안녕하세요! 예비창업자, 소상공인, 중소기업과 함께 성장하는 성장 지식 플랫폼 <마켓오마이>입니다. 🔒
개인정보보호위원회(이하 “개인정보위”)는 최근(2024. 10. 31.) 「개인정보의 안전 성 확보조치 기준 안내서」(이하 “안내서”)를 공개하였습니다. 동 안내서에서는 지난 2023. 3. 이후 개인정보 보호법과 동법 시행령(이하 “시행령”) 및 「개인정보의 안전 성 확보조치 기준」(이하 “고시”)이 순차적으로 개정됨에 따라 변경된 내용들이 반영되었습니다.
"개인정보는 지키되, 활용은 유연하게"
이것이 2024년 새롭게 발표된 개인정보 안전성 확보조치 기준의 핵심 키워드입니다.
개인정보보호위원회가 2024년 10월 31일 공개한 「개인정보의 안전성 확보조치 기준 안내서」에는 기업들이 실무에서 꼭 알아야 할 중요한 변화들이 담겨있는데요.
오늘은 이 내용을 상세히 살펴보고, 우리 기업이 실제로 준비해야 할 사항들을 정리해보았습니다.
📌 주요 변경사항 한눈에 보기
1. 안전성 확보조치 기준 일원화
과거에는 정보통신서비스 제공자와 일반 개인정보처리자의 기준이 달랐지만, 이제는 하나의 통합된 기준으로 관리됩니다. 특히 주목할 점은 기업 규모나 개인정보 보유량에 따른 차등적용이 대부분 폐지되었다는 것입니다. 하지만, 이 부분은 역으로 소상공인, 중소기업에게는 새로운 기준으로 작용할 우려가 있습니다.
2. 기술적 유연성 확대
- 인증수단의 다양화 : 비밀번호 외에도 생체인증, OTP 등 다양한 인증방식 허용됩니다.
- 보안프로그램 선택의 자유: 백신 외 다양한 보안 솔루션 사용 가능합니다.
- 클라우드 서비스 활용 시 망분리 예외 인정 : 일정 규모 이상 클라우드 서비스로 제공하는 경우 망분리하지 않아도 됩니다.
3. 강화된 보안 요구사항
- 인터넷 구간 개인정보 전송 시 전면 암호화 의무화가 시행됩니다.
- 개인정보 출력·복사 시 보안관리가 강화됩니다.
- 접속기록 보관에 대한 보안조치가 강화됩니다.
📌 세부 변경사항 꼼꼼히 살펴보기
1. 기준 체계의 변화
이전 기준
- 정보통신서비스 제공자: 「개인정보의 기술적·관리적 보호조치 기준」 적용
- 일반 개인정보처리자: 「개인정보의 안전성 확보조치 기준」 적용
- 개인정보 보유량에 따라 3단계로 차등화된 기준 적용
- 유형 1(완화): 1만 명 미만
- 유형2(표준): 1만명 이상 10만 명 미만
- 유형3(강화): 10만명 이상
현재 기준
- 모든 개인정보처리자에게 통합된 단일 기준 적용
- 개인정보처리자가 자율적으로 환경에 맞는 보호조치 적용
- 일부 의무사항만 규모별 차등 적용
- 1만명 미만 소상공인: 내부관리계획 생략 가능
- 10만명 이상 대기업: 암호키 관리, 재해복구 절차 의무화
| 구분 | 이전 기준 | 현재 기준 |
| 적용 법령 | 이원화(정보통신서비스 제공자/일반) | 단일 기준으로 통합 |
| 보호조치 수준 | 보유량 기준 3단계 차등 | 자율적 판단 기준 |
| 소상공인 기준 | 완화된 기준 적용 | 내부관리계획 생략 가능 |
| 대기업 기준 | 강화된 기준 적용 | 특정 항목만 강화 적용 |
| 준수 기준 | 획일적 기준 적용 | 환경별 맞춤형 적용 |
2. 기술적 보호조치의 변화
암호화 기준
이전
- 고유식별정보, 비밀번호, 생체정보만 암호화 필수
- 내부망 전송 시 암호화 예외 인정
현재
