• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호, 법ㆍ제도 완비하고 독립 전문기관 설치해야 2010.05.06

변재일 민주당 국회의원

진정한 글로벌 IT 리더가 되기 위해 ‘정보보호’는 필수

최근 개인정보유출로 인해 국민들은 불안해하고 있고 또 각 기업과 공공기관에서는 개인정보보보호를 위해 다각적인 노력을 하고 있다. 또한 현재 국회에 계류중인 개인정보보호법안이 곧 통과된다는 전망에 따라 이와 관련한 법안을 발의하고 개인정보보호에 많은 관심을 갖고 있는 민주당 변재일 국회의원을 만나 개인정보보호와 관련 법안에 대한 의견을 들었다.   


현재 개인정보보호법안이 국회에 계류중인데 법안을 발의하게 된 이유는 무엇입니까.
최근 개인정보를 이용한 각종 서비스와 마케팅 방법이 광범위하게 개발ㆍ이용되는 등 개인정보에 대한 수요가 폭증하고 있는 추세다. 공공부문에서도 행정효율, 원스톱서비스 제공 등의 명분으로 공공기관간 또는 공공기관과 민간기관간 개인정보를 주고받거나 공유하는 사례가 늘고 있다. 이로 인해 개인정보의 과도한 수집, 오ㆍ남용 유출 등 사건도 끊임없이 발생하고 있다. 하지만 우리나라는 이러한 문제에 종합적ㆍ체계적으로 대처할 수 있는 개인정보보호 감독기구가 없고 개인정보보호법도 제정되어 있지 않아 국제무대에서 개인정보보호 후진국으로 인식되는 안타까운 실정이다. 국제적인 흐름에 맞추어 개인정보보호법을 제정함으로써 국민들의 개인정보를 안전하게 보호하기 위한 법제 기반을 갖추는 것이 필요한 시점이다.


최근 2천만건의 개인정보유출로 사회가 떠들썩한데 현재 국회에 계류중인 개인정보보호법안이 조속히 통과되어야 한다고 생각하는데.
이번 사건에서도 알 수 있듯이 국내외 해커 등, 범죄 집단들이 갖가지 불법적인 방법으로 우리 국민들의 개인정보를 취득하여 암시장을 통해 국내 기업이나 개인에게 되파는 먹이사슬까지 등장하고 있는 상황이다. 범죄집단에 넘어간 개인정보는 보이스 피싱(전화사기) 등에 악용되어 제2, 제3의 피해까지 우려된다. 그 전에도 최근 몇 년간 GS칼텍스, 옥션 등 국내 최대의 기업에서 끊임없이 대규모 개인정보 유출사건이 발생해 국민들이 불안해하고 있다. 이러한 사건들이 발생할 때마다 호들갑을 떨기 보다는 침해 예방을 위한 보다 근본적인 대책 마련이 시급하다고 생각한다. 이를 위해서는 국가사회 전반에 개인정보보호 체계가 확립되어야 하는데 그런 의미에서 개인정보보호법이 조속히 제정되어야 한다고 생각한다.


공공기관의 중요 정보자산과 개인정보가 유출되는 사건이 자주 발생하는데 이를 방지하기 위해 필요한 것은 무엇입니까.
공공기관은 주민등록번호, 건강정보, 교육정보, 범죄정보 등 국민의 개인정보를 대량으로 집적해서 관리ㆍ보관하는 경우가 많다. 또한 공공기관은 보유하는 정보를 다른 기관과 공유하는 경우도 많아서 개인정보가 유출되거나 오ㆍ남용될 가능성도 그만큼 크다고 생각한다. 바로 이점이 공공기관이 보유ㆍ관리하는 개인정보가 특별히 더 위험하다고 할 수 있는 이유가 된다. 따라서 공공기관의 개인정보 보유, 처리, 관리에 대해서는 외부의 독립된 기관이 철저히 감시ㆍ감독할 수 있어야 한다. 또한 개인정보 영향평가를 도입하여 공공기관들이 대량의 개인정보가 포함된 개인정보파일을 새로 구축할 때에는 그 위험을 미리 파악하고 대처할 수 있도록 해야 한다.


현재 발의한 개인정보보호법안의 핵심 내용은 무엇입니까.
대통령 소속으로 정책수립과 집행기능(조사ㆍ시정명령 등 규제권 부여)을 수행하는 개인정보보호위원회를 설립하고 정치적 중립성 보장을 위해 국회, 대통령, 대법원장이 각 3인을 지명토록 했다. 또한 개인정보 수집겴結?제공 및 안전한 관리를 위한 원칙과 기준을 확립하는 한편, 정보주체의 동의를 사실상 강요하는 행위를 금지하는 등 실질적으로 정보주체의 자기결정권을 보호하여 공공기관과 민간 사업자 등이 투명하고 공정하게 개인정보를 처리하도록 법제화했다. 또한 개인정보 유출 등으로 인한 정보주체의 피해를 신속하게 구제하기 위하여 집단개인정보분쟁조정제도와 단체소송제도를 도입한 것이 주요 내용이다.


