https 구축법이 따로 있나요?

Question

회원가입이나 쇼핑, 예약 등 개인정보를 받아야하는 웹사이트는 http가 아니라 https(ssl보안인증서 구입)로 구축해야한다는 규제가 있다고 들었습니다. 이게 진짜인지? 맞다면 해당 법령이나 규제는 어디서 찾아볼수 있는지도 알고싶습니다. 감사합니다

김진우 변호사 · Accepted Answer

안녕하세요. 김진우 변호사입니다.질문주신 사항에 대해 답변드리오니 참고하시기 바랍니다. 개인정보보호법 아래 규정 참고하십시오. 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치5. 개인정보에 대한 보안프로그램의 설치 및 갱신6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.> 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치가. 비밀번호의 일방향 암호화 저장나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치라. 그 밖에 암호화 기술을 이용한 보안조치5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.[본조신설 2020. 8. 4.][종전 제48조의2는 제48조의14로 이동 <2020. 8. 4.>]

순한물수리141 · Answer

안녕하세요. 손고은 미국 변호사입니다.세계적으로 개인정보 보호가 점차 이슈가 되면서 한국에서도 SSL 보안 인증서는 개인정보를 취급하는 모든 웹사이트에 의무적으로 구축하도록 법령에 정해져 있습니다. 규제에 대한 자세한 내용은 https://www.crosscert.com/symantec/02_3_03.jsp 을 참고해 주시길 바랍니다.감사합니다.

LEE법률사무소 · Answer

안녕하세요. 이성재 변호사/세무사입니다.정보통신망 이용촉진 및 정보보호 등에 관한 법률에 의해 개인정보를 취급하는 모든 웹사이트는 보안서버 의무화 대상이며, 구축되지 않았을 경우 1천만원 이하의 과태료 등 행정처분이 있을 수 있습니다.

지식재산권·IT

지식재산권·IT

https 구축법이 따로 있나요?