ISMS-P 인증 기준 3.2.4.이용자 단말기 접근 보호

IT 위키


개요[편집 | 원본 편집]

항목 3.2.4.이용자 단말기 접근 보호
인증기준 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다.
주요 확인사항
  • 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가?
  • 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가?
  • 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하고 있는가?
관련법규
  • 정보통신망법 제22조의2(접근권한에 대한 동의)

세부 설명[편집 | 원본 편집]

이동통신단말장치 권한 획득 시 동의[편집 | 원본 편집]

정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 관련 사항을 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다.

※ 이동통신단말장치의 범위

  • 스마트폰 및 이동통신이 가능한 태블릿 PC에 적용
  • 2G 이동통신 단말장치의 경우, 사실상 앱이 동작할 수 있는 환경이 아니므로 대상에서 제외
  • 이동통신망을 이용하지 않고 단순히 블루투스, 와이파이, 테더링 등의 기능만 수행하는 기기는 적용대상에서 제외
  • 스마트워치는 화면 크기 제약 등으로 인하여 접근권한에 대한 고지·동의 기능을 당장 구현하기 어려운 점을 고려하여, 우선 필수적 접근권한만 설정하도록 권장(다만 고지·동의 기능이 구현된 기기가 제조된 이후부터는 스마트폰 및 태블릿 PC와 동일하게 적용)
  • 앱이 스마트폰 내에 저장되어 있는 정보와 설치된 기능에 접근할 수 있는 권한을 서비스에 필요한 범위 내로 최소화하여야 함.
  • 접근권한에 대한 동의를 받기 전에 해당 서비스 제공을 위하여 반드시 필요한 접근권한(필수적 접근권한)과 반드시 필요한 접근권한이 아닌 접근권한(선택적 접근권한)을 구분하여 접근권한이 필요한 항목 및 그 이유 등을 정보주체(이용자)에게 알기 쉽게 고지한 후, 정보주체(이용자)로부터 필수적·선택적 접근권한에 대한 동의를 각각 받아야 함.
    • (필수적 접근권한인 경우)
      • ① 접근권한이 필요한 정보 및 기능의 항목
      • ② 해당 정보 및 기능에 접근이 필요한 이유를 알려야 함.
    • (선택적 접근권한인 경우)
      • 위의 ①, ②와 함께 ③접근권한 허용에 동의하지 않을 수 있다는 사실을 알려야 함.

올바른 동의 획득 및 철회 지원[편집 | 원본 편집]

  • 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않아야 한다.
  • 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하여야 한다.
    • (개별 동의 선택이 가능한 방식의 운영체제, 안드로이드 * 6.0 이상 및 아이폰) 정보주체(이용자)는 접근권한에 이미 동의한 경우일지라도 해당 운영체제에서 제공하는 앱별·접근권한별 동의 철회 기능을 사용하여 각 앱에 대한 접근권한을 재설정할 수 있음.
    • (개별 동의 선택이 불가능한 방식의 운영체제) 접근권한별 거부 기능이 구현되지 않아 원칙적으로 필수적 접근권한만 설정하도록 하였기 때문에 정보주체(이용자)가 이러한 필수적 접근권한에 대한 동의를 철회하고자 한다면 이미 설치한 앱을 삭제하면 됨. 다만 이러한 운영체제임에도 불구하고 앱 자체적으로 선택적 접근권한을 설정하여 이에 대한 동의 여부를 선택할 수 있는 기능을 구현한 경우라면 해당 앱에서 제공하는 동의 철회 기능을 사용하여 접근 권한을 재설정할 수 있음.

※ 상세한 내용은 ʻ스마트폰 앱 접근권한 개인정보 보호 안내서ʼ 참고

증거 자료[편집 | 원본 편집]

  • 앱 접근권한 동의 화면
  • 앱 접근권한 설정 현황

결함 사례[편집 | 원본 편집]

  • 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인 정보 영역에 접근할 수 있는 권한을 과도하게 설정한 경우
  • 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 접근하면서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우
  • 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우
  • 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대하여 거부할 수 없도록 하고 있는 경우

같이 보기[편집 | 원본 편집]

참고 문헌[편집 | 원본 편집]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)