‘개인정보의 안전성 확보조치 기준’ 개정안 : 타당성과 우려점

[dropshadowbox align=”none” effect=”lifted-both” width=”auto” height=”” background_color=”#ffffff” border_width=”1″ border_color=”#dddddd” ]

개인정보보호법과 그 시행령을 근거로 운영돼온 ‘개인정보의 안전성 확보조치 기준’이 개정된다. 카드사 등 대규모 개인정보유출 사고 여파로 지난 2014년 말 필요한 사항이 추가되는 식으로 한차례 개정된 적이 있긴 하지만 이번엔 대폭 손질된다.

2회에 걸쳐 행정자치부가 마련한 개정안의 내용을 알아보고, 쟁점사안을 살펴본다.

[/dropshadowbox]

지난 4일 열린 ‘개인정보의 안전성 확보조치 기준’ 개정 공청회에 각계 입장을 대표해 토론자로 참여한 전문가들은 대체로 개정 취지에 긍정적인 의견을 나타냈다. 입장에 따라 조금씩 다른 의견도 나왔다.

먼저 개정안의 가장 큰 특징인 사업자 규모나 개인정보 보유량에 따라 보안조치 의무를 차등화 한다는 점과 관리적 보호조치 강화, 새로운 침해위협과 기술변화 환경에 맞춰 필요한 사항을 강화하는 것이 바람직하다는 의견이 많았다.

김경환 법무법인 민후 대표 변호사는 “기존 기준 고시는 보유하고 있는 개인정보의 양에 상관없이 획일적인 조치를 의무화했다. 그러다보니 보호조치 기준이 영세사업자에 맞춰져 하향평준화 되는데 일조했다. 이는 사고가 터졌을 때 책임을 묻는 게 아니라 면책에 이용되고 있으며, 기업의 투자를 회피하는데 일조하는 역할을 해온 것이 사실”이라며 “기업 규모와 개인정보 보유량에 따른 등급화는 긍정적이다. 개인정보보호 조치에 있어 큰 획을 그었다고 평가할 수 있다”고 말했다.

또한 “기존 문제점은 기술적 보호조치에 방점을 두고 있어 관리적 보호조치가 미비했지만 이번에 인재로 인한 침해사고 방지하는데 좋은 계기를 만들었다고 볼 수 있다”고 평가했다.

김 변호사는 다만 “세세한 기준을 명시해 조치하도록 돼 있는 고시를 장기적으로는 목표지향적 조문으로 바꿀 필요가 있다”며 “사고가 터지고 소송이 진행되는 경우 문제되는 사안에 관한 문구가 고시에 존재하지 않아 책임을 묻지 못하는 경우가 발생하고 있다”고 덧붙였다.

차건상 건양대 정보보호학과 교수도 “개인정보 보유량과 사업규모를 고려해 보호조치를 차등 적용한 것은 타당하다”며 “대규모 개인정보를 보유한 기업이나 기관이 더욱 적극적이고 체계적으로 보호조치 할 수 있게 될 것이다. 반면에 개인정보 보유량이 적은 소상공인은 보호조치가 완화돼 개인정보의 이용과 보호가 더욱 조화를 이룰 수 있게 됐다”고 의견을 밝혔다. 차 교수는 “고시 적용이 어려운 중소기업과 소상공인을 위한 홍보 교육 상담 컨설팅 지원 등이 필요하다”고도 했다.

사본 -IMG_2448
지난 4일 오후에 열린 공청회에는 김정덕 중앙대 교수의 사회로 권현준 KISA 팀장, 차건상 건양대 교수, 김경환 민후 대표 변호사, 윤명 소비자시민모임 기획처장, 심상현 한국CPO포럼 사무국장, 구자동 케이사인 부사장, 이창범 경희대 교수, 장한 행자부 개인정보보호정책과장이 패널토론자로 참석했다.

쟁점 : 유형 분류, 개인정보의 중요도·민감도 고려는 안하나

반면에 개인정보처리자 유형을 사업자 규모와 보유 수량만으로 구분하는 것이 과연 적합한가에 대한 지적도 나왔다. 개인정보의 양 이외에도 유형별로 보유하고 있는 개인정보의 속성, 즉 민감도와 중요성이 고려돼야 하지 않느냐는 의견이다.

