IT 기술의 발전은 국민의 일상생활에 있어서 편리성을 향상시키고 있다. 대부분의 IT 서비스는 개인정보, 특히 개인식별정보를 이용한다. 대표적인 개인정보들은 주민등록번호, 운전면허증 등과 같은 개인식별정보와 사용자 개인의 위치정보 등이 있다.
개인정보보호법 시행
IT 기술 발전에 힘입어 국민의 일상생활의 편리성을 향상시키고 있다. 예를 들어 차를 타고 가면서 자신의 위치 정보를 이용해 내비게이션 서비스를 제공받을 수 있으며 길거리를 가다가도 모바일 인터넷을 통해 금융거래를 수행할 수 있다.
이러한 대부분의 IT 서비스는 개인정보, 특히 개인식별정보를 이용해 IT 서비스를 제공하고 있다. 대표적인 개인정보는 주민등록번호, 운전면허증 등과 같은 개인식별정보와 사용자의 위치를 식별하기 위한 개인위치정보를 들 수 있다.
그러나 최근 현대캐피탈의 고객정보가 해킹되어 175만명의 개인정보가 유출됐다고 한다. 또한 일본에서도 소니사의 소니 플레이스테이션 네트워크(PSN)와 소니 온라인 엔터테인먼트(SOE) 해킹 사건으로 전 세계 1억 명 이상의 고객 개인정보가 유출되는 등 초유의 사태가 발생하고 있다.
이로 인해 사용자들은 자신의 고유식별정보 등의 개인정보 외에 신용정보, 금융거래정보, 신용카드정보 등 민감한 정보가 유출되어 추가적인 2차 피해를 입지 않을까 걱정하고 있다.
또한 불법적인 위치정보 수집에 대한 논란도 끊이지 않고 있다. 애플, 구글, 다음 등 대형 IT기업들의 위치정보 무단 수집 의혹에 대해 사용자들의 불신은 커지고 있다. 모바일 라이프가 근간이 되는 스마트 시대에서 개인의 위치정보 문제는 더욱 쟁점화 될 것이다. 이러한 즈음에 국민의 개인정보를 보호하기 위한 ‘개인정보보호법’이 올해 3월 29일에 정부에 의해 공포되어 9월 30일에 법 시행을 앞두고 있다.
이번 개인정보보호법 시행은 지금까지 법적용의 대상이 아니었던 국회 등 헌법기관과 오프라인 기업 등을 포함한 공공과 민간을 포함함으로써 개인정보보호 규제의 사각지대를 없애고 개인정보 유출시 반드시 유출 사실을 관련 정보주체에게 통보를 의무화하도록 하며 대량 소액 다수의 이용자의 권익을 보호하기 위한 집단 분쟁조정 제도와 단체소송을 도입하는 등 개인정보보호 수준을 획기적으로 향상시킬 것으로 기대되고 있다.
이번 일반법 제정으로 기종 공공기관의 개인정보보호법을 대체한다. 이 법의 주요 내용을 살펴보면 기존의 전자적 문서는 물론 종이 문서도 포함되어서 개인정보의 범위를 확장했고 개인정보업무의 독립성을 확보하기 위해 개인정보보호위원회를 대통령산하에 설치하여 주요 개인정보보호관련 정책을 심의 및 의결할 수 있으며 개인정보의 수집, 이용, 제공 등 간계별 보호기준을 마련하여 정보주체의 동의하에 수집, 이용하거나 제3자 제공이 가능하도록 했다. 또한 불필요한 경우 지체 없이 파기하도록 했으며 고유 식별정보의 처리를 원칙적으로 처리를 금지하고 법령이 허용하는 경우만 처리 가능하게 했다.
개인정보 파일의 구축 및 확대 시 개인정보영향평가 제도를 공공기관에서 의무화했고 민간에서는 자율적으로 수행할 수 있게 했으며 개인정보 유출 사고가 발생했을 경우 유출 사실을 전문기관에게 의무적으로 신고토록 해서 피해를 최소화하기 위한 조치를 취했다.
정보주체의 개인정보 열람 청구권 등을 강화했으며 개인정보분쟁조정위원회를 두고 집단 분쟁 조정을 수행하도록 하여 법률상 화해의 효력을 부여했고 피해를 입은 정보주체를 위해 단체소송 제도를 도입했고 정보주체가 개인정보 침해 사실을 개인정보침해신고센터로 신고할 수 있게 했다. 참고로 개인정보보호법 시행으로 인해 달라지는 주요 사항은 [표 1]과 같다.
[표 1] 개인정보보호법으로 변화되는 주요 사항(자료출처:행정안전부)
이번 개인정보보호법 제정을 통해 공공과 민간을 망라한 국제수준에 부합한 개인정보보호 처리 원칙을 제시하고 국민의 중요한 자산이 개인정보보호를 통해 국민 사생활을 보호하려는 의도로 제정되었다.
