정보통신망법 시행령 및 시행규칙 일부개정령(안) 입법예고 등

[보안뉴스 민세아] 2월 첫째 주 보안 및 안전 법령 소식에서는 정보보호 관리체계 인증의무 대상을 확대하고, 인증심사의 신뢰성·공정성을 확보하기 위해 인증심사 업무를 수행하는 심사기관을 지정할 수 있으며, 정보보호 관리체계 인증심사의 일부를 생략할 수 있는 등의 내용을 담은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 및 시행규칙’ 일부 개정령이 가장 눈에 띈다.


또한, 공정거래위원회 소속공무원이 공정거래위원회 소관 법률에 따라 실시하는 현장조사의 방법과 절차, 디지털자료를 수집하고 분석하는 과정에서 준수해야 하는 사항, 그 밖의 조사에 관해 필요한 사항을 정함으로써 조사의 공정성과 투명성 및 효율성을 확보하는 내용의 ‘공정거래위원회 조사절차에 관한 규칙’을 고시했다.

[2016년 2월 2일] 해양레저활동 금지수역 지정 고시 개정(안) 입안예고
최근 항·포구 주변 수역에서 해양레저 활동이 증가하고 있어 선박 입·출항 시 해상교통 안전에 장애가 우려되고 있다. 이에 해양레저활동 금지수역을 확대 지정해 항·포구 주변 수역에서의 선박항행과 관련된 위험과 장해를 제거함으로써 해상교통 안전 확보에 이바지 하고자 해양레저활동 금지수역 지정 고시 개정(안)을 입안예고했다.

고시 개정안은 이전의 무역항 외에 국가어항, 지방어항 중 해양레저활동으로 인해 해상교통 안전에 장애를 초래할 개연성이 높은 사천진항, 강릉항, 대진항(묵호), 궁촌항, 장호항, 임원항의 항내 수역을 해양레저활동 금지수역으로 지정해 선박 출·입항 등 해상교통 안전을 확보할 수 있도록 했다.

다만, 다른 법률의 규정에 의해 허가 또는 신고 된 활동은 적용 제외할 수 있도록 하고, ‘훈령·예규 등의 발령 및 관리에 관한 규정’에 따라 재검토 기한을 설정할 수 있다.

[2016년 2월 3일] 유선 및 도선 사업법 시행령 일부개정령
유선사업 및 도선사업에 사용되는 선박의 노후화로 인한 안전사고 예방을 위해, 관할관청은 유선사업 및 도선사업의 면허를 취득하려할 때는 신청자가 보유한 유선 또는 도선의 선령(船齡)을 심사하도록 하는 내용으로 ‘유선 및 도선 사업법’이 개정됐다.

이에 따라 유선 또는 도선의 선령기준을, ‘선박안전법’의 적용을 받는 유선 또는 도선의 경우는 20년 이하로 정하고, ‘선박안전법’의 적용을 받지 않는 목선(木船) 및 합성수지선의 경우는 15년 이하로, 강선(鋼船)의 경우는 20년 이하로 각각 정한다.

다만 선령기준을 초과한 유선 또는 도선이 국민안전처장관이 정해 고시하는 선박검사기준에 따른 검사 등에서 안전운항에 지장이 없는 것으로 판정된 경우에는 5년 또는 10년의 범위에서 1년 단위로 그 선령을 연장할 수 있도록 했다.

[2016년 2월 3일] 태권도 진흥 및 태권도공원 조성 등에 관한 법률 일부개정법률
태권도의 품 단증 발급 및 태권도지도자 교육 업무는 특수법인인 국기원의 업무지만 ‘개인정보보호법’ 개정에 따라 주민등록번호 또는 외국인등록번호와 같은 고유식별정보 활용이 불가능해지면서 국기원의 업무가 혼란을 빚고 있다.

특히, 태권도 품 단증이 경찰공무원 시험 등 다양한 국가시험에 활용되고 있는 만큼 국기원이 고유업무수행 중 불가피한 경우에 한해 고유식별정보 처리를 허용하기 위해 태권도 진흥 및 태권도공원 조성 등에 관한 법률을 일부 개정했다.

[2016년 2월 3일] 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 및 시행규칙 일부개정령(안) 입법예고
전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자를 정보보호 관리체계 인증의무 대상으로 포함하고, 인증심사의 신뢰성·공정성을 확보하기 위해 인증심사 업무를 수행하는 심사기관을 지정할 수 있으며, 미래창조과학부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우 등 정보보호 관리체계 인증심사의 일부를 생략할 수 있는 근거가 마련된다.

