Security. unlimited possibilities

최근 개인정보의 취급 및 관리에 대한 요구와 대안이 끊임없이 이슈화되고 있다.

이와 관련하여 최근에 "정통망법" 개선사항에 대한 설명회가 있었는데요. 여기서 언급된 내용은 결국 아직도 빈번하게 발생되는 개인정보의 누출, 재사용 등등의 피해를 막기 위한 보호체계를 강화하자는 것이 요점인 것 같다.

대략 요점을 정리하면, 아래와 같다.

<추진배경>

□ 최근 대량 개인정보 유출사고가 빈번히 발생하고 있음

□ 개인정보 보호체계 강화 요구가 증대됨.

□ 개인정보 과련 신규이슈가 증가추세임.

□ 신규서비스 증가 및 개인정보 이용형태 변화가 발생하고 있음

<주요내용>

□ 개인정보 처리시스템과 외부 인터넷망 분리

□ 개인정보 누출 등의 통지, 신고

□ 개인정보 유효기간제

□ 개인정보 이용내역 통지제

아... 개인적인 입장에서는 정말 나아지고 있는 듯한 느낌인데, 관리하는 입장이라면....

아래는, 관련 자료집파일(근거 법령과 목적 등 가이드를 제공)을 첨부..

2012_정보통신망법_개선사항_설명회_자료집.zip

첨부파일은 암호로 보호되어 있습니다.

법 적용 확대, 개인정보보호 협업체계 구축·가이드라인 마련 성과

실효성 높일 수 있는 법 개정과 분야별 별도 지침 필요성 제기

[보안뉴스 김태형] 개인정보보호법이 시행된 지 1년이 지난 지금. 과연 득과 실은 무엇이고, 이를 더욱 확대· 발전시키기 위한 방안에는 무엇이 있을까?

개인정보보호법은 공공·민간 분야를 망라하고 온·오프라인 모든 사업자에게 적용되는 개인정보의 원칙과 기준의 필요성이 대두되면서 지난해 9월 개인정보보호법이 발효됐고, 법·제도 연착륙을 위해 6개월간 계도기간을 거쳐 올해 3월부터 본격적으로 시행되고 있다.

지난 1년 동안의 법 시행 후 규율대상은 기존 공공기관이나 정보통신사업자 등 개별법이 규정했던 약 51만 사업자에서 공공·민간의 모든 개인정보처리자, 약 350만 사업자로 확대 시행되는 결과를 가져왔다.

이에 따라 보호범위가 기존 컴퓨터 등에 의해 처리되는 개인정보 파일에서 종이문서에 기록된 개인정보도 포함됐으며, 주민등록번호 등의 고유식별정보 처리 제한을 원칙적으로 처리 금지했다. 또한, 개인정보 유출통지를 의무화하고 집단분쟁제도와 단체소송을 도입하는 성과를 거두었다.

이와 관련 정하경 개인정보보호위원회 상임위원은 “지난 1년 동안 개인정보보호법 시행으로 인해 개인정보보호에 대한 사회적 가치가 높아졌다”며, “학교·병원·직장 등에서의 개인정보가 소중히 다루어졌으며 개인정보에 대한 동의와 법적조치가 이루어지는 등 개인정보를 보호하기 위한 노력이 커졌다”고 지난 1년 간의 성과를 평가했다.

또한, 한순기 행정안전부 개인정보보호과장은 “개인정보보호법의 제정과 발효로 인해 하위법령 및 지침이 마련됐고 개인정보보호의 기본계획 및 시행계획 수립, 분야별 개인정보보호 협업체계 구축 및 가이드라인 등을 마련하게 됐다”고 밝혔다.

아울러 그는 “주민번호 수집·이용 최소화 대책 추진, 개인정보 영향평가제도 도입·운영, 개인정보 인증마크제 도입 추진 등을 통해 제도적 기반을 정비했고 교육·홍보 및 자율규제를 통한 인식을 제고했다”고 말했다.

