‘개인정보 유출신고·통지제’ 도입으로 망사업자 규율법안 일원화 

[보안뉴스 김정완] ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’과 관련해 주목할만한 것은 현재 국회 본회의를 통과해 시행을 앞두고 있는 개정안들이 개인정보 유출신고 등에 있어 기존 사각지대를 최소화했다는 점이다. 

정보통신망법도 ‘개인정보 유출신고·통지제’ 도입...이중규제 아닌 ‘해소’

이번 개정안에서 주목되는 내용 중 하나는 개인정보보호법이 담고 있는 ‘개인정보 유출신고제’를 정보통신망법에서도 도입했다는 점이다.

이는 김을동 의원이 대표발의해 제안한 것으로, “기존 정보통신망법이 개인정보 유출과 같은 법률 위반 사건이 발생한 후에만 사후처리를 위한 조사에 착수할 뿐 사전예방차원의 조사를 하지 못하는 문제를 해결하고, 방송통신위원회에서 법률을 위반한 정보통신서비스 제공자 등을 수사기관에 고발하도록 의무화함으로써 개인정보보호를 강화하려는 것”이 주요 골자다.

다시 말하면 최근 발생한 넥슨 개인정보 유출사고에서도 보듯이, 개인정보 유출신고·통지에 있어서 해당사업자 우선법인 정보통신망법은 유출사고에 따른 신고·통지 의무를 담고 있지 않아 문제가 됐다. 그렇다보니 사업자 입장에서는 정보통신망법 외에도 일반법인 개인정보보호법까지도 고려해야 하는 번거로움이 있었다.

 

하지만 이번 개정안 통과로 넥슨과 같은 정보통신서비스 사업자는 이후 따로 개인정보보호법에 규정된 개인정보 유출신고·통지제를 따르지 않아도 된다. 즉, 정보통신서비스 사업자는 개인정보 유출신고·통지제를 포함한 일원화된 정보통신망법만을 따르면 되는 것. 또한, 향후에는 방통위가 적극적으로 수사기관에 수사의뢰를 할 수 있다는 점도 진일보한 부분이다.

정보보호 안전진단제도 폐지...정보보호 관리체계(ISMS) 인증제도 일원화

또한, 대안으로 국회 본회의를 통과한 이번 개정안에서는 기업의 정보보호를 체계적으로 관리 및 지원할 수 있는 정보보호 관리체계를 인증제도로 일원화한다는 점도 주목된다. 우선 이를 위해 현행 정보보호 안전진단제도가 폐지된다.

정보보호 안전진단제도는 지난 2003년 인터넷 대란 이후 인터넷 인프라와 기업들의 보안 점검을 의무화하기 위해 만들어진 것으로 2004년 말부터 본격적으로 시행됐다. 제도 도입 초기에는 보안점검을 의무화했다는 점에서 고무적이었지만 시간이 지날수록 이 제도는 안전진단 자체가 형식적인 평가에 머문다는 지적이 끊이지 않았다. 이로 인해 폐지론이 제기됐고, 결국 이번 개정안을 통해 폐지됐다는 점에서 수행기관과 수검대상자들에서도 환영하는 입장이다.

이에 따라 정보보호 사전점검 제도와 개인정보보호 관리체계 인증제도에 대한 법적 근거를  마련하고, 정보보호 관리체계 인증제도로 일원화한 것이다.

정보통신서비스 사업자도 임원급 CSO 지정해야  

이 외에도 이번 개정안은 정보통신서비스 사업자의 경우 △임원급의 정보보호 최고책임자(CSO) 지정 △이용자 주민번호 수집·이용 제한(수집·이용 허용한 별도 조항 제외) △개인정보 이용내역의 주기적 통지 등을 하도록 규정했다.

한편, 이번 개정안은 지난해 12월 29일 국회 본회의에서 재석 189인 중 찬성 188인, 기권 1인(정두언 의원)으로 원안대로 통과됐으며, 국회 본회의를 통과한 이 개정안은 올해 7월부터 시행될 예정이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>