정보보호 사전점검
정보보호 사전점검이란 정보통신망법 제45조의2에 따라 과학기술정보통신부(이하 과기부)장관이 과기부의 인허가 사업자에게 권고할 수 있는 점검이다.
- 법적으로 강제하는 요건은 없으나, 인허가 사업자에게 권고를 한다는 것은 인허가를 조건으로 압박을 가할 수 있다는 뜻이다. 법안의 취지는 정보보호 산업 육성이었을 것으로 추정되나 실제로 과기부에서 특정 기업에 권하여 수행되는 것을 제외하면 기업 내에서 실제로 수행되는 경우는 극히 드물 것으로 추정된다.
- 수수료에 관한 기준도 있고 관련 전문 수행기관을 지정할 수 있다고 하고 관련 절차까지 모두 마련해두었으나 과기부 홈페이지나 구글 등 어딜 검색해봐도 관련 지정 신청 공고나 지정 통지 내용이 검색되지 않는 것으로 보아 주무부처에서도 관심을 가지고 있지 않은 방치되고 있는 제도로 추정된다.
- 다만, 관련 가이드가 2022년에 개정되었고, 정보안기사에 기출된 바도 있어서 일부 담당자는 어떻게든 명맥은 유지해보려고 애쓰고 있는 것이 아닐까 싶다.
특징[edit | edit source]
정보보호 사전점검은 정보통신서비스 구축·개발 단계별 정보보호 조치를 수행하는 것으로 금융감독원의 보안성 심의, 국가정보원의 보안성 검토와 정보보호 관리체계(ISMS: Information Security Management Systems)와는 차이가 있다.
- 금융감독원 "보안성 심의”와 국가정보원 “보안성 검토”는 사업 초기 계획 단계에서 구축 대상시스템의 보호대책을 검토하는 제도이며, 경우에 따라서는 테스트 단계에서 취약점 진단을 포함하여 보고서를 제출한다.
- 국제 정보보호 표준 ISO27001과 국내 정보보호 표준 ISMS는 정보통신서비스를 구축〮·개발하는 도메인을 포함하고 있으나, SDLC 각 단계별로 개발보안 세부 통제항목으로는 구성되어 있지 않다
- (참고) 국내외 정보보호 관리체계 표준의 개발보안 내용
- ISO27001 : “A.14 시스템 도입, 개발, 유지보수” 도메인에서 개발 요구사항 정의, 개발 및 지원프로세스의 보안, 테스트 데이터 보안 등으로 구성
- ISMS : “8. 시스템개발보안” 도메인에서 분석 및 설계, 구현 및 이관 영역에 대해 개발보안 요건을 정의함
- (참고) 국내외 정보보호 관리체계 표준의 개발보안 내용
- 개인정보 영향평가는 주로 분석 및 설계 단계에서 수행하며 시험 및 운영 단계에서 이행점검 수행
수행 단계[edit | edit source]
관련 법률 규정[edit | edit source]
정보통신망법 제45조의2(정보보호 사전점검) ① 정보통신서비스 제공자는 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하여야 한다.
- ② 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다.
- 1. 이 법 또는 다른 법령에 따라 과학기술정보통신부장관의 인가ㆍ허가를 받거나 등록ㆍ신고를 하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업
- 2. 과학기술정보통신부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업
- ③ 제2항에 따른 정보보호 사전점검의 기준ㆍ방법ㆍ절차ㆍ수수료 등 필요한 사항은 대통령령으로 정한다.
정보통신망법 시행령 제36조의3(정보보호 사전점검기준) 법 제45조의2제2항에 따른 정보보호 사전점검기준은 다음 각 호의 사항을 고려하여 과학기술정보통신부장관이 정하여 고시한다.
- 1. 정보통신망을 구축하거나 정보통신서비스를 제공하기 위한 시스템의 구조 및 운영환경
- 2. 제1호에 따른 시스템의 운영을 위한 하드웨어, 프로그램, 콘텐츠 등 자산 중 보호해야 할 대상의 식별 및 위험성
- 3. 보호대책의 도출 및 구현현황
정보통신망법 시행령 제36조의4(정보보호 사전점검 권고 대상) ① 법 제45조의2제2항제1호에서 "대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외한 금액을 말한다)인 정보통신서비스 또는 전기통신사업을 말한다.
- ② 법 제45조의2제2항제2호에서 "대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 과학기술정보통신부장관이 신규 정보통신서비스 또는 전기통신사업의 발굴ㆍ육성을 위하여 사업비의 전부 또는 일부를 지원하는 정보통신서비스 또는 전기통신사업을 말한다.
정보통신망법 시행령 제36조의5(정보보호 사전점검의 방법 및 절차 등) ① 법 제45조의2제2항에 따른 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검(외부에서 정보통신망을 통하여 제36조의3제1호에 따른 시스템에 접속하여 보안 관련 사항을 점검하는 것을 말한다)의 방법으로 실시한다.
- ② 법 제45조의2제2항에 따른 정보보호 사전점검은 다음 각 호의 순서로 진행한다.
- 1. 사전점검 준비
- 2. 설계 검토
- 3. 보호대책 적용
- 4. 보호대책 구현현황 점검
- 5. 사전점검 결과 정리
- ③ 법 제45조의2제2항에 따른 과학기술정보통신부장관의 권고를 받은 자는 정보보호 사전점검을 직접 실시하거나 법 제52조에 따른 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다) 또는 외부 전문기관으로 하여금 실시하게 할 수 있다. 이 경우 정보보호 사전점검은 별표 2에 따른 정보보호 기술인력의 자격기준을 갖춘 사람만 수행할 수 있다.
- ④ 제1항부터 제3항까지에서 규정한 사항 외에 정보보호 사전점검의 방법 및 절차에 관하여 필요한 세부사항은 과학기술정보통신부장관이 정하여 고시한다.
참고 문헌[edit | edit source]
- 정보보호 사전점검 해설서(22.2)