보안서버(방화벽)의 구축은 의무인가요?

보안서버는 개인정보를 취급하는 모든 사이트에서 의무적으로 구축되어야 합니다.

1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

- 제28조(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의

기술적·관리적 조치를 하여야 한다. <전문개정 2008.6.13> 

- 제76조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2011.3.29, 2012.2.17>

2. 정보통신망이용촉진및정보보호등에관한법률 시행법

-제15조(개인정보의 보호조치) ①법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보

의 안전한 취급을 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다.

(3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의

조치)

3. 정보통신망이용촉진및정보보호등에관한법률 시행규칙

- 제9조(개인정보의 보호조치) 

① 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 관리적 조치는 다음

 각 호와 같다.

1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행

2. 개인정보 관리책임자의 의무와 책임을 규정한 내부 지침 마련

3. 개인정보의 안전한 보관을 위한 잠금장치 등 물리적 접근방지 조치

4. 개인정보보호를 위한 정기적인 자체 감사 실시

5. 그 밖에 개인정보의 안전성 확보에 필요한 관리적 보호조치

② 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 기술적 조치는 다음

 각 호와 같다.

1. 개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치

2. 개인정보에 대한 권한 없는 접근을 차단하기 위한 암호화와 방화벽 설치 등의 조치

3. 접속기록의 위조·변조 방지를 위한 조치

4. 침해사고 방지를 위한 보안프로그램의 설치 및 운영

5. 그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치

③ 행정안전부장관은 업종별 특성을 반영하여 제1항 및 제2항 각 호에 따른 보호조치의 구체적인 기준을 정하여 고시할 수 있다.

4. 개인정보의 기술적·관리적 보호조치 기준

- 제6조(개인정보의 암호화) 

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능