이러한 성과에 함께 문제점이나 개선할 부분도 적지 않다는 지적이다. 개인정보보호 포럼에서의 발표를 통해 권헌영 광운대학교 법대 교수는 “개인정보보호법의 준수를 위해 중소기업이나 소상공인들은 개인정보보호 체계를 구축해야 하는데 이에 따른 비용이 부담되어 머뭇거리고 있다”고 밝혔다.

또한, 그는 “학교와 영세업소 등에서는 보안 시스템으로 인해 업무 효율성이 떨어진다는 불만도 늘어나고 있으며 대형 포털에서도 수천만명의 신상정보가 유출되는 상황에서 영세업체들을 무작정 동참하게 하는 건 비현실적이라는 비판도 높아지고 있다”고 설명했다.

이러한 문제점 외에도 개인정보보호 정책의 집행체계 혼선으로 인한 업무권한과 기능의 분산 문제, 그리고 법률간 체계 정합성, 법률해석과 관련한 문제 등으로 인해 일각에서는 현실에 맞는 개인정보보호법의 개정안이나 분야별 별도의 지침 필요성도 제기되고 있다.

이처럼 개인정보보호법이 본격 시행되고 있음에도 일반인은 물론 공무원들조차 개인정보보호의 중요성에 대해 크게 인식하지 못하고 있어 크고 작은 보안 사고는 끊임 없이 이어지고 있다.

지난 7월 KT 고객정보 유출사건을 비롯해 최근엔 경기도시공사가 민원인들의 주소와 전화번호 등의 개인정보를 홈페이지에 공개해 해당 민원인들의 불만을 사는 등 물의를 빚기도 했다.

이러한 가운데 공격자들은 다양한 방법으로 각 기업과 공공기관이 보유한 개인정보를 포함한 중요 정보를 유출할 기회를 노리고 있어 보안의식 제고를 위한 노력도 필요하다.

이와 관련 이경호 고려대학교 정보보호대학원 교수는 “기존 알려진 공격에 대해서는 대비를 잘하고 있지만 이보다 더 커다란 피해를 줄 수 있는 알려지지 않은 공격에 대해서는 전문가의 지속적인 모니터링은 물론이고, 정보관리 프로세스, 관리체계, 시스템 및 법·제도를 연계한 종합적인 정보보호 및 관리가 필요하다”고 밝혔다.

또한, 이 교수는 “개인정보 유출사고 예방과 피해 최소화를 위해서 개인정보 영향평가, 개인정보 유출통지, 개인정보 관리체계인증 등의 제도를 활성화해야 한다”면서 “개인정보 유출사고 증거 보존 및 포렌식 기능도 강화되어야 한다”고 설명했다.

이처럼 개인정보보호법 시행 1년을 되돌아 보면 어느 정도의 성과도 있었지만, 제도 개선을 위한 과제도 아직은 산적해 있는 듯 보인다. 하지만 무엇보다 중요한 것은 개인정보처리자 및 보안담당자의 정보보호 패러다임 변화를 통한 자율적인 리스크 관리, 개인정보보호를 위한 체계적인 지침 마련, 그리고 전반적인 보호조치 이행이라고 할 수 있다.

[김태형 기자(boan@boannews.com)]

기업의 개인정보 관리 강화, 과도한 개인정보 보관 제한 등

[보안뉴스 호애진] 지난 8월 18일부터 시행된 개정 정보통신망법상의 개인정보보호 관련 신규제도에는 어떠한 것들이 있을까?

26일 포스트타워에서 열린 ‘2012 정보통신망법 개선사항 설명회’에서 윤재석 한국인터넷진흥원 개인정보제도개선팀장은 ‘정보통신망법 개인정보보호 신규제도 소개’라는 주제로 강연하며, 추진 배경 및 경과, 시행령 개정 방향 및 주요 내용을 소개했다.

윤재석 팀장은 “개정 정보통신망법은 기업의 개인정보 관리가 강화됐으며, 과도한 개인정보 보관을 제한하고, 이용자 자기정보결정권을 강화하는 한편, 개인정보보호 관리체계(PIMPS) 인증 관련 규정이 신설됐다”고 설명했다.

