추진배경

정보시스템 급증, 악의적 사이버 해킹공격의 다양화 등으로 인해 한정된 예산인력으로 모든 시스템에 일관된 보안조치를 취하기 어려움

시스템의 중요도보안성 정도에 따라 차등적 보안관리 기준을 적용하여 체계적인 보안관리 수행 필요

관련규정

행정기관 및 공공기관 정보시스템 구축운영 지침(행안부 고시) 48조의2

48조의2(정보시스템 등급제) 행정기관 등의 장은 소관 정보시스템에 대하여 중요도, 가용성 등에 따라 등급을 분류하고 등급별로 장애관리, 행정정보 보존 및 관리, 보안관리 등을 수행하여야 한다.

자치단체 정보시스템 장애 예방 대응 지침(행안부 예규) 9

9(정보시스템 등급) 업무 담당자는 정보시스템을 설치변경할 경우 별표1의 기준에 따라 정보시스템 등급을 부여하여야 한다.

추진경과

14.9 : 정부3.0 추진위원회 정부3.0 발전계획발표

정부 데이터 및 서비스에 대한 보안등급제 도입을 위해 보안등급기준 개발 추진

15.8~12 : 전자정부지원사업 범정부 정보보호등급제 마련 추진

’15. 5 : 정부3.0 추진위원회 범정부 정보보호등급제 마련사업 승인

’16.6~12 : 정보보호등급제 시범적용 추진(행정자치부, 경기도청)

’17.7~12 : 정보시스템 보안관리 방안 선도기관 적용 추진(법무부, 광주광역시)

’18.6~12 : 정보시스템 등급제 기반 보안관리 이행지원(광역시도 8)

 

정보시스템 등급 분류 절차

(등급) 시스템이 관리하는 정보 또는 서비스의 중요도(기밀성, 무결성) 및 가용성(사용자수, 연계기관수 등) 등에 따라 1~5등급 부여

 

(등급분류) 국가사회적 중요도 평가 → ② 시스템 특성 반영 → ③ 기관 신뢰도 평가를 종합하여 정보시스템 등급 분류

 

등급별 보안관리 기준

정보보호 기반 등 7개 영역, 32개 세부영역, 96개 기준 마련

등급별 차별화된 보안관리 수행 (예시)

모든 정보시스템에 대해 기본적인 보안지침(국가정보보안기본지침 등) 준수하도록 규정되었으며, 보안관리 수준은 3단계(H, M, L)로 차별 관리

 

< 등급별 보안관리 수준 차별화 내용 예시 >

기준

12등급 (H)

3등급 (M)

45등급 (L)

취약점 점검

정보통신기반시설 취약점 점검항목(, )에 따라 외부점검(1),

대내외 웹서비스에 대해 모의침투시험

정보통신기반시설 취약점 점검항목()에 따라 자체점검(1),

대외 웹서비스 모의침투시험

정보통신기반시설취약점 점검항목()에 따라

자체점검(1),

대외 웹서비스

취약점 진단도구로 진단

취약점 조치

즉시조치 불가능한 취약점 모니터링(분기 1)

즉시조치 불가능한 취약점 모니터링(반기 1)

즉시조치 불가능한 취약점 모니터링(1)

저장매체 불용처리

물리적 완전파쇄

자기적 충격에 의한 파쇄

완전포맷 3회 이상 수행

로그 기록 검토

로그검토 (1)

로그검토 (분기 1)

로그검토 (반기 1)

로그 위변조 방지

로그 접근권한 최소화,

로그 별도백업(3년 이상)

로그 접근권한 최소화,

로그 별도백업(6개월 이상)

 

 출처: 2019627(), 행안부 보도자료 

 

댓글을 달아 주세요

개인정보 이동권

 

신용정보법에 이동권이 시행이 되고 있지만 GDPR에서 제시하고 있는 이동권과 조금 다른 개념으로 진행되고 있는 듯 하다. 이는 '마이데이터'라는 사업으로 연결돼 정보주체의 전송요구권에 가깝다고 본다. 개인정보 이동권에 대한 원래 취지는 정보주체가 데이터의 주권을 가지고 자신의 통제 영역 안에서 자기결정을 내리는 것이 핵심이다.

