개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난해 9월「개인정보 보호법 시행령」에 따라 개정된「개인정보의 안전성 확보조치 기준」의 구체적 내용과 문의사례 등을 반영한「개인정보의 안전성 확보조치 기준 안내서」를 31일 공개했다.

이번 안내서는 정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분됐던 기존 안전조치 해설서 2종을 통합해 법 적용 기관들의 혼선을 줄이고 최신 개인정보 처리환경을 반영했다. 신설된 공공시스템운영기관에 대한 안전조치 내용도 포함했다.

안내서의 주요 내용은 다음과 같다.

개인정보 인증 수단 범위 확대

빠르게 발전하는 정보기술 및 변화하는 개인정보 처리환경에 적합한 예시를 추가하는 등 현장 적용 가능한 개인정보 처리 방법 및 안전성 확보 방안 등을 현행화했다.

개인정보 인증수단의 선택 범위를 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에 문자메시지, 전화인증, 소셜 로그인 등 다양한 방식으로 확대했다. 로그인 반복 오류에 대한 접근제한 조치 방법으로 단순한 계정잠금 외에 찌그러진 문자 및 사진 등을 제시해 자동 프로그램 접근을 방지하는 캡챠(CAPCHA) 및 인증 재시도 가능시간 제한 등을 추가했다.

비밀번호의 안전한 저장을 위해 일방향 암호화하는 경우 원본 추측을 어렵게 하도록 해시함수에 넣기 전 비밀번호 앞뒤 등에 특정 값을 삽입하는 솔트값 추가 등을 고려할 수 있다고 명시했다.

공공 기관의 안전조치 의무 준수 가이드

주요 개인정보 처리시스템을 보유·운영 중인 정부부처와 산하 공공기관이 안전조치 의무를 준수하는데 참고할 수 있는 내용들을 포함했다. 공공시스템에 접속한 자의 접속기록 등을 자동화된 방식으로 분석해 불법적인 개인정보 유출·오용·남용 시도를 탐지하기 위한 사례와 접속기록 생성 시 필수정보를 누락하는 사례 및 업무 시간 외 개인정보 열람 등 이상행위 판단 기준 예시 등을 담았다.

이외에도 궁금한 사항을 찾아볼 수 있도록 자주 묻는 질문(FAQ)도 수록했다.「개인정보의 안전성 확보조치 기준」 개정(’23.9월) 후 접수된 민원의 유사질의 발생 빈도 및 개정조항과의 연계성 등을 분석해 ‘비밀번호 작성규칙, 교육 대상자, 접속기록 보관내용 등’ 을 마련해 참고할 수있게 했다.