위치정보의 관리적·기술적 보호조치 권고 해설서
□ 권고 개요
1. 제정 배경
○ 정보통신기술의 발달은 위치정보를 이용한 물류·보안·광고·교통·상거래 등 다양한 응용서비스의 등장을 가능하게 하였다. 스마트폰을 통해 위치를 파악할 수 있는 기술과 서비스가 일상화되었고, GPS(Global Positioning System) 등 위치측위기술과 네트워크의 결합으로 보다 정밀한 위치파악이 가능하게 되었다.
○ 개인의 위치정보가 불법적으로 수집·활용될 경우 프라이버시 침해는 물론 생명·신체에 대한 즉각적인 위험을 초래할 우려가 있으므로, 위치정보사업자 및 위치기반서비스사업자(이하“위치정보사업자등”이라 한다)는 위치정보가 유출되거나 오남용 되지 않도록 적절한 보호조치를 취해야 한다.
○ 이와 관련하여 「위치정보의 보호 및 이용 등에 관한 법률(이하“위치정보법”이라 한다)」 제16조 및 같은 법 시행령 제20조는 위치정보사업자등에게 위치정보의 누출·변조·훼손 등을 방지하기 위한 관리적·기술적 보호조치를 준수 하도록 의무화하고 있다.
○ 그러나, 관리적·기술적 보호조치에 대한 구체적인 기준이 없어 해당 사업자가 법률상의 의무를 이행하는데 어려움이 발생함에 따라 「위치정보의 관리적·기술적 보호조치 권고」를 마련하였다.
2. 권고의 법적 성격
○ 이 권고는 「위치정보법」 제16조 및 같은 법 시행령 제20조의 관리적·기술적보호조치 의무를 토대로 제정되었으나 직접적인 법적 구속력이나 강제력이 있는 것은 아니다.
○ 그러나, 이 권고는 「위치정보법」에서 요구하고 있는 관리적·기술적 보호조치에 대한 구체적인 기준을 제시함으로써 위치정보사업자등이 관련 법령을 해석·적용함에 있어 오해의 소지를 없애고 관리적·기술적 보호조치를 자발적으로 준수할 수 있도록 지원하기 위해 제정된 것이므로 행정지도(行政指導)의 성격을 갖는다고 볼 수 있다.
○ 또한, 권고의 규정에 위반할 경우에는 법률에 근거한 형사처벌이 부과될 수도
있다는 예고(豫告)적 성격을 가진다
3. 권고 제정 관련 근거 법령
○ 위치정보의 보호 및 이용 등에 관한 법률 제16조(위치정보의 보호조치 등)
①위치정보사업자등은 위치정보의 누출, 변조, 훼손 등을 방지하기 위하여 위치정보의 취급·관리 지침을 제정하거나 접근 권한자를 지정하는 등의 관리적 조치와 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치를 하여야 한다. 이 경우 관리적조치와 기술적 조치의 구체적 내용은 대통령령으로 정한다.
②위치정보사업자등은 위치정보 수집·이용·제공사실 확인자료를 위치정보시스템에 자동으로 기록되고 보존되도록 하여야 한다.
③방송통신위원회는 위치정보를 보호하고 오용·남용을 방지하기 위하여 소속 공무원으로 하여금 제1항의 규정에 의한 기술적·관리적 조치의 내용과 제2항의 규정에 의한 기록의 보존실태를 대통령령이 정하는 바에 의하여 점검하게 할 수 있다.
④제3항에 따라 기술적·관리적 조치의 내용과 기록의 보존실태를 점검하는 공무원은 그 권한을 표시하는 증표를 지니고 이를 관계인에게 내보여야 한다.
○ 위치정보의 보호 및 이용 등에 관한 법률 시행령 제20조(위치정보의 관리적·기술적 보호조치)
①법 제16조제1항에 따른 관리적 조치에는 다음 각 호의 내용이 포함되어야 한다.
1. 위치정보관리책임자의 지정
2. 위치정보의 수집·이용·제공·파기 등 각 단계별 접근 권한자 지정 및 권한의 제한
3. 위치정보 취급자의 의무와 책임을 규정한 취급·관리 절차 및 지침 마련
4. 위치정보 제공사실 등을 기록한 취급대장의 운영·관리
5. 위치정보 보호조치에 대한 정기적인 자체 감사의 실시
②법 제16조제1항에 따른 기술적 조치에는 다음 각 호의 내용이 포함되어야 한다.
1. 위치정보 및 위치정보시스템의 접근권한을 확인할 수 있는 식별 및 인증 실시
2. 위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화·방화벽 설치 등의 조치
3. 위치정보시스템에 대한 접근사실의 전자적 자동 기록·보존장치의 운영
4. 위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영
4. 해설서 안내
○ 방송통신위원회(KCC)와 한국인터넷진흥원(KISA)은 「위치정보의 보호 및 이용 등에 관한 법률」 제16조 및 같은 법 시행령 제20조에 따라 위치정보의 누출·변조·훼손 등을 방지하기 위해 위치정보사업자 및 위치기반서비스사업자가 준수해야 하는 관리적·기술적 보호조치의 구체적인 기준을 제시하고자 「위치정보의 관리적·기술적 보호조치권고」를 마련한 바 있습니다.
○ 이 해설서는 동 권고의 각 조항별 주안점 및 구체적인 예를 제시함으로써 해석상 오해의 소지를 없애고, 권고에 대한 올바른 이해를 통하여 위치정보사업자등의 위치정보 보호 조치 이행을 지원하기 위하여 발간하였습니다.
○ 또한, 본 해설서에서 안내하고 있는 제품이나 사례 등이 각 기업의 특성에 따라 적용되지 않을 수 있으므로, 기업의 환경에 맞는 제품을 찾아 확인하여 적용하는 것이 필요합니다.
☞ 첨부파일 : 위치정보의_관리적_기술적_보호조치_권고_해설서(2015)
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
댓글 없음:
댓글 쓰기