[정책] 개인정보위, “개인정보의 안전성 확보조치 기준 안내서” 공개
【 ① 최신 개인정보 처리환경 해설 반영 】
빠르게 발전하는 정보기술과, 변화하는 개인정보 처리환경에 맞추어 적합한 예시를 추가하는 등 현장에서 적용 가능한 개인정보 처리 방법과 안전성 확보 방안 등을 현행화하였다.
우선, 개인정보 인증수단의 선택 범위를 확대하였다. 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에도 문자메시지, 전화인증, 소셜 로그인 등 다양한 방식을 추가하였다.
또한, 로그인 반복 오류에 대한 접근제한 조치 방법으로 단순한 계정잠금 외에 캡챠(CAPCHA)* 및 인증 재시도 가능시간 제한 등 다양한 방법을 추가하였으며, 비밀번호의 안전한 저장을 위해 일방향 암호화하는 경우 솔트값** 추가 등을 고려할 수 있다고 명시하였다.
* 찌그러진 문자, 사진 등을 제시하여 반복적인 작업을 가능하게 하는 자동 프로그램을 통한 접근을 방지하기 위한 기술
** 레인보우테이블 공격(해시함수를 사용해 만들어낼 수 있는 여러 해시값을 저장한 표를 이용해 암호화된 비밀번호를 복호화하는 공격) 등을 방어하기 위해 보안성을 높이는 방법으로, 원본 추측을 어렵게 하기 위해 해시함수에 넣기 전 비밀번호 앞뒤 등에 삽입하는 값
【 ② 공공시스템운영기관 등의 안전조치 해설 반영 】
다음으로, 주요 개인정보 처리시스템을 보유․운영 중인 정부부처와 산하 공공기관이 안전조치 의무를 준수하는데 참고할 수 있는 다양한 내용들을 포함하였다.
특히, 공공시스템에 접속한 자의 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출․오용․남용 시도를 탐지하기 위한 사례와 접속기록 생성 시 필수정보를 누락하는 사례* 및 이상행위 판단 기준 예시** 등을 담았다.
* 시스템 개통 후 추가된 메뉴․기능이 접속기록 생성 방식과 연계되지 않아, 해당 메뉴 또는 기능을 이용하는 접속기록이 전혀 생성되지 않는 경우 등
** 공휴일, 업무 시간 외 개인정보 열람 또는 다운로드, 월별 접속지 주소 정보가 다수인 개인정보취급자