개정된 망법이 2013년 2월18일에 시행이됩니다. 이에 관련하여 고시가 공지되었는데요. 보안에 관심 있는 분들도 이러한 법률적 제도에도 근거하여 많은 관심을 기울여야 합니다. 너무 기술적만 바라보는 분들도 있는데요..기술과 적절한 법률과 제도를 잘 숙지하면 유능한 전문가로 성장하지 않을까 생각이 듭니다.


 

1. 「정보보호조치 및 안전진단 방법․절차․수수료에 관한 지침」

 

->  「정보보호조치에 관한 지침」으로 변경

 

 

2. 법적근거 : 망법 제45조 , 방송통신위고시 제2013-3호

 

① 정보통신서비스 제공자는 정보통신서비스의 제공에 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 하여야 한다.

 

② 방송통신위원회는 제1항에 따른 보호조치의 구체적 내용을 정한 정보보호조치 및 안전진단의 방법·절차·수수료에 관한 지침(이하 "정보보호지침"이라 한다)을 정하여 고시하고 정보통신서비스 제공자에게 이를 지키도록 권고할 수 있다.

③ 정보보호지침에는 다음 각 호의 사항이 포함되어야 한다.

 

1. 정당한 권한이 없는 자가 정보통신망에 접근·침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치·운영 등 기술적·물리적 보호조치

2. 정보의 불법 유출·변조·삭제 등을 방지하기 위한 기술적 보호조치

3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적·물리적 보호조치

4. 정보통신망의 안정 및 정보보호를 위한 인력·조직·경비의 확보 및 관련 계획수립 등 관리적 보호조치

 

1.4.2.

정보보호 현황

공개

정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개

 

부칙<제2013-3호, 2013.1.17.>

이 고시는 2013년 2월 18일부터 시행한다.

 


 

신고
Posted by 엔시스

개인정보보호 관련 공부를 하다보니 자연스럽게 여러가지 법률과 시행령등을 접하게 됩니다. 그 가운데 공인인증기관에 관한 근거가 제시된 '전자서명법'을 보다가 약간 궁금한 점이 있어 포스팅 해 봅니다. 지난번 법관련하여 해프닝으로 끝난 사례도 있어 조금 조심스럽긴 합니다만 무엇보다 모르는 것 보다는 아는 것이 더 중요하니까 물어 볼때도 없고 해서 혹시 이 글을 보시는 분 중에서 아시는 분 있으면 댓글 부탁드립니다. - 주인백

 

1. 공인인증기관이란?

 

전자서명법 제4조에 의해 행정안전부장관은 공인인증업무(이하 "인증업무"라 한다)를 안전하고 신뢰성있게 수행할 능력이 있다고 인정되는 자를 공인인증기관으로 지정할 수 있다.  <개정 2001.12.31, 2008.2.29> 라고 명시하고  있습니다.                                                                                                                                    

 

2. 공인인증기관 현황

 

 전자서명법 제4조 규정에 의해 지정된 공인기관

 

 전자서명법 9조에 의한 양도,양수 합병된 공인인증기관

 

    • 한국정보화진흥원 -> 2008년 6월30일 한국정보인증(주) 이관됨

 

3. 전자서명법 인증관리업무에서 기관 명칭 오류 추정

 

 

 

 

 

제25조를 검토하던 중 "보호진흥원" 이란 명칭이 3곳이나 나오고 있었습니다. 아마도 한국인터넷진흥원의

옛명칭인 "한국정보보호진흥원"에서 보호 진흥원이 아닌가 추정이 됩니다. 아무튼 법률에서 과거의 명칭이  불완전한 상태로 사용된다는 것은 바로 잡아야 겠습니다. 혹은 필자가 잘못 알고 있을수도 있으나 그렇지는  않을 것으로 사료됩니다.

 

 

 

4.  전자서명법과 개인정보의 보호

 

계속해서 살펴 보던 중 개인정보보호에 대한 조항이 있어 살펴 보았는데 아래와 같습니다.

