보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Hot Issue] 2014 하반기 주의해야 할 정보보호 법령들

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2014-08-01

달라지는 주요 법령, 점검 사항은?

 

한국의 개인정보보호법이 개인정보보호에 관한 세계에서 가장 엄격한 규제 중 하나라는 사실은 익히 알려져 있다. 그럼에도 불구하고 개인정보 유출 사고는 지난 몇 년간 끊이지 않고 있으며 이를 막기 위한 법령 또한 창과 방패의 싸움처럼 반복적으로 강도를 높여가고 있다. 이미 상반기가 훌쩍 지나버린 2014년이지만 올 하반기에는 특히 주의해야 할 법령 개정안의 적용 시점들이 있어 정리해 보고자 한다.

 

[모든 사업자와 공공기관]

 

 

개인정보보호법 개정안: 201487일부터 시행

 



2013년 8월6일에 개정된 개인정보보호법 개정안이 올해 8월 7일부터 시행된다.
기업에서 챙겨 봐야 할 중요한 조항은 다음과 같다.

 

 

1. 개인정보 수집 시 정보주체의 동의를 받는 경우 필요한 최소한의 정보 외에는 수집에 동의하지 않을 수 있다는 사실을 구체적으로 알리고 동의를 받아야 함 (개인정보보호법 제16조2항)


현재 대부분 기업의 개인정보 수집이용 동의절차 양식에는 개인정보의 수집항목과 수집이용목적, 보유 및 이용기간 등과 함께 동의를 거부할 권리가 있다는 사실과 동의거부에 따른 불이익에 대한 고지 내용만 기재되어 있을 것이다. 앞으로 기업은 이용자(고객)에게 제공하려는 서비스를 위해 반드시 필요한 최소한의 개인정보 항목이 무엇인지 구체적으로 밝히고 그 외의 다른 개인정보에 대해서는 이용자가 제공하지 않거나 수집이용에 동의하지 않을 수 있도록 개인정보 수집양식과 동의 절차를 상세화 할 필요가 있다.

 

2. [중요] 주민등록번호 처리의 제한 (개인정보보호법 제24조의2)

 

8월 7일부터 개인정보 중 주민등록번호를 처리하는 일은 금지된다. 많은 기업이 ARS 상담 접수 시 주민등록번호 입력을 통해 본인 확인을 하곤 하는데 이 또한 8월 7일부터는 허용되지 않는다. 기업에게 일반적으로 허용되는 예외는 다른 법에서 ‘주민등록번호’라고 구체적으로 명시하여 처리를 요구하거나 허용한 경우뿐이다. 법령에는 제3자의 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우(제24조의2 1항2호)와 안전행정부령으로 정한 경우(제24조의2 1항3호)도 예외이긴 하지만 일반 기업에 적용되기란 거의 불가능하기 때문이다.


이 조항에 관련하여 기업에서 준비해야 할 일은 모든 개인정보 수집이용 양식에서 주민등록번호 수집 항목을 없애고 내부의 정보 처리 과정에서도 주민등록번호 없이 운영 가능하도록 조치하는 일이다. 서류 처리 과정은 물론이고 문서의 양식, 전산시스템의 데이터 구조에서도 법적인 근거가 없는 주민등록번호 처리를 하지 않도록 바꿔야 한다. 주민등록번호는 많은 정보 처리시스템에서 특정 개인을 식별하고 다른 사항과 개인을 연결하는 키(Key)로 쓰이곤 한다. 이런 목적의 주민등록번호 사용은 기술적으로 대체 가능한 다른 값으로 바꿔 사용하고, 기존 주민등록번호를 계속 사용해야만 하는 부득이한 상황이라면 관련 행정기관을 통해 ‘입법 청원’을 하라고 안전행정부는 안내하고 있다. 

 

 

 
주민등록번호 처리 필요 시 입법 청원 안내                    출처: 안전행정부

 

 

3. 개인정보보호 관련 법규 위반 시 처벌 강화 (제34조의2, 제65조)

 

개인정보보호 관련 법규 위반 행위가 있다고 인정될 만한 상당한 이유가 있는 경우 안전행정부 장관은 책임 있는 자를 징계할 것을 그 소속기관/단체 장에게 권고할 수 있도록 하고 있는데, 개정안에서는 ‘책임 있는 자’를 ‘대표자 및 책임 있는 임원을 포함한다’라고 구체화하고 있다.