우선 기업의 개인정보 관리를 강화하는 차원에서 개인정보처리시스템과 외부 인터넷망을 분리하도록 했다. 이는 최근 개인정보관리자 등의 계정 해킹에 의한 대량의 개인정보 유출 사고가 발생함에 따라 사고를 예방하기 위해 높은 수준의 보안 대책 마련이 필요하다는 취지에서 비롯됐다.

적용 사업자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등이다. 대상은 망분리 적용 사업자 중 특정한 권한을 보유한 개인정보취급자로 제한한다.

윤재석 팀장은 “일정 수준의 보안성을 갖췄다면 물리적 망분리뿐만 아니라 논리적 망분리도 허용된다”면서 “다만, 구축 기간을 고려해 6개월의 유예기간을 부여했다”고 설명했다.

또한, 과도한 개인정보 보관을 제한하기 위해 개인정보 유효기간제를 도입했다. 이는 장기간 서비스를 이용하지 않는 이용자의 개인정보에 대해 파기 등 필요한 조치를 취함으로써 사업자가 불필요하게 보관하는 개인정보를 최소화하기 위함이다.

유효기간은 3년으로 하되, 해당 기간 경과 후 즉시 파기 또는 다른 개인정보와 분리 저장·관리한다. 파기 대상은 정보통신서비스 제공자 등이 보유한 이용자의 개인정보로, 유효기간 만료 30일까지 전자우편, 서면, 모사전송, 전화 또는 이와 유사한 방법으로 파기 또는 분리 저장·관리 사실, 기간 만료일 및 해당 개인정보의 항목을 통지해야 한다.

윤재석 팀장은 “최초 회원 가입 또는 회원 정보 수정 등의 단계에서 수집·관리되는 개인정보뿐만 아니라 접속 로그(log), 쿠키(cookie), 결제 기록 등 서비스 이용과정에서 생성되는 정보도 파기 등의 조치대상에 해당된다”고 밝혔다.

이용자 자기정보결정권도 강화됐다. 이용자가 개인정보의 활용 내역을 정확히 알고, 통제할 수 있는 제도로 개인정보 이용내역 통지 제도와 개인정보 누출 등의 통지·신고제를 도입했다.

개인정보 이용내역 통지제도는 사업자가 주기적으로 이용자의 개인정보 이용내역을 통지함으로써, 이용자가 본인의 개인정보 이용내역을 정확히 알고 통제가 가능하도록 하는 것이다.

해당 사업자는 개인정보 수집·이용 목적 및 수집 항목, 개인정보 제공받은 자와 제공 목적 및 제공 항목, 취급 위탁 받은 자 및 취급 위탁 목적을 연 1회 이상 통지해야 한다는 내용이 주 골자다.

이어 개인정보 누출 등의 통지·신고제는 개인정보 누출사고 발생 시 이용자에게 해당 사실을 통지하고 방통위에 신고해 명의 도용, 금전적 피해 등 추가 피해가 확산되는 것을 방지하기 위함이다.

해당 사업자는 개인정보 분실·도난·누출 사실을 안 때, 지체없이 이용자 통지 및 방통위에 신고를 해야 하며, 통지 내용은 누출 개인정보 항목, 누출 발생 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자 등의 대응 조치, 이용자 상담 접수 부서 및 연락처 등이다. 또 사업자는 개인정보의 누출 등에 대한 대책 마련 및 피해 최소화 조치를 강구해야 한다.

윤재석 팀장은 “다만, 온·오픈라인에서 사업을 영위하는 경우 정보통신망법상 누출 등 신고와 개인정보보호법상 유출 신고는 범위, 시점, 접수 기관, 내용 및 목적에서 차이가 있다”면서 “해당 사업자는 방송통신위원회와 행정안전부 또는 전문기관에 신고해야 한다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

보안솔루션 구축, 법준수 기업 20% 불과...80%는 손놓고 있어

수천만명의 고객 개인정보가 누출돼 사회적 물의를 일으키는 사고가 빈번해짐에 따라 개인DB 를 암호화하도록 의무화한 개인정보보호법이 시행된지 1년이 됐음에도 불구하고, 해킹 등으로 인해 대규모 개인정보 유출사고 가능성은 여전히 높은 것으로 조사됐다.