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 지난해 위의 내용을 담아 일부 개정되고, 오는 6월 2일부터 시행될 예정이다. 이에 따라 정보보호 관리체계 인증의무 대상에 대한 기준, 정보보호 관리체계 심사기관 지정의 기준·절차·유효기간 에 필요한 사항, 인증심사 일부 생략을 위한 요건 및 절차 등 법률에서 위임한 사항과 그 시행에 관해 필요한 사항을 정한다. 주요 내용은 다음과 같다.

연간 매출액 또는 세입, 연간 정보통신서비스 부문 매출액 또는 일일평균 이용자 수 등에 따른 정보보호 관리체계 인증 의무대상의 기준을 구체적으로 규정한다. 정보보호 관리체계 심사기관의 지정기준을 인증심사원을 5명 이상 보유하고, 미래창조과학부장관이 실시하는 업무수행 요건·능력 심사에서 적합 인정을 받아야 하며, 정보보호 관리체계 심사기관 지정 신청 시 제출서류 등 지정 절차를 구체적으로 정한다. 지정의 유효기간은 3년으로 한다.

또한 정보보호 관리체계 인증심사의 일부 생략을 위한 전제 조건은 국제표준 정보보호 인증, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따른 개인정보보호 관리체계 인증, ‘정보통신기반 보호법’에 따른 취약점의 분석·평가로 하고, 인증심사의 일부 생략을 위한 제출서류 등 절차를 구체적으로 정한다.

[2016년 2월 4일] 공정거래위원회 조사절차에 관한 규칙
독점규제 및 공정거래에 관한 법률의 ‘사건처리 절차 등’ 규정에 의거해 공정거래위원회 소속공무원이 공정거래위원회 소관 법률에 따라 실시하는 현장조사의 방법과 절차, 디지털자료를 수집하고 분석하는 과정에서 준수해야 하는 사항, 그 밖의 조사에 관해 필요한 사항을 정함으로써 조사의 공정성과 투명성 및 효율성을 확보하는 것을 목적으로 한다.

공정거래위원회 조사절차에 관한 규칙 중 ‘디지털증거 수집 및 분석’ 부문에서 조사공무원은 디지털포렌식 실시 시 적법 절차를 따라야 하고, 조사 목적상 필요한 최소한의 자료 수집을 원칙으로 하며, 기술적, 절차적인 수단을 통해 디지털 증거의 진정성·무결성을 보장해야 한다.

디지털포렌식 업무는 디지털포렌식팀이 전담해 운영한다. 다만, 디지털증거 수집 업무의 경우 사건담당부서장이 필요하다고 판단하는 경우 공정거래위원회 지정학습으로 지정된 디지털포렌식 교육을 수료한 자로서 디지털포렌식 관련지식을 갖춘 자, 디지털포렌식 관련 민간 전문자격증을 보유하고, 디지털포렌식 실무 경험 등의 자격을 갖춘 조사공무원으로 하여금 수행하도록 할 수 있다.

조사공무원이 디지털증거를 수집한 경우에는 수집한 디지털자료 및 영치한 디지털저장매체의 원본을 디지털포렌식팀에 인계해야 하며 별도의 사본을 작성해서는 안 된다. 디지털포렌식팀 팀원은 매년 20시간 이상 전문교육기관에서 실시하는 디지털포렌식 관련 교육이나 국·내외 국가기관 또는 학회에서 실시하는 세미나를 이수해야 한다.

또한, 디지털저장매체로부터의 디지털증거의 수집은 이미징을 원칙으로 하며, 수집된 디지털증거의 진정성·무결성을 보장하기 위해 디지털자료 수집도구는 신뢰성 있는 장비 및 소프트웨어를 사용해야 한다. 현장에서의 이미징이 어려울 경우, 조사공무원은 디지털증거물로부터 저장매체만을 분리해 영치한다. 다만, 저장매체를 분리할 경우 조사목적을 달성할 수 없거나 디지털증거가 손상·훼손될 우려가 있는 등 필요한 경우에는 디지털증거물을 영치할 수 있다.

조사공무원은 수집된 디지털자료가 적법한 절차에 의해서 수집되고, 조사대상 디지털저장매체로부터 이전돼 사본으로 생성된 것임을 증명하기 위해 수집일시 및 장소, 사용자 정보, 정보저장매체의 종류, 해시값 등을 적시한 확인서를 피조사업체 관계자에게 교부해야 한다.

