개인정보를 서버에 보관시 SSL보안서버는 의무인가?

안녕하세요. 소통하는 개발자 드리머즈입니다.


2012년 8월 18일부터 법이 변경되어

"개인정보를 취급하는 모든 웹사이트는 의무적으로 보안서버를 구축하셔야 합니다."


라는 이야기를 들어서 관련 법을 법제처 홈페이지(http://www.moleg.go.kr/main.html)에서 찾아봤습니다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 제28조제76조가 보안과 과태료에 관련된 내용으로 보입니다.


특히, 동일 법률의 시행령의 제15조 제4항 제3호

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치

라고 되어있습니다.


보안서버란 무엇인가.. 네이버 검색을 해보니, 아래처럼 되어있습니다.

(출처:http://terms.naver.com/entry.nhn?docId=781310&cid=42111&categoryId=42111)

제3자가 메시지를 임의로 변경하는 것을 방지하기 위해, SSL과 같이 메시지를 암호화하고, 복호화할 수 있는 주요 보안 프로토콜을 지원하는 웹서버를 가리킨다.


네. 결론은 개인정보를 취급하는 모든 웹사이트는 의무적으로 보안서버(SSL, https)를 구축해야겠습니다.



참고하시길 바랍니다.

(아래는 상세 내용)


정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )

정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.  <개정 2016.3.22.>

1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.  <개정 2016.3.22.>

[전문개정 2008.6.13.] 


① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.  <개정 2011.3.29., 2012.2.17., 2013.3.23., 2014.5.28., 2015.6.22., 2015.12.1., 2016.3.22., 2017.7.26.>


(..생략..)


3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자


(..생략..)


[전문개정 2008.6.13.]

 


정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
( 약칭: 정보통신망법 시행령 )

법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다.  <개정 2016.9.22.>

1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항

2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항

3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.  <개정 2012.8.17.>

1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행

2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.

1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독

2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관

법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.  <개정 2014.11.28., 2017.3.22.>

1. 비밀번호의 일방향 암호화 저장

2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치

4. 그 밖에 암호화 기술을 이용한 보안조치

법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.

⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.

[전문개정 2009.1.28.] 


개인정보의 기술적·관리적 보호조치 기준(행정규칙)

① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.

1. 주민등록번호

2. 여권번호

3. 운전면허번호

4. 외국인등록번호

5. 신용카드번호

6. 계좌번호

7. 바이오정보

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다. 




작성자

Posted by 드리머즈

관련 글

댓글 영역