 

 

 

 

 

공인인증기관은 인증업무 수행과 관련하여 개인정보를 보호하여야 한다. 라고 딱 한줄 되어 있습니다. 2항이 삭제되어 있어 확인 결과 개인정보보호법이 제정이 되면서 전자서명법에서 개인정보보호 2항을 삭제 개정 하였습니다.

 

 

 

5. 공인인증기관 6곳은 어떤 법을 따라야 할까요?

 

망법을 따라야 할까요? 개인정보보호법을 따라야 할까요? 아니면 전자서명법에 한줄 나와 있는 개인정보 조항을 따라야 할까요? 혹시 아시는 분 있으면 댓글 달아 주시면 감사하겠습니다. 아직 관련 법률 정비가 안되어 그럴수도 있고, 제가 알지 못해 그런 경우도 있으니 함께 하나씩 살펴 보면서 부족한 부분들은 챙겨서 올바르게 법정비를 해 가는 것이 바람직 하다고 생각이 듭니다. 우선 본문 3번에서 전자서명법상 [보호진흥원] 워딩부터 수정해야 하지 않을까 싶네요.,  @엔시스.

 

 

 

                   

 

신고
Posted by 엔시스

정보통신망 이용촉진 및 정보보호등에 관한 법률 개정에 따라 내일 8월18일부터 주민등록번호를 망법 적용대상자는 수집하면 안됩니다. 아마도 모르고 계시는 분들이 대부분일듯 하여 포스팅 하여 봅니다. 참고 하시고 주위에도 널리 널리 알려 주시면 감사하겠습니다.  조금 민감한 사안의 법이나 제도에 대해서는 알아 둘 필요가 있습니다. 



1. 정보통신망법 개정 시행 -8월 18일




                                          사진출처: http://www.i-privacy.kr/jsp/user/private/consulting.jsp



개정안 법률을 보면 위 그림에 있는 것이 핵심 내용이다. 관련된 내용에 대하서는 아래 기사를 자세히 읽어 보면 도움이 될 것이다.



http://www.boannews.com/media/view.asp?idx=32538&kind=1 



이제는 가지고 있던 주민등록번호도 2년 이내에 폐기해야 하며, 개인정보 유효기간제로 인하여 3년동안 로그인이 없는 계정은 삭제처리 할 수 있다.  또한 개인정보 100만명 이상 사이트에 대해서는 개인정보 이용내역을 통지해 주어야 한다. 


그 다음 정보보호 사전점검 정보보호 최고 책임자를 지정하여 보안 담당자에게만 책임을 묻던 것을 책임자 지정으로 부담을 함께 지게 되었다. 조금은 업무에 탄력을 받을 듯 하다.


또한 , 안전진단 폐지로 정보보호관리체계가 안전진단 의무 업체는 isms 인증심사를 받아야만 한다. (2013.2.18일부터)..



주민등록번호 수집과 불가에 대한 기사내용입니다.


http://www.dailysecu.com/news_view.php?article_id=2759  참고 하세요.



이러한 변화점을 직시하고 각 관련된 업무를 하는 담당자분들은 피해가 없길 바란다. 아마도 일부 호스팅 하거나 영세 업체등에서는 과연 얼마나 알고 있을지 의문시 된다.


정부에서 대대적인 홍보와 교육,.그리고 인식제고를 해 주면 좋겠다라는 생각이 드네요...아무튼 이 블로그 포스팅을 보는 분들은 참고 하여 주민등록번호 수집 원칙적 금지에 대한 내용을 숙지 하면 좋겠군요...즐거운 주말 보내세요.



다시 한번 강조합니다. 이젠 주민등록번호 원칙적 수집금지입니다.   




신고
Posted by 엔시스

오늘은 개인정보보호법과 정보통신망법 사이에서 차이점 중에 중요한 부분이 있어 함께 논의하고자 포스팅 해 봅니다. 그 주요 핵심 사항은 "정기자체감사"에 대한 부분인데요..

