아하
검색 이미지
지식재산권·IT 이미지
지식재산권·IT법률
지식재산권·IT 이미지
지식재산권·IT법률
운좋은부전나비182
운좋은부전나비18222.05.19

https 구축법이 따로 있나요?

회원가입이나 쇼핑, 예약 등 개인정보를 받아야하는 웹사이트는 http가 아니라 https(ssl보안인증서 구입)로 구축해야한다는 규제가 있다고 들었습니다. 이게 진짜인지? 맞다면 해당 법령이나 규제는 어디서 찾아볼수 있는지도 알고싶습니다. 감사합니다

55글자 더 채워주세요.
답변의 개수
3개의 답변이 있어요!
  • 안녕하세요. 김진우 변호사입니다.

    질문주신 사항에 대해 답변드리오니 참고하시기 바랍니다.

    개인정보보호법 아래 규정 참고하십시오.

    제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

    제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

    1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행

    2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

    3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

    4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치

    5. 개인정보에 대한 보안프로그램의 설치 및 갱신

    6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

    ② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

    ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

    제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.

    1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행

    가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항

    나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항

    다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항

    2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치

    가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

    나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영

    다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]

    라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영

    마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치

    3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치

    가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독

    나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관

    4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치

    가. 비밀번호의 일방향 암호화 저장

    나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장

    다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치

    라. 그 밖에 암호화 기술을 이용한 보안조치

    5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치

    6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

    ② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.

    ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.

    [본조신설 2020. 8. 4.]
    [종전 제48조의2는 제48조의14로 이동 <2020. 8. 4.>]

    만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.

  • 안녕하세요. 손고은 미국 변호사입니다.

    세계적으로 개인정보 보호가 점차 이슈가 되면서 한국에서도 SSL 보안 인증서는 개인정보를 취급하는 모든 웹사이트에 의무적으로 구축하도록 법령에 정해져 있습니다.

    규제에 대한 자세한 내용은 https://www.crosscert.com/symantec/02_3_03.jsp 을 참고해 주시길 바랍니다.

    감사합니다.

    만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.

  • 안녕하세요. 이성재 변호사/세무사입니다.

    • 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의해 개인정보를 취급하는 모든 웹사이트는 보안서버 의무화 대상이며, 구축되지 않았을 경우 1천만원 이하의 과태료 등 행정처분이 있을 수 있습니다.

    만족스러운 답변이었나요?간단한 별점을 통해 의견을 알려주세요.