[안전성 확보조치] 제6조 접근통제

1. 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. - 개인정보처리시스템에 대한 접속 한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한
- 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응
2. 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
3. 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다.
4. 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.
5. 개인정보처리자는 업무용 모바일 기기의 분실, 도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
6. 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, “클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률” 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성, 운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.

1. 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다.
   1. 개인정보처리시스템애 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한
   2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응

• 불법적인 접근 및 침해사고 방지를 위해서는 침입차단 및 침입탐지 기능을 포함하는 안전조치를 실시해야 하며, 침입차단 및 침입탐지 정책 설정, 개인정보처리시스템에 접속한 이상 행위 대응, 로그 훼손 방지 등 적절한 운영, 관리가 필요하다.
  • 정책 설정 운영 : 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책(패턴, 임계치 등)을 설정하고 지속적인 업데이트 적용 및 운영, 관리하여야 한다.
  • 이상 행위 대응 : 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정상적인 행동에 대응하여야 한다.
  • 로그 분석 : 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 및 차단하여야 한다.
• IP 주소 등에는 IP 주소, 포트 그 자체뿐만 아니라, 이상행위(과도한 접속성공 및 실패, 부적절한 명령어 등 패킷)를 포함한다.
• 안전조치의 적용을 위해 상용 시스템을 도입하거나, 공개용 소프트웨어를 사용하거나, 클라우드컴퓨팅서비스 제공자가 제공하는 보안기능 또는 보안서비스를 활용할 수 있다. 다만, 어떠한 안전조치를 선택하더라도 침입 차단 및 탐지 기능이 모두 적용되어야 하며, 적절한 정책 설정 및 운영, 관리가 이행되어야 한다.

