ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 웹 서비스 개발 시 반드시 알아야 할 개인정보 이슈(휴면 회원/비밀번호 규정/선택 동의)
    창업실무/기획 2019. 11. 23. 01:52

    내가 기획한 서비스가 개발 막바지에 이르렀을 때 서비스를 런칭하면 개인정보 보호책임자인 내가 어떤 업무를 수행해야 하는지 문득 궁금했다. 그래서 개인정보보호 교육을 찾아봤는데 KISA 온라인 개인정보보호 포털에서 무료 온라인 강의를 제공하고 있었다. https://www.i-privacy.kr/servlet/command.user4.study.StudyLecturePersonal08

     

    사업자대상 < 개인정보보호 교육과정(신) < 온라인교육 : 온라인 개인정보보호포털

    HOME > 온라인교육 > 개인정보보호 교육과정(신) > 사업자대상

    www.i-privacy.kr

    총 3개 과정 14개 강의로 구성되어 있는데 기본적으로 알아야할 내용이긴 하지만 중복되는 내용도 많고 창업기업의 실무에 당장 많은 도움이 되는 내용은 아닌 것 같아서 꼭 모든 강의를 들을 필요까지는 없는 것 같다.

     

     

    일단 교육내용 중 몇 가지 핵심내용을 추려보면,

    1. 상시 종업원 수가 5명 이상이고 3개월간 일일 평균 이용자가 1천명 이상이면 개인정보 보호책임자를 지정해야 한다.

    우리 회사는 상시 종업원 수가 7명이기에 서비스 총괄자인 내가 맡았다.

     

    2. 1년 동안 이용하지 않은 이용자는 다른 이용자의 개인정보와 분리하여 별도로 저장하고 유효기간 만료 30일 전까지 이용자에게 통지해야 한다.

    휴면회원으로 전환된다고 오던 메일이 이런 이유 때문이었다.

    안녕 티웨이

    3. 직전 3개월간 일일 평균 이용자 수가 100만 명 이상이거나 서비스 매출액 100억 원 이상인 경우, 개인정보 이용내역을 통지해야 한다.

    평생 개인정보 이용내역을 통지해볼 수 있을까 싶다.

    나는 사실 책벌레다.

     

    4. 개인정보 보호책임자는 내부관리계획서를 수립하고 1년에 1회 이상 검토 및 개정해야 한다.

    이걸 실제로 시행하는 초기 스타트업이 있다면 댓글 달아주기 바란다.

     

     

    이 외에도 한국인터넷진흥원에서 무료 웹 취약점 점검 서비스(https://www.krcert.or.kr/webprotect/webVulnerability.do)를 제공한다거나 유익한 정보가 많았지만 서비스를 개발 중인 나에게 당장 필요한 정보는 아닌 것 같아 여기저기 정보를 더 찾아봤다.

     

    KISA 인터넷 보호나라&KrCERT

    KISA 인터넷 보호나라&KrCERT

    www.boho.or.kr

     

     

     


     

    한국인터넷진흥원에서 '정보통신서비스 제공자를 위한 개인정보보호 법령 해설서'를 읽어보면 좋겠지만 214페이지에 달하기에 웹 서비스 구축 단계에서 필요한 정보들을 정리해보았다.

     

    1. 비밀번호 규칙을 수립해야 한다.

    행정자치부고시 제2016-35(2016.9.1) 개인정보의 안전성 확보조치 기준

    5(접근 권한의 관리) 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

    개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

    개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

    개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

    ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

    ⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

    [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.

     

    이때 비밀번호 작성규칙에 대한 기준은 없으니 적당히 남들 하는 만큼 규칙을 수립하면 된다. 방송통신위원회고시 개인정보의 기술적·관리적 보호조치 기준 제 4조 8항과 헷갈릴 수 있는데 이 조항에서는 '정보주체(서비스 이용자)'가 아닌 '개인정보취급자'를 대상으로 한 비밀번호 작성규칙이라는 점을 꼭 알아두자.

     

    추가적으로 '정보주체(서비스 이용자)'의 비밀번호를 주기적으로 변경해야 된다는 법령도 찾지 못했다.

     

    2. 일정 횟수 이상 비밀번호를 틀릴 경우 접근을 제한해야 한다.

    이건 법령에서 찾지 못했는데 한국인터넷진흥원 소프트웨어 개발보안 가이드에서 권고하고 있다. 하지만 로그인을 반복 시도할 수 있도록 하면 무한정 비밀번호를 대입해 계정을 탈취할 수 있기에 당연히 제한해야 하는 것이 맞다.

     

    3. 마케팅 정보 수신 동의는 '선택'적으로 동의할 수 있어야 한다.

    여러 웹 사이트를 이용해봤다면 당연히 알겠지만 개인정보는 최소한으로 수집하고 필수항목과 선택항목으로 나누어 동의를 받아야 한다. 광고성 메일을 보내고 싶다면 선택항목으로 동의를 받아야 한다.

     

    4. 장기 미이용자는 휴면회원으로 분류하고 별도의 DB에 저장해야 한다.

    정보통신망법 시행령

    제16조(개인정보의 파기 등) ① 삭제  <2016. 5. 31.>

    ② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간(법 제29조제2항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다.  <개정 2016. 5. 31., 2016. 9. 22.>

    ③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.

    법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.  <개정 2016. 5. 31.>

    1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목

    2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목

    법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법을 말한다.  <신설 2016. 5. 31.> [본조신설 2012. 8. 17.]

     

    사실 정보통신망법은 직전 3개월간 일일 평균 이용자 수가 100만 명 이상이거나 서비스 매출액 100억 원 이상인 경우에만 해당되는 특별법이고 신규 런칭한 서비스에 장기 미이용자가 있을 리가 없으니 당장 필요한 건 아니라고 본다.

     

    (특별법은 일반법보다 우선 적용되기 때문에 저 조건에 해당된다면 정보통신망법에 따르면 된다.)

     

     

    결국 창업 초기의 서비스에서는 비밀번호 규칙 수립, 선택적 개인정보 동의, 로그인 반복 시도 제한 정도를 고려하라는 말을 아주 장황하게 했다.

     

     

    끝!

    댓글 0

ⓒ 2019. 도니박의창업활동로그. All rights reserved.