                         <그림-1 출처: 전주현개인정보보호따라잡기: http://cafe.naver.com/privacyguide >


위 커뮤니티에서 다니엘초이라는 닉네임을 사용하시는 분께서 의문을 제기해 주셨습니다. 그럼 한번 살펴 보도록 하겠습니다.

주요내용은 "정보통신망법"과 "개인정보보호법"에 있어서 내부관리계획 수립.시행에 대한부분이 있습니다. 그 내용을 살펴보면 위 <그림-1>과 같습니다.

즉,

정보통신망법에는 정기적자체감사에 대한 사항이 명시적으로 나타난 반면에 개인정보보호법에는  정기적 자체감사에 대한 부분이 누락되어 있다는 것입니다.

그럼 무엇이 문제인가?

정기적인 자체감사

내부관리계획은 법에서 명시한 지침/규정의 성격을 띠고 있고 반드시 시행해야하는 법 준거성 법률적 사항입니다. 이러한 내부관리계획에 정기자체 감사가 빠져 있다고 한다면 , 개인정보보호법이 적용되는 모든 공공기관은 정기적인 자체감사를 하지 않아도 법률적 하자가 없다는 것이 되겠지요. 물론 법에 명시가 되어 있지 않아도 정기적인 자체 감사를 시행 한다든지, 할 수도 있겠지만 법이라는 것은 얼마나 잘 지키는가에 대한 기준에 문제임으로 명시적인 사항을 지키지 않았을 경우 처벌할 법적 근거기준이 없다는 논리로 해석이 됩니다.

이러한 측면에서 "정보통신망법"에서 제시하고 있는 정기자체감사 부분이 "개인정보보호법"에는 누락되었다는 것은 일반법과 특별법 사이에서 서로가 뒤 바뀌어진 형세가 됩니다. 즉, 특별법에 누락된 것은 일반법인 개인정보보호법이 적용되는 논리로 개인정보보호에 대한 법 시행이 되고 있는데, 일반법에서 정기자체감사가 누락되는 것은 안될것이며 고시개정이 이루어져야 겠습니다.

혹시 본 포스팅을 보고 계시는 정부관계자분이 있으시면 확인 부탁드리겠습니다. 혹시 잘못 알고 있는 부분이 있다면 해명을 해 주시면 감사하겠습니다.

다시한번 의문을 제기해 주신 다니엘초이님에게 감사의 말씀을 드리면서 법률적 하자나 개정이 필요한 부분은 지속적으로 모니터링하여 개인정보보호에 대한 법 조기정착 및 혼란 방지를 위하여 올 바른 법 시행이 되도록 관심을 가지겠습니다.  의견 있으신 분들은 댓글 환영 합니다.  @엔시스.



신고
Posted by 엔시스

한국정보보호진흥원(KISA)와 한국인터넷진흥원 통합함에 따라 일부 개정 법률안 공동 발의한 내용입니다. 자세한 내용은 첨부파일을 참조 하여 보시기 바랍니다.

보안에 관련된 업무를 하려면 기술만 하는게 아니라는 것은 아시죠?  법률도 전부는 아니더라도 대표적인 법률정도는 습득하고 있으면 많은 도움이 됩니다.

이거 ..정말 수퍼맨이 되어야 겠군요..머리는 점점 나빠지는데 채워야 할 것은 더 많으니...더 노력 같이 하시죠..ㅎㅎ




신고
Posted by 엔시스

지난해 모 정유사에서 개인정보 유출로 인하여 많은 사람들에게 개인정보가 중요하다는 것을 각인 시키는 일이 발생이 되었습니다. 하지만 검찰에서는 처벌할 법적 근거를 찾지 못하여 불기소 처분을 하고 지금도 피해자들은 법적 소송중에 있습니다.

