망분리 전략 (1)

국내에서 IT서비스를 제공하는 대부분의 기업들이 고민하는 망분리에 대한 이야기입니다.
이 글은 총 3편으로, 1편에서는 망분리에 대한 기준이나 요구사항에 대한 내용을 다룰 예정이며, 2편과 3편에서는 본격적으로 망분리를 적용하는 사례(물리적 또는 논리적)에 대해서 이야기 해볼까 합니다.

※ 이 글은 개인정보보호법을 기준으로 작성되었습니다. 전자금융사업자가 준수해야하는 전자금융거래법은 일반법인 개인정보보호법보다 우선되므로, 전자금융거래법에 따른 망분리 사항을 준수해야합니다.

---

근거

개인정보보호법 제29조(안전조치의무)

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

개인정보보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)

(1) 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치 다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ᆞ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자 등만 해당한다)

개인정보의 기술적 관리적 보호조치 기준 제4조(접근통제)

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

용어 정의

※ 용어 정의는 개인정보의 기술적 관리적 보호조치 기준(제2020-5호) 해설서(2020.12월) 부록의 용어 정의에서 발췌하였습니다.

• “망분리”란 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
• “다운로드”란 개인정보처리시스템에 접근하여 개인정보취급자의 컴퓨터 등에 개인정보를 엑셀, 워드 등의 파일형태로 저장하는 것을 말한다.
• “파기“란 개인정보처리시스템에 저장된 개인정보 파일, 테이블 또는 데이터 베이스(DB)를 삭제하는 것을 말한다.
• “접근권한 설정”이란 개인정보처리시스템에 접근하는 개인정보취급자에게 다운로드, 파기 등 접근권한을 설정하는 것을 말한다.

 

적용대상

1. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상

요구사항

개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

---

마치며

ISMS 또는 ISMS-P와 같은 국내 정보보호 인증을 준비하는 기업이라면 법률 준수 및 인증 획득과 개인정보가 인터넷 환경을 통해 유출되는 것을 보호하기 위해서 반드시 망분리는 적용해야 합니다. 다만, 망분리가 개인정보처리시스템을 인터넷환경과 분리하기 때문에 업무의 능률을 저하시키거나 업무방식을 변경해야 하는 불편함이 존재합니다.
망분리는 업무상 개인정보를 취급하는 사용자를 최소화 하기 위한 목적으로 도입되었습니다. 따라서 망분리를 처음 구축하는 기업이라면 망분리 계획 수립 전에 우선적으로 아래 4가지 항목을 최소화 한 후 망분리 계획을 수립해야 환경 구축 및 운영을 위한 비용과 리소스를 최소화 할 수 있습니다.

• 개인정보처리시스템
• 개인정보처리시스템 접속 가능자
• 개인정보처리시스템에 권한을 부여할 수 있는 사용자
• 개인정보처리시스템에서 다운로드 및 탈퇴, 수정 기능에 접근 가능한 사용자

망분리는 구축 및 운영하는 담당자도, 망분리 환경에서 업무를 하는 사용자 모두에게 많은 리소스를 쏟게 하는 업무의 허들입니다. 그리고 망분리를 구성한다고 해서 개인정보 유출 사고가 완전히 사라지는 것은 아닙니다.
다만, 망분리를 하는 목적이 개인정보가 대량으로 유출될 수 있는 개인정보처리시스템에 접근하기 위한 절차를 한 단계 둠으로써 외부에서의 공격을 방어하는 가장 강력한 수단임은 분명합니다. (외부의 공격에서 안전할 수 있는 방법이 랜선을 뽑는 것이니까요)
2020년 시작된 코로나로 인하여 재택근무가 많아진 요즘 특히 규제가 심한 금융권과 핀테크 기업들에서 망분리 규제를 완화해야 한다는 목소리가 많이 나오고 있습니다만 규제를 완화하기는 쉽지 않을 것 같습니다.
그럼 망분리 구축 사례에 대해서는 2편과 3편에서 만나도록 하겠습니다.

---

참고

• 개인정보의 기술적 관리적 보호조기 기준 해설서 (2020.12)