기업의 개인정보보안 전략
9월 말 시행을 앞둔 개인정보보호법으로 인해 기업의 개인정보보안 추진 전략은 변해야 하며 이를 위해서 다음의 사항이 고려되어야 한다. 먼저 기업의 최고경영책임자가 개인정보보호에 대한 인식을 강화해야 한다. 개인정보 유출로 인해 입는 시스템 복구 등의 직접적인 피해도 중요하지만 개인정보 유출로 인해 발생가능한 제2차 피해와 고객의 집단소송 제기로 인한 피해배상 규모가 훨씬 더 크다는 것을 철저히 인식해야 한다.
개인정보보호 문제는 이제 IT 부서 책임자 또는 최고보안책임자 만의 몫이 아니라 최고경영책임자의 몫이 되어야 한다. 최고경영책임자가 기업 비즈니스의 연속성을 확보한다는 차원에서 조직의 개인정보보호 정책을 수립하고 이 정책에 기반해 보호해야 할 개인정보를 식별해야 하며 보호해야 할 자산에 대한 위협 요인을 분석하고 이 위협 요인을 제거하기 위한 대응책을 마련해야 하며 이러한 관리체계가 지속적으로 유지되도록 최고경영책임자가 직접 챙겨야 한다는 것을 의미한다.
둘째, 최고경영책임자가 기업의 개인정보보호 정책에 따른 예산의 확보와 조직의 운영을 적극 지원할 필요가 있다. 기업 규모에 따라 어떤 경우는 최고보안책임자가 개인정보보호책임자 역할을 겸직할 수 있으나 만약 기업이 취급하는 개인정보가 민감 정보이며 개인정보 유출 시에 기업의 명예나 생존에 중요한 영향을 미칠 경우 별도의 개인정보보호최고책임자를 임명해 책임과 권한을 동시에 부여할 필요가 있다.
또한 IT 부서와 개인정보보호 부서와는 독립적으로 운영할 필요가 있으며 각 조직의 부서의 역할과 책임을 분명히 정의하고 조직의 개인정보보호 정책을 새로운 IT 위협환경에 적응하도록 지속적으로 업데이트할 필요가 있다. 그리고 개인정보유출 사고가 해킹 사고 등 정보보안 문제와 연관됨을 고려하면 두 부서 간의 정보교류와 협력 채널도 원활하게 작동되게 해야 한다. 결론적으로 개인정보보호 조직에 권한을 주고 그 권한에 맞는 책임도 동시에 부여하는 것이 필요하다.
셋째, 상시적인 관리체계의 운영이 필요하다. 이를 위한 구체적인 수단은 개인정보관리체계와 개인정보보호영향평가의 운영이다. 개인정보보호영향 평가는 정보시스템 구축 시에 개인정보보호를 위해 고려해야 하는 필수사항을 정의하고 이를 반영하기 위한 것이고 상시적으로는 개인정보관리체계 운영을 통해 개인정보보호 정책을 구현할 수 있기 때문이다.
개인정보보호는 법 준수사항이므로 개인정보보호관리체계의 어떤 항목이 만족되지 않으면 기업이 바로 법적 처벌을 면치 어려울 수 있다. 따라서 상시적인 개인정보체계를 유지할 필요가 있으며 이를 위한 전담 조직은 개인정보최고책임자 하부에 두어야 한다. 또한 정보시스템 구축 시 개인정보보호 파일을 구축해야 한다면 반드시 개인정보보호영향 평가를 통해 먼저 개인정보보호 기능이 IT 시스템 초기 설계 시에 반영 되도록 해야 한다는 것이다.
또한 자체 또는 제3의 기관에 의한 사후 감사 기능의 활성화도 필요하다. 자체 사후 감사는 디지털 포렌식 툴의 설치 및 운영을 통해 가능하다. 이는 개인정보 유출 원인 분석과 내부자에 의한 유출을 실시간으로 막을 수 있는 유용한 툴이다.
넷째, 기업이 위치기반 서비스를 제공하는 경우, 개인식별정보와 위치정보가 결합되는 개인위치정보를 수집해야 할 때 반드시 수집 목적, 범위 등에 대한 고지에 의한 정보주체의 숙지하의 동의를 반드시 받아야 한다는 것이다. 또한 필요이상의 개인정보를 수집하고 처리할 필요가 없음을 유념해야 한다.
다섯째, 개인정보보호를 위한 기술적·관리적 대책은 새로운 보안 환경에 따라서 꾸준히 진화되어야 한다는 것이다. 한번 기술적 제품의 설치만으로 개인정보보호 문제가 해결되는 것이 아니라 새로운 위협 환경에 적응해서 진화되어야 한다는 것이다.
이제 개인정보보호는 기업의 생존에 관한 중요한 문제이다. 이는 최고책임자의 개인정보 인식강화에서 시작되어야 하며 이의 시작은 개인정보관리체계의 운영과 별도의 개인정보보호최고책임자의 임명으로부터 시작되어야 할 것이다.
[글 _ 염흥열 순천향대 교수·한국정보보호학회장(hyyoum@sch.ac.kr)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
