개인정보의 안전성 확보조치 제8조(접속기록의 보관 및 점검)

제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자의 개인정보처리 시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 14 개인정보의 안전성 확보조치 기준 안내서 ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ③ 개인정보처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다.

---

✅ 제8조 접속기록의 보관 및 점검

◼️ ① 접속기록의 보관 기간

개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접근한 모든 접속기록을 최소 1년 이상 보관·관리해야 함.

단, 아래 세 가지 조건 중 하나라도 해당될 경우, 2년 이상 보관해야 함:

1. 대규모 처리	5만 명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
2. 민감한 정보 처리	고유식별정보(예: 주민등록번호) 또는 민감정보를 처리하는 시스템
3. 특정 통신사업자	전기통신사업법 제6조 제1항에 따라 등록·신고된 기간통신사업자

📌 해당 조건에 해당하는 시스템은 로그를 2년 이상 장기 보관해야 하며, 보관 장소와 포맷도 위변조 방지를 고려해야 함.

◼️ ② 접속기록의 점검 주기 및 항목

• 접속기록은 월 1회 이상 정기적으로 점검해야 함.
• 점검 목적은 오·남용, 분실, 도난, 유출, 위조, 변조, 훼손 등 보안 위협 탐지.

🔎 특히 중요!

개인정보 다운로드 발생 시 → 내부관리계획 기준에 따라 사유 확인 필수
(예: 누가, 언제, 왜 다운로드 했는지 기록 및 분석 필요)

◼️ ③ 접속기록의 보안 유지 조치

• 접속기록은 위·변조, 도난, 분실 방지를 위해 안전하게 보관해야 함.

실무상 적용 가능한 보안 조치 예시:

접근제어	접속기록 열람 권한 제한
위변조 방지	WORM(Media) 저장, 블록체인 기반 저장, 암호화된 로그 저장
정기 백업	정해진 주기(예: 매일 또는 주간) 백업 및 별도 보관
무결성 검증	체크섬(CRC), 해시값 저장 및 정기 검증
로그 수집 자동화	syslog, APM, ESM 등 시스템 로그 수집 솔루션 활용

 

---

✅ 요약

보관 기간	일반: 1년 이상 / 예외 조건 충족 시: 2년 이상
점검 주기	월 1회 이상 필수 점검
특이사항 확인	개인정보 다운로드 발생 시 사유 필수 확인
보안조치	위변조·도난·분실 방지 위한 안전한 보관 체계 필요