조사공무원이 정보처리시스템으로부터 디지털자료를 수집하는 경우 디지털포렌식팀의 정보처리 환경과 호환 가능한 형태의 파일로 변환해 수집할 수 있다. 이 경우 파일변환 사실 등을 피조사업체 관계자로부터 확인 받아야 한다. 디지털포렌식팀은 디지털증거 분석을 할 경우 신뢰할 수 있는 디지털증거 분석 장비 및 방법에 의해 실시해야 하고, 원본이 변경·훼손되지 않도록 기술적 조치를 취해야 한다. 디지털포렌식팀은 분석과정을 기록하는 등 객관성 유지에 필요한 적절한 조치를 취해야 한다.

디지털자료를 수집한 조사공무원은 수집된 디지털자료에 대해 피조사업체가 복사본을 요청하는 경우에는 이를 교부해야 한다. 복사본을 교부하는 경우 증거자료 교부 목록에 그 사실을 기재해 관리해야 한다. 피조사업체는 수집된 디지털자료에 개인정보 또는 영업비밀과 관련된 내용이 포함돼 있는 경우 공정거래위원회에 이에 대한 보호를 요청할 수 있다.

디지털포렌식팀장은 수집된 디지털자료 또는 영치된 디지털저장매체의 현황을 체계적으로 기록·관리해야 한다. 디지털포렌식팀장은 영치된 디지털저장매체로부터 디지털증거 수집을 종료한 때에는 즉시 영치된 디지털저장매체를 사건담당 부서장에게 반환한다. 디지털포렌식팀장은 디지털포렌식과정에서 확보하거나 생성된 자료의 조사목적 외 이용을 방지하고, 개인정보나 영업비밀 등의 누설 방지 등을 위해 필요한 제도적·기술적 조치를 강구해야 한다. 디지털포렌식팀장은 수집된 디지털자료를 사건의 확정판결 및 그 후속조치가 종료될 때까지 보존해야 한다.

[2016년 2월 5일] 미래창조과학부와 그 소속기관 직제 시행규칙 일부개정령
개방형 직위의 합리적 운영과 행정의 전문성 향상을 위해 대변인 및 연구제도과장을 개방형 직위로 각각 지정하고, 서울전파관리소장 및 홍보담당관을 개방형 직위에서 각각 제외하며, 미래창조과학부와 그 소속기관 인력 관리의 효율성을 높이기 위해 미래창조과학부의 4급 정원 1명을 3·4급 정원 1명으로, 5급 정원 3명을 4·5급 정원 3명으로, 연구사 정원 1명을 연구관 정원 1명으로 각각 조정하고, 중앙전파관리소의 4급 정원 1명을 3·4급 정원 1명으로, 5급 정원 2명을 4·5급 정원 2명으로, 6급 정원 3명을 5급 정원 3명으로, 연구사 정원 1명을 연구관 정원 1명으로 각각 조정한다.

이에 따라 ‘감사관 및 서울전파관리소장’을 ‘대변인 및 감사관’으로 하고, 같은 조 제2항 중 ‘홍보담당관·다자협력담당관’을 ‘다자협력담당관’으로, ‘정보보호지원과장’을 ‘연구제도과장·정보보호지원과장’으로 변경한다.

[2016년 2월 5일] 의료법 시행규칙 일부개정령
의료인 또는 의료기관 개설자가 의료기관에서 관리·보존하는 전자의무기록의 안전성을 강화하기 위해 네트워크 및 시스템 보안에 관한 시설과 장비를 갖추도록 하는 등 그 시설과 장비 기준을 강화하는 한편, 전자의무기록 보관의 효율성을 제고하기 위해 의료인 또는 의료기관 개설자가 전자의무기록을 의료기관 외의 장소에서도 관리·보존할 수 있도록 하기 위해 의료법 시행규칙이 일부 개정된다.

이에 따라 의료인이나 의료기관의 개설자는 법 제23조제2항에 따라 전자의무기록을 안전하게 관리·보존하기 위해 △전자의무기록의 생성·저장과 전자서명을 검증할 수 있는 장비 △전자서명이 있은 후 전자의무기록의 변경 여부 확인 등 전자의무기록의 이력관리를 위해 필요한 장비 △전자의무기록의 백업저장장비 △네트워크 보안에 관한 시설과 장비 △전자의무기록 시스템 보안에 관한 시설과 장비 △전자의무기록 보존 장소에 대한 물리적 접근방지 시설과 장비 △의료기관 외의 장소에 전자의무기록 시스템의 동작 여부와 상태를 실시간으로 점검할 수 있는 시설과 장비 △전자의무기록 시스템에 장애가 발생한 경우 장비를 대체할 수 있는 예비 장비 △폐쇄회로 텔레비전 등의 감시 장비 △재해예방시설 등의 시설과 장비를 갖춰야 한다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>