요약 - 국제표준암호 적용, 망분리 개선, 개인정보보호법 시행령 개정안 시행
- 26년 표준암호 도입, 25년 망분리 정책 폐기 및 26년 MLS 도입, 9.15 개보법 시행령 개정안 시행
내용 ① 26년부터 전 공공분야에 국제표준암호 허용
- 05년 암호모듈 검증 제도(KCMVP) 시행 당시 SEED, ARIA, HIGHT, LEA만 허용
> 외국에서 개발한 암호에 대학 해독 우려가 있어 나온 조치
> 보안 환경의 변화로 국제화와 범용성을 고려해 글로벌 표준 허용 의견이 대두되면서 AES 허용 논의 시작

- 국정원, KCMVP에 AES 허용 방안 검토
> AES 안정성 충분한 입증, 경제적 효과, 산학역 전문가 의견 등을 고려
> 14년 논의된 바 있으나 외산 암호에 대한 불신·암호 산업 및 학계에 대한 보호 등을 이유로 성사되지 않음
> 22년 IoT, 자율주행차량 등에 AES 활용도가 높아져 연구용역 결과 AES 허용이 필요하다는 결론 도출
> 산업계 및 시험기관의 준비기간을 도려 26년 01월부터 시행할 예정
> 25년 07월까지 가이드라인과 자가시험도구를 새롭게 개발해 배포할 예정이며, 시험기관을 추가 지정해 검증수요 증가에 대비

=================================================================================== 
② 망분리 정책 폐기 및 MLS 로드맵 공개
- 다중보안체계(MLS) 내년부터 도입
> 기존 망분리 정책은 AI 등 신기술을 활용할 수 없게 막아옴
> 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있도록 함

- 기존 망분리 정책
> 업무망에서는 인터넷을 사용할 수 없게 차단하고, 업무망과 분리된 별도의 PC를 사용해 인터넷에 접속
> 보안성은 우수하나, AI 클라우드 기반 소프트웨어(SaaS) 등 신기술 활용의 어려움과 공공 데이터 공유 활성화를 어렵게 하는 지적

- 국정원, 망분리 대안으로 MLS 로드맵 공개
> MLS: 시스템을 기밀(C), 민감(S), 공개(O) 등급으로 분류 후 등급별 차등적 보안통제를 적용해 보안성 확보 및 인터넷 단절 없는 업무 환경 구현을 목표
> 업무 정보의 C·S·O 등급분류 기준
⒜ 기밀·민감 정보: 정보공개법과 공공데이터법 등에 따라서 각급 기관이 지정한 비공개 정보
⒝ 공개 정보: 기밀·민감 정보 이외에 것과 민감 정보 중에서도 가명 처리한 것
> 업무 정보가 운영되는 시스템의 등급 기준: 여러 등급의 정보가 섞여 있을 경우 상위 등급 기준으로 시스템 기준을 분류한다는 원칙

- 전환 계획
⒜ 올해까지 MLS 기반 구체화하고 내년부터 시행 및 고도화해 26년부터 전환 가속화
⒝ 국가정보보안기본지침과 MLS 관련 가이드라인 개정·제정 및 내년 상반기 전 국가 공공기관 대상 지침 공표
⒞ MLS 도입으로 영향 받는 공공 보안 제도와 CSAP(클라우드 보안인증) 재정비
> 내년 상반기까지 현행 CSAP의 상·중·하 보안 기준을 CSO 개념으로 재정립: 인증 반복을 없애고 간소화
> 공공기관별로 보안 등급을 나눈 현행 공공 보안검증 제도도 CSO를 적용해 일괄 정비

=================================================================================== 
③ 개인정보보호법 시행령 개정안 09.15 시행
- 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정
> 99년 정통망법 개정 후 서비스 제공시 정보주체 동의를 받아야 했음
> 서비스 제공 계약에 필요해도 정보주체 동의 필요 등 문제가 존재
> 11년 개보법 제정 후 계약 체결과 이행을 위해 불가피한 경우 외에는 필수 동의 관행이 지속
> 23년 개보법 개정을 통해 신뢰에 기반할 경우 별도 동의 없이 개인정보를 이용할 수 있도록하고, 동의가 꼭 필요한 경우에 한정해 명시적인 동의를 받도록 개선

- 주요 내용
⒜ 동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항)
> 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
> 동의를 받으려는 내용이 구체적이고 명확할 것
> 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
> 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

⒝ 개인정보 수집·이용시 동의 여부 및 방법 안내
> 서비스 이용계약 관련 개인정보는 동의 없이 수집·이용
> 서비스 이용계약과 관련 없는 개인정보는 동의원칙 준수
> 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 분리 조치
> 민감정보·고유식별정보의 경우 서비스에 불가피한 경우 필수동의

- 개선 계획
> 현장의 혼선이 없도록 개인정보 처리 통합 안내서 발표 예정
기타 - AES 허용 이점
> 국내 업체의 수출 경쟁력 강화
> 개발 편의겅 증대
> 무역장벽 논란 해소

- MLS 전환 전망
> 국가 공공기관 시스템에 AI와 클라우드가 연계되어 업무 효율성 제고 및 우수한 공공 서비스 개발

- 개인정보 처리 통합 안내서
> 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획

 

보안뉴스

 

국정원 "2026년부터 전 공공분야에 국제표준암호 허용"

국가정보원이 2026년부터 전 공공분야에 국제표준암호인 AES를 허용하기로 했다. 국정원은 11일 서울 삼성동 코엑스에서 개최한 국제 사이버안보 행사인 ‘사이버 서밋 코리아 (CSK) 2024’에서 이

n.news.naver.com

 

케케묵은 '망분리' 내년엔 사라진다…국정원, MLS 로드맵 공개

국가 공공기관이 인공지능(AI) 등 신기술을 활용할 수 없게 막아온 획일적인 ‘망분리 정책’이 사라지고, 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수

n.news.naver.com

 

개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행

지난해 9월, 개인정보보호법(이하 보호법) 개정으로 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 올해 9월 15일부터는 동의를 받아 개인정보를 수

www.boannews.com

+ Recent posts