2019.09.16

강은성의 보안 아키텍트 | 접속기록 관리와 개인정보 유출 탐지

강은성 | CIO KR
지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.
 
제8조(접속기록의 보관 및 점검) 
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략)
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략)
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’)

2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.
 
제8조(접속기록의 보관 및 위·변조방지) 
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30))

이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.) 

재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.
 
제5조(접속기록의 위·변조방지) 
① 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존·관리하여야 한다.
(개인정보의 기술적·관리적 보호조치 기준(방송통신위원회 고시, 2015.5.19), 이하 ‘보호조치 기준’)

재판부는 k사가 접속기록을 점검하여 개인정보 유출사고를 탐지하지 못한 것을 ‘보호조치 기준’ 제5조 제1항을 위반한 것으로 봤다. 판결문 일부를 소개한다.
 
이 사건 고시 제5조는 정보통신서비스 제공자 등은 개인정보취급자가 개인정보시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 한다고 규정하고 있는바, 이러한 규정은 개인정보처리시스템에 대한 접속기록의 위조·변조를 막기 위한 조치이나, 이는 궁극적으로 정보통신망법 제28조 제1항 상 개인정보의 분실·누출·변조 등을 방지하기 위하여 요구되는 기술적·관리적 조치의 일환으로서 개인정보의 누출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내역을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것이다.
(서울중앙지법 2012가합83365, 2014.8.22 선고)

이 판결은 ‘보호조치 기준’ 제5조가 “접속기록의 위·변조를 막기 위한” 조치임을 인정하고서도 추가 설명 없이 이 조항이 정보통신망법 제28조(개인정보의 보호조치) 제1항에서 규정한 개인정보 보호조치의 일환이기 때문에 사업자가 “개인정보 유출방지를 위해” 접속기록을 확인·감독하는 의무를 포함하고 있다고 해석한다. 이 판결이 유지된다면 개인정보 유출이 발생하는 경우 사업자는 제28조 제1항의 하위 시행령이나 ‘보호조치 기준’을 위반한 것으로 확대 해석될 수 있다. 하지만 이 판결은 대법원에서 인정되지 않았다(대법원 2017다207994 참고).

정보통신망법에 근거한 1심 판결이었지만, 행정안전부는 3달 뒤 개인정보보호법 하위 고시인 ‘안전조치 기준’에 제8조 제2항을 신설하였다, 대법원에서 이에 대한 판결을 바꾸었으므로 이 조항에 대한 재검토 역시 필요하리라 생각된다.

이 조항은 다수 개인정보처리자 입장에서는 대표적인 컴플라이언스 조항이 되었다. 즉 접속기록을 분석하여 사전 또는 사후에 개인정보 유출사고를 탐지하는 일이 쉽지 않기 때문에 점검했다는 증적을 남김으로써 법규를 준수하는 것이다. 실효성은 없지만 법규를 위반하지 않기 위해 많은 사업자들이 열심히 증적을 모으고 있을 것이다. 시장에 나와 있는 접속기록 관리 솔루션 역시 법규 준수를 강조하고 있다.

2016.09.01  ‘안전조치 기준' 의 전부 개정 시, 고시의 내용이 개인정보처리자가 개인정보 사고를 예방하기 위해 취해야 할 “안전조치에 관한 최소한의 기준”으로 규정되고, 처리자의 유형을 1(완화), 2(표준), 3(강화)으로 분류하였을 때, 접속기록 관리 조항은 유형 1의 처리자도 갖춰야 할 ‘최소한의 기준’에 포함되었다. 유형 3의 처리자도 쉽지 않은 일을 유형 1에게까지 강제한 것이다. 

개인정보처리자는 모니터링, 로그 분석 등을 통해 개인정보 유출 시도를 사전에 탐지하여 차단하거나 사후에라도 신속하게 탐지하여 대응하여야 한다. 이에 대한 사업자의 의무 조항은 ‘안전조치 기준‘ 제6조(접근통제) 제1항 제2호에 규정하고 있다. ‘안전조치 기준' 제8조 제2항이 아니더라도 사업자의 책임을 물을 수 있는 근거 조항이다.
 
제6조(접근통제) 
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol) 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7))

최근 정보통신망법의 개인정보 보호조항을 개인정보보호법으로 일원화하려는 정부의 정책 방향과 관련하여 소관부처들이 고시들을 개정하려는 움직임이 있는 것 같다. 접속기록 관리 조항이 “실시간 범죄기록의 확보"라는 원래의 취지에 맞게 개정되고, 사업자들이 명확하게 지키게 함으로써, 개인정보 사고가 신속, 정확하게 분석되고, 범인의 검거와 재발방지에 대한 대책을 세우는 데 제 역할을 할 수 있게 되기를 바란다.

끝으로, 지난 칼럼을 쓴 뒤에 ‘보호조치 기준'의 해당 조항이 “실시간 범죄기록의 확보”라는 취지에 적합하지 않게 기술되어 있다는 의견을 받았다. 일부 표현이 그렇게 해석될 수 있다는 데 공감한다. 이를 좀더 명확히 하기 위하여 ‘안전조치 기준' 제8조 제3항과 ‘보호조치 기준' 제5조 제3항을 다음과 같이 개정할 것을 제안한다. 
 
개인정보처리자(또는 정보통신서비스 제공자 등)는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실, 훼손되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

구체적인 구현 방법은 해설서에 담는 것이 적절할 것으로 판단된다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr



2019.09.16

강은성의 보안 아키텍트 | 접속기록 관리와 개인정보 유출 탐지

강은성 | CIO KR
지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.
 