안타까운 일이지요.. 개인정보보호 중요하다고 말로만 외치지만 관리에는 소홀한다는 것을 잊지 마셔야겠습니다. 그래서 여러분들에게 알려주기 위하여 포스팅 합니다..





개인정보보호에 대한 근거 규정은 아래 박스에서 보시는 바와같이 법령으로 근거가 마련되어 있습니다. 하지만 그 범위가 미비 하였습니다.

정보통신망법 준용사업자라함은 [정보통신망 이용촉진 및 정보보호등에 관한 법률] 제 67조는 통신사업자외에 법령에서 정하는 사업자[준용사업자]에 대하여 개인정보보호 관련 조항을 적용토록 규정

여기에 소속된 기존준용 사업자는 총8개 업종입니다.


             <이미지출처: flickr>


여행사,호텔,항공사,학원,휴양콘도,대형마트,백화점,체인점 -시행 (2001.7.1 ~  )


그런데 망법적용을 하려니 모 정유사는 여기에 포함이 되지 않으니 법적근거가 미비 할수 밖에 없습니다.T.T. 개인정보보호 사각지대에 있었던 것이지요.

그래서 부랴부랴 개인정보 사각지대에 놓여있는 준용사업자 14개를 2008년 12월에 추가 지정하여  법적 근거를 마련하게 된 것이죠...살펴보면 다음과 같습니다.

주택건설사,주택관리업(아파트관리소),건설기계 대여업,자동차매매(자동차판매대리점),자동차대여(렌트카),결혼중개업,의료기관,직업소개소,정유사,체육시설(골프,헬스클럽),비디오대여점,서점,영화관 
-- 2009년7월1일부터시행


아마도 우리주변에서 흔히 이런 사업을 하고 개인정보를 수집하고 하는 분들 많습니다...이제 기존의 8개 업체와 이번에 추가된 업체 14개 업종을 합하면 모두 22개 업종이 법적 제재를 받는 준용사업자로 법적근거가 마련이 되었습니다.

보시면 아시겠지만 정유사가 포함이 되었습니다. 소잃고 외양간 고치는 격이 되었습니다. 그런데 중요한 것은 아직도 준용사업자 분들이 올해 2009년 7월1일부터 법에 적용을 받는다는 사실을 모르고 있다는 것입니다. 이런 법적 처벌 근거 규정이 마련이 되었는데도 말이죠...

요기 준용 사업자 소관부처는 행정안전부입니다..참고 하시구요..혹시 주변에 위 준용사업을 하시는 분들이 있으면 말씀을 하셔서 개인정보 수집에만 열을 올리지 말고 개인정보 관리를 소홀히 하여 만약 개인정보 침해사고가 생기면 법적 처벌을 받을수 있다는 사실을 알려 주시기 바랍니다..꼭이요..저도 주변에 좀 알리겠습니다..@엔시스.


PS.

이제 점점 법적근거가 확대 시행되고 있기에 개인정보보호 관련하여 많은 이슈 사항들이 나올 것입니다. 법은 공기와 같은 존재입니다. 평상시에는 있는지 없는지 그 존재를 알지 못하지만 법의 테두리를 벗어나는 순간 법적 잣대에 근거해서 판가름 할수 밖에 없습니다. 그것이 법이 존재하는 이유이기도 합니다. 몰랐다는 말은 통할수 없음을 인지하시기 바랍니다.


신고
Posted by 엔시스

개정된 정보통신망 법 준수 가이드 라인입니다.

신고

'Security Skill&Trend' 카테고리의 다른 글

위험분석도구 선정 지침서  (0) 2006.04.10
무선랜 보안 권고 지침서  (0) 2006.04.10
개정 정보통신망법 준수 가이드라인(안)  (0) 2006.04.10
Mail relay testing  (0) 2006.04.10
Who are Alice and Bob?  (0) 2006.04.08
생일이 같은 사람 찾기.  (2) 2006.04.07
Posted by 엔시스