정보보호 사전점검이란 정보통신망법 제45조의2에 따라 과학기술정보통신부(이하 과기부)장관이 과기부의 인허가 사업자에게 권고할 수 있는 점검이다.

• 법적으로 강제하는 요건은 없으나, 인허가 사업자에게 권고를 한다는 것은 인허가를 조건으로 압박을 가할 수 있다는 뜻이다. 법안의 취지는 정보보호 산업 육성이었을 것으로 추정되나 실제로 과기부에서 특정 기업에 권하여 수행되는 것을 제외하면 기업 내에서 실제로 수행되는 경우는 극히 드물 것으로 추정된다.
• 수수료에 관한 기준도 있고 관련 전문 수행기관을 지정할 수 있다고 하고 관련 절차까지 모두 마련해두었으나 과기부 홈페이지나 구글 등 어딜 검색해봐도 관련 지정 신청 공고나 지정 통지 내용이 검색되지 않는 것으로 보아 주무부처에서도 관심을 가지고 있지 않은 방치되고 있는 제도로 추정된다.
• 다만, 관련 가이드가 2022년에 개정되었고, 정보안기사에 기출된 바도 있어서 일부 담당자는 어떻게든 명맥은 유지해보려고 애쓰고 있는 것이 아닐까 싶다.

특징

정보보호 사전점검은 정보통신서비스 구축·개발 단계별 정보보호 조치를 수행하는 것으로 금융감독원의 보안성 심의, 국가정보원의 보안성 검토와 정보보호 관리체계(ISMS: Information Security Management Systems)와는 차이가 있다.

• 금융감독원 ＂보안성 심의”와 국가정보원 “보안성 검토”는 사업 초기 계획 단계에서 구축 대상시스템의 보호대책을 검토하는 제도이며, 경우에 따라서는 테스트 단계에서 취약점 진단을 포함하여 보고서를 제출한다.
• 국제 정보보호 표준 ISO27001과 국내 정보보호 표준 ISMS는 정보통신서비스를 구축〮·개발하는 도메인을 포함하고 있으나, SDLC 각 단계별로 개발보안 세부 통제항목으로는 구성되어 있지 않다
  • (참고) 국내외 정보보호 관리체계 표준의 개발보안 내용
    • ISO27001 : “A.14 시스템 도입, 개발, 유지보수” 도메인에서 개발 요구사항 정의, 개발 및 지원프로세스의 보안, 테스트 데이터 보안 등으로 구성
    • ISMS : “8. 시스템개발보안” 도메인에서 분석 및 설계, 구현 및 이관 영역에 대해 개발보안 요건을 정의함
• 개인정보 영향평가는 주로 분석 및 설계 단계에서 수행하며 시험 및 운영 단계에서 이행점검 수행

수행 단계

관련 법률 규정

정보통신망법 제45조의2(정보보호 사전점검) ① 정보통신서비스 제공자는 새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려하여야 한다.

• ② 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 정보통신서비스 또는 전기통신사업을 시행하고자 하는 자에게 대통령령으로 정하는 정보보호 사전점검기준에 따라 보호조치를 하도록 권고할 수 있다.
  • 1. 이 법 또는 다른 법령에 따라 과학기술정보통신부장관의 인가ㆍ허가를 받거나 등록ㆍ신고를 하도록 되어 있는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업
  • 2. 과학기술정보통신부장관이 사업비의 전부 또는 일부를 지원하는 사업으로서 대통령령으로 정하는 정보통신서비스 또는 전기통신사업
• ③ 제2항에 따른 정보보호 사전점검의 기준ㆍ방법ㆍ절차ㆍ수수료 등 필요한 사항은 대통령령으로 정한다.

정보통신망법 시행령 제36조의3(정보보호 사전점검기준) 법 제45조의2제2항에 따른 정보보호 사전점검기준은 다음 각 호의 사항을 고려하여 과학기술정보통신부장관이 정하여 고시한다.

• 1. 정보통신망을 구축하거나 정보통신서비스를 제공하기 위한 시스템의 구조 및 운영환경
• 2. 제1호에 따른 시스템의 운영을 위한 하드웨어, 프로그램, 콘텐츠 등 자산 중 보호해야 할 대상의 식별 및 위험성
• 3. 보호대책의 도출 및 구현현황

정보통신망법 시행령 제36조의4(정보보호 사전점검 권고 대상) ① 법 제45조의2제2항제1호에서 "대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외한 금액을 말한다)인 정보통신서비스 또는 전기통신사업을 말한다.

• ② 법 제45조의2제2항제2호에서 "대통령령으로 정하는 정보통신서비스 또는 전기통신사업"이란 과학기술정보통신부장관이 신규 정보통신서비스 또는 전기통신사업의 발굴ㆍ육성을 위하여 사업비의 전부 또는 일부를 지원하는 정보통신서비스 또는 전기통신사업을 말한다.

정보통신망법 시행령 제36조의5(정보보호 사전점검의 방법 및 절차 등) ① 법 제45조의2제2항에 따른 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검(외부에서 정보통신망을 통하여 제36조의3제1호에 따른 시스템에 접속하여 보안 관련 사항을 점검하는 것을 말한다)의 방법으로 실시한다.

• ② 법 제45조의2제2항에 따른 정보보호 사전점검은 다음 각 호의 순서로 진행한다.
  • 1. 사전점검 준비
  • 2. 설계 검토
  • 3. 보호대책 적용
  • 4. 보호대책 구현현황 점검
  • 5. 사전점검 결과 정리
• ③ 법 제45조의2제2항에 따른 과학기술정보통신부장관의 권고를 받은 자는 정보보호 사전점검을 직접 실시하거나 법 제52조에 따른 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다) 또는 외부 전문기관으로 하여금 실시하게 할 수 있다. 이 경우 정보보호 사전점검은 별표 2에 따른 정보보호 기술인력의 자격기준을 갖춘 사람만 수행할 수 있다.
• ④ 제1항부터 제3항까지에서 규정한 사항 외에 정보보호 사전점검의 방법 및 절차에 관하여 필요한 세부사항은 과학기술정보통신부장관이 정하여 고시한다.

참고 문헌

• 정보보호 사전점검 해설서(22.2)