개인정보보호법 시행 1년...得과 失 그리고 나아갈 길

법 적용 확대, 개인정보보호 협업체계 구축·가이드라인 마련 성과

실효성 높일 수 있는 법 개정과 분야별 별도 지침 필요성 제기

[보안뉴스 김태형] 개인정보보호법이 시행된 지 1년이 지난 지금. 과연 득과 실은 무엇이고, 이를 더욱 확대· 발전시키기 위한 방안에는 무엇이 있을까?

개인정보보호법은 공공·민간 분야를 망라하고 온·오프라인 모든 사업자에게 적용되는 개인정보의 원칙과 기준의 필요성이 대두되면서 지난해 9월 개인정보보호법이 발효됐고, 법·제도 연착륙을 위해 6개월간 계도기간을 거쳐 올해 3월부터 본격적으로 시행되고 있다.

지난 1년 동안의 법 시행 후 규율대상은 기존 공공기관이나 정보통신사업자 등 개별법이 규정했던 약 51만 사업자에서 공공·민간의 모든 개인정보처리자, 약 350만 사업자로 확대 시행되는 결과를 가져왔다.

이에 따라 보호범위가 기존 컴퓨터 등에 의해 처리되는 개인정보 파일에서 종이문서에 기록된 개인정보도 포함됐으며, 주민등록번호 등의 고유식별정보 처리 제한을 원칙적으로 처리 금지했다. 또한, 개인정보 유출통지를 의무화하고 집단분쟁제도와 단체소송을 도입하는 성과를 거두었다.

이와 관련 정하경 개인정보보호위원회 상임위원은 “지난 1년 동안 개인정보보호법 시행으로 인해 개인정보보호에 대한 사회적 가치가 높아졌다”며, “학교·병원·직장 등에서의 개인정보가 소중히 다루어졌으며 개인정보에 대한 동의와 법적조치가 이루어지는 등 개인정보를 보호하기 위한 노력이 커졌다”고 지난 1년 간의 성과를 평가했다.

또한, 한순기 행정안전부 개인정보보호과장은 “개인정보보호법의 제정과 발효로 인해 하위법령 및 지침이 마련됐고 개인정보보호의 기본계획 및 시행계획 수립, 분야별 개인정보보호 협업체계 구축 및 가이드라인 등을 마련하게 됐다”고 밝혔다.

아울러 그는 “주민번호 수집·이용 최소화 대책 추진, 개인정보 영향평가제도 도입·운영, 개인정보 인증마크제 도입 추진 등을 통해 제도적 기반을 정비했고 교육·홍보 및 자율규제를 통한 인식을 제고했다”고 말했다.

이러한 성과에 함께 문제점이나 개선할 부분도 적지 않다는 지적이다. 개인정보보호 포럼에서의 발표를 통해 권헌영 광운대학교 법대 교수는 “개인정보보호법의 준수를 위해 중소기업이나 소상공인들은 개인정보보호 체계를 구축해야 하는데 이에 따른 비용이 부담되어 머뭇거리고 있다”고 밝혔다.

또한, 그는 “학교와 영세업소 등에서는 보안 시스템으로 인해 업무 효율성이 떨어진다는 불만도 늘어나고 있으며 대형 포털에서도 수천만명의 신상정보가 유출되는 상황에서 영세업체들을 무작정 동참하게 하는 건 비현실적이라는 비판도 높아지고 있다”고 설명했다.

이러한 문제점 외에도 개인정보보호 정책의 집행체계 혼선으로 인한 업무권한과 기능의 분산 문제, 그리고 법률간 체계 정합성, 법률해석과 관련한 문제 등으로 인해 일각에서는 현실에 맞는 개인정보보호법의 개정안이나 분야별 별도의 지침 필요성도 제기되고 있다.

이처럼 개인정보보호법이 본격 시행되고 있음에도 일반인은 물론 공무원들조차 개인정보보호의 중요성에 대해 크게 인식하지 못하고 있어 크고 작은 보안 사고는 끊임 없이 이어지고 있다.

지난 7월 KT 고객정보 유출사건을 비롯해 최근엔 경기도시공사가 민원인들의 주소와 전화번호 등의 개인정보를 홈페이지에 공개해 해당 민원인들의 불만을 사는 등 물의를 빚기도 했다.

이러한 가운데 공격자들은 다양한 방법으로 각 기업과 공공기관이 보유한 개인정보를 포함한 중요 정보를 유출할 기회를 노리고 있어 보안의식 제고를 위한 노력도 필요하다.

이와 관련 이경호 고려대학교 정보보호대학원 교수는 “기존 알려진 공격에 대해서는 대비를 잘하고 있지만 이보다 더 커다란 피해를 줄 수 있는 알려지지 않은 공격에 대해서는 전문가의 지속적인 모니터링은 물론이고, 정보관리 프로세스, 관리체계, 시스템 및 법·제도를 연계한 종합적인 정보보호 및 관리가 필요하다”고 밝혔다.

또한, 이 교수는 “개인정보 유출사고 예방과 피해 최소화를 위해서 개인정보 영향평가, 개인정보 유출통지, 개인정보 관리체계인증 등의 제도를 활성화해야 한다”면서 “개인정보 유출사고 증거 보존 및 포렌식 기능도 강화되어야 한다”고 설명했다.

이처럼 개인정보보호법 시행 1년을 되돌아 보면 어느 정도의 성과도 있었지만, 제도 개선을 위한 과제도 아직은 산적해 있는 듯 보인다. 하지만 무엇보다 중요한 것은 개인정보처리자 및 보안담당자의 정보보호 패러다임 변화를 통한 자율적인 리스크 관리, 개인정보보호를 위한 체계적인 지침 마련, 그리고 전반적인 보호조치 이행이라고 할 수 있다.

[김태형 기자(boan@boannews.com)]