심상현 한국CPO(개인정보보호책임자)포럼 사무국장은 “개인정보처리자 유형을 (보유하고 있는) 개인정보 개수로 나누는 것이 실효성이 있을까”라며 문제를 제기한 후 “만일 의료정보를 1000개 갖고 있는 곳과 전화번호만 1만개를 갖고 있는 곳이 있다면 개인정보 보유량이 1만명이 넘은 기업은 유형2에 속하게 된다. 이 기준대로 유형 1에 속하는 1000개의 개인정보를 가진 곳이 의료정보를 그만큼 갖고 있다면 개인정보 가중치를 고려할 필요가 있다”고 강조했다.

이창범 경희대 교수(김앤장법률사무소 위원)도 “개인정보는 다양하다. 그 안에 여러 민감한 정보가 있다. 사업자 규모나 정보의 양만 따질 수는 없다. 원칙적으로 차등화에 반대하지는 않지만 이 경우에는 또 다른 문제가 될 수 있다”며 이를 해결할 수 있는 방안으로 유럽식 차등화 모델을 제안했다.

이 교수는 “세 등급으로 나누는 것보다는 원래 방식으로 하나는 놔두고 개인정보처리자가 가진 개인정보 가운데 고유식별정보가 없거나 위험성이 적은 경우에는 자기 책임하에 조치를 면제하거나 중대한 과실이 없는 경우 면책할 수 있도록 적용하는 것이 합리적”이라고 제시했다.

이같은 의견에 권현준 한국인터넷진흥원 개인정보정책단장은 세 등급 분류체계의 타당성을 주장했다. 권 단장은 “개인정보 실태조사를 해본 결과 소상공인은 개인정보와 무관한 경우가 51.9%, 개인정보처리시스템 없이 PC단에서 문서 프로그램을 활용하는 경우 36.4%다. 88%는 개인정보처리시스템을 운영하지 않고 있다”며 “이는 현실을 반영하지 않는 과도한 규제였다는 것을 보여준다”고 설명했다.

이와 함께 “실태조사를 해보니 내부 관리계획을 직접 수립·시행하는 경우는 48.85%에 불과했다”며 “개인정보보호책임자가 내부 관리계획 제대로 돼 있는지 점검하도록 의무 부여해 그동안 미흡했던 것을 개정하려는 취지로, 3단계 분류를 비롯해 내부 관리계획까지 현실을 반영한 것”이라고 입장을 밝혔다.

쟁점 : 개인정보 수탁자 안전조치·관리감독 실효성 있을까

다른 쟁점은 이번에 신설된 개인정보 수탁자에 대한 관리 및 감독 규정(제14조)이다. 이와 관련된 실효성 문제도 지적됐다.

이 조항에는 개인정보처리자가 제3자에게 개인정보 처리 업무를 위탁하는 경우 수탁자는 개인정보처리자의 안전조치 기준을 적용해야 한다고 돼 있다.(1항) 개인정보처리자가 업무를 위탁하는 경우 이 기준을 준수하는지 정기 점검하고 수탁자가 협조해야 하고(2항) 안전조치 기준 위반 등을 발견한 경우 수탁자에게 적절한 안전조치를 이용하도록 요청할 수 있다고 돼 있다.(3항)

심 국장은 “14조 1항에 따르면 1유형에 속하는 소규모 기업이 3유형 기업으로부터 위탁을 받은 경우에 3유형의 기준에 맞춰야 한다. 개념상으로는 당연한 일이지만 현실적으로 가능할 지 의문”이라고 지적했다.

이어 그는 “위·수탁관계가 역전되는 상황도 예상할 수 있다. 위탁하는 기업보다 수탁자 규모가 큰 경우가 있다. 대표적인 예가 대기업이 주축인 택배사다. 소규모 온라인 쇼핑몰이 거래하는 지불결제, 택배사 규모가 더 클 수 있다. 이 경우 작은 기업이 큰 기업에 점검을 나가야 하는데 과연 대기업이 받아줄지, 달라질 수 있을지 문제가 제기되고 있다”고 덧붙였다.

