본인확인 지원포털

본인확인기관 지정정기심사
1장 물리적·기술적·관리적 조치계획 : 접속정보의 위·변조의 방지에 관한 사항과 본인확인업무와 다른 인터넷서비스 분리에 관한 사항 편

안녕하세요.
이번 차시에는 본인확인업무를 위한 접속정보의 위, 변조의 방지에 관한 사항과
본인확인업무와 다른 인터넷서비스 분리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보도록
하겠습니다.

-심사대상-
1) 개인정보처리시스템 접속기록, 저장,검토(이상행위 모니터링) 정보시스템
* DB, DB접근제어시스템, 서버접근제어시스템, 로그통합모니터링시스템, 개인정보접속기록관리시스템 등
2) 개인정보처리시스템 접속기록 검토결과 및 보고이력
먼저, 개인정보처리시스템의 접속기록 관리 적정성을 심사하는 항목으로
개인정보처리시스템 접속기록 저장, 검토 정보시스템,
개인정보처리시스템 접속기록 검토 결과 및 보고 이력 등이 심사대상입니다.

-심사영역-
해당 심사영역에서는
첫째, 본인확인업무 관련 개인정보처리시스템 접속기록을 최소 1년 이상 보관하고 있는지 심사합니다.
둘째, 본인확인업무 관련 개인정보처리시스템 접속기록 저장, 검토 시 관련 법규 및 내부관리계획 준수 여부를 심사합니다.
셋째, 본인확인업무 관련 개인정보처리시스템 접속기록을 주기적으로 검토하고 검토결과를 개인정보관리책임자에게 보고하고 있는지 심사합니다.

담당자가 “접속기록”이란 용어를 오해하셔서 개인정보처리시스템에 접속한 로그(Access Log)만 검토하는 경우가 종종 있습니다.
“접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여
개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을
전자적으로 기록한 것을 말하고 있어, 개인정보처리시스템에서의 행위이력을 주기적으로 검토해야 합니다.
-접속기록의 대상이 확대됨(개인정보의 안정성 확보조치 기준(시행 2023-9.15))-
접속기록 대상 : 개인정보취급자(기존) → 이용자(신규추가)
보관기간 : 개인정보취급자의 접속기록 1년 또는 2년이상(기존) → 이용자의 접속기록 3개월이상(신규 추가)
최근 개인정보보호법이 개정됨에 따라 개인정보 취급자 뿐만 아니라 이용자의 접속기록도 대상으로 추가되었으니 참조바라겠습니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
내부관리계획서 내에 개인정보처리시스템 접속기록 관리 조항
본인확인업무 관련 개인정보처리시스템 자산 목록표
본인확인업무 관련 개인정보처리시스템 접속기록 관리현황표
본인확인업무 관련 개인정보처리시스템, DB, 앱 접속기록 검토 절차
본인확인업무 관련 개인정보처리시스템 DB, 앱 접속기록 검토 결과 및 이상행위 처리결과 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 개인정보처리방침 점검을 통해 진행되는데요,
대상 담당자는 개인정보처리시스템 운영자와 접속기록 검토자가 있습니다.
인터뷰에서는 담당자에게,
접속기록 수집, 저장, 보관기간 설명, 주기적인 검토 절차 설명, 접속기록 검토 결과 및
이상행위 처리 결과 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 접속기록이 정상적으로 수집되고 모니터링 되고 있는지 심사하기 위해서,
개인정보처리시스템 접속기록 관리계획 수립 여부,
개인정보처리시스템 접속기록 관리현황표 작성 여부,
개인정보처리시스템 접속기록 저장 현황,
개인정보처리시스템 접속기록 검토 현황 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 3가지를 짚어보고 넘어가도록 하겠습니다.

-개인정보처리시스템 접속기록 저장-
첫 번째 접속기록 저장과 관련한 미흡사례로는,
개인정보처리시스템 접속기록에서 사용자가 처리한 정보주체를 확인할 수 없거나,
사용자가 수행한 업무를 확인할 수 없는 문제점이 확인된 사례가 있습니다.

접속기록 항목 예시입니다.
- 계정 : A0001(개인정보취급자 계정)
- 접속일시 : 2019-02-25, 17:00:00
- 접속시 정보 : 192,168,100,1(접속한 자의 ip주소)
- 처리한 정보주체 정보 : CLI060719(정보주체를 특정하여 처리한 경우 정보주체의 식별정보)
- 수행업무 : 회원목록 조회, 수정, 삭제, 다운로드 등
- 위 정보는 반드시 기록하여야 하며 개인정보처리자의 업무환경에 따라 책임 추적성 확보에 필요한 항목은 추가로 기록해야 한다.

