이 고시는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다) 제7장 통신과금서비스 및 같은 법 시행령 제6장의2 통신과금서비스에서 위임한 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다.
① 영 제66조의2제1항제1호에서 "미래창조과학부가 정하여 고시하는 비율"이라 함은 100분의 200을 말한다.
② 제1항의 부채비율은 신청일이 속하는 사업연도의 직전 사업연도말 대차대조표(최근 대차대조표를 사용하고자 하는 경우에는 신청일 최근 분기 말 대차대조표 또는 공인회계사법 제7조에 따라 등록한 공인회계사나 동법 제23조의 규정에 의하여 설립된 회계법인의 확인을 받은 신청일 최근 월말 대차대조표) 상의 자기자본 및 부채총액을 이용하여 산출한다. 이 경우 다음 각 호에 해당하는 금액은 부채총액에서 차감한다.
1. 통신과금서비스이용자와의 거래 관계에서 일시 보관하는 금액
2. 「전자금융거래법」 제2조제14호에 따른 선불전자지급수단 및 동조제15호에 따른 전자화폐의 미상환잔액
3. 「전자금융거래법」 제2조제12호에 따른 전자자금이체, 동조제19호에 따른 전자지불결제대행, 동법 제28조 및 동법 시행령 제15조제3항에 따른 결제대금예치·전자고지결제 등의 업무를 영위하는 자가 이용자와의 거래 관계에서 일시 보관하는 금액
4. 그 밖에 미래창조과학부가 인정하는 이용자와의 거래 관계에서 일시 보관하는 금액
영 제66조의3제1항제4호에서 "미래창조과학부가 정하여 고시하는 소액출자자"라 함은 등록대상 통신과금서비스제공자가 되고자 하는 법인의 의결권 있는 발행주식 총수의 100분의 1 이하의 주식을 소유한 자를 말한다.
② 중앙전파관리소장은 통신과금서비스제공자의 등록을 한 때에는 별지 제2호서식의 통신과금서비스제공자등록증을 교부하여야 한다.
법 제54조제4호에서 "미래창조과학부가 정하는 자"라 함은 「신용정보업감독규정」 제3조제1항에서 정한 자를 말한다.
① 통신과금서비스제공자는 서버 및 통신기기의 정상작동여부 확인을 위하여 정보처리시스템 자원 상태의 감시, 경고 및 제어가 가능한 모니터링체계를 갖추어야 한다.
② 통신과금서비스제공자는 해킹 침해의 방지를 위하여 다음 각 호의 시스템 및 프로그램을 설치하여야 한다.
1. 침입차단시스템 설치
2. 침입탐지시스템 설치
3. 그 밖에 필요한 보호장비 또는 암호프로그램 등 정보보호시스템 설치
③ 제2항제1호의 침입차단시스템을 설치하는 경우 다음 각 호의 사항을 준수하여야 한다.
1. 개인정보 또는 통신과금서비스제공자의 주요정보가 수록된 전산장비를 보호하는 경우 : 평가보증등급(Evaluation Assurance Level. 이하 이 조에서 "EAL"이라 한다)3+ 등급 이상의 평가·인증
2. 제1호 외의 경우 : EAL2 등급 이상의 평가·인증
④ 제2항제2호의 침입탐지시스템을 설치하는 경우 다음 각 호의 사항을 준수하여야 한다.
1. EAL2 등급 이상의 평가·인증
2. 침입기록의 자동기록, 자동경보 및 분석정보 제공 등 기능 보유
⑤ 통신과금서비스제공자는 내부 정보통신망을 인터넷 등 외부통신망과 접속하는 경우 다음 각 호의 등급 이상 또는 이에 준하는 평가·인증을 받은 장비를 설치하여야 한다.
1. 외부망 접속구간 : EAL2 등급
2. 외부망과 내부망 사이의 침입차단설정구간(DMZ) : EAL2 등급
3. 내부 구간 및 내부자료접속구간 : EAL3+ 등급
① 통신과금서비스제공자는 내부 정보통신망을 인터넷 등 외부통신망과 접속하는 경우에는 해킹 침해의 방지를 위하여 다음 각 호의 대책을 수립·운용하여야 한다.
1. 해킹 침해에 대비한 시스템프로그램 등의 중요 패치(Patch) 사항에 대하여 즉시 패치 작업 실시
2. 해킹 및 취약점에 대한 진단·분석 후 보완대책 수립 및 실시
3. 내부시스템에서 침입차단시스템 또는 침입탐지시스템을 우회한 인터넷 등 외부통신망 접속 금지
② 통신과금서비스제공자는 침입차단시스템 운용에 있어서 다음 각 호의 사항을 준수하여야 한다.
