- 개보법에서 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 KISA에 기술 지원을 요청할 수 있음

> KISA독립적 조사가 불가하며, 담당부처 요청에 따라 기술 지원 업무를 수행

> 이에 따라, 기술 지원 외 기업에서 자체적으로 수행하는 분석 및 대응의 적절성 여부 확인 불가

※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음

> 민관합동조사단의 구성으로만 침해사고의 원인분석에 KISA의 임직원이 참여가 가능

 

개인정보 보호법 제34조(개인정보 유출 통지 등) 
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정안전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

 

개인정보 보호법 시행령 제39조(개인정보 유출 신고의 범위 및 기관) 
① 법 제34조제3항 전단에서 “대통령령으로 정한 규모 이상의 개인정보”란 1천명 이상의 정보주체에 관한 개인정보를 말한다. <개정 2017. 10. 17.>

② 법 제34조제3항 전단 및 후단에서 “대통령령으로 정하는 전문기관”이란 각각 한국인터넷진흥원을 말한다. <개정 2015. 12. 30., 2016. 7. 22.>

 

정보통신망법 시행령 제59조(민ㆍ관합동조사단의 구성ㆍ운영) 
① 법 제48조의4제3항에 따른 민ㆍ관합동조사단(이하 “조사단”이라 한다)은 단장과 부단장을 포함하여 20명 내외의 조사단원으로 구성하되, 침해사고의 규모 및 유형을 고려하여 단원의 수를 조정할 수 있다.
② 조사단원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 과학기술정보통신부장관이 임명 또는 위촉하고, 단장은 제1호의 사람 중 과학기술정보통신부장관이 지명하는 4급 이상의 공무원으로, 부단장은 제3호의 사람 중 과학기술정보통신부장관이 지명하는 사람으로 한다.
1. 침해사고를 담당하는 과학기술정보통신부 소속 공무원
2. 침해사고에 관한 전문지식과 경험이 있는 사람
3. 인터넷진흥원의 임직원
4. 그 밖에 침해사고의 원인 분석에 필요하다고 인정되는 사람
③ 조사단은 침해사고의 원인을 분석하는 원인조사반과 분석한 결과를 검증하는 검증분석반으로 구성한다. 다만, 조사단의 단장이 필요하다고 인정하는 때에는 원인조사반과 검증분석반을 통합하여 운영하거나 다른 반을 둘 수 있다.
④ 조사단의 단장은 침해사고의 원인 분석을 위해 필요한 경우 관련 전문가 또는 정보보호 전문업체에 자문을 구할 수 있다.
⑤ 공무원이 아닌 조사단원과 제4항에 따른 관련 전문가 등에게는 예산의 범위에서 수당, 여비 또는 그 밖에 필요한 경비를 지급할 수 있다.
⑥ 조사단의 단장은 침해사고의 원인 분석이 끝나면 지체 없이 결과보고서를 작성하여 과학기술정보통신부장관에게 보고해야 한다.
⑦ 과학기술정보통신부장관은 조사단의 구성 목적을 달성했다고 인정하는 경우에는 조사단을 해산할 수 있다.
⑧ 제1항부터 제7항까지에서 규정한 사항 외에 조사단의 구성ㆍ운영에 필요한 사항은 과학기술정보통신부장관이 정한다.
[전문개정 2022. 12. 9.]

 

망법 개정 전후 비교

망법 개정 전 주요 사항 및 문제점

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 피해의 확산을 방지하여야 한다.
② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생하면 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위하여 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>
③ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인을 분석하기 위하여 필요하다고 인정하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.>
④ 과학기술정보통신부장관은 침해사고의 원인을 분석하기 위하여 필요하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 제2항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26.>
⑤ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제4항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26.>
⑥ 제2항에 따른 민ㆍ관합동조사단의 구성과 제4항에 따라 제출된 침해사고 관련 자료의 보호 등에 필요한 사항은 대통령령으로 정한다.
[전문개정 2008. 6. 13.]