다른 법안들과 변 의원님의 법안과의 가장 큰 차별점은 무엇입니까.
개인정보보호위원회가 업무를 독립적으로 수행하고 개인정보처리자에 대한 관리ㆍ감독을 실질적으로 행사할 수 있도록 위원회의 위상과 권한을 강화하였다는 점에서 가장 큰  차이가 있다고 생각한다. 정부안은 행정안전부가 민간분야뿐만 아니라 공공분야에 대해서도 관리ㆍ감독을 하겠다고 하는데 이건 넌센스이다. 행정안전부는 자신이 관리ㆍ감독을 받아야 할 대상이다. 이는 현행 ‘공공기관의 개인정보보호에 관한 법률’에 의해서도 입증되었다. 또한 단체소송제도를 도입하여 개인정보처리자로 하여금 개인정보보호에 대한 경각심을 높일 수 있도록 한 것도 제가 발의한 법안의 특징이라고 할 수 있다.


이러한 개인정보보호법이 통과되어 시행된다면 달라지는 점은 무엇입니까.
그 동안에는 공공기관과 정보통신서비스제공자 등 일부 사업자만 개인정보 수집ㆍ이용ㆍ제공 등에 대해 법적 규제를 받아왔으나 이제 업무상 개인정보를 처리하는 자는 영리기관이든 비영리기관이든, 온라인 사업자이든 오프라인 사업자이든 모두 개인정보보호법을 준수해야 한다. 특히 주민등록번호와 같은 고유식별정보에 대한 수집ㆍ이용ㆍ제공이 원칙적으로 금지되며 개인정보가 누출된 때에는 지체 없이 해당 정보주체에게 알려서 피해를 최소화하는 조치를 취해야 한다.


특히 정보보호에 많은 관심을 갖고 노력하고 있는 이유는 무엇입니까.
우리나라는 자타가 공인하는 세계 최고 수준의 전자정부를 구축ㆍ운영하고 있고 정보통신 강국으로 인정받고 있다. 그러나 IT인프라가 잘 갖추어져 있고 인터넷이 우리의 생활 깊숙이 들어와 있는 만큼 개인정보 유출이나 해킹ㆍDDoS 공격으로 인한 피해가 매우 우려된다. 국민들도 반복되는 개인정보 유출, 오ㆍ남용사건과 무분별한 스팸메일, 인터넷 통신장애 등으로 불만과 피로도가 높은 실정이다. 이러한 역기능 현상들이 우리나라 경제의 한 축을 지키고 있는 IT분야의 발전을 저해할 수 있는 요소가 될 수 있다. 우리가 진정한 글로벌 IT 리더가 되기 위해서는 정보보호가 뒷받침된 안전하고 신뢰할 수 있는 IT환경을 구축해야 할 것이다.


정보보호는 국가적 위기상황과도 직결될 수 있다. 이런 의미에서 ‘정보보호’는 무엇이라고 생각합니까.
국민의 모든 삶과 기업ㆍ정부의 모든 활동이 네트워크로 연결된 현실에서 네트워크를 구성하고 있는 정보시스템과 그 안에 저장ㆍ관리ㆍ유통되는 정보보호는 국방이나 치안 이상으로 중요하다. 정보시스템이 공격을 받아 국가기능이 일시에 마비ㆍ중단되면 국가적인 혼란이 우려되고 정보시스템을 장악한 자들이 국가기능까지 장악할 가능성이 크다.

이는 핵 전쟁보다도 더 위험한 것이 될 수도 있다. 다음의 세계 전쟁은 사이버전쟁이 될 가능성이 크다는 전망도 그래서 나온 것이라고 생각한다. 아무튼 정보보호는 기업의 영업비밀보호나 국방 또는 치안 이상의 의미를 갖는다고 생각한다.