 

또한 주민등록번호에 관련하여 주민등록번호가 분실/도난/유출/변조 또는 훼손된 경우에 5억원 이하의 과징금을 부과할 수 있도록 처벌이 강화되었다. 이 처벌을 경감시키려면 개인정보의 안전성확보조치(제24조제3항)를 충분한 수준으로 이행하고 있어야만 한다.


 

 

[표] 개인정보의 안정성 확보 조치

 

 

[정보통신서비스 제공자 대상]

 

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률: 2014년8월17일까지

 


 

2012년 2월 17일 일부 개정된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)’은 2012년 8월 18일 시행되었고 정보통신서비스제공자는 법 시행일로부터 2년 이내에 보유하고 있는 주민등록번호를 파기하도록 규정하고 있다. 그 2년이 종료되는 시점이 오는 2014년 8월 17일이다.

 

정보통신서비스 제공자가 보유한 주민등록번호의 파기 완료


정보통신서비스 제공자는 2014년 8월 17일까지 보유한 주민등록번호를 모두 파기해야 한다. 물론 법적인 예외 근거가 있다면 파기 대상에서 제외할 수 있다. 법적 예외란, 본인확인기관으로 지정 받았거나, 법령에서 주민등록번호의 수집이용을 허용한 경우이거나, 방통위 고시에 따라 주민등록번호 수집을 허용 받은 경우에 해당된다. 개인정보보호법과 마찬가지로 법적인 근거가 있는 경우를 제외하고 일반 기업에서 다른 예외를 적용 받기란 쉽지 않아 보인다.


기업에서 혼란스러워 하는 것은 개인정보보호법과 정통망법의 파기 시한이 다르다는 점이다. 개인정보보호법은 2016년 8월 6일이 주민등록번호 파기 완료 시한이고 정통망법은 2014년 8월17일이 완료 시한이다. 만약 어떤 회사가 영리적 목적으로 온라인서비스를 하고 있고 그 서비스를 이용하는 회원을 보유하고 있다면 회원들의 주민등록번호는 올해 8월 17일까지 파기해야 하는 것이다. 흔히 정보통신 서비스를 온라인 게임이나 포털 사이트, 인터넷 쇼핑몰 정도로만 떠올리는데 요즘 대부분의 금융거래나 주식매매도 인터넷으로 가능하고 휴양림 예약이나 지자체의 특산물 판매 등과 같이 공공기관 또한 영리적 목적의 인터넷 서비스를 제공한다는 점을 감안하면 법 적용 대상이 의외로 많음을 알 수 있다. 파기할 데이터를 저장하고 있는 장비는 서버와 같은 대형 정보처리시스템 외에 일반 PC에 저장한 자료도 포함되며 ‘복구 재생할 수 없게끔’ 파기해야 한다는 조건을 유념해야 하겠다(예를 들어 PC에서 Delete키나 Shift-Delete키를 눌러 삭제하는 정도로는 안 된다는 뜻이다).

 

 

[정보통신서비스 제공자 대상]

 

 

정보통신망법 개정: 20141129일부터

 


2014년 5월 28일 정보통신망법이 개정되었다. 시행 시점은 6개월 뒤인 2014년 11월 29일부터이다.

 

1. 최소한의 개인정보 수집 제한 조항 구체화 (제23조 1,2항 개정, 3항 신설)


기존 법령에도 개인정보 수집은 서비스 제공을 위하여 필요한 최소한의 정보에 한정된다는 조항이 있었다. 다만 ‘최소한’의 범위란 기준이 애매모호하기 때문에 사업자 잣대로만 판단하는 폐단이 없지 않았다. 개정 법령에서는 ‘최소한의 개인정보’란 ‘해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보’라고 명시함으로써 전보다는 의미가 뚜렷해졌다.

 

2. 영업 양수 시 양도업체의 기존 고객들에게 개인정보의 이전 사실을 알려야 함 (제26조2항)


기존 법령에는 개인정보 이전 사실을 정보주체들에게 알려야 할 의무가 양도업체에게 우선적으로 있었으며 양도업체가 이전 사실을 알린 경우 양수업체는 통지 의무가 없었다. 개정 법령은 양도업체와 양수업체 모두 개인정보 이전 사실을 정보 주체에게 알리도록 의무화함으로써 설령 양도업체가 미이행 한 일이 생기더라도 양수업체를 통해 정보 주체가 이전 사실을 확인할 수 있도록 하였다. 양도ㆍ양수 두 업체가 모두 개인정보 이전 통지를 하게 될 경우 비용의 낭비가 될 수도 있겠지만 중복 비용보다 개인정보 이전에 관한 정보 주체의 권리를 더 중시하겠다는 정부 의지를 읽을 수 있는 부분이다.