 

① 기업에는 신고의무만 고지

> 기술 지원 미동의 시 자체 조치 등 대응의 적절성을 확인할 방법의 부재

※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음

 

② 중대한 침해사고의 경우에만 접속기록 등 관련 자료의 보전 및 제출

> 피해확산 방지를 위해 필요한 침해사고 관련 정보 수집 불가능

> 망법 제48조의4 제2항, 제3항에 의거 중대한 침해사고의 경우에만 관련 자료의 보전 및 제출을 명할 수 있음

※ 중대한 침해사고

> 중대한 침해사고의 정의를 찾아보았는데, 망법 제47조의4에서 "중대한 침해사고로 인해 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성"을 기준으로 판단

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의4(이용자의 정보보호)
③ 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. <개정 2020. 6. 9.>

 

> 중대한 침해사고의 명확한 정의나 기준과 중대한 침해사고의 결과로 이어지는 심각한 장애의 정의 또한 명확히 찾지 못함

> KISA "침해사고 예방·대응 및 피해확산 방지를 위한 정보통신망법 개선방안 연구" p.85에서는 다음과 같이 표현을 찾음

> 명확한 정의 없이 공격의 규모와 결과를 통해 중대한 침해사고로 규정한다는데, 사고를 조사하는 조사관의 개인적인 판단에 기초하는것 같음(조사관의 판단에따라 같은 사고라도 중대한 침해사고로 규정되지 않을 수도 있을것 같음...)

여기서 중대한 침해사고와 관련하여 그 구체적인 개념을 정의한 규정 은 없다. 다만 디도스(DDos) 공격, 메일 폭탄 등과 같이 이용자의 정보시 스템이나 정보통신망에 상당한 장애를 일으킬 수 있는 사고를 의미한다. 이용자에 대한 보호조치 요청은 이용자에게 부담을 주고 경제적 피해로 이어질 수 있으므로 침해사고의 위험, 범위 등이 크고 광범위한 경우에 한해서 제한적으로 행사된다. 특히 접속 제한 조치는 다른 이용자의 정 보시스템이나 정보통신망에 피해를 줄 것이 명확한 경우에 한하여 매우 예외적으로 인정된다.

 

> 민·관합동조사단 구성 및 운영에 관한 훈령에서도 중대한 침해사고와 관련된 사항을 찾을 수 있음

민·관합동조사단 구성 및 운영에 관한 훈령 제3조(조사단의 설치·운영시기)
과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 중대한 침해사고가 발생하면 조사단을 구성·운영할 수 있다.
1. 주요정보통신기반시설에 발생한 침해사고의 원인분석을 위하여 필요한 경우
2. 정보보호 관리체계 인증 의무 대상자의 정보통신망에 발생한 침해사고의 원인분석을 위하여 필요한 경우
3. 원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우
4. 그 밖에 유사한 침해사고의 확산, 신종 침해사고 등 과학기술정보통신부장관이 조사가 필요하다고 판단하는 경우

 

망법 개정 후 주요 사항

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해의 확산 방지를 위하여 사고대응, 복구 및 재발 방지에 필요한 조치를 하여야 한다. <개정 2022. 6. 10.>
② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 침해사고가 발생하면 그 침해사고의 원인을 분석하고 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 해당 정보통신서비스 제공자에게 필요한 조치를 하도록 권고할 수 있다. <신설 2022. 6. 10.>
③ 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생한 경우 제2항에 따른 원인 분석 및 대책 마련을 위하여 필요하면 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
④ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 위하여 필요하면 정보통신서비스 제공자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
⑤ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 하기 위하여 필요하면 정보통신서비스 제공자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 중대한 침해사고의 경우 소속 공무원 또는 제3항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
⑥ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제5항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
⑦ 제3항에 따른 민ㆍ관합동조사단의 구성ㆍ운영, 제5항에 따라 제출된 자료의 보호 및 조사의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2022. 6. 10.>
[전문개정 2008. 6. 13.]

 

① 기존 신고 의무에 추가적으로 원인 분석 및 피해 확산 방지 의무 부여

> 기업이 피해확산 방지를 위한 조치에 더 적극적으로 참여를 이끌어내기 위함

 

② 침해사고 구분 없이 자료 보전 및 제출

> 중소기업의 경우 침해사고 발생 시 대처할 여력이 없으므로 민관이 협업해 대응하자는 의미

> 자료를 제출하지 않을 시에는 망법 제76조 제3항 11의3호 및 12호에 의거 행정처분이 수반되기 때문에는 의무사항

> 자료 제출 거부, 거짓 제출의 횟수에 따라 차등 부과 (1회 위반: 300만원, 2회 위반: 600만원, 3회 위반: 1천만원)

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료)
③ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. <개정 2009. 4. 22., 2011. 4. 5., 2012. 2. 17., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 6. 12., 2020. 2. 4., 2020. 6. 9., 2022. 6. 10.>
11의3. 제48조의4제5항에 따른 자료를 제출하지 아니하거나 거짓으로 제출한 자
12. 제48조의4제5항에 따른 사업장 출입 및 조사를 방해하거나 거부 또는 기피한 자

 

+ Recent posts