- 인터넷 구간 전송 시 모든 개인정보 암호화 의무화
- 인증정보(비밀번호, 생체정보 등)는 모든 구간에서 암호화
| 구분 | 이전 기준 | 현재 기준 |
| 암호화 대상 | 고유식별정보, 비밀번호, 생체정보 | 인터넷 구간 모든 개인정보 |
| 내부망 전송 | 암호화 예외 가능 | 인증정보는 필수 암호화 |
| 암호화 방식 | 지정된 알고리즘만 허용 | 안전한 알고리즘 선택 가능 |
| 암호키 관리 | 일반적 관리 | 10만명 이상 처리 시 절차 수립 필수 |
접근통제
이전
- 개인별 계정 발급 의무
- 공용 계정 사용 원칙적 금지
현재
- 정당한 사유가 있는 경우 계정 공유 허용
- Root 계정 등 기술적 필요성이 있는 경우 예외 인정
| 구분 | 이전 기준 | 현재 기준 |
| 계정 발급 | 개인별 발급 필수 | 정당한 사유시 공유 가능 |
| 공용계정 | 원칙적 금지 | 기술적 필요성 인정시 허용 |
| 접근권한 | 업무단위 구분 | 업무 필요성 기준 |
보안 프로그램
이전
- 백신 소프트웨어 설치 의무화
- 자동 업데이트 또는 일 1회 이상 업데이트 필수
현재
- 다양한 보안 프로그램 선택 가능
- 정당한 사유가 있는 경우 업데이트 시기 조정 가능
| 구분 | 이전 기준 | 현재 기준 |
| 프로그램 종류 | 백신 소프트웨어 | 다양한 보안 프로그램 |
| 업데이트 | 일1회 이상 의무 | 정당한 사유시 조정 가능 |
| 악성코드 대응 | 실시간 감시 필수 | 효과적 방식 선택 가능 |
3. 관리적 보호조치의 변화
내부관리계획
이전
- 유형별로 차등화된 내부관리계획 수립
- 모든 개인정보처리자 수립 의무
현재
- 1만 명 미만 소상공인 등 수립 의무 면제
- 수립 항목 자율성 확대
| 구분 | 이전 기준 | 현재 기준 |
| 수립 대상 | 전체 개인정보처리자 | 1만명 미만 소상공인 제외 |
| 포함 항목 | 지정된 항목 필수 | 자율적 항목 구성 |
| 이행 점검 | 연 1회 이상 | 정기적 점검 |
접속기록 관리
이전
- 별도 물리적 저장장치에 보관 필수
- 정해진 보관방식 준수
현재
- 안전한 보관을 위한 적절한 방식 선택 가능
- 다양한 저장 방식 및 위변조 방지 기술 허용
| 구분 | 이전 기준 | 현재 기준 |
| 보관 방식 | 물리적 분리 저장 | 안전한 보관 방식 선택 |
| 보관 기간 | 6개월~2년 | 6개월~2년 (유지) |
| 점검 주기 | 월1회 이상 | 정기적 점검 |
개인정보 파기
이전
- 완전파괴, 전용 소자장비 이용 등 방식 한정
- 복원 불가능한 방법으로 영구 삭제
현재
- 익명정보 처리 방식 추가
- 블록체인 등 영구삭제가 곤란한 경우 대체 수단 허용
| 구분 | 이전 기준 | 현재 기준 |
| 파기 방법 | 완전파괴, 소자 | 익명화 방식 추가 |
| 블록체인 데이터 | 규정 없음 | 대체 수단 허용 |
| 확인 절차 | 파기 이력 관리 | 파기 이력 관리 (유지) |
4. 클라우드 환경 대응
망분리
이전
- 클라우드 서비스 이용 시에도 망분리 의무 적용
- 100만 명 이상 정보 보유 시 물리적 망분리 필수
현재
- 클라우드 서비스 접속에 대한 망분리 예외 인정
- 보안성 검증된 클라우드 서비스 활용 가능
| 구분 | 이전 기준 | 현재 기준 |
| 적용 대상 | 전체 시스템 | 클라우드 서비스 예외 |
