개인정보 분리 보관: Difference between revisions
No edit summary |
No edit summary |
||
Line 4: | Line 4: | ||
==근거 법령== | ==근거 법령== | ||
{| class="wikitable" | {| class="wikitable" | ||
|'''제21조(개인정보의 파기)''' ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. | |'''개인정보 보호법 제21조(개인정보의 파기)''' ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. | ||
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. | ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. | ||
Line 11: | Line 11: | ||
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. | ④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. | ||
|} | |} | ||
* 그 외 전자상거래법, 근로기준법 등 보관 의무를 명시한 별도 법률 조문들 | |||
==분리 보관의 의의== | ==분리 보관의 의의== | ||
Line 19: | Line 21: | ||
==분리 보관 방법== | ==분리 보관 방법== | ||
=== 구분 === | ===구분=== | ||
아래로 내려갈수록 분리의 수준이 더 높다. 분리의 수준이 높다는 것은 일반적으로 더 안전하지만 더 많은 비용이 들어가는 방법을 말한다. | 아래로 내려갈수록 분리의 수준이 더 높다. 분리의 수준이 높다는 것은 일반적으로 더 안전하지만 더 많은 비용이 들어가는 방법을 말한다. | ||
'''테이블 분리''' | '''테이블 분리''' | ||
* 동일한 데이터베이스, 동일한 스키마에서 테이블만 구분한다. | *동일한 데이터베이스, 동일한 스키마에서 테이블만 구분한다. | ||
** 예) 기존 회원 테이블을 tb_user로, 분리보관된 회원 테이블을 tb_user_archive 로 구분하여 운용 | **예) 기존 회원 테이블을 tb_user로, 분리보관된 회원 테이블을 tb_user_archive 로 구분하여 운용 | ||
* 접근 권한 분리가 어렵다. | *접근 권한 분리가 어렵다. | ||
* 데이터베이스에 대한 침해가 발생한 경우 다른 테이블과 같이 피해를 볼 확률이 높다. | *데이터베이스에 대한 침해가 발생한 경우 다른 테이블과 같이 피해를 볼 확률이 높다. | ||
'''스키마 분리''' | '''스키마 분리''' | ||
* 동일한 서버, 동일한 인스턴스에서 스키마를 별도로 구분한다. | *동일한 서버, 동일한 인스턴스에서 스키마를 별도로 구분한다. | ||
* 테이블 분리에 비하면 권한 분리가 더 용이하다. | *테이블 분리에 비하면 권한 분리가 더 용이하다. | ||
* 동일한 IP, 포트를 사용하므로 접근통제에 한계가 있다. | *동일한 IP, 포트를 사용하므로 접근통제에 한계가 있다. | ||
* 데이터베이스에 대한 침해가 발생한 경우 공격 유형에 따라 같이 피해를 볼 가능성이 있다. | *데이터베이스에 대한 침해가 발생한 경우 공격 유형에 따라 같이 피해를 볼 가능성이 있다. | ||
'''인스턴스 분리''' | '''인스턴스 분리''' | ||
* 동일한 서버에서 데이터베이스 인스턴스를 별도로 구분한다. | *동일한 서버에서 데이터베이스 인스턴스를 별도로 구분한다. | ||
* 서버에 대한 침해가 발생한 경우 같이 피해를 볼 가능성이 있다. | *서버에 대한 침해가 발생한 경우 같이 피해를 볼 가능성이 있다. | ||
* 동일한 IP를 사용하지만 포트가 달라 이를 통한 접근통제가 가능하다. | *동일한 IP를 사용하지만 포트가 달라 이를 통한 접근통제가 가능하다. | ||
* 권한 분리 및 접근 통제는 테이블, 스키마 분리에 비해 용이하지만 관리가 어렵고 서버 성능에 악영향을 줄 수 있다. | *권한 분리 및 접근 통제는 테이블, 스키마 분리에 비해 용이하지만 관리가 어렵고 서버 성능에 악영향을 줄 수 있다. | ||
'''컨테이너 분리''' | '''컨테이너 분리''' | ||
* 가상화 서버를 사용하는 경우, 동일한 물리적 서버에서 컨테이너 수준으로 구분하여 운용한다. | *가상화 서버를 사용하는 경우, 동일한 물리적 서버에서 컨테이너 수준으로 구분하여 운용한다. | ||