1. 최소한의 포트(Port)와 기능만을 적용하고 업무목적 이외의 기능 및 프로그램의 제거
2. 승인권자의 승인에 의하여 보안정책을 수립하여 적용하고 보안정책의 등록, 변경 및 삭제에 대한 이력을 기록·보관
3. 원격관리의 금지(다만, 원격관리가 불가피한 경우에는 인증, 암호화 등 정보보호 대책을 마련하고, 사용시간·접속자·비밀번호변경·수행업무내용 기록 등에 대한 원격관리 절차를 수립·운용)
4. 침입차단시스템의 정기적 점검
③ 통신과금서비스제공자는 침입차단시스템에 인위적·자연적으로 발생될 수 있는 시스템장애, 가동중지 등 긴급사태에 대비하여 다음 각 호의 백업 및 복구 절차 등을 수립·시행하여야 한다.
1. 긴급사태에 대비한 조직, 임무 및 업무처리 절차
2. 백업시설 구성, 백업 방법 및 절차, 정상상태로의 복구 절차
④ 통신과금서비스제공자는 암호프로그램 및 키 관리에 대해 다음 각 호를 포함한 업무처리 지침을 마련하여야 한다.
1. 암호프로그램에 대하여 담당자를 지정하고 담당자 이외의 이용을 통제
2. 암호화프로그램의 소스 프로그램(Source Program)을 별도 보관
3. 암호 및 인증시스템에 적용되는 키에 대하여 주입, 운용, 갱신, 폐기에 대한 절차 및 방법을 마련
① 통신과금서비스제공자는 컴퓨터바이러스 감염을 방지하기 위하여 다음 각 호를 포함한 대책을 수립·운용하여야 한다.
1. 컴퓨터바이러스 검색·치료 프로그램을 설치하고 최신 버전 유지
2. 출처, 유통경로 및 제작자가 명확하지 아니한 응용프로그램은 사용을 자제하고 불가피할 경우에는 컴퓨터바이러스 검색·치료 프로그램으로 진단 및 치료 후 사용
3. 컴퓨터바이러스 감염에 대비하여 방어, 탐색 및 복구 절차 마련
② 통신과금서비스제공자는 컴퓨터바이러스 감염이 발견된 경우 컴퓨터바이러스 확산 및 피해를 최소화하기 위하여 적절한 조치를 신속하게 취하여야 한다.
통신과금서비스제공자는 「인터넷주소자원에 관한 법률」 제2조제1호 가 목에 따른 인터넷프로토콜주소(이하 "IP주소"라 한다)의 안전한 사용을 위하여 다음 각 호를 포함하는 적절한 대책을 수립·운용하여야 한다.
1. 내부망에서 사용하는 IP주소의 경우 사설 IP주소 사용 등으로 보안을 강화하며 내부 IP주소체계의 외부유출 금지
2. 개인별로 내부 IP주소를 부여하여 유지·관리
3. 내부 IP주소 및 외부 IP주소의 인터넷 접속내용을 1년 이상 별도로 기록·보관
4. 정보처리시스템의 운영담당, 외부직원 등 업무 특성별로 정보통신망을 적절하게 분리한 IP주소 사용
통신과금서비스제공자는 정보처리시스템의 안전한 운영을 위하여 다음 각 호를 포함하는 관리방안을 확보하여야 한다.
1. 데이터베이스관리시스템(DBMS), 운영체제, 웹프로그램 등 주요 프로그램에 대하여 정기적으로 유지보수를 실시하고, 작업일·작업내용·작업결과 등을 기록한 유지보수관리대장을 작성하여 1년 간 보관
2. 정보처리시스템의 장애발생 시 장애일시, 장애내용 및 조치사항 등을 기록한 장애상황기록부를 상세하게 작성하여 1년 간 보관
3. 정보처리시스템에 대한 구동·조작방법, 명령어사용법, 운용순서, 장애조치 및 연락처 등 운영매뉴얼 작성
① 통신과금서비스제공자는 거래기록, 개인정보 등의 전산자료 유출·파괴 등을 방지하기 위하여 다음 각 호를 포함한 전산자료 보호대책을 수립·운용하여야 한다.