-개인정보처리시스템 접속기록 검토-
두 번째 접속기록 검토와 관련한 미흡사례로는,
개인정보취급자가 검토 담당자로 지정되어 모든 접속기록을 검토하고 있어 직무 분리가 미흡한 경우,
대체수단 발급 관리자사이트, 본인확인서비스 관리자사이트, 본인확인서비스 이용자 상담사이트에서
개인정보 다운로드 사유를 확인하고 있지 않는 경우,
로그통합관리시스템에서 시나리오에 따라 접속기록 이상징후를 탐지하고 있으나, 원인 확인 등
소명절차를 수행하지 않은 경우 등의 문제점이 확인된 사례가 있습니다.
다운로드 사유확인이 필요한 기준 책정 예시입니다.
-(다운로드 정보주체의 수) 통상적으로 개인정보 처리 건수가 일평균 20건 미만인 소규모 기업에서 개인정보취급자가
100명 이상의 정보주체에 대한 개인정보를 다운로드 한 경우 사유 확인.
-(일정기간 내 다운로드 횟수) 개인정보취급자가 1시간 내 다운로드한 횟수가 20건 이상일 경우 단시간에 수차례에 걸쳐
개인정보를 다운로드 한 행위에 대한 사유확인
-(업무시간 외 다운로드 수행) 새벽시간, 휴무일 등 업무시간 외 개인정보를 다운로드 한 경우 사유확인
접속기록 내 비정상 행위에 대한 예시입니다.
- 계정 : 접근권한이 부여되지 않은 계정으로 접속한 행위 등
- 접속일시 : 출근시간 전, 퇴근시간 후, 새벽시간, 휴무일 등 업무시간 외에 접속한 행위 등
- 접속 시 정보 : 인가되지 않은 단말기 또는 지역(IP)에서 접속한 행위 등
- 처리한 정보주체 정보 : 특정 정보주체에 대하여 과도하게 조회, 다운로드 등의 행위 등
- 수행업무 : 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제 등의 행위 등
- 그 밖에 짧은 시간에 하나의 계쩡으로 여러 지역(IP)에서 접속한 행위 등

-개인정보처리시스템 접속기록 검토-
세번째 미흡사례로는,
DBA, 서비스 운영자 등이 DB서버 OS에서 DB접속 명령어로 로컬호스트 디비(localhost DB)에 접속하여
본인확인서비스 이용자 개인정보를 처리한 행위에 대해 검토하지 않은 문제점이 확인된 사례가 있습니다.

-백업보관 심사대상 : 개인정보취급자(DBA 등) → 서버접근통제 시스템 → 본인확인DB서버 → 본인확인 DB-
SELECT * FROM USER_MASTER → 모니터링 대상

-심사대상-
다음은 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관하고 있는지를 심사하는 항목으로
개인정보처리시스템 접속기록 백업시스템,
개인정보처리시스템 접속기록 백업본 저장장치,
개인정보처리시스템 접속기록 백업 이력 등이 심사 대상입니다.

-심사영역-
해당 심사영역에서는
첫째, 본인확인업무 관련 개인정보처리시스템 접속기록을 별도 저장장치에 백업하고 있는지 심사합니다.
둘째, 본인확인업무 관련 개인정보처리시스템 접속기록 백업 보관 시 관련 법규 및 내부관리계획을 준수하고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
내부관리계획서 내에 개인정보처리시스템 접속기록 관리 조항,
본인확인업무 관련 개인정보처리시스템 자산 목록표,
본인확인업무 관련 개인정보처리시스템 접속기록 관리현황표,
본인확인업무 관련 개인정보처리시스템 접속기록 백업 계획 및 이력 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는
개인정보처리시스템 접속기록 백업 담당자,
개인정보처리시스템 접속기록 백업시스템 운영자 및 백업본 저장장치 담당자가 있습니다.
인터뷰에서는 담당자에게
접속기록 백업 절차 및 계획 설명-접속기록 백업 설정내역, 백업 이력 등을 요청 할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는,
개인정보처리시스템 접속기록 백업 계획 수립 여부,
개인정보처리시스템 접속기록 관리현황표 작성 여부,
개인정보처리시스템 접속기록 백업 현황 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다.
첫 번째 미흡사례로는
개인정보처리시스템 접속기록 백업본을 별도 저장장치에 보관하지 않고
원본과 함께 로컬 정보시스템에 보관하고 있는 문제점이 확인된 사례가 있습니다.
두 번째 미흡사례로는
개인정보처리시스템 접속기록 백업본 보관기간이 관련법규 및 내부관리 계획의 요구사항을 준수하지 못하는 문제점이 확인된 사례가 있습니다.

