Offcanvas

������

강은성의 보안 아키텍트 | 접속기록 관리와 개인정보 유출 탐지

지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.   제8조(접속기록의 보관 및 점검)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략) ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략) ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’) 2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.   제8조(접속기록의 보관 및 위·변조방지)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다. ② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30)) 이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.)  재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.   제5조(접...

CIO CSO 개인정보 소송 CISO 강은성 정보통신망법 고시 접속기록 관리

2019.09.16

지난 칼럼에 이어 개인정보보호 법규에서 규정한 접속기록 관리에 관해 다루려고 한다. 이에 관하여 개인정보보호법 하위 고시에서는 다음과 같이 규정하고 있다.   제8조(접속기록의 보관 및 점검)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. (이하 생략) ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. (이하 생략) ③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2019.6.7), 이하 ‘안전조치 기준’) 2011년 9월 ‘안전조치 기준’ 제정 당시 이 조문의 내용은 다음과 같았다.   제8조(접속기록의 보관 및 위·변조방지)  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다. ② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 안전성 확보조치 기준(행정안전부 고시, 2011.9.30)) 이 둘의 가장 큰 차이는, 개인정보 유출 등 사고에 대응(사전 또는 사후 탐지)하기 위하여 접속기록을 점검하라는 제2항의 신설이다. 이 항은 2014년 12월 30일 고시가 개정될 때 신설되었다. 석 달 전인 같은 해 9월에, k사의 2012년 개인정보 유출사고에 대한 민사소송 1심 판결이 있었는데, 재판부는 k사가 접속기록 관리 의무를 위반하였다고 판단하였다. (1심 판결의 주요 내용에 관해서는 “[강은성의 CISO 스토리]K사 민사소송 결과와 CISO의 과제”를 참고하기 바란다.)  재판부가 위반 근거로 본 정보통신망법 하위 고시의 조항은 다음과 같다.   제5조(접...

2019.09.16

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13