개인정보보호위원회는 지난해 9월 개인정보보호법 시행령 개정으로 바뀐 ‘개인정보 안전성 확보조치 기준’의 구체적 내용과 문의 사례 등을 반영한 ‘개인정보 안전성 확보조치 기준 안내서’를 31일 공개했다.
이 안내서는 정보통신서비스 제공자와 그 외 개인정보처리자로 대상이 구분돼 있던 2종의 안내조지 해설서를 통합해 법 적용 기관들의 혼선을 줄였다. 또 신설된 공공 시스템 운영기관에 대한 안전조치 내용도 포함했다.
이번 안내서는 개인정보 인증수단 선택 범위를 기존 3종(인증서, 보안토큰, 일회용 비밀번호) 외에도 문자 메시지, 전화 인증, 소셜 로그인 등 다양한 방식에까지 확대한 점이 눈에 띈다. 또 로그인 반복 오류에 대한 접근제한 조치 방직으로 단순한 계정 잠금 외에 캡챠(CAPCHA) 및 인증 재시도 가능시간 제한 등 다양한 방법을 추가했다. 비밀번호의 안전한 저장을 위해 일방향 암호화하는 솔트값 추가 등을 고려할 수 있다는 점도 명시됐다.
공공 시스템에 접속한 자의 접속 기록 등을 자동화된 방식으로 분석해 불법적 개인정보 유출, 오용, 남용 등 시도를 탐지하기 위한 사례와 접속기록 생성시 필수정보를 누락하는 사례 및 이상행위 판단 기준 예시 등도 이번 안내서에 담겼다. 지난해 9월 고시 개정 후 접수된 민원과 유사 질의 발생 빈도 등을 반영해 ‘자주 묻는 질문'(FAQ) 항목도 포함됐다.
안내서는 31일부터 개인정보위 홈페이지에서 확인할 수 있다. 개인정보위는 12월 중 설명회를 열어 이번 안내서 주요 내용을 알기 쉽게 안내할 예정이다.