* 서버 수준의 침해에서도 다른 컨테이너에 대한 침해에는 영향을 받지 않는다. | *서버 수준의 침해에서도 다른 컨테이너에 대한 침해에는 영향을 받지 않는다. | ||
** [[스펙터]]나 [[하트블리드]] 같은 심각한 침해에선 다른 컨테이너를 통한 침해도 가능하지만 확률이 매우 낮다. | **[[스펙터]]나 [[하트블리드]] 같은 심각한 침해에선 다른 컨테이너를 통한 침해도 가능하지만 확률이 매우 낮다. | ||
* 별도의 서버를 운용하는 것과 같이 권한 분리 및 접근 통제가 가능하다. | *별도의 서버를 운용하는 것과 같이 권한 분리 및 접근 통제가 가능하다. | ||
'''물리적 분리''' | '''물리적 분리''' | ||
* 물리적으로 구분되어 있는 서버에 분리 보관하는 경우를 말한다. | *물리적으로 구분되어 있는 서버에 분리 보관하는 경우를 말한다. | ||
* 다른 자원에 대한 침해에서 일반적으로 안전하다. | *다른 자원에 대한 침해에서 일반적으로 안전하다. | ||
** 시스템 구조에 따라 망연계 시스템 등을 통한 침해가 이론적으로 불가능한 것은 아니다. | **시스템 구조에 따라 망연계 시스템 등을 통한 침해가 이론적으로 불가능한 것은 아니다. | ||
* 망에 대한 구분까지 가능하므로 권한 분리 및 접근 통제가 용이하다. | *망에 대한 구분까지 가능하므로 권한 분리 및 접근 통제가 용이하다. | ||
* 별도의 물리적 장비가 필요하며 비용이 비싸다. | *별도의 물리적 장비가 필요하며 비용이 비싸다. | ||
=== 보안 수준 === | ===보안 수준=== | ||
주안점은 아래와 같다. | 주안점은 아래와 같다. | ||
* 접근 권한 및 활용측면에서 완전히 구분될 수 있는가 | *접근 권한 및 활용측면에서 완전히 구분될 수 있는가 | ||
* 운영 데이터가 해킹을 당했을 때 별도 보관한 데이터까지 피해가 미치지 않도록 할 수 있는가 | *운영 데이터가 해킹을 당했을 때 별도 보관한 데이터까지 피해가 미치지 않도록 할 수 있는가 | ||
예를 들어 테이블 분리는 상대적으로 간편하지만 분리의 수준이 낮은 다소 위험한 방법으로 알려져 있으며 감사 시에도 지적을 받을 수 있으나, DBMS 보안 솔루션 등을 통해 해당 테이블에 대한 접근 권한을 완전히 구분하고 암호키 또한 별도로 사용하고 있다면 적절한 분리 보관으로 인정될 수도 있다.<ref>물론 이는 점검 기준에 따라 달라질 수 있다. 원칙적으로 인정되지 않는 경우도 많다.</ref> | 예를 들어 테이블 분리는 상대적으로 간편하지만 분리의 수준이 낮은 다소 위험한 방법으로 알려져 있으며 감사 시에도 지적을 받을 수 있으나, DBMS 보안 솔루션 등을 통해 해당 테이블에 대한 접근 권한을 완전히 구분하고 암호키 또한 별도로 사용하고 있다면 적절한 분리 보관으로 인정될 수도 있다.<ref>물론 이는 점검 기준에 따라 달라질 수 있다. 원칙적으로 인정되지 않는 경우도 많다.</ref> | ||
Line 70: | Line 72: | ||
==분리 보관이 필요한 규정== | ==분리 보관이 필요한 규정== | ||
* | *전자상거래 기록(전자상거래법) | ||
** 표시ㆍ광고에 관한 기록: 6개월 | **표시ㆍ광고에 관한 기록: 6개월 | ||
** 계약 또는 청약철회 등에 관한 기록: 5년 | **계약 또는 청약철회 등에 관한 기록: 5년 | ||
** 대금결제 및 재화등의 공급에 관한 기록: 5년 | **대금결제 및 재화등의 공급에 관한 기록: 5년 | ||
** 소비자의 불만 또는 분쟁처리에 관한 기록: 3년 | **소비자의 불만 또는 분쟁처리에 관한 기록: 3년 | ||
* 임직원 경력 정보(근로기준법, 3년) | *임직원 경력 정보(근로기준법, 3년) | ||
* 임직원 임금·납세 정보(국세기본법, 5년) | *임직원 임금·납세 정보(국세기본법, 5년) | ||
== 각주 == | ==각주== | ||
<references /> | <references /> | ||
[[분류:개인정보보호]] | [[분류:개인정보보호]] | ||
[[분류:컴플라이언스]] | [[분류:컴플라이언스]] |
Revision as of 21:02, 15 March 2022
개인정보 보호법제상 개인정보 분리 보관이란 개인정보 보호법상 원칙적으로 삭제를 해야 하나 다른 법률상의 규정에 따라 불가피하게 보관을 해야 하는 경우를 말한다. 주로 활용과 접근 권한 분리를 목적으로 한 분리 보관을 의미한다.