제8조(접속기록의 보관 및 점검) 
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략)
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략)
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’)

2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.
 
제8조(접속기록의 보관 및 위·변조방지) 
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30))

이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.) 

재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.
 
제5조(접속기록의 위·변조방지) 
① 정보통신서비스 제공자 등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존·관리하여야 한다.
(개인정보의 기술적·관리적 보호조치 기준(방송통신위원회 고시, 2015.5.19), 이하 ‘보호조치 기준’)

재판부는 k사가 접속기록을 점검하여 개인정보 유출사고를 탐지하지 못한 것을 ‘보호조치 기준’ 제5조 제1항을 위반한 것으로 봤다. 판결문 일부를 소개한다.
 
이 사건 고시 제5조는 정보통신서비스 제공자 등은 개인정보취급자가 개인정보시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 한다고 규정하고 있는바, 이러한 규정은 개인정보처리시스템에 대한 접속기록의 위조·변조를 막기 위한 조치이나, 이는 궁극적으로 정보통신망법 제28조 제1항 상 개인정보의 분실·누출·변조 등을 방지하기 위하여 요구되는 기술적·관리적 조치의 일환으로서 개인정보의 누출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내역을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것이다.
(서울중앙지법 2012가합83365, 2014.8.22 선고)

이 판결은 ‘보호조치 기준’ 제5조가 “접속기록의 위·변조를 막기 위한” 조치임을 인정하고서도 추가 설명 없이 이 조항이 정보통신망법 제28조(개인정보의 보호조치) 제1항에서 규정한 개인정보 보호조치의 일환이기 때문에 사업자가 “개인정보 유출방지를 위해” 접속기록을 확인·감독하는 의무를 포함하고 있다고 해석한다. 이 판결이 유지된다면 개인정보 유출이 발생하는 경우 사업자는 제28조 제1항의 하위 시행령이나 ‘보호조치 기준’을 위반한 것으로 확대 해석될 수 있다. 하지만 이 판결은 대법원에서 인정되지 않았다(대법원 2017다207994 참고).

정보통신망법에 근거한 1심 판결이었지만, 행정안전부는 3달 뒤 개인정보보호법 하위 고시인 ‘안전조치 기준’에 제8조 제2항을 신설하였다, 대법원에서 이에 대한 판결을 바꾸었으므로 이 조항에 대한 재검토 역시 필요하리라 생각된다.

이 조항은 다수 개인정보처리자 입장에서는 대표적인 컴플라이언스 조항이 되었다. 즉 접속기록을 분석하여 사전 또는 사후에 개인정보 유출사고를 탐지하는 일이 쉽지 않기 때문에 점검했다는 증적을 남김으로써 법규를 준수하는 것이다. 실효성은 없지만 법규를 위반하지 않기 위해 많은 사업자들이 열심히 증적을 모으고 있을 것이다. 시장에 나와 있는 접속기록 관리 솔루션 역시 법규 준수를 강조하고 있다.

2016.09.01  ‘안전조치 기준' 의 전부 개정 시, 고시의 내용이 개인정보처리자가 개인정보 사고를 예방하기 위해 취해야 할 “안전조치에 관한 최소한의 기준”으로 규정되고, 처리자의 유형을 1(완화), 2(표준), 3(강화)으로 분류하였을 때, 접속기록 관리 조항은 유형 1의 처리자도 갖춰야 할 ‘최소한의 기준’에 포함되었다. 유형 3의 처리자도 쉽지 않은 일을 유형 1에게까지 강제한 것이다. 

개인정보처리자는 모니터링, 로그 분석 등을 통해 개인정보 유출 시도를 사전에 탐지하여 차단하거나 사후에라도 신속하게 탐지하여 대응하여야 한다. 이에 대한 사업자의 의무 조항은 ‘안전조치 기준‘ 제6조(접근통제) 제1항 제2호에 규정하고 있다. ‘안전조치 기준' 제8조 제2항이 아니더라도 사업자의 책임을 물을 수 있는 근거 조항이다.
 
제6조(접근통제) 
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol) 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
(개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7))

최근 정보통신망법의 개인정보 보호조항을 개인정보보호법으로 일원화하려는 정부의 정책 방향과 관련하여 소관부처들이 고시들을 개정하려는 움직임이 있는 것 같다. 접속기록 관리 조항이 “실시간 범죄기록의 확보"라는 원래의 취지에 맞게 개정되고, 사업자들이 명확하게 지키게 함으로써, 개인정보 사고가 신속, 정확하게 분석되고, 범인의 검거와 재발방지에 대한 대책을 세우는 데 제 역할을 할 수 있게 되기를 바란다.

끝으로, 지난 칼럼을 쓴 뒤에 ‘보호조치 기준'의 해당 조항이 “실시간 범죄기록의 확보”라는 취지에 적합하지 않게 기술되어 있다는 의견을 받았다. 일부 표현이 그렇게 해석될 수 있다는 데 공감한다. 이를 좀더 명확히 하기 위하여 ‘안전조치 기준' 제8조 제3항과 ‘보호조치 기준' 제5조 제3항을 다음과 같이 개정할 것을 제안한다. 
 
개인정보처리자(또는 정보통신서비스 제공자 등)는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실, 훼손되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

구체적인 구현 방법은 해설서에 담는 것이 적절할 것으로 판단된다.

*강은성 대표는 보안전문업체 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 보안컨설팅과 보안교육을 진행하였고, 지금은 암호화폐 개발업체인 블록체인오에스의 CISO로 일하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr

X