1. 사용자계정과 비밀번호를 개인별로 부여하고 이의 등록·변경·폐기 등을 체계적으로 관리
2. 외부사용자에게 사용자계정을 부여하는 경우 적절한 통제장치 마련
3. 전산자료의 보유현황을 관리하고 관리책임자를 지정·운영
4. 담당업무에 따른 전산자료의 입력·출력·열람 등 접근권한 통제
5. 전산자료 및 전산장비의 반출·입 통제
6. 전산자료는 정기 백업하고 이에 대한 정기적인 검증 실시
7. 개인용컴퓨터(PC)에 중요 전산자료를 보관하지 아니하고, 개인용컴퓨터의 공유 금지(다만, 불가피하게 개인용컴퓨터에 보관할 필요가 있는 경우에는 보관사유·보관기간 및 관리 비밀번호 등을 정하여 책임자 승인후 보관)
8. 화재 등 비상시를 대비하여 보조기억매체 등을 이용하여 전산자료를 반출할 수 있는 방안 마련
② 제1항제1호의 사용자계정의 공동 사용이 불가피한 경우에는 개인별 사용내역을 기록·관리하여야 한다.
③ 통신과금서비스제공자는 정보처리시스템을 통한 이용자정보 조회 시 다음 사항을 준수하여야 한다.
1. 전산자료 관리책임자 외에는 개인정보를 변환 표시
2. 조회자, 조회일시, 변경 또는 조회내용, 접속방법 등이 정보처리시스템에 자동 기록되도록 하고, 그 기록을 1년 이상 보존
① 통신과금서비스제공자는 정보처리시스템 및 정보보호시스템(이하 "시스템"이라 한다)에 대한 접근 통제 및 감시를 위해 다음 각 호의 사항을 포함하는 업무처리지침을 수립·시행하여야 한다.
1. 시스템에 대한 관리책임자를 지정·운영
2. 시스템에 미승인자가 접근하지 못하도록 적절한 접근 통제 대책마련
3. 시스템 통합, 전환 및 재개발 시 장애 등으로 인하여 시스템의 운영에 지장이 초래되지 않도록 적절한 통제 절차 마련·준수
② 통신과금서비스제공자는 시스템과 연결된 단말기(개인용컴퓨터를 포함한다)에 대한 접근 통제 및 감시를 위해 다음 각 호의 사항을 준수하여야 한다.
1. 업무담당자 이외의 자가 단말기를 무단으로 조작하지 못하도록 단말기별 사용자 지정, 비밀번호 및 화면보호기능 부여 등의 적절한 보호대책을 수립·운용
2. 정보통신망에 접속하는 시스템 사용자의 인가 여부를 확인하는 사용자 비밀번호 설정
3. 비밀번호는 다음 각 목의 어느 하나에 해당하도록 부여하고, 매분기 마다 1회 이상 변경
가. 3가지 종류 이상의 문자(영문 대문자 및 소문자, 특수문자, 숫자를 말한다. 이하 같다)구성으로 8자리 이상의 길이로 구성된 비밀번호
나. 2가지 종류 이상의 문자구성으로 10자리 이상의 길이로 구성된 비밀번호
통신과금서비스제공자는 각종 재해로부터 시스템을 보호하기 위하여 다음 각 호에 해당하는 조치를 취하여야 한다.
1. 화재발생 시 조기진압을 위한 소화기 및 자동소화설비 등을 갖추고, 화재전파방지를 위한 배연설비설치 등 화재예방 안전대책을 수립·운영
2. 전산장비 설치 시 화재발생 위험이 높은 지역, 상습 침수지역 및 진동피해 발생지역 등 외부환경에 의하여 전산장비 등이 영향을 받을 수 있는 지역은 제외
3. 그 밖에 화재·수해 등의 재해 및 외부로부터의 위해 방지대책을 수립·운용
① 통신과금서비스제공자가 통신과금서비스를 제공할 경우에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다.
1. 타인이 판매·제공하는 재화 또는 용역(이하 "재화 등”이라 한다)의 대가를 자신이 제공하는 전기통신역무의 요금과 함께 청구·징수한다는 뜻
2. 이용한도액
② 통신과금서비스제공자가 이용한도액을 증액할 경우에는 다음 각 호의 사항을 이용자에게 알리고 동의를 받아야 한다.
1. 기존 이용한도액과 증액되는 이용한도액
2. 이용한도액을 감액할 수 있다는 사실 및 그 방법 등
③ 통신과금서비스제공자가 법 제58조 제5항에 따라 동의를 받는 방법은 다음 각 호의 어느 하나와 같다.
1. 통신과금서비스제공자(법 제2조 제1항 제10호 중 가목의 업무를 제공하는 자)가 운영하는 인터넷 사이트 등에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법
2. 동의 내용이 기재된 서면을 이용자에게 직접 교부하거나, 우편 또는 모사전송을 통하여 전달하고 이용자가 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
3. 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
4. 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
5. 그 밖에 제1호부터 제4호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
① 이용자가 1년간 통신과금서비스를 이용하지 않을 경우 통신과금서비스제공자(법 제2조 제1항 제10호 중 가목의 업무를 제공하는 자)는 통신과금서비스 제공을 정지하여야 한다.
