https://www.boannews.com/media/view.asp?idx=126907&skind=6
공공시스템 운영기관, 개인정보보호법 주요 위반 사항 3가지
최근 개인정보보호위원회가 개인정보 관리수준이 미흡한 기관 8곳에 대해 과태료와 과징금을 부과한 바 있다. 주요 위반 사항으로는 △암호화 미조치 △접근통제 의무 위반 △접속기록 관리 위
www.boannews.com
주요 위반 사항
- 암호화 미조치
- 접근통제 의무 위반
- 접속기록 관리 위반
주요 공공시스템 운영기관의 안전조치 기준이 강화돼 안전성 확보 조치는 갈수록 중요해지고 있다.
첫째, 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리할 수 있는 근거가 마련됐다.
둘째, 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무가 강화됐다.
공공시스템 운영기관에 대한 안전조치 특례 주요 내용
①내부 관리계획에 공공시스템별 안전성 확보 조치 포함
②공공시스템 이용기관이 접근 권한 부여 등이 가능하도록 권한 부여
③공공시스템 접속기록의 저장·분석, 점검·관리 등의 조치
④정당한 권한 없이 또는 권한을 초과해 접근한 사실이 확인된 경우 지체없이 정보주체에 통지
➄공공시스템 이용기관 수 등을 고려해 전담부서 운영 또는 전담인력 배치
➅공공시스템 각각에 대해 총괄관리 부서장을 관리책임자로 지정
➆운영기관, 수탁자, 주요 이용기관 등이 참여하는 협의회 설치·운영
이 가운데 접속 기록과 접근 권한에 대한 문제가 두드러지고 있다. 개인정보 보호법 제5조에 따르면 개인정보처리 시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하고, 이 외에는 접근하지 못하도록 구분하는 등 업무 단위별로 세분화해 구분하도록 했다.
개인정보취급자 또는 개인정보취급자의 업무가 전보, 퇴직 등의 인사이동, 부서 내 업무조정 등과 같이 업무가 변경됐을 경우 지체없이 접근 권한을 변경 또는 말소해야 한다. 또한 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관해야 한다는 내용도 포함됐다.
개인정보 접속기록 보관 대상은 개인정보취급자의 개인정보처리 시스템에 대한 접속기록이다. 보관 항목은 개인정보처리 시스템에 접속해 수행한 업무내역에 대해 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등이다.
개인정보 접속기록 보관 기간은 개인정보취급자(공공기관/민간기업)의 경우 1년이지만, 5만명 이상 개인정보취급자, 고유식별정보 또는 민감정보 취급자, 기간통신사업자는 각각 2년이다. 보관 방법은 접속기록이 위·변조 및 도난, 분실되지 않도록 보관해야 한다.
개인정보 접속기록 점검주기는 월 1회 이상 정기적으로 점검해야 한다. 개인정보 파일의 다운로드가 확인된 경우에는 내부 관리계획 등 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
'SWUFORCE > 기술 스터디' 카테고리의 다른 글
| [기술스터디] 이반티 취약점 패치 나오나 했더니 또 다른 제로데이 취약점 나타나 - 보안뉴스 (0) | 2024.02.04 |
|---|---|
| [기술스터디] 랜섬웨어 공격으로 벌어들인 최대 수익금 기록한 그룹은? ‘블랙바스타’ - 보안뉴스 (1) | 2024.01.23 |
| [기술스터디] 생성형 AI가 쓴 생성형 AI 최신 트렌드 - 삼성SDS (0) | 2024.01.16 |
| [기술스터디] 사이버 보안으로 최대의 수익을 거두려면 필요한 5가지 스텝 - 보안뉴스 (1) | 2023.11.28 |
| [기술스터디] 생성형 AI 모델과 대화하는 프롬프트 엔지니어링(Prompt Engineering) - 삼성SDS (1) | 2023.11.21 |