아울러 중복점검 우려도 나왔다. 심 국장은 “여러 업체와 거래하는 경우 위탁업체마다 점검하려 할 것인데 과연 수탁사들이 견딜 수 있을지 우려된다”며 “포럼 회원사들에게 의견을 들어보니 일일이 점검할 수도 없으니 차라리 인증이 있는 것이 낫다는 의견이 많았다”면서 그 대안으로 ‘정보보호준비도 평가’제도를 활용하는 방안을 제시하기도 했다.

현재 정보보호 준비도 평가에서 개인정보보호 항목은 있지만 선택지표로 돼 있고 해당 7개 지표에 대한 통과 여부만 판단하고 있다는 게 그의 설명이다. 더욱이 이 준비도 평가는 미래창조과학부 소관으로 운영된다.

심 국장은 “개인정보보호에 이 준비도 평가를 대입한다면 유용하게 활용될 수 있다. 현실적으로 미래부, 방통위, 행자부 등 소관부처가 달라 조율이 잘 안되는데, 정보주체인 국민의 입장에서 보면 소관에 상관이 없다는 측면에서 부처들 간 협의가 잘 이뤄졌으면 한다”고 말했다.

이날 공청회에서 만난 한 금융사 보안담당 임원도 이 문제를 지적하면서 “은행·카드사는 100곳, 증권·보험사는 30~40곳에 달하는 수탁사가 있다. 이같은 위탁업무를 수행하고 있는데 위탁사 수준의 안전조치 기준을 적용토록 해야 하고 또 정기 점검하는데 현실적인 문제가 있다”며 “실제 수탁사들이 수많은 위탁사들에게 비슷한 점검을 받느라 업무에 큰 영향을 미칠 수도 있다”고 우려를 나타냈다.

쟁점 : 개인정보처리시스템의 범위가 너무 넓다

한편, ‘개인정보처리시스템’ 정의가 너무 광범위하게 명시돼 있다는 의견도 있었다. 개정안에는 ‘개인정보처리시스템이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다’고 돼 있다. 현재 고시된 기준에는 데이터베이스(DB)시스템으로 한정돼 있는 것에서 확장되기 때문에 이로 인한 조치범위도 달라지게 된다.

이 교수는 “개인정보처리시스템의 정의가 엄청 확대된 것으로 보인다. 보호수준을 높이는 측면에서는 바람직하지만 고시를 위반하면 담당자는 형사처벌을 받고 검찰과 경찰에 불려가야 한다는 것을 고려해야 한다”며 “개인정보처리시스템을 별도로 두고 DB에 한해 강화된 조치를 확대 적용하는 방안이 낫다”고 밝혔다. 또 “제72조 접속기록의 보관 및 점검 역시 ‘개인정보처리시스템’이 아니라 ‘데이터베이스관리시스템(DBMS)’로 한정해도 무방하다”고 말했다.

이와 관련해 공청회에서는 “개인정보처리시스템의 정의 개정으로 접속기록 점검 대상이 DB뿐 아니라 관련된 모든 서버로 확대된 것으로 봐야 하냐”는 질문이 청중으로부터 나오기도 했다. 이에 대해 권 단장은 “논의 시 웹애플리케이션서버(WAS)를 포함하기 위해 정의를 이렇게 표기하기로 했던 것이 사실이다. 이후 발간할 해설서에서 구체적인 범위가 명시될 것”이라고 답했다.

장한 행정자치부 개인정보보호정책과장은 “2011년 개인정보보호법에 시행돼 운영돼 온 후 이번 개정안처럼 큰 변화는 처음”이라며 “개인정보보호 법령과 제도 전반에서 재점검, 재정비 요구가 많다. 이번 고시 개정도 그 틀에 있다. 국민의 소중한 개인정보를 보호하기 위해 안전성은 더욱 강화하되 불합리한 규제는 개선하자는 취지에서 추진한 것으로, 여러 의견을 잘 반영하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다