‘개인정보의 안전성 확보조치 기준’, 뭐가 달라지나

[dropshadowbox align=”none” effect=”lifted-both” width=”auto” height=”” background_color=”#ffffff” border_width=”1″ border_color=”#dddddd” ]

개인정보보호법과 그 시행령을 근거로 운영돼온 ‘개인정보의 안전성 확보조치 기준’이 개정된다. 카드사 등 대규모 개인정보유출 사고 여파로 지난 2014년 말 필요한 사항이 추가되는 식으로 한차례 개정된 적이 있긴 하지만 이번엔 대폭 손질된다.

2회에 걸쳐 행정자치부가 마련한 개정안의 내용을 알아보고, 쟁점사안을 살펴본다.

  • ‘개인정보의 안전성 확보조치 기준’, 뭐가 달라지나(이번호)
  • ‘개인정보의 안전성 확보조치 기준’ 개정안, 쟁점은 [/dropshadowbox]

‘개인정보의 안전성 확보조치 기준’은 지난 2011년 9월 30일 시행된 개인정보보호법 시행령에 따라 마련됐다. 기업이나 공공기관이 개인정보를 수집·이용할 때 준수해야 하는 안전조치에 관한 기술적·관리적·물리적 조치에 관한 세부사항을 규율하고 있다.

이 고시를 위반하면 법 제75조에 따라 3000만원 이하의 과태료 처분이 내려진다. 안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실 도난 유출 위조 변조 훼손당한 자는 2년 이하의 징역이나 2000만원 이하의 벌금에 처해진다.

행정자치부는 현재 고시가 기업 규모나 개인정보 보유량에 관계없이 모든 사업자에게 동일한 의무를 부여해 불합리한 면을 개선하는 한편, 미흡한 보호조치 내용을 보완하고 신규 침해위협·기술 발전 현황을 반영한다는 취지에 따라 자문단을 구성해 개정작업을 추진했다.

개인정보처리자 세가지 유형으로 분류, 조치 의무 차등화

이번에 마련된 개정안의 가장 큰 특징은 개인정보를 많이 보유한 기업일수록 개인정보보호 조치를 강화할 수 있도록 차등화 했다는 점이다.

처리하는 기업(단체) 규모, 개인정보 보유량을 고려해 개인정보처리자를 세가지 유형으로 분류했다. 유형에 따라 의무 조치사항과 범위가 달라진다.

유형1은 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인이다.

유형2는 100만명 미만의 개인정보를 보유한 중소기업과 10만명 미만의 개인정보를 보유한 대기업, 중견기업, 공공기관 그리고 1만명 이상의 개인정보를 보유한 소상공인, 단체, 개인이 속한다.

유형3은 10만명 이상의 개인정보를 보유한 대기업, 중견기업, 공공기관 그리고 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업이 해당된다.

유형1의 경우에는 꼭 필요한 안전조치 의무만 부여함으로써 과도한 규제로 인식됐던 의무사항 적용이 면제된다. 이번에 새롭게 강화되는 의무사항과 함께 접근권한 차등 부여, 가상사설망(VPN) 활용의무 등에서 제외된다.

유형2는 소상공인보다는 강화된 안전조치 의무가 적용된다. 예를 들어 내부관리계획의 이행실태 점검 및 개선, 접근권한 관리 및 접근통제 조치 등을 수행해야 한다.

유형3의 경우에는 현행보다 안전조치가 한층 강화된다. 이들은 개인정보보호조직을 운영하고, 연 1회 이상 취약점을 점검·조치해야 한다. 암호화 키관리, 유출사고 대응 및 재해·재난 대비 계획도 수립해야 한다.

개인정보처리자 유형분류사고 방지를 위한 관리·기술적 안전조치, 사후조치, 수탁자 관리감독 강화

이번 개정안에는 유출사고 예방과 차단, 사후조치를 위한 관리적·기술적 안전조치를 강화하는 내용이 신설됐다.

개정안 제4조에는 개인정보처리자가 개인정보 분실 도난 유출 위조 변조 훼손되지 않도록 의사결정을 통해 내부 관리계획을 수립·시행하도록 규정됐다. 내부 관리계획에 포함돼야 할 사항을 대거 확장했다.

현행 기준에는 개인정보보호 책임자를 지정하고 해당 책임자와 개인정보취급자의 역할·책임, 교육에 관한 사항만 명시된 수준이었다.

개정안에는 접근권한 관리, 접근통제, 개인정보 암호화 조치, 접속기록 보관 및 점검, 악성프로그램 방지 등에 관한 사항을 비롯해 개인정보보호조직 구성과 운영, 개인정보 유출사고 대응 계획 수립·시행, 내부관리계획 이행 실태 점검·관리 등까지 명시했다. 물론 세가지 유형별로 내부관리계획에 명시해야 하는 의무조항은 다르다.

구체적인 보호 조치와 관련해 개인정보처리시스템에 대한 접근권한 관리와 접근·통제 범위와 대상이 강화됐고 취약점 점검과 보완조치 의무화 등의 조항도 신설됐다. (제5조, 제6조)

개인정보를 안전한 암호알고리즘으로 암호화하는 것 외에 안전한 암호 키 관리 절차 수립·시행해야 한다는 내용(제7조)도 새롭게 마련됐다.

개인정보 참해사고 방지를 위해 관리용 단말기에 인가받지 않은 사람이 접근해 임의로 조작하지 못하도록 하고 악성프로그램 감염 방지 등의 보안조치를 적용해야 한다는 조항(제10조)도 신설됐다.

재해·재난 발생시 개인정보처리시스템 보호를 위한 대응절차 마련과 정기점검, 백업·복구를 위한 계획을 마련해야 한다는 규정(제12조)도 도입됐다.

개인정보 수탁자에 대한 관리·감독을 규정한 제14조도 신설됐다.

행정자치부는 지난 4일 ‘개인정보의 안전성 확보조치 기준’ 개정 공청회를 열었다. 오는 7월까지 의견을 수렴한 뒤 규제심사를 거쳐 8월중 확정할 예정이다.

이인재 행정자치부 전자정부국장은 “그간 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라면서, “안전 조치의 차등화로 대규모 정보처리자에게 높은 수준의 보안의식을 촉구하는 한편, 사회 전반의 개인정보 보호수준이 높아지는 계기가 되었으면 한다”고 취지를 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

2 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다