우리나라의 정보보호 수준은 어떻게 평가할 수 있습니까.
법ㆍ제도는 물론이고 기업 및 개인이나 공공기관의 인식ㆍ관행도 선진국에 비해서 매우 낮고 우리나라의 경제규모나 IT수준에 비해서도 정보보호에 투자가 턱없이 부족하다. 작년 7.7 DDoS 사건과 일련의 개인정보 유출사건들로 인해 정보보호에 대한 인식은 개선되고 있는 것으로 보이지만 아직은 정보보호 정책 수립, 사내 정보보호 가이드 제정ㆍ운영, 정보보호책임자 임명, 정보보호 교육 실시, 사고발생시 신속한 대응체계 구축 등을 통해 체계적으로 정보보호 업무를 수행하는 단계에는 이르지 못하고 있다. 기업이나 공공기관은 법에 의해서 어쩔 수 없이 정보보호 활동을 강요받고 있다고 생각하기 보다는 내 고객을 안전하게 보호해야 한다는 생각을 갖고 사내 정보보호 체계를 확립하는 등 자발적인 정보보호 활동에 앞장서야 할 것이다.


해외 선진국, 특히 미국이나 일본, 유럽 등의 개인정보보호법은 어떻습니까.
유럽 각국은 ‘EU개인정보보호지침’에 따라 공공ㆍ민간에 모두 적용되는 원칙과 기준을 포함한 개인정보보호법을 제정하여 시행하고 있고 개인정보보호 업무를 독립적으로 수행하는 전문 감독기구를 설치ㆍ운영중이다. 일본은 2003년부터 개인정보보호법을 제정ㆍ시행중인데 이 법은 개인정보보호 기본원칙과 민간분야의 처리기준을 담고 있고 행정기관에 적용되는 개인정보보호법은 별도로 운영하고 있다. 다만 유럽 국가들과는 달리 소관 부처가 각각 분야별 개인정보보호지침을 마련하여 사업자에게 구체적인 가이드라인을 제공하고 있고 공공분야에 대해서는 총무성장관이 관리ㆍ감독권을 행사하고 있다.

한편 미국은 연방 공공기관에 대해서는 ‘연방프라이버시법’에 의해 관리ㆍ예산처(OMB)가, 민간분야에 대해서는 ‘공정거래위원회법’에 의해 공정거래위원회가 주도적으로 개인정보보호업무를 담당하고 있다.


우리나라 정보보호 발전을 위해 필요한 것은 무엇이라고 생각합니까.
가장 시급한 것은 정보보호를 위한 법ㆍ제도를 완비하고 이를 집행하기 위한 독립적인 전문기관을 설치하는 것이다. 그러나 이것만으로는 부족하다. 정부나 기업이 정보보호에 대한 인식을 바꾸는 것이 무엇보다 중요하다. 마지못해 하는 소극적인 정보보호 활동에서 벗어나 적극적인 자세로 활동 범위를 확대하고 그에 맞게 적극적인 투자가 따라야 할 것이다.


정부가 정보보호 관련 정책을 마련하는데 있어서 가장 중점을 두어야 할 부분은 무엇입니까.
그동안 정부의 정보보호 시책을 살펴보면 보안서버 보급확대, 암호화 의무부과, 안전진단 의무화 등 외형위주의 정부규제를 확대ㆍ강화하는 것에 치우쳐 왔다.

그러나 향후의 정보사회는 개방ㆍ참여ㆍ공유의 환경이다. 이와 같은 환경에서는 상시적인 감시ㆍ감독을 필요로 하는 정부규제로는 정보보호에 한계가 있다. 따라서 기업이나 개인 또는 공공기관이 스스로 정보보호의 필요성을 느끼고 정보보호에 앞장설 수 있도록 자율적인 규제환경을 조성하는 노력이 필요하다. 대신 정부는 정보보호에 취약할 수밖에 없는 중소기업이나 IT에 두려움을 갖고 있는 개인이용자들에게 보다 많은 관심을 기울여야 할 것이다.


정보보호를 위한 법ㆍ제도, 그리고 정책마련뿐만 아니라 일반 개인들도 보안의식을 갖고 PC나 인터넷뱅킹 등을 이용해야 한다. 이를 위해서는 관련 공무원들의 전문성을 높여야 하고 대국민 홍보와 교육도 많이 필요할 거 같은데.
대다수 인터넷 이용자들은 인터넷상에서의 정보보호 및 개인정보보호가 매우 중요하다고 인식하고 있지만 구체적으로 정보보호 및 개인정보보호를 위해 어떠한 조치를 취해야 하는지는 잘 알지 못하거나 알더라도 비용이나 번거로움 때문에 실천하지 못하고 있는 것이 현실이다. 따라서 정부는 국민들이 필요한 정보보호 조치나 방법을 언제, 어디서든지 쉽게 접근해 이용할 수 있도록 시책을 펼치는 것이 필요하고 꾸준한 교육과 홍보를 통해 올바른 인터넷 이용습관을 가질 수 있도록 하는 것이 중요하다고 생각한다.

<글 : 김태형 기자(is21@boannews.com)>


[월간 정보보호21c 통권 제117호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>