GDPR에서 의미하는 이동권은 2가지다.

1. 전송요구권

정보주체의 요구가 있으면 개인정보처리자(컨트롤러)가 다른 개인정보처리자에게 정보주체의 개인정보를 이동하는 권리다. 데이터가 흘러가고 이동함으로써 데이터 독점을 방지하고 경쟁해 더 나은 품질의 데이터를 확보 가능하도록 한다. 그동안 정보주체는 개별 개인정보처리자에게 자신의 정보를 저장하고 보관 이용해 왔기 때문에 다른 개인정보처리자에게는 또 다시 회원가입과 개인정보를 제공해야 하는 불편함이 있었고, 이러한 여러번에 걸친 개인정보제공 만큼이나 유출에 따른 리스크도 커진 것이 사실이다. 

2. 다운로드권

개인정보처리자가 보유하고 있는 정보주체에 대한 개인정보를 직접 다운로드 받을 수 있는 권리다. 다운로드 받을 수 있다는 것은 정보주체의 통제권 영역안에 개인정보 자기결정권을 부여한다는 의미다. 전자적인 방법으로 안전하게 다운로드 가능하면 다운로드 받은 개인정보를 다른 개인정보처리자에게 선별 제공해 정보주체가 자기결정권을 행사 가능하도록 한다. 

3. 현재 우리나라 현황

개인정보 이동권이 유럽 개인정보보호규정(GDPR)로 시작해 미국의 CCPA나 버지니아주 개인정보보호법 등 다양하게 퍼져 나가는 모습을 보인다. 우리나라도 데이터 3법 개정 시 신용정보법에 우선 반영해 개인정보이동권이 시행 중에 있으며 개인정보보호법 2차 개정을 앞두고 '개인정보 이동권' 적용에 입법 예고한 상태다. 특별한 이슈가 없으면 시행 될 것으로 예상된다. 

제도 초기 시행이다보니 아직 갈 길이 멀다. 개인정보 이동에 대한 다음 물음에 답하는 것이 우선이다.

  • 개인정보 이동 대상은 무엇인가?
  • 개인정보 이동 범위는 어디까지 할 것인가?
  • 개인정보 이동 시 위협이나 보안에 대한 문제는 없는가?
  • 개인정보 이동 후 유출 시 책임은 누구에게 있는가? 등등

 

4. 다운로드권을 직접 실행해 보니

페이스북이 연실 두들겨 맞고 있다. 최근 언론 보도에 따르면 개인정보 5억건이 2019년도에 유출 되었다는 로이터 통신을 통해 기사화 됐다. 국내 사용자도 12만명 정도 유출 되었다고 하니 실로 안타깝다. 글로벌 기업 마저도 개인정보에 대해 이렇게 헛점이 들어나고 있는 시점에서 2차 개정을 앞두고 국내법상 침해사고시나 유,노출 시 전체 매출액에 3% 과징금 부과에 대한 산업계 반발이 있고, 정부는 초기 입법대로 진행 예정이다. 그동안 개인정보 관련 법률이 수 없이 개정 돼 왔다. 

일부는 더 강화된 측면이 있고, 일부는 완화된 측면도 있다. 하지만 정보보안과 개인정보는 100% 안전한 것이 없으므로 규제 법률은 점점 강화 될 수 밖에 없다는 성질을 받아 들여야만 한다. 그 해결 방안은 자율적으로 침해사고나 개인정보 침해 사고가 발생하지 않도록 사전예방이 잘 이루어져야 하는데 실질적인 현장은 그렇지 못하고 부담만 가중된다는 인식이 크다. 

