'망분리'란? 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다. (개인정보보호위원회고시 제2020-5호 개인정보의 기술적·관리적 보호조치 기준 제2조(정의)제5호)

이번 포스팅에서는 민간기업이 적용받는 망분리의 법적근거가 무엇인지 정리해보고자 한다. 망분리 법적근거를 분야별로 따져본다면 공공기관, 금융기관, 민간기업으로 나누어 볼 수 있는데, 민간기업에 적용받는 법적근거는 개인정보 보호법이다. 개인정보를 다루는 포스팅에 망분리가 뜬금없게 느껴질 수 있지만, 실제론 국내 비지니스 환경에서는 매우 밀접하게 연관되어있다. 참고로 국내에서 민간기업의 망분리는 법적으로 그 기준에 충족하면 반드시 이행해야하는 의무이지만, 해외는 권고 수준으로 기업의 선택에 달려있다.

민간기업의 망분리 법적근거

  1.  2020년 8월 이전까지의 민간기업이 적용받는 망분리 법적근거는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')에서 다뤄졌다. 하지만 데이터3법(개인정보 보호법, 정보통신망법, 신용정보법)이 2020년 8월부로 시행되면서 정보통신망법 내의 망분리 관련 조항을 비롯 개인정보에 관한 조항 대부분이 개인정보 보호법으로 이관되었다. (영리목적의 광고성 정보 전송 제한은 그 특성을 고려해 정보통신망법에서 다뤄지고 있다)
  2. 따라서, 현재는 개인정보 보호법에서 망분리 법적근거를 찾을 수 있는데, 개인정보 보호법 제29조(안전조치의무)동법 시행령 제48조의2(개인정보의 안정성 확보 조치에 관한 특례) 제1항제2호다목에서 확인할 수 있다.
  3. 그리고 해당 법적근거를 바탕으로 세부 기준은 개인정보보호위원회고시 제2020-5호 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)에서 찾아볼 수 있다.
개인정보 보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>
개인정보 보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.  ...(중략)...

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치 ...(중략)...
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다] ...(중략)...

제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
개인정보보호위원회고시 제2020-5호, 개인정보의 기술적·관리적 보호조치 기준 제4조(접근통제)
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

 

망분리 법적근거에 대한 이해

1) 개인정보 보호법

  • 먼저, 제한없이 모두에게 적용되는 일반법인 개인정보 보호법의 제1조(목적)를 통해 이 법의 취지를 짚어볼 필요가 있는데, 아래에서 볼 수 있듯 개인정보의 활용보다는 처리 및 보호에 관한 사항에 집중하고 있다. 
개인정보 보호법 제1조(목적)
 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다
  • 그런 맥락에서 개인정보 보호법 제29조(안전조치의무)는 정보주체(개인)로부터 개인정보 보호법에서 정한 기준으로 수집한 개인정보분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 필요한 조치(기술적, 관리적, 물리적)를 해야한다는 원칙을 포괄적으로 명문화했고, 망분리 조치 또한 여기에 속한다.
  • 참고로 제29조(안전조치의무)에서 말하는 조치는 최소한의 기준으로 보아야 한다.

2) 개인정보 보호법 시행령

  • 시행령을 이해하기 위해서는 다음의 용어들을 반드시 이해할 필요가 있다.
    1. 정보통신서비스 제공자 : 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. (정보통신망법 제2조(정의) 제1항제3호)

    2. 정보통신서비스 제공자 : 정보통신서비스 제공자로부터 개인정보를 제공받은 자를 말한다. (개인정보 보호법 제17조(개인정보의 제공) 제1항제1호 : 정보주체의 동의를 받은 경우)

    3. 이용자 : 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다. (정보통신망법 제2조(정의) 제1항제4호) 개인정보 보호법에서 말하는 정보주체의 또다른 지칭으로 이해하면 된다.

    4. 개인정보처리시스템 : 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다. (개인정보 보호법 시행령 제48조의2(개인정보의 안정성 확보 조치에 관한 특례) 제1항제2호가목) 여기서 말하는 데이터베이스시스템은 데이터를 저장하는 DB(Database)에 국한하지 않고, 이를 관리하는 DBMS (Database Management System)와 응용프로그램(WEB, WAS 등) 등을 통합해서 의미한다. 개인정보의 기술적·관리적 보호조치 기준 해설서에 따르면 업무용 컴퓨터나 노트북 등에도 데이터베이스 관련 응용프로그램이 설치·운영되어 개인정보취급자가 개인정보를 처리할 수 있도록 구성되어있다면 개인정보처리시스템에 해당될 수 있다고하며, 정보통신서비스 제공자의 개인정보 처리 방법, 시스템 구성 및 운영 환경 등에 따라 달라질 수 있다고 한다. 따라서, 제한적으로 적용하기 보다는 보다 넓은 범위로 적용해 보는 것이 맞을듯 하다.

