망분리와 관련한 핵심 법은 정보통신망법 시행령 제15조와 개인정보 보호법 시행령 제30조 두 가지입니다. 이 두 법에 망분리 적용 대상과 정보 보호와 관련한 구체적 조치 내용이 나옵니다.
우선 정보통신망법 시행령 제15조에 따르면, 의무적으로 개인정보 보호조치를 해야 하는 대상은 “전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등”으로 나와 있습니다. 이에 따르면, 공공 기관 및 금융 기관은 물론 100만 이용자, 매출액 100억 원 이상의 기업들은 망 분리 의무화 대상입니다. 이 법은 2013년 2월 18일부터 이미 시행에 들어갔습니다.
구체적인 조치 내용으로는 “개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단”입니다. 이 부분이 망분리 이슈와 관련된 핵심 조항인데요, 개인 정보 보호를 위해서는 외부 인터넷망을 통해 내부로 침입해 들어오는 해킹을 막아야 한다는 것입니다. 따라서 외부 인터넷망과 내부망은 분리되어야 하며, 이것이 바로 망분리입니다.
망 분리하는 방식은 물리적 망분리와 논리적 망분리가 있습니다. 물리적 망분리는 외부 인터넷망과 내부망의 컴퓨터를 따로 구비하는 방식이고, 논리적 망분리는 컴퓨터나 서버 기반으로 망분리 솔루션을 통해 내부망과 외부망을 분리하는 방식입니다. 망분리 솔루션으로는 베르데, 시트릭스, VM웨어 등이 있습니다.
관련 법률의 전체 내용은 아래와 같다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
제15조(개인정보의 보호조치) ② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. <개정 2012.8.17>
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
개인정보 보호법 시행령
제30조(개인정보의 안전성 확보 조치)
① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
'망분리 > 망분리란' 카테고리의 다른 글
| 망분리 의무화 금융권, '토종 VDI는 검증 미비, 사후 관리 취약으로 불안' (0) | 2014.03.25 |
|---|---|
| 망분리 가이드 라인 발표...의무화 유예기간 늘어 '느슨' (0) | 2013.10.23 |
| 망분리, 논리적이냐, 물리적이냐 그것이 문제로다 (0) | 2013.08.22 |
| 2013년 하반기, 망분리 시장의 계절 (0) | 2013.08.07 |
| 망분리 '특수', 하반기에 집중 (0) | 2013.07.26 |