| 분리 방식 | 물리적 분리 필수 | 논리적 분리 허용 |
| 예외 사항 | 제한적 | 클라우드 서비스 포함 |
데이터 보호
이전
- 국내 저장 원칙
- 엄격한 데이터 이전 제한
현재
- 적절한 보호조치 하에 클라우드 활용 가능
- 데이터 주권을 고려한 유연한 운영 허용
| 구분 | 이전 기준 | 현재 기준 |
| 저장 위치 | 국내 저장 원칙 | 보호조치 준수시 해외 가능 |
| 이전 제한 | 엄격한 제한 | 유연한 운영 허용 |
| 보호 수준 | 국내 기준 적용 | 국제 표준 고려 |
💡 기업이 준비해야 할 실무 포인트
즉시 조치가 필요한 사항
- 내부 관리체계 점검
- 시스템 접근통제 정책 재검토
- 암호화 대상 및 범위 확인
중장기 계획이 필요한 사항
- 보안 시스템 업그레이드 계획 수립
- 직원 교육 프로그램 개발
- 정기적인 점검 체계 구축
📑 요약 및 시사점
2024년 개정된 안전성 확보조치 기준의 핵심은 '유연성'과 '책임성'의 조화입니다.
기업들은 이제 더욱 자율적으로 보안조치를 선택할 수 있지만, 그만큼 더 큰 책임이 따르게 되었습니다.
주요 포인트 정리
- 통합된 안전성 확보조치 기준 적용
- 기술중립적 접근으로 다양한 보안설루션 활용 가능
- 기업 규모별 차등 적용 대신 자율적 판단 강화
- 클라우드 등 새로운 기술환경 반영
- 위반 시 과징금 등 처벌 강화
이러한 변화에 발맞추어, 기업들은 개인정보보호에 대한 전사적인 관심과 투자를 강화하고, 체계적인 대응 방안을 마련해야 할 것입니다.
특히 정기적인 점검과 업데이트를 통해 변화하는 보안 환경에 지속적으로 대응해 나가는 것이 중요합니다.
이전 관련 블로그글 살펴보기 :
2024.10.29 - [생활의팁] - [생활의지혜] 알면 도움되는 디지털 금융 상식 : 개인정보보호와 온라인결제
[생활의지혜] 알면 도움되는 디지털 금융 상식 : 개인정보보호와 온라인결제
안녕하세요, 성장 지식 플랫폼 입니다.최근 디지털 금융 분야에서 연이어 발생하는 사건들을 보면서, 많은 분들이 관련 법적 쟁점에 대해 궁금해하시는 것 같습니다. 오늘은 카카오페이-알리페
market-o-my.tistory.com
2024.04.15 - [중소기업 성장 지원] - 스타트업 법률 문제 해결 팁!
스타트업 법률 문제 해결 팁!
스타트업 창업 과정에서 법적 이슈는 종종 간과되기 쉬운 부분입니다. 하지만 초기 단계에서 법적 요소를 철저히 이해하고 대비하지 않으면 나중에 큰 장애물로 다가올 수 있습니다. 스타트업
market-o-my.tistory.com
오늘도 블로그글이 도움이 되셨다면 좋아요, 구독 부탁드립니다.
'중소기업 성장 지원' 카테고리의 다른 글
| [지원] 위메프 등 판매대금 정산 지연 피해 소상공인, 중소기업을 위한 온라인 마케팅 비용 지원 신청하세요. (1) | 2024.11.28 |
|---|---|
| [지원] (~11/29) 초광역권 선도기업 모집 이번주까지 신청하세요. (2) | 2024.11.27 |
| [지원] 2024 모성보호제도 완벽 가이드: 근로자와 사업주를 위한 종합 안내서 👶👩💼 (2) | 2024.11.25 |
| [법률] 소상공인을 위한 필수 가이드 : 주휴수당 (0) | 2024.11.22 |
| [법률] 소상공인을 위한 필수가이드 : 근로시간, 휴게시간, 연차유급휴일이란? (3) | 2024.11.20 |