    5. 개인정보취급자 : 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자를 말한다. (개인정보 보호법 시행령 제48조의2(개인정보의 안정성 확보 조치에 관한 특례) 제1항제1호나목) 개인정보의 기술적·관리적 보호조치 기준 해설서에 따르면 개인정보취급자는 근로형태를 불문하고 이용자의 개인정보를 처리한다면 정규직, 비정규직, 파견직, 시간제 근로자 등이 모두 해당한다고 보고 있으며, 고용관계가 없더라도 실질적으로 정보통신서비스 제공자의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리한다면 개인정보취급자에 포함된다고 말하고 있다. 이에 대한 예시로 드는 것은 이동통신사 영업점이나 오픈마켓 판매자 등이다. 넓은 범위로 적용하는 이유는 위에서 언급한 정보통신서비스 제공자의 지휘ㆍ감독이 사내뿐만 아니라 개인정보 처리 또는 시스템 등과 관련된 정책상의 지휘, 감독을 포함하고 있기 때문이다.
  • 위 용어를 이해한 뒤 다시 개인정보 보호법 시행령 제48조의2(개인정보의 안정성 확보 조치에 관한 특례)를 살펴보면 다음과 같이 정리해볼 수 있다.
    1. "정보통신서비스 제공자"와 "정보통신서비스 제공자등"이 적용받는 조항이다. (제48조의2 제1항)
    2. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망은 차단해야한다. (제48조의2 제1항제2호다목) ※ 단, 이 조치(망분리)는 특정 기준에 만족할 경우 의무적으로 적용받는다.
    3. 여기서 말하는 특정 기준이란 2가지로 나누어 볼 수 있다.
      1) 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상
      2) 정보통신서비스부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당 
    4. 제48조2의 1항에 따른 안정성 확보 조치에 관한 세부 기준은 개인정보보호위원회가 정하여 고시하는데, 여기서 말하는 고시는 개인정보의 기술적·관리적 보호조치 기준 고시를 말한다.

3) 개인정보보호위원회 고시 (개인정보의 기술적·관리적 보호조치 기준)

  • 먼저 알아둘 것은 개인정보의 기술적·관리적 보호조치 기준 고시(이하 '고시')는 모두에게 적용되는 개인정보 보호법과 달리 정보통신서비스 제공자등에 집중해 개인정보 보호법 제29조(안전조치의무)를 준수하는데 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 하고 있다. (고시 제1조(목적))
  • 고시에서 망분리는 위에서 본 바와 같이 제4조(접근통제)제6항에 명시되어있고 개인정보 보호법 시행령에서 정의한 특정 기준과 함께 아래 내용으로 더 구체화 되었다.
    1. 망분리 의무 기준 2가지 (이용자 수, 매출액)
    2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나
    3. 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자 컴퓨터 등을
    4. 물리적 또는 논리적으로 망분리
  • 고시 해설서를 통해 보충되는 내용은 다음과 같다.
    1. 이용자 수에 대해서는 정보통신서비스 제공자등이 제공하는 정보통신서비스가 다수일 때에는 전체를 합산하여 적용
    2. 망분리되어야 하는 대상
      • 개인정보처리시스템에서 개인정보를 다운로드 할 수 있는 개인정보취급자 컴퓨터 등 (다운로드는 엑셀, 워드, 텍스트, 이미지 등의 파일 형태로 저장하는 것을 말한다)
      • 개인정보처리시스템에서 개인정보를 파기 할 수 있는 개인정보취급자 컴퓨터 등 (파기는 개인정보 파일, 레코드, 테이블 또는 데이터베이스를 삭제하는 것을 말한다)
      • 개인정보처리시스템에서 접근권한을 설정할 수 있는 개인정보취급자 컴퓨터 등 (접근권한 설정은 개인정보취급자에게 다운로드, 파기 등의 개인정보처리시스템 접근권한을 설정하는 것을 말한다)
    3. 개인정보처리시스템에서 단순히 개인정보를 열람, 조회 등만을 할 때는 망분리를 적용하지 않을 수 있음
    4. 온라인과 오프라인으로 서비스를 제공하고 있고, 오프라인으로만 수집한 개인정보가 100만명 이상이면서 이를 온라인으로도 서비스를 제공한다면 망분리 적용 대상
    5. 망분리 대상 중 개인정보를 다운로드하는 경우에 대해 다운로드하는 건수에 대한 예외는 없음 (즉, 소량이라도 개인정보를 다운로드 할 수 있다면 망분리 대상으로 적용)

 

 

저작자표시

'IT > Privacy' 카테고리의 다른 글

[개인정보 톺아보기] 개인정보자기결정권  (0) 2021.07.20

티스토리툴바