개인정보 국외 이전 관련 법령 | 정보통신망법 | 개인정보 국외 반출 / 해외 반출


클라우드 플랫폼이 활성화 되면서, 또한 외국계 기업의 한국 진출이 늘어나면서 개인정보가 국외로 이전되는 경우가 심심치 않게 발생하고 있다. 특히 AWS나 MS AZURE 등의 Cloud 기반 서비스가 늘어나면서 자연스럽게 고객 정보가 해외로 반출되는 경우도 많이 발생하고 있다. 국내에도 클라우드 데이터 센터가 있다고는 하지만 아직 모든 서비스가 제공되지 않아 MS Azure 같은 경우에는 서비스에 따라 일본이나 싱가포르에서 서비스 되는 경우도 있다. 


개인정보가 국외로 반출/이전되는 경우 해당 정보 주체 (예를 들어 고객정보인 경우 고객 당사자)에게 '당신의 어떠한 정보가 어떠한 목적으로 인하여 어느나라에 이전되었다'라는 내용을 고지 및 동의를 받아야 한다. 경우에 따라 고지가 필요하지 않는 예외의 경우도 있지만 어느 법령을 근거로 하여 고지 및 동의를 받아야 하는지를 보려고 한다.


정보통신망법 제63조(국외 이전 개인정보의 보호)

① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.

② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.<개정 2016.3.22.>

③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

④ 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

[전문개정 2008.6.13.]


일단 기본적으로는 해외 이전이 되면 이용자에게 고지 및 동의를 받아야 하지만 2항에 보면 '이용자 편의 증진 등을 위하여' 라는 내용으로 보면 경우에 따라 이용자에게 알린 경우에는 동의 절차를 거치지 않을 수 있다고 되어있다. (이 부분은 잘 해석을 해야 할 것 같다.)

클라우드 서비스를 도입 예정이라면 개인정보에 대하여 꼭 고려를 해야 하며 또한 KISA에서도 아래 첨부파일과 같은 클라우드 사용 시 기업에서 확인해야 하는 개인정보보호 수칙을 안내하고 있으니 참고하면 좋을 것 같다.








2차인증, 추가인증 관련 법령 | 개인정보보호법 | 전자금융감독규정


개인정보 보호에 대한 법률 규정이 강화되면서 2차인증 (추가인증)에 대한 부분은 거의 필수가 되어 가고 있는 것 같습니다. 금융권 같은 경우에는 진작부터 전자금융감독규정에서 더 강하게 규정하고 있어서 많이 적용되어 있지만 그와 비교해서 비 금융권은 조금 약한 편입니다. 많이 강화되가고 있는 중인 것 같습니다.

그럼 먼저, 국내 법령에서 2차인증 관련하여 어떤 법령이 있는지, 또한 법령을 어떻게 해석하느냐에 따라서 어떻게 적용을 해야 하는지도 있는데 그것도 한번 간단하게 (개인적인 사견으로) 보도록 하겠습니다.


먼저, 개인정보보호법에서 요구하는 2차인증 관련하여서는 아래 법령이 있습니다.

개인정보 보호법 제4조 (접근통제)

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

<해설>

인터넷 구간 등 외부로부터 개인정보처리시스템에 접속은 원칙적으로 차단하여야 하나, 정보통신서비스 제공자 등의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요할 때에는 안전한 인증수단을 적용하여야 한다.

- 안전한 인증 수단의 적용 : 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별․인증하는 절차 이외에 추가적인 인증 수단의 적용을 말한다.

안전한 인증 수단을 적용할 때에도 보안성 강화를 위하여 VPN, 전용선 등 안전한 접속수단의 적용을 권고한다.

법령을 살펴보자면, [개인정보취급자가 정보통신망을 통해 ‘외부에서’ 개인정보처리시스템에 접속]이기 때문에 만약 내부에서 접속을 하는 경우에는 꼭 추가적인 인증을 하지 않아도 된다는 의미이지만 요즘 대부분 내부이던 외부이던 개인정보처리시스템에 접속을 하는 경우에는 거의 약간 안전빵으로 추가인증을 적용하는 추세인 것 같습니다.


개인정보의 안전성 확보조치 기준 제 5조 (접근 권한의 관리) (6항)

개인정보처리자는 개인정보처리시스템에 권한 없는 자의 비정상적인 접근을 방지하기 위하여 계정 정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우에는 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.

- 계정정보 또는 비밀번호를 일정 횟수(예: 5회) 이상 잘못 입력한 경우 사용자계정 잠금 등의 조치를 취하거나 계정정보·비밀번호 입력과 동시에 추가적인 인증수단(공인인증서, OTP 등)을 적용하여 정당한 접근 권한자임을 확인하는 등의 조치를 취하는 것을 말한다.

또한 하위 법령인 개인정보 안전성 확보조치 기준에서는 안전한 접근 통제를 위하여 비밀번호를 일정 횟수 이상 틀리면 계정을 잠그거나 접속 시 추가 인증을 적용하라고 되어 있습니다. 

특히 [개인정보처리자는 개인정보처리시스템에 ~ 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.] 이기 때문에 결국 개인정보처리시스템에 접속을 하여 개인정보를 처리 하면 조금 크게 해석하면 역시 안전빵으로 추가인증을 적용하는 것이 안전하다고 생각됩니다.


여기에 추가적으로, 금융권은 전자금융감독규정을 적용받는데 여기서는 한층 더 까다로운 조건이 있습니다.

전자금융감독규정 제 14조 (정보처리시스템 보호대책)

9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것 

<해설>

정보처리시스템의 운영체제 계정에 대한 보안강화를 위하여 로그인시 계정 및 비밀 번호 이외의 별도의 안전한 추가인증 절차를 반드시 시행하고, 운영체제 계정의 작업 수행에 대한 이상 징후 발생 시 필요한 통제 조치가 즉시 시행될 수 있도록 모니터링 체계수립(제9호, 제10호)

[정보처리시스템의 ‘운영체제’ 계정에 대한 보안강화]이기 때문에 예를들어 IT Administrator가 정보처리시스템에 원격데스크탑으로 접속을 하는 경우도 2차인증을 적용해야 한다고 나와 있습니다. 조금 더 까다롭죠.


2차인증, 추가인증 관련하여 찾아본 관련 법령은 이 정도가 될 것 같습니다. 추가적으로 다른 법령이 있을지는 모르겠지만... 위 정도면 충분하지 않을까 싶네요.

+ Recent posts