
개인정보 유출 시도 탐지 및 대응
그밖에 제6조제1항제2호에서는 개인정보 유출 시도를 탐지 및 대응할 것을 요구합니다. 시스템에 접속한 IP 주소 등을 분석하여 유출 시도가 있었는지 확인하고, 만약 확인이 될 경우 해당 IP 주소에 대한 접근을 차단하는 등의 조치를 해야 한다는 것입니다. 그밖에 침입차단 기능을 갖는 장비를 운용하는 등 여러 방안을 권고하고 있습니다 (<안전조치 기준 해설서>).
개인정보 유출 시도 탐지 및 대응은 서버를 관리하는 업체의 역할이라고 볼 수 있습니다. 우리 단체에서 처리하는 개인정보가 유출 시도로부터 안전한지 확인하기 위해서, 이용하는 CRM 업체가 어떤 조치를 취하고 있는지 확인하는 것을 권장합니다. 사용하는 툴의 공식 문서나 개인정보처리방침에 해당 내용이 기재되어 있는지 확인하고, 만약 유출 시도가 발생했을 경우 이용자인 우리 단체는 그 사실을 어떻게 알 수 있는지, 어떻게 대응할 수 있는지 등을 문의해보는 것도 좋습니다.
구글 드라이브 같은 범용 툴의 경우 평소와 다른 위치 또는 기기에서 로그인을 시도하는 등 보안상 위험이 발생했을 때 해당 접속을 차단하고 ‘의심스러운 로그인이 차단되었습니다’는 연락을 주기도 합니다. 이런 연락을 받으면 계정 관리 페이지에 들어가 비밀번호를 변경하는 등 안전 점검 조치를 하는 것이 좋습니다.
한편 이를 악용하여 ‘개인정보가 유출되었으니 손해배상을 하겠다’거나, 새로 로그인하라거나, 무언가를 설치하라는 식의 이메일이나 메시지를 보내, 중요한 정보를 빼내거나 악성프로그램 설치를 유도하는 피싱 사기도 종종 발생합니다. 이런 연락을 받았을 경우에는 보낸 사람의 메일주소가 실제 기관이나 업체의 메일주소인지 확인하고, 해당 기관/업체에 연락하여 그런 공지를 내보낸 적이 있는지 문의하는 등 의심하는 마음을 가질 필요가 있습니다.
개인정보 유출뿐만 아니라 전반적인 보안 사고가 발생했을 경우 대처 방법은 <디지털 보안 가이드> 9장 “이미 벌어진 보안 사고 대처하기”를 참고하세요.