[인터뷰] 이연주 행정안전부 개인정보보호과 사무관

오는 7월 1일부터 정보통신망법에 따라 법 적용을 받는 대상 업종·업체들이 모여 지난 28일 ‘개인정보보호 실천협의회’가 창립식을 갖고, 민간 차원에서의 개인정보보호를 위한 체계를 마련했다. 준용사업체들의 자발적인 참여만으로는 본 협의회 창립은 힘든 일이었을 것이다. 이에 본 협의회를 후원하고 있는 행정안전부, 특히 관련 부서인 개인정보보호과의 이연주 사무관을 직접 만나 이와 관련한 이야기 등을 들어봤다.

-개인정보보호 의무 적용 준용사업자가 대폭 확대되는 것으로 알고 있다. 그 내용은 무엇인가?

대규모 개인정보 유출 증가로 인해 개인정보 사각지대를 최소화해 국민의 개인정보보호를 강화여야 한다는 사회적 요구가 증가함에 따라 행정안전부는 정보통신망법 시행규칙 개정을 통해 개인정보보호 의무 대상자 확대해 14개 업종을 법 적용 대상자로 추가 지정했다.

정보통신망법 시행규칙 개정은 2008년 12월 30일 공포되었으며, 오는 2009년 7월 1일부터 시행된다. 즉 7월 1일 이전인 현재는 여행업, 호텔업, 항공운수업, 학원·교습소, 휴양콘도미니엄업, 대형마트, 백화점, 체인사업 이상 8개 업종이 기존 법 적용 대상자였다. 하지만 여기에 오는 7월 1일부터는 주택건설사업, 주택관리업, 건설기계대여·매매·정비·폐기업, 부동산중개업, 자동차매매업, 자동차대여업, 결혼중개업, 의료기관, 직업소개소, 정유사, 체육시설업, 비디오대여점, 서점, 영화관 이상 14종 업종이 추가돼 총 22개 업종에 약 35만여개 업체들이 법 적용 대상을 받게 될 것으로 예상된다.

-이번에 발족된 민간차원의 개인정보보호 협의체의 추진 배경은?

‘정보통신망법’상의 준용 사업자 범위확대로 인해 정부중심의 법적 규제 및 관리·감독만으로는 효과적인 개인정보보호정책 추진 및 업체의 개인정보보호 수준 향상에 한계가 있으므로 업체의 자율규제 활성화를 위해 구심점 역할을 수행하는 민간 중심의 개인정보보호 추진체계 마련이 절실했고, 그러한 사회적 필요성의 대두가 자연스럽게 개인정보보호 실천협의회를 창립하게끔 했다.

-준용사업자에 대한 개인정보의 기술적·관리적 보호조치 기준에 대한 자세한 설명 부탁한다.

준용사업자는 이용자의 개인정보를 취급할 때 분실·도난·노출·변조 또는 훼손을 방지하기 위하여 기술적·관리적 조치를 취해야 한다.

우선 개인정보 관리적 조치 세부내용은 정보통신망법 시행규칙 제9조 제1항에 ▲개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행 ▲개인정보 관리책임자의 의무와 책임을 규정한 내부 지침 마련 ▲개인정보의 안전한 보관을 위한 잠금장치 등 물리적 접근방지 조치 ▲개인정보보호를 위한 정기적인 자체 감사 실시 ▲그 밖에 개인정보의 안전성 확보에 필요한 관리적 보호조치를 해야 한다고 명시하고 있다.

또한 개인정보 기술적 조치 세부내용은 정보통신망법 시행규칙 제9조 제2항에 ▲개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치 ▲개인정보에 대한 권한 없는 접근을 차단하기 위한 암호화와 방화벽 설치 등의 조치 ▲접속기록의 위조·변조 방지를 위한 조치 ▲침해사고 방지를 위한 보안프로그램의 설치 및 운영 ▲그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치를 해야 한다고 명시하고 있다.

특히 개인정보 관리적·기술적 조치를 제대로 하지 못했을 경우에는 ▲개인정보관리책임자 지정 및 개인정보취급방침을 이용자에게 공개(과태료 2천만원 이하) ▲개인정보의 분실·도난·노출·변조·훼손 방지를 위해 기술적·관리적 조치 수행(과태료 3천만원 이하) ▲기술적·관리적 조치를 하지 않아 개인정보의 분실·도난·노출·변조·훼손(2년 이하의 징역 또는 1천만원 이하의 벌금) ▲직무상 알게 된 개인정보를 훼손·침해·누설하거나 제공받아서는 안됨(5년 이하 징역 또는 5천만원 이하 벌금) 등의 관련 처벌규정을 받게 된다.

-현 준용사업자들의 개인정보보호에 대한 인식 정도 수준은?

2008년도 준용사업자 개인정보보호 업무가 행안부로 이관된 이후 개인정보보호 실천결의대회, 전국순회교육, 각 협회 발행물 장관서한문 광고 등을 통해 개인정보책임관리자 및 해당 종사자들의 개인정보보호 인식제고를 위한 사업 뿐 만 아니라 준용사업자 개인정보 실태점검도 함께 실시하고 있다.

이에 따라 각 업종의 주요 업체들은 정보통신망법상의 보호조치의무준수를 위해 적극적인 노력을 하고 있으나, 아직 준용사업자 전반적으로는 미흡한 실정이다.

-행안부는 향후 이러한 준용사업자들의 개인정보보호 인식제고를 위해 어떠한 노력을 펼칠 예정인가?

준용사업자의 개인정보보호 인식제고를 위한 많은 기회를 부여하는 것이 중요한 만큼 개인정보보호 교육프로그램을 마련해 한국정보보호진흥원 홈페이지 및 협회 발간물 등을 통해 적극 홍보할 계획이다.

또한 개인정보보호에 대한 인식이 매우 저조한 업체를 위해 준용사업자 사업 환경에서 발생할 수 있는 사례를 중심으로 한 개인정보보호 매뉴얼을 발간·보급할 예정이다.

특히 준용사업자 개인정보보호 인식제고를 위한 활동으로 ▲민간기업 개인정보보호 전문교육과정 운영(총8회) ▲사업자 워크샵 등 자체 연수 교육 과정에 개인정보보호 교육시 강사 지원(수시) ▲개인정보보호 온라인 교육과정 개발 및 보급(2009년 하반기) ▲사례로 보는 ‘민간기업 개인정보보호 매뉴얼’ 발간 및 보급(2009년 하반기) 등을 펼칠 계획이다.

아울러 정보통신망법을 준용하는 사업자 대부분이 개인정보보호에 대한 관심을 갖고 있으나 CEO 들의 실질적인 투자, 즉 교육이나 보호를 위한 투자 등이 미비한 상태이므로 각 사업장의 CEO 등의 관리자의 관심을 유도하는 것이 최대 관건이라 생각한다.

또한 금년 7월 1일부터 적용되는 사업자들은 개인정보보호의무 이행에 있어서 애로사항을 개인정보보호 실천협의회 등을 통해 듣고 이를 정책에 반영하도록 노력할 것이며, 아울러 사회전반의 개인정보보호체계 수립을 위해 조속한 개인정보보호법 제정이 필요할 것으로 본다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>