다음으로 본인확인업무와 다른 인터넷 서비스와의 분리의 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

-심사대상-
1. 본인확인서비스 가입절차, 가입단계별 상세화면
2. 본인확인서비스 DBMS 상세 아키텍처
3. 본인확인서비스 DB테이블 목록, ERD
4. 가상화 적용 시 가상머신별 서비스 용도
5. Docker, K85 등 컨테이너 적용을 통한 본인확인서비스 구성 시,
컨테이너/Node/Pod 별 자산목록 및 서비스 용도 상세
먼저, 본인확인업무와 다른 인터넷 서비스와의 분리를 심사하는 항목으로
대체수단 발급 시 본인확인기관의 다른 인터넷서비스에 대한 회원가입을 요구하지 않아야 함.
본인확인서비스 제공을 위한 시스템 및 개인정보 DB를 물리적 또는 논리적으로 다른 서비스와 분리하여 운영하여야 함.
이 두 가지가 심사 대상입니다.

-인터넷 서비스와 분리영역-
본인확인업무와 다른 인터넷 서비스와의 분리 영역에서는
첫째, 본인확인서비스를 위하여 대체수단 발급 시
본인확인서비스와는 관련없는 다른 부가서비스 가입 유도, 가입단계 화면 중 광고 노출 등이 없는지 심사합니다.
둘째, 본인확인서비스 전용 정보시스템 즉, 서버, 미들웨어, 와스(WAS), AP서버, DB가
물리적 또는 논리적으로 다른 서비스와는 분리하여 운영하는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는,
자산 목록 중 본인확인서비스 전용 정보시스템 상세, 버전, HA 구성 등,
서버 아키텍처 상세자료 : 단일구성, 가상머신, 컨테이너 구성 등,
WEB, AP서버, 와스(WAS) 서비스 계정 목록, 인스턴스 현황,
본인확인서비스 DB 엔진 구성, DB 서비스 계정 목록, DB 스키마, ERD 또는 테이블 명세서,
가상화 적용 시 가상머신별 서비스 용도,
닥컬(Docker), 케이 에잇 에스(K8S) 구성 시 컨테이너 목록, 노드(Node), 포드(Pod)별 상세 서비스 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행 되는데요,
대상 담당자는 인프라담당자, DBA, DA(데이터 아키텍처), 서버 운영자, 와스(WAS) 운영자, 가상화시스템 운영자가 있습니다.
인터뷰 및 현장점검은 담당자에게,
본인확인서비스 전용 DB와 공용 DB 차이점 설명,
본인확인서비스 전용 DB 테이블 목록 및 상세 서비스 설명,
서버, 미들웨어, DB 상세 아키텍처 설명,
가상화 시스템 운영 시 가상화 적용 상세 아키텍처 설명,
서버, DB 계정 및 인스턴스 목록, 와스(WAS) 계정 및 인스턴스 목록,
본인확인서비스 인터페이스 목록 등의 자료 및 설명을 요청하고
담당자 인터뷰 진행 후, 요청받은 자료와 지침을 근거로 실제 현장점검을 수행합니다.
우선적으로, 해당영역 심사를 위해서는 한국인터넷진흥원에서 발간한
‘본인확인업무와 다른 인터넷 서비스와의 분리 해설서’를 반드시 숙지하시기를 권고드립니다.

해설서를 근간으로 몇 가지 미흡사례를 살펴보겠습니다.
<미흡사례 예시>
-본인확인업무 관련 DB서버 및 WAS서버가 다른 부가서비스와 분리되지 않았음
왓스(WAS) 서버, 또는 AP 서버 한 대로 왓스(WAS) 계정만 분리하여 본인확인서비스와 다른 부가서비스를 운영하면 미흡사례가 됩니다.
마찬가지로, 단일 DB에서 공통 DB계정으로 논리적으로 테이블만 분리하여
본인확인서비스 이외의 다른 인터넷 서비스를 제공한다면 이 역시 미흡사례가 됩니다.
두번째 미흡사례로는 가상화 적용 시 미흡사례입니다.
<미흡사례 예시>
-가상화가 적용된 본인확인서비스 전용DB가 물리적으로 기타 부가서비스와 분리되지 않았음
신규 도입된 본인확인서비스에 가상화, VM을 적용했는데,
본인확인서비스 전용 DB를 동일 하드웨어에서 VM만으로 분리하면 이 역시 미흡사례가 됩니다.
가상화 시스템은 현재 보안상 DB분리는 VM 분리 즉, 논리적 분리가 아닌 물리적 분리만 인정됩니다.
다시 말씀드리면 가상화 적용 시 본인확인서비스 전용 DB는
하드웨어가 서로 다른 물리적 DB분리만을 타 서비스와의 분리로 인정됩니다.

이번 차시는 본인확인업무를 위한 접속정보의 위·변조의 방지에 관한 사항, 적정성을 심사하는 기준과
본인확인업무와 다른 인터넷 서비스와의 분리의 적정성을 심사하는 기준에 대해 알아봤습니다.

감사합니다.

-한국인터넷진흥원-