2차인증, 추가인증 OTP 관련 법령 | 개인정보보호법 | 전자금융감독규정
2차인증, 추가인증 관련 법령 | 개인정보보호법 | 전자금융감독규정
개인정보 보호에 대한 법률 규정이 강화되면서 2차인증 (추가인증)에 대한 부분은 거의 필수가 되어 가고 있는 것 같습니다. 금융권 같은 경우에는 진작부터 전자금융감독규정에서 더 강하게 규정하고 있어서 많이 적용되어 있지만 그와 비교해서 비 금융권은 조금 약한 편입니다. 많이 강화되가고 있는 중인 것 같습니다.
그럼 먼저, 국내 법령에서 2차인증 관련하여 어떤 법령이 있는지, 또한 법령을 어떻게 해석하느냐에 따라서 어떻게 적용을 해야 하는지도 있는데 그것도 한번 간단하게 (개인적인 사견으로) 보도록 하겠습니다.
먼저, 개인정보보호법에서 요구하는 2차인증 관련하여서는 아래 법령이 있습니다.
개인정보 보호법 제4조 (접근통제)
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.
<해설>
인터넷 구간 등 외부로부터 개인정보처리시스템에 접속은 원칙적으로 차단하여야 하나, 정보통신서비스 제공자 등의 업무 특성 또는 필요에 의해 개인정보취급자가 노트북, 업무용 컴퓨터, 모바일 기기 등으로 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속이 필요할 때에는 안전한 인증수단을 적용하여야 한다.
- 안전한 인증 수단의 적용 : 개인정보처리시스템에 사용자계정과 비밀번호를 입력하여 정당한 개인정보취급자 여부를 식별․인증하는 절차 이외에 추가적인 인증 수단의 적용을 말한다.
안전한 인증 수단을 적용할 때에도 보안성 강화를 위하여 VPN, 전용선 등 안전한 접속수단의 적용을 권고한다.
법령을 살펴보자면, [개인정보취급자가 정보통신망을 통해 ‘외부에서’ 개인정보처리시스템에 접속]이기 때문에 만약 내부에서 접속을 하는 경우에는 꼭 추가적인 인증을 하지 않아도 된다는 의미이지만 요즘 대부분 내부이던 외부이던 개인정보처리시스템에 접속을 하는 경우에는 거의 약간 안전빵으로 추가인증을 적용하는 추세인 것 같습니다.
개인정보의 안전성 확보조치 기준 제 5조 (접근 권한의 관리) (6항)
개인정보처리자는 개인정보처리시스템에 권한 없는 자의 비정상적인 접근을 방지하기 위하여 계정 정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우에는 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.
- 계정정보 또는 비밀번호를 일정 횟수(예: 5회) 이상 잘못 입력한 경우 사용자계정 잠금 등의 조치를 취하거나 계정정보·비밀번호 입력과 동시에 추가적인 인증수단(공인인증서, OTP 등)을 적용하여 정당한 접근 권한자임을 확인하는 등의 조치를 취하는 것을 말한다.
또한 하위 법령인 개인정보 안전성 확보조치 기준에서는 안전한 접근 통제를 위하여 비밀번호를 일정 횟수 이상 틀리면 계정을 잠그거나 접속 시 추가 인증을 적용하라고 되어 있습니다.
특히 [개인정보처리자는 개인정보처리시스템에 ~ 개인정보처리시스템에 접근을 제한하는 등 기술적 조치를 하여야 한다.] 이기 때문에 결국 개인정보처리시스템에 접속을 하여 개인정보를 처리 하면 조금 크게 해석하면 역시 안전빵으로 추가인증을 적용하는 것이 안전하다고 생각됩니다.
여기에 추가적으로, 금융권은 전자금융감독규정을 적용받는데 여기서는 한층 더 까다로운 조건이 있습니다.
전자금융감독규정 제 14조 (정보처리시스템 보호대책)
9. 정보처리시스템의 운영체제(Operating System) 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차를 의무적으로 시행할 것
<해설>
정보처리시스템의 운영체제 계정에 대한 보안강화를 위하여 로그인시 계정 및 비밀 번호 이외의 별도의 안전한 추가인증 절차를 반드시 시행하고, 운영체제 계정의 작업 수행에 대한 이상 징후 발생 시 필요한 통제 조치가 즉시 시행될 수 있도록 모니터링 체계수립(제9호, 제10호)
[정보처리시스템의 ‘운영체제’ 계정에 대한 보안강화]이기 때문에 예를들어 IT Administrator가 정보처리시스템에 원격데스크탑으로 접속을 하는 경우도 2차인증을 적용해야 한다고 나와 있습니다. 조금 더 까다롭죠.
2차인증, 추가인증 관련하여 찾아본 관련 법령은 이 정도가 될 것 같습니다. 추가적으로 다른 법령이 있을지는 모르겠지만... 위 정도면 충분하지 않을까 싶네요.