• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사건사례 연구로 개인정보보호법 완전히 따라잡기! 2012.03.27

김경환 변호사, 사건사례 통한 개인정보보호법의 대응방안 발표   


[보안뉴스 김정완] 개인정보보호법이 오는 3월 29일로 계도기간이 만료됨에 따라 적용대상 공공기관·기업 등은 막바지 준비작업이 한창이다. 그러나 법안의 핵심내용을 인지하지 못하고 있는 개인이나 사업자들이 여전히 많은 것으로 파악되고 있다.

 

법안이 규정하고 있는 필수 보호조치 사항 등을 준수하지 못해 형사벌·과태료 등의 처벌이 이뤄질 수 있는 만큼 법 적용대상인 공공기관 및 기업 등은 이에 대한 법적대응방안을 모색할 필요가 있다.

 

▲한국CSO협회가 27일, 서울 프라자호텔에서 개최한 제3차 CSO포럼에서 김경환 법률사무소 민후 대표변호사가 나서 ‘개인정보보호를 위한 CEO와 CSO의 역할 및 법률적 대응’이란 주제로 발표하고 있다. @보안뉴스.

 

계도기간 종료에 따라 개인정보보호법에 대비해야 하는 각 기업내 최고보안책임자(CSO)와 개인정보처리자 등의 역할이 그 어느 때보다도 중요해지고 있다. 이와 관련해 CSO 간의 협력과 정보교류에 기여하고 있는 한국CSO협회(회장 이홍섭)는 27일 서울 프라자호텔에서 ‘2012년 제3차 CSO포럼’을 개최하고, 이러한 개인정보보호법의 법률적 대응방안을 모색하는 시간을 가졌다.


이날 포럼 강연자로는 김경환 법률사무소 민후 대표변호사가 ‘개인정보보호를 위한 CEO와 CSO의 역할 및 법률적 대응’이란 주제로 발표를 진행했다.


이날 강연은 간략한 개인정보보호법 체계에 대한 간략한 소개로 시작해 이를 쉽게 이해할 수 있도록 개인정보 수집·이용·제공·처리·관리에 관한 사건사례와 그에 따른 대응방안을 제시하는 순서로 진행됐다.


우선 김경환 변호사는 개인정보 수집 측면의 대응방안으로 “단순한 방문기록은 문제가 되지 않지만 인터넷 이용자들의 이름, 주소 등과 결합하게 되는 경우 개인정보보호법 위반이 될 수 있다”며, “수집한 정보 안에 식별적 요소나 법 위반 요소가 있는지 로그 기록 등을 점검할 필요가 있다”고 조언했다.


아울러 개발자의 실수로 모바일 앱이 사용자의 기기내 개인정보를 무단으로 수집했을 경우와 관련해서 김경환 변호사는 “사전에 개발자의 교육 및 관리가 필요하고, 개인정보보호관련 테스트 이후 제품을 출시하는 것이 바람직하다”고 말하고, “사후처리와 관련해서는 개인정보를 서버에 저장하지 않거나 일시적으로 저장된 개인정보를 모두 삭제하는 조치를 취함으로써  손해배상액을 감경받을 수 있다”고 제안했다.


또한, 개인정보의 이용 측면과 관련해서 김경환 변호사는 수집한 개인정보를 동의 없이 광고 등에 이용하면서 약관면책을 주장한 사건을 예로 들면서 공정거래위원회가 약관조항에 대해 ‘별도의 동의’를 얻어 활용할 수 있도록 하는 약관 수정·삭제 등의 시정조치를 내린 유권해석 내용을 소개했다.


이에 대한 법적 대응방안으로는 “약관으로 허용될 수 있도록 규정해도 실제 소송에서는 약관에 의한 면책을 주장할 수 없으므로 이러한 약관을 사전 심사 또는 법률적 검토를 거쳐 미리 손질할 필요가 있다”며, “개인정보의 목적범위 내 이용인지 아니면 목적범위 외 이용인지를 구분해, 전자라면 별도의 동의를 요하지 않지만 후자라면 별도의 동의를 얻어야 한다”고 조언했다.


이어 개인정보 제공 측면에 있어서는 국세청의 파워블로거 개인정보 요구사건을 예로 들며 “적법하게 수집된 개인정보라도 수집목적 외  제공에 있어서는 개인정보보호법 제18조 제2항에 열거된 경우를 제외하고는 제3자에게 제공해서는 안된다”면서, “개인정보의 제3자 제공시 반드시 공적인 자문을 거치거나 또는 영장 등의 증표를 확인하도록 해야 한다”고 말했다.


아울러 가장 빈번할 것으로 예상되는 개인정보 처리 측면에서는 고객서비스를 위탁받은 업체의 직원이 개인정보를 유출한 사건을 예로 들며 △수탁자에 대한 정기적인 교육 강화 △수탁자의 개인정보처리 현황 및 실태, 안전성 확보조치 등의 감독강화 △계약서 작성시 수탁자의 관리·감독 책임 및 최종적인 손해배상 책임 부담 명기 등을 제시하면서, “기업은 일단 유출이 되었다고 하더라도 불특정 다수에게 정보가 전달되기 전에 회수하려는 노력이 필요하다”고 강조했다.


개인정보의 관리적 측면과 관련해서 김경환 변호사는 SQL 인젝션 공격을 이용해 정보를 유출시킨 사건을 예로 들며 “웹사이트 보안 테스트를 통한 취약점 발견 및 보안조치가 필요하다”고 조언하고, “잘 알려진 해킹 기법에 대해서는 적절한 보안관제가 필요하다”고 덧붙였다.


마지막으로 김경환 변호사는 이날 발표를 통해 “해킹시도는 항상 있을 것이고 해킹기법은 점점 고도화될 것이 자명하지만 그렇다고 법률적 책임이 증가하는 것은 아니다”라고 강조하며, “법은 불가능을 강요하지 않는다는 전제하에 법률적 책임은 그 시대의 수준에 맞는 인적·물적 관리를 통해 얼마든지 면할 수 있다”고 결론지었다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>