케이사인(대표 최승락)이 ‘2012 전자정부 정보보호 솔루션 전시회’ 기간 동안 265개 업체를 대상으로 실시한 ‘개인정보보호실태 현황조사’ 설문조사 결과, 전체 응답자의 20%만이 보안솔루션을 구축했다고 응답한 것으로 나타났다.

반면, 응답자의 60.4%가 ‘아직 보안솔루션을 구축하지 않았다’고 응답했고, 응답자의 19.6%는 ‘잘 모르겠다’고 답해, 응답기업의 80%가 법을 지키고 있지 않는 등 대다수 기업들이 여전히 개인정보보호 사각지대에 놓여있는 것으로 집계됐다.

대다수 기업들은 개인정보보호법을 지키기 어려운 이유에 대해 법과 대응방법에 대해 잘 모른다는 ‘정보부재’가 34.7%로 1위로 나타났고, 이어 ‘예산부족’(32.5%), ‘뭘해야 할지 모르겠다’(12.5%) 순으로 나타났고, ‘법을 지키는 데 전혀 문제가 없다’고 응답한 기업은 14.3%에 불과한 것으로 조사됐다.

심지어 개인정보를 수집, 관리하는 기업이나 기관들이 개인정보 분실, 도난, 유출, 변조를 당할 경우, 2년이하 징역이나 1천만원이하 벌금이 부과된다는 내용의 개인정보보호법 처벌내용에 대해서는 응답자의 17.4%만이 ‘잘 알고 있다’고 응답한 반면, ‘잘 모르겠다’ 혹은 ‘어느 정도 알고 있다’고 응답한 기업이 82.6%를 차지, 아직도 개인정보보호법에 대한 기업들의 인식이 크게 낮은 것으로 나타났다.

또한, 지난해 9월말 발효된 개인정보보호법의 DB암호화에 대한 유예기간이 올해 12월말로 종료, 내년 1월 1일부터 본격적인 법 시행에 들어간다는 사실을 알고 있느냐를 묻는 질문에는 ‘알고 있다’고 응답한 기업이 26%인 반면, ‘모른다’고 응답한 비율은 74%로 압도적으로 높았다.

반면, 개인정보보호법을 알고 있냐는 질문에는 전체 응답자의 83%가 ‘알고 있다’고 응답, 법시행에 대해서는 대다수 기업이 인지하고 있는 것으로 조사됐다.

이번 조사에 응답한 기업 업종은 IT/인터넷 관련기업이 57%로 가장 많았고, 이어 공공부문(11.3%), 무역/물류(8.3%), 생산제조(6.4%), 금융(4.9%), 서비스(4.2%), 교육(3.4%), 의료(3%), 건설(0.4%) 순이었다.

케이사인 측은 “개인정보보호법이 시행된지 1년이 됐음에도 불구하고, 여전히 업무상 수집한 개인정보가 해킹되거나 외부 유출될 경우, 법적 처벌을 받는다는 인식이 부족한 상황”이라며 “문제는 대기업보다는 규모가 작은 소기업이나 자영업자 들이 여전히 사각지대에 남아있다”고 지적했다.

한편, 진선미 민주통합당 의원은 지난 17일 행정안전부로부터 제출받은 ‘개인정보 유출신고 접수현황’에 따르면, 개인정보보호법이 시행되기 시작한 작년 10월부터 올해 8월까지 7개 회사에서 총 2,659만명의 각종 개인정보가 해킹이나 직원부주의로 유출됐다고 밝힌 바 있다. 이는 우리나라 총인구(2010년말 4941만명)의 절반이 넘는 55.4%에 해당하는 수치다.

[호애진 기자(boan5@boannews.com)]