② 제1항에 따라 통신과금서비스 제공을 정지한 이용자에게 다시 통신과금서비스를 제공할 경우에는 통신과금서비스 이용 동의를 다시 받아야 한다.
① 정보통신서비스제공자는 통신과금서비스제공자가 마련한 전자적 대금 결제창을 이용자에게 제공하여야 한다.
② 통신과금서비스제공자는 제1항의 준수여부를 모니터링하고 이를 위반하는 정보통신서비스제공자에게는 통신과금서비스 제공을 하여서는 아니 된다.
① 통신과금서비스제공자는 통신과금서비스 이용 동의를 받으면서 이용자에게 결제비밀번호 설정 의사를 물어야 한다.
② 이용자는 통신과금서비스를 이용하면서 통신과금서비스제공자에게 결제비밀번호 설정을 요구할 수 있다.
③ 이용자가 결제비밀번호를 설정할 경우 통신과금서비스제공자는 해당 결제비밀번호가 입력되어야만 결제가 진행되도록 기술적 조치를 취해야 한다.
① 통신과금서비스제공자가 "월자동결제서비스”(이용자의 동의를 받아 첫 구매 이후 재화 및 용역의 이용기간이 자동으로 연장되어 그 대가가 이용자에게 매월 자동 청구되는 상품)를 제공할 경우에는 이용자가 전자적 대금 결제창에서 이용금액과 매월 자동결제된다는 내용에 체크하는 방법 등으로 명시적 동의를 받아야 한다.
② 월자동결제서비스를 제공하는 동안 이용금액을 증액할 경우에는 제1항의 동의를 받을 때 또는 이용금액이 증액되기 전에 이용자가 전자적 대금 결제창에서 이용금액 증액에 관한 내용에 체크하는 방법 등으로 명시적 동의를 받아야 한다.
③ 제2항에 따라 이용금액이 증액될 경우 통신과금서비스제공자는 이용자에게 이용금액 변경사실을 단문메시지(SMS) 등을 통하여 사전에 통지하여야 한다.
④ 통신과금서비스제공자가 월자동결제서비스를 제공하는 동안 콘텐츠제공사업자의 영업양도·양수 또는 합병 발생 시 이용자에 대한 전월 월자동결제 내역이 존재하거나 당월에 월자동결제 동의 내역이 존재하는 경우에만 월자동결제서비스를 제공할 수 있다.
⑤ 통신과금서비스제공자는 이용자가 원할 경우 월자동결제서비스를 차단할 수 있도록 하여야 한다.
① 통신과금서비스제공자가 통신과금서비스 결제인증에 필요한 단문메시지(SMS)를 보낼 경우 결제인증번호 입력 시 발생되는 대가와 월자동결제서비스 여부를 명확하게 기재하여야 한다.
② 법 제58조 제1항에 따라 결제내역 등을 고지할 경우 통신과금서비스 대가 발생 여부에 대하여 혼란을 일으킬 수 있는 문구를 표기해서는 아니 된다.
① 통신과금서비스제공자는 영 제66조의8 제1항 제9호에 따라 다음 각 호의 사항에 관한 기록을 해당 거래를 한 날부터 1년간 보존하여야 한다. 다만, 건당 거래 금액이 1만원을 초과하는 거래인 경우에는 5년간 보존하여야 한다.
1. 통신과금서비스 이용 동의 및 이용한도액 변경에 관한 사항
2. 월자동결제서비스 이용 동의 및 이용금액 증액 동의에 관한 사항
3. 결제인증 및 결제내역 고지에 관한 사항
미래창조과학부장관은 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2016년 7월 1일 기준으로 매3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
부칙
이 고시는 공포한 날부터 시행한다.
이 고시는 2009년 11월 5일부터 시행한다.
이 고시는 2010년 2월 3일부터 시행한다.
이 고시 시행당시 종전의 규정에 의한 서식은 2010년 6월 30일까지 이 고시에 의한 서식과 함께 사용할 수 있다.
이 고시는 고시한 날부터 시행한다.
이 고시는 2012년 11월 1일부터 시행한다.
이 고시는 고시한 날부터 시행한다.
이 고시는 2014년 11월 29일부터 시행한다.
이 고시는 고시한 날부터 시행한다.
별표 서식 정보
댓글 없음:
댓글 쓰기