국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건

요약	- 국제표준암호 적용, 망분리 개선, 개인정보보호법 시행령 개정안 시행 - 26년 표준암호 도입, 25년 망분리 정책 폐기 및 26년 MLS 도입, 9.15 개보법 시행령 개정안 시행
내용	① 26년부터 전 공공분야에 국제표준암호 허용 - 05년 암호모듈 검증 제도(KCMVP) 시행 당시 SEED, ARIA, HIGHT, LEA만 허용 > 외국에서 개발한 암호에 대학 해독 우려가 있어 나온 조치 > 보안 환경의 변화로 국제화와 범용성을 고려해 글로벌 표준 허용 의견이 대두되면서 AES 허용 논의 시작 - 국정원, KCMVP에 AES 허용 방안 검토 > AES 안정성 충분한 입증, 경제적 효과, 산학역 전문가 의견 등을 고려 > 14년 논의된 바 있으나 외산 암호에 대한 불신·암호 산업 및 학계에 대한 보호 등을 이유로 성사되지 않음 > 22년 IoT, 자율주행차량 등에 AES 활용도가 높아져 연구용역 결과 AES 허용이 필요하다는 결론 도출 > 산업계 및 시험기관의 준비기간을 도려 26년 01월부터 시행할 예정 > 25년 07월까지 가이드라인과 자가시험도구를 새롭게 개발해 배포할 예정이며, 시험기관을 추가 지정해 검증수요 증가에 대비 ===================================================================================  ② 망분리 정책 폐기 및 MLS 로드맵 공개 - 다중보안체계(MLS) 내년부터 도입 > 기존 망분리 정책은 AI 등 신기술을 활용할 수 없게 막아옴 > 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있도록 함 - 기존 망분리 정책 > 업무망에서는 인터넷을 사용할 수 없게 차단하고, 업무망과 분리된 별도의 PC를 사용해 인터넷에 접속 > 보안성은 우수하나, AI 클라우드 기반 소프트웨어(SaaS) 등 신기술 활용의 어려움과 공공 데이터 공유 활성화를 어렵게 하는 지적 - 국정원, 망분리 대안으로 MLS 로드맵 공개 > MLS: 시스템을 기밀(C), 민감(S), 공개(O) 등급으로 분류 후 등급별 차등적 보안통제를 적용해 보안성 확보 및 인터넷 단절 없는 업무 환경 구현을 목표 > 업무 정보의 C·S·O 등급분류 기준 ⒜ 기밀·민감 정보: 정보공개법과 공공데이터법 등에 따라서 각급 기관이 지정한 비공개 정보 ⒝ 공개 정보: 기밀·민감 정보 이외에 것과 민감 정보 중에서도 가명 처리한 것 > 업무 정보가 운영되는 시스템의 등급 기준: 여러 등급의 정보가 섞여 있을 경우 상위 등급 기준으로 시스템 기준을 분류한다는 원칙 - 전환 계획 ⒜ 올해까지 MLS 기반 구체화하고 내년부터 시행 및 고도화해 26년부터 전환 가속화 ⒝ 국가정보보안기본지침과 MLS 관련 가이드라인 개정·제정 및 내년 상반기 전 국가 공공기관 대상 지침 공표 ⒞ MLS 도입으로 영향 받는 공공 보안 제도와 CSAP(클라우드 보안인증) 재정비 > 내년 상반기까지 현행 CSAP의 상·중·하 보안 기준을 CSO 개념으로 재정립: 인증 반복을 없애고 간소화 > 공공기관별로 보안 등급을 나눈 현행 공공 보안검증 제도도 CSO를 적용해 일괄 정비 ===================================================================================  ③ 개인정보보호법 시행령 개정안 09.15 시행 - 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정 > 99년 정통망법 개정 후 서비스 제공시 정보주체 동의를 받아야 했음 > 서비스 제공 계약에 필요해도 정보주체 동의 필요 등 문제가 존재 > 11년 개보법 제정 후 계약 체결과 이행을 위해 불가피한 경우 외에는 필수 동의 관행이 지속 > 23년 개보법 개정을 통해 신뢰에 기반할 경우 별도 동의 없이 개인정보를 이용할 수 있도록하고, 동의가 꼭 필요한 경우에 한정해 명시적인 동의를 받도록 개선 - 주요 내용 ⒜ 동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항) > 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 > 동의를 받으려는 내용이 구체적이고 명확할 것 > 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것 > 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것 ⒝ 개인정보 수집·이용시 동의 여부 및 방법 안내 > 서비스 이용계약 관련 개인정보는 동의 없이 수집·이용 > 서비스 이용계약과 관련 없는 개인정보는 동의원칙 준수 > 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 분리 조치 > 민감정보·고유식별정보의 경우 서비스에 불가피한 경우 필수동의 - 개선 계획 > 현장의 혼선이 없도록 개인정보 처리 통합 안내서 발표 예정
기타	- AES 허용 이점 > 국내 업체의 수출 경쟁력 강화 > 개발 편의겅 증대 > 무역장벽 논란 해소 - MLS 전환 전망 > 국가 공공기관 시스템에 AI와 클라우드가 연계되어 업무 효율성 제고 및 우수한 공공 서비스 개발 - 개인정보 처리 통합 안내서 > 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획

 

보안뉴스

국정원 "2026년부터 전 공공분야에 국제표준암호 허용"

케케묵은 '망분리' 내년엔 사라진다…국정원, MLS 로드맵 공개

개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행