1. 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
   1. 외부로부터의 개인정보처리시스템은 원칙적으로 접속을 차단해야 하나, 업무 특성 또는 필요에 따라 필요한 경우 안전한 인증수단 적용
      • 안전한 적용수단 : 개인정보처리시스템애 접속한 자에게 부여된 계정 정보와 비밀번호 등을 입력하여 정당한 권한을 부여받은 개인정보취급자인지를 식별, 인증하는 절차 이외에 추가적인 인증수단을 적용하는 것
        • 인증서(PKI) : 전자상거래 등에서 상대방과의 신원확인, 거래사실 증명, 문서의 위, 변조 여부 검증 등을 위해 사용하는 전자서명으로서 해당 전자서명을 생성한 자의 신원을 확인하는 수단
        • 보안토큰 : 암호 연산장치 등으로 내부에 저장된 정보가 외부로 복사, 재생성 되지 않도록 인증서 등을 안전하게 보호할 수 있는 수단, 스마트카드, USB 토큰 등
        • 일회용 비밀번호(OTP) : 무작위로 생성되는 난수를 일회용 비밀번호로 한 번 생성하고, 그 값을 한 번만 사용할 수 있도록 하는 방식
      • 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 안전한 접속수단 , 안전한 인증수단 중 하나를 선택하여 적용할 수 있으며, 두 가지 중 한 가지 이상은 반드시 적용
        • 가상사설망(VPN) : 개인정보취급자가 인터넷망 등을 거쳐 개인정보처리시스템에 원격으로 접속할 때 IPsec이나 SSL 기반의 암호 프로토콜을 사용한 터널링 기술을 통해 안전한 암호통신을 할 수 있게 하는 보안 시스템 등
2. 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다.
   1. 인터넷 홈페이지 등을 통한 개인정보 유, 노출 유형
      • 검색엔진 등을 통한 개인정보 유, 노출
      • 웹 취약점을 통한 개인정보 유, 노출
      • 인터넷 게시판을 통한 개인정보 유, 노출
      • 홈페이지 또는 모바일앱 등의 설계, 구현 오류로 인한 개인정보 유, 노출
      • 크리덴셜 스터핑 공격 등으로 인한 개인정보 유, 노출
      • 클라우드 보안설정 미흡으로 인한 개인정보 유, 노출
      • 기타 방법을 통한 개인정보 유, 노출
   2. 개인정보처리자는 개인정보의 보유 수, 처리 환경, 정보주체에 미치는 영향 등을 고려하여 스스로의 환경에 맞는 보호조치를 하되 보안대책 마련, 보안 기술 마련, 운영 및 관리 측면에서의 개인정보 유, 노출 방지 조치를 하여야 한다.
   3. 개인정보처리자는 인터넷 홈페이지 운영, 관리 시 개인정보 유, 노출 방지를 위한 보안대책 및 기술 적용에 따른 적정성을 검증하고 개선 조치를 하여야 한다.
   4. 개인정보 유, 노출 방지 조치 예시
      1. URL , 소스코드, 임시 저장 페이지 등에 개인정보 사용 금지
      2. 홈페이지에 관리자 페이지의 주소 링크 생성 금지, 관리자 페이지 주소는 쉽게 추측하기 어렵게 생성, 관리자 페이지 노출 금지
      3. 엑셀 파일 등 숨기기 기능에 의한 개인정보 유, 노출 금지
      4. 시큐어 코딩 도입
      5. 취약점을 점검하고 그 결과에 따른 적절한 개선 조치
      6. 인증 우회에 대비하는 조치 등
      7. 로그인 시도 횟수 증가 시 캡챠(CAPTCHA) 적용, 로그인 실패 비율에 대한 임계치 설정 모니터링, 개인정보 페이지 로그인 시 정당한 사용자인지를 확인할 수 있는 수단(SMS, 이메일 등) 활용 등
   5. 업무상 꼭 필요한 경우라도 드라이브 전체 또는 불필요한 폴더가 공유되지 않도록 조치하고, 공개 설정된 공유폴더에 개인정보 파일이 포함되지 않도록 정기적인 점검이 필요하다.
   6. 원격접속 프로그램을 통해 개인정보취급자 컴퓨터 등에 접속하는 경우도 공유설정에 해당되므로, 정당한 권한이 있는 자만이 접근할 수 있도록 접근통제 조치를 적용하여야 한다.
   7. 외부 웹메일, 웹하드, 메신저, 클라우드 저장소, SNS 서비스 등을 통하여 고의 혹은 부주의로 인한 개인정보의 유, 노출이 발생하지 않도록 접근통제 등을 해야 한다.
3. 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되게 하는 등 필요한 조치를 하여야 한다.
   1. 접속차단 조치 - 개인정보처리시스템에 접속하는 업무용 컴퓨터 등에서 해당 개인정보처리시스템에 대한 접속을 차단하는 것을 의미하며, 개인정보처리시스템과 연결이 완전히 차단되어 정보의 송수신이 불가능한 상태가 되어야 한다. 업무용 컴퓨터의 화면보호기 등은 접속차단에 해당하지 않는다.
   2. 개인정보처리자는 개인정보를 처리하는 방법 및 환경, 보안위험요인, 업무특성 등을 고려하여 스스로의 환경에 맞는 최대 접속가능 시간을 정하여 시행할 수 있다.
   3. 최대 접속가능 시간은 통상저인 수준에서 정할 수 있으며, 개인정보처리시스템 정기 점검 등 특별한 상황에서 장시간 접속이 필요한 때에는 사유 및 접속기간 등 기록을 보관, 관리하고, 작업 종료 등에 따라 장시간 접속이 불필요해진 경우에는 다시 원래의 시간으로 복원하여야 한다.
   4. 개인정보취급자가 일정시간 이상 업무처리를 하지 않아 개인정보처리시스템에 접속이 차단된 이후, 다시 접속하고자 할 때에는 그 방법, 절차 등이 최초의 접속 방법, 절차 등과 동일한 수준 이상이 되도록 조치를 취하여야 한다.
   5. 접속차단 미조치 예시
      1. 개인정보처리시스템에 접속 차단 등의 조치 없이 업무용 컴퓨터에 화면보호기만을 설정한 때
      2. 개인정보처리시스템 등에 다시 접속 시 자동 로그인 기능을 사용한 때
      3. 서버접근제어 프로그램 등을 이용하여 개인정보처리시스템에 별도의 로그인 절차 없이 접속이 가능하도록 구성하면서 해당 프로그램에 접속 차단 조치를 하지 않은 때
      4. 개인정보처리시스템 개편 작업을 위해 예외적으로 접속차단 조치 적용대상 시간을 장시간으로 연장한 후, 개편 작업이 종료되었음에도 유지하고 있을 때
4. 개인정보처리자는 업무용 모바일 기기의 분실, 도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
   1. 화면 잠금설정 예시
      1. 비밀번호, 패턴, PIN, 지문, 홍채 등을 사용하여 화면 잠금 설정
      2. 디바이스 암호화 기능을 사용하여 애플리케이션, 데이터 등 암호화
      3. USIM 카드에 저장된 개인정보 보호를 위한 USIM 카드 잠금 설정
      4. 모바일 기기 제조사 및 이동통신사가 제공하는 기능을 이용한 원격 잠금, 원격 데이터 삭제
      5. 중요한 개인정보를 처리하는 모바일 기기는 MDM 등 모바일 단말 관리 프로그램을 설치하여 원격 잠금, 원격 데이터 삭제, 접속 통제 등
5. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보 취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다
   1. ‘이용자’란 정보통신망법에 따른 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 뜻한다.
   2. 클라우드 서버에 개인정보처리시스템을 설치, 운영하는 경우(IaaS), 클라우드서비스가 제공하는 개인정보 처리 응용프로그램을 이용하는 경우(SaaS), 클라우드 사업자가 제공하는 DBMS 등을 이용하여 개인정보처리시스템을 구축, 운영하는 경우(PaaS) 등이 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구축, 운영하는 경우에 해당될 수 있다.
   3. 이 기준에 해당하는 개인정보처리자가 인터넷망 차단 조치를 적용해야 하는 대상은 다음과 같다.
      1. 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등