따라서, 활용을 하려면 안전하게 보호하는 자율적인 사회적 합의가 이루어져야 하는데 제도화 하지 않으면 굳이 할 필요 없다는 분위기가 팽배해 버리면 솜방망이처럼이라는 비판을 피하기 어렵다. 늘 그래왔다. 사건 사고나면 언제나 인재라는 키워드와 소 잃고 외양간 고친다는 고정적인 멘트는 너무나 많은 반복이 돼 왔고, 사람들 머리속에 인식돼 왔다.  사전예방이 가능한 법률적 제도화가 더 많이 고착화 돼야 한다. (PbD, PIA 의무화 등)

아무튼, 다시 돌아와서 페북에서 '다운로드'가 가능한 기능을 지원해 다운로드를 받아 보았다. 싸이월드 사이트가 폐쇄 되는 바람에 이용하던 이용자의 모든 콘텐츠와 개인정보 등 하나도 보유하지 못하고 그대로 서버에 둔 채 발만 동동 굴렀던 경험이 사용자들이 있기에 페북에서 지원하는 개인정보 이동권 중 다운로드 기능에 대해서는 반길 것이다. 

 

  • 카테고리별로 선택해 다운로드 가능하다.
  • HTML 혹은 JSON 파일 중 선택해 다운로드 가능하다.
  • HTML로 다운로드 받았는데 각자 사용량에 따라 다르겠지만 2-3G정도 될 듯하다.
  • 페북이 서비스를 중단해도 자신의 소중한 콘텐츠나 기록을 보관 가능하다.
  • 다운로드 받으면서 민감한 개인정보 등도 포함 될 수 있으니 보안에 조심하라 경고한다.

 

5.  국내에서 개인정보 이동권이 정착되려면

1) 정보주체에게 통제권 부여

가장 중요하고 핵심적인 내용이며 정보주체가 데이터를 컨트롤 할 수 있도록 기능구현 하는 것이 개인정보 이동권에 핵심이다. 다른 부차적인 이유보다는 정보주체가 데이터를 각 개인정보처리자를 통해 흘러 가도록 제도적 마련 뒤에 기술적으로 구현하는 것이 가장 핵심이다. 굳이 GDPR을 따라 한다는 의미보다는 국내 실정에 맞게 참조해 제도 시행에 대한 취지와 가치에 부여하도록 제도 정착이 되지 않으면 오히려 현장에선 더 혼란스러운 형태가 도래 될 것이다. 

표준API 구현에서부터 안전하게 전송 가능한 기술 구현이 하루 빨리 반영되고 이루어져야 한다. 

2) 다운로드권 기능 구현 

신용정보법이나 개인정보보호법에서 직접적인 다운로드권에 대한 언급이 없지만 진정한 개인정보 이동을 한다면 개인정보처리자가 데이터를 그대로 저장 보관하고 전송요구권만 행사하는 것은 크게 의미가 없다. 개인이 통제 가능한 자기결정권 행사의 핵심은 서비스 하고 있는 정보에 대한 개인정보를 단순 열람에 그치는 것이 아니라 자신의 개인정보 범위를 정해 다운로드 가능하게 해야한다. 

개인정보에 대한 주권이 개인정보처리자에서 정보주체로 이동하는것이 개인정보이동권에 대한 핵심 가치다. 이를 개인정보처리자에서 개인정보처리자로 이동하는 것으로 판단해서는 반쪽자리 개인정도 이동이 되는 것이라 해석한다. 아무튼, 이제 시행초기인 만큼 시행착오를 거쳐 개인정보처리자와 정보주체가 동등한 입장에서 보호와 활용으로 사회적 합의를 만들어 가야한다.

기울어진 운동장에서 아무리 법,제도를 개정한다해도 정보주체의 개인정보를 이용해 데이터 독점이 비지니스의 핵심으로 떠 오른다면 정보주체의 저항은 그만큼 커지고 반발이 심해지게 된다. 이는 또 다른 법 규제로 이어지기 때문에 개인정보처리자도, 정보주체도 점점 규제에 갇히게 되는 고립되는 법으로 전락하게 된다. 

 

 

 

 

 

댓글을 달아 주세요