 

3. 정보 누출 사고 발생 시 24시간 내 신고 의무 (제27조의3)

 

개인정보 누출(도난/분실) 사고 발생 시 정보통신서비스 제공자는 ‘지체 없이’ 이용자와 방송통신위원회에 누출 사실을 알리도록 하였으나 이 역시 ‘지체 없이’의 의미가 자의적으로 해석되어 최대한 빠른 시간 내라는 본 의미를 충족시키기 어려운 문제가 있었다. 이번 개정안에서는 ‘24 시간 내’라는 시한을 구체적으로 정함으로써 사업자의 빠른 신고 대응을 촉구하고 있다.

 

 

4. 개인정보 ‘파기’의 의미 구체화 및 파기 관련 위규 시 2년 이하 징역 2천만원 이하 벌금의 형사 처벌

                                                                                                (제29조, 제30조제73조)


이 조항은 이번 개정안에서 가장 파괴력이 큰 부분이다. 기존에도 개인정보의 ‘파기’란 복구 재생할 수 없는 상태로 만드는 것이라는 해설이 있었다. 개정안에는 아예 법 조항에 ‘복구 재생할 수 없도록 파기’ 해야 한다고 명시하였다. 개인정보 수집 이용 목적이 달성되었거나 수집 보유 기간이 종료된 이후, 사업 폐업 후에도 개인정보를 파기하지 않는 경우엔 2년 이하의 징역 또는 2천만원 이하의 벌금에 해당하는 형사 처벌을 할 수 있도록 하였다. 과거에는 개인정보의 기술적/관리적 보호조치 기준을 이행하지 않더라도 3천만원 이하의 과태료 부과가 처벌의 전부였다. 앞으로는 파기를 하지 않고 있는 상황만으로도 형사처벌을 받을 수 있기 때문에 부적절한 개인정보 보유는 기업 개인정보보호 책임자에게 최대의 위협이 될 수 있다.

 

 

5. 법정 손해 배상의 청구 (제32조의 2 신설)


2014년 11월 29일부터 개인정보가 분실/도난/누출되는 사고가 발생하면 이용자는 300만원 이하의 범위에서 손해배상을 청구할 수 있다. 정보통신서비스 제공자는 고의 또는 과실로 법 규정을 위반하지 않았다는 사실을 입증하지 않으면 책임을 면할 수 없고 법원은 변론 취지와 증거 조사 결과를 고려해서 법정 손해 배상금액을 인정하게끔 하였다. 기존 법령과 차이가 큰 점은 사업자의 과실과 개인정보 유출 사고의 직접적인 인과관계가 드러나지 않고 이용자가 입은 피해의 범위를 산정할 근거가 모호하더라도 일정 금액 범위의 법정 손해배상 지급을 선고할 수 있게끔 되었다는 사실이다. 기업 입장에서 법에서 정한 모든 기술적/관리적 보호조치 기준을 100% 충족시키기란 현실적으로 어려울 수 있기 때문에 개인정보 유출사고가 일단 발생하면 이용자에 대한 대규모의 손해배상 부담을 피해가기 어렵게 된 것이다.

 

개인정보보호 법령이 강화될수록 국민 입장에서는 안심이 되겠지만 기업 입장에서는 가중되는 정보보호 비용 부담에 신음소리가 높아지는 듯 하다. 하지만 한편으로 이런 상황까지 이르게 한 근본 원인은 개인정보를 국민의 안전 관점에서 보지 않고 관리의 편의성이나 영업 대상으로만 취급하여 방만하게 보유하고 이용해 온 관행의 적폐일 수도 있다. 이제라도 쇄신하여 꼭 필요한 목적 꼭 필요한 양 이외의 개인정보는 완전 파기하고 최소한의 정보만을 안전하게 보관하는 선도적인 보안 문화가 정착되기를 기대해 본다. @

  • AhnLab 로고
  • 관리컨설팅팀 이장우 이사
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.