근거 법령
개인정보 보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다. ④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. |
- 그 외 전자상거래법, 근로기준법 등 보관 의무를 명시한 별도 법률 조문들
분리 보관의 의의
개인정보 보호법제상 분리 보관이란 활용과 접근 권한 분리를 목적으로 한 분리 보관을 의미한다. 주로 개인정보 보호법상 원칙적으로 삭제를 해야 하나 다른 법률상의 규정에 따라 불가피하게 보관을 해야 하는 경우를 말한다.
- 유사시에 데이터 소실을 방지하거나 사이버 복원력을 위한 분리 보관, 무결성 유지를 위한 분리 보관도 있으나 이는 백업이나 소산과 같은 별도 기준이 적용되는 경우[1]로, 일반적인 분리 보관은 정보의 오남용 방지 및 보호에 관점을 두어야 한다.
분리 보관 방법
구분
아래로 내려갈수록 분리의 수준이 더 높다. 분리의 수준이 높다는 것은 일반적으로 더 안전하지만 더 많은 비용이 들어가는 방법을 말한다.
테이블 분리
- 동일한 데이터베이스, 동일한 스키마에서 테이블만 구분한다.
- 예) 기존 회원 테이블을 tb_user로, 분리보관된 회원 테이블을 tb_user_archive 로 구분하여 운용
- 접근 권한 분리가 어렵다.
- 데이터베이스에 대한 침해가 발생한 경우 다른 테이블과 같이 피해를 볼 확률이 높다.
스키마 분리
- 동일한 서버, 동일한 인스턴스에서 스키마를 별도로 구분한다.
- 테이블 분리에 비하면 권한 분리가 더 용이하다.
- 동일한 IP, 포트를 사용하므로 접근통제에 한계가 있다.
- 데이터베이스에 대한 침해가 발생한 경우 공격 유형에 따라 같이 피해를 볼 가능성이 있다.
인스턴스 분리
- 동일한 서버에서 데이터베이스 인스턴스를 별도로 구분한다.
- 서버에 대한 침해가 발생한 경우 같이 피해를 볼 가능성이 있다.
- 동일한 IP를 사용하지만 포트가 달라 이를 통한 접근통제가 가능하다.
- 권한 분리 및 접근 통제는 테이블, 스키마 분리에 비해 용이하지만 관리가 어렵고 서버 성능에 악영향을 줄 수 있다.
컨테이너 분리
- 가상화 서버를 사용하는 경우, 동일한 물리적 서버에서 컨테이너 수준으로 구분하여 운용한다.
- 서버 수준의 침해에서도 다른 컨테이너에 대한 침해에는 영향을 받지 않는다.
- 별도의 서버를 운용하는 것과 같이 권한 분리 및 접근 통제가 가능하다.
물리적 분리
- 물리적으로 구분되어 있는 서버에 분리 보관하는 경우를 말한다.
- 다른 자원에 대한 침해에서 일반적으로 안전하다.
- 시스템 구조에 따라 망연계 시스템 등을 통한 침해가 이론적으로 불가능한 것은 아니다.
- 망에 대한 구분까지 가능하므로 권한 분리 및 접근 통제가 용이하다.
- 별도의 물리적 장비가 필요하며 비용이 비싸다.
보안 수준
주안점은 아래와 같다.
- 접근 권한 및 활용측면에서 완전히 구분될 수 있는가
- 운영 데이터가 해킹을 당했을 때 별도 보관한 데이터까지 피해가 미치지 않도록 할 수 있는가
예를 들어 테이블 분리는 상대적으로 간편하지만 분리의 수준이 낮은 다소 위험한 방법으로 알려져 있으며 감사 시에도 지적을 받을 수 있으나, DBMS 보안 솔루션 등을 통해 해당 테이블에 대한 접근 권한을 완전히 구분하고 암호키 또한 별도로 사용하고 있다면 적절한 분리 보관으로 인정될 수도 있다.[2]
단순히 분리의 수준만 높이는 것 보다 해당 분리 수준에서 적용할 수 있는 보안 대책을 잘 설정하는 것이 더 중요하다. 분리보관된 데이터에 대해 암호화 항목을 늘리고 암호화 키를 별도로 사용할 수도 있고 접근할 일이 아예 없거나 많지 않은 데이터의 경우엔 아예 접근 경로를 막아 놓는 방법 또한 강구할 수 있다.
분리 보관이 필요한 규정
- 전자상거래 기록(전자상거래법)
- 표시ㆍ광고에 관한 기록: 6개월
- 계약 또는 청약철회 등에 관한 기록: 5년
- 대금결제 및 재화등의 공급에 관한 기록: 5년
- 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
- 임직원 경력 정보(근로기준법, 3년)
- 임직원 임금·납세 정보(국세기본법, 5년)