망 분리 관련 법률

망 분리는 개인정보 보호 조치 중에서 꼭 필요한 조치 중의 하나입니다. 정보통신망법에서는 정보통신서비스 제공자에 대해 망 분리를 권고하고 있는데, 정보통신서비스 제공자가 아니더라도 ISMS(ISMS-P) 의무인증 대상자 또한 망 분리 대상에 포함이 됩니다. 

 

1. 정보통신방법 시행령

제15조(개인정보의 보호조치)

1. 법 제28조 제1항 제1호에 따라 정보통신서비스 제공자 등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다
   ① 개인정보보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항
   ② 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항
   ③ 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
2. 법 제28조제1항제2호에 따라 정보통신서비스 제공자 등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인의 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.
   ① 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템" 이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
   ② 개인정보처리시스템에 대한 침입차단 시스템 및 침입탐지시스템의 설치·운영
   ③ 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

 

2. 정보통신기반보호법

제5조(주요정보통신기반시설보호대책의 수립 등)

1. 주요정보통신기반시설을 관리하는 기관(이하 "관리기관" 이라 한다)의 장은 제9조제1항의 규정에 의한 취약점 분석·평가의 결과에 따라 소관 주요정보통시기반시설 및 관리 정보를 안전하게 보호하기 위한 예방, 백업, 복구 등 물리적·기술적 대책을 포함한 관리대책(이하 "주요정보통신기반시설보호대책" 이라 한다)을 수립·시행하여야 한다.

3. 주요 정보통신기반시설 보호지침

제25조(정보통신망 보안관리)

1. 관리기관의 장은 소관 주요정보통신기반시설 보호를 위하여 타 정보통신망과 분리·운영, 인터넷 연결이 차단된 관리자 PC를 통한 시스템 관리기능 접속, 비인가 단말기 접속차단 등의 기술적 통제수단을 강구하여야 한다.

제26조(제어시스템 보안관리)

1. 관리기관의 장은 주요정보통신기반시설 중 제어시스템의 보호를 위하여 제어시스템이 포함된 정보통신망을 폐쇄망으로 운영하여야 한다. 다만, 업무시스템 등과의 연결이 불가피할 경우 해당 구간에 침입차단 시스템 설치 등 제어시스템을 내부 업무망 등과 분리·운영하여야 한다.
2. 관리기관의 장은 제어시스템 단말기는 망ㅇ간 혼용사용을 금지하고, 제어망 내 자료 이동이 불가피한 경우 전용 단말기를 지정, 인가된 USB 등을 통해 백신 검사 후 자료이동을 실시하여야 한다.

 

4. 개인정보보호법

제29조(안전조치의무)

• 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

 

5. 개인정보보호법 시행령

제30조(개인정보의 안전성 확보 조치)

1. 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
2. 개인정보에 대한 접근 통지에 및 접근 권한의 제한 조치

 

6. 전자금융거래법

제21조(안전성의 확보의무)

1. 금융회사·전자금융업자 및 전자금융보조업자(이하 "금융회사등" 이라 한다)는 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 한다.
2. 금융회사등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치, 소요경비 등의 정보기술부문, 전자금융업무 및 전자서명법에 의한 인증서의 사용 등 인증 방법에 관하여 금융위원회가 정하는 기준을 준수하여야 한다.

7. 전자금융감독규정

제5조(해킹 등 방지대책)

1. 금융회사 또는 전자금융업자는 정보처리시스템 및 정보통신망을 해킹 등 전자적 침해행위로부터 방지하기 위하여 다음 각 호의 대책을 수립·운용하여야 한다.
   ① 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리·차단 및 접속 금지(단, 업무상 불가피하여 금융감독원장의 확인을 받은 경우에는 그러하지 아니하다)
   ② 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리할 것(단, 업무 특성상 분리하기 어렵다고 금융감독원장이 인정하는 경우에는 분리하지 아니하여도 된다)