• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

카드사 고객정보 유출 이후 강화된 법·규제 길라잡이 2014.07.10

“보안담당자, 개정된 개인정보보호관련 법 내용 파악 중요”


[보안뉴스 김태형] 지난해부터 올해 초까지 은행, 카드사 등의 잇따른 고객정보 유출사건으로 인해 관련 법·규제가 강화되고 있다. 특히 각 기업에서는 이미 개정되었거나 개정을 앞두고 있는 개인정보보호관련 법안의 주요 내용을 잘 파악해야 하며, 이에 맞춘 적절한 보안정책 마련과 운영·관리가 필요하다.  


테크앤로 법률사무소 구태언 대표변호사는 시큐인사이드 2014 컨퍼런스에서 ‘정보보호법 법령 개정 동향과 기업책임의 완화 전략’을 주제로 한 키노트 발표에서 이같이 말했다.


구 변호사는 올 초 카드 3사 개인정보 유출 사건으로 해당 카드사의 CEO와 CIO는 도의적 책임을 지고 사퇴했다. 그리고 현재 해당 카드사는 금융위의 제재 및 징계를 앞두고 있는 상황이라고 설명했다.


이처럼 금융회사에서 개인정보 유출사고가 잇달아 발생하자 정부는 금융회사 고객정보 유출에 대한 범정부적 종합대책을 마련했다. 종합대책의 주요 내용은 대부분이 금융회사 개인정보의 수집·보유·이용 등을 줄여 정보유출을 줄이겠다는 것이다. 아울러 보유하고 있는 개인정보는 파기하는 방향으로 유도하고 있어 매우 바람직한 방법이라는 것.


금융위원회도 개인정보보호법의 주무부처가 되겠다는 입장으로 변화하고 있어 개인정보보호법 개정을 통해 금융회사의 개인정보보호법은 금융위원회가 주관한다는 내용으로 법 개정을 추진하고 있어 주목된다.


구태언 변호사는 “개인정보 유출 사례의 특징을 보면, 절도형과 횡령형, 그리고 오남용 등이 있다. 특히 개인정보의 오남용은 개인정보보호 관련 교육훈련 부족과 개인정보보호 문화의 미정착 때문”이라고 말했다.


또한 “개인정보 유출 유형 중에서 절도형은 보안 시스템의 부재로 인한 사고이며 횡령형은 최근 카드사 및 은행의 정보유출 사고와 같은 유형으로 교육훈련의 부족과 개인정보보호 문화 미정착으로 인한 사고로 볼 수 있다”고 덧붙였다.


카드사 정보유출사고 이후 법 규제는 더욱 강화되고 있다. 특히 지난 2월 국회 본회의를 통과한 개인정보보호법 개정안에 따르면. 주민번호는 반드시 암호화하도록 의무화했다. 그리고 개인정보 유출 시 3배 이내 배상책임 및 안행부 장관의 ‘손해배상명령권’ 집단소송제도, 그리고 유출규모와 관계없이 정보유출시 신고 통지의무(현행 1만건 이상 유출 시)가 부과되는 것으로 개정된다.


그리고 지난 5월 국회 본회의를 통과한 정보통신망법 개정안에는 정보 유출시 과징금을 매출액 3%로 상향 조정되고 정보보안 책임자 지정 의무화와 함께 보험에 가입하거나 자산예탁이 의무화된다.


또한 신용정보법 개정안에는 필수적 동의사항 선택적 동의사항을 구분해 선택적 동의사항에 대한 미동의 이유로 서비스 거절 중지가 불가하며, 신용정보 유출·훼손 시 관련 영업수익의 10% 이상의 과징금이 부과되고 개인정보 수집항목을 금융위에 보고하며 신용정보관리보호인을 임원으로 임명하도록 강화했다.


전자거래법 개정안에는 정보기술 부문 인력의 70% 이상을 내부인력으로 충원하도록 강제하고 전자금융거래기록은 불필요 시 파기의무를 명시하고 있다. 또 안전성 확보 불충족, 미이행 시에는 영업수익의 10% 이내 과징금이 부과되며 10년 이하의 징역 또는 1억원 이하의 벌금으로 상향 조정된다.


그리고 CISO 겸직 금지 및 유출사고 발생 시 형벌이 강화돼 10년 이하의 징역, 5억원 이하 벌금으로 강화된다.


구 변호사는 “이러한 정보유출 시 처벌 강화는 바람직하지 않은 방향이라고 생각한다. 개인정보보호 관련법 개정의 주요 내용을 보면, 과징금 및 처벌이 이미 강화되어 있다”고 말했다.


지난해 8월 6일자 개인정보보호법 개정안의 주요 내용을 보면, 주민번호 수집·이용 제한, 주민번호 분실 시 5억원 이하 과징금 부과, 유출 등의 경우 5억원 이하의 과징금, 대표자 등 책임 있는 임원 징계 등이다.


지난 5월 28일자 정보통신망법 개정 사항을 보면 개인정보 수집 제한 등(23조 3항)이 신설됐다. 또한 누출 통지 신고 의무(27조) 강화로 정보유출 시 24시간 내에 방통위나 KISA에 신고해야 하고, 24시간 이후에 신고했을 시에는 정당한 사유가 있어야 한다는 내용이 포함돼 있다.


또한 개인정보 파기 의무가 강화됐다. 개정 전에는 수집된 개인정보에 대해 일정 기간 이후에는 지체 없이 파기해야 하고 그렇지 않으면 과태료 3천만원이 부과되었으나 개정 후에는 개인정보를 지체없이 복구·재생할 수 없도록 파기해야 한다. 이와 함께 과징금은 3천만원, 벌칙은 2년 이하 징역 또는 2천만원 이하 벌금이 부과되도록 했다.


또한 개인정보 파기 방법도 법률에 명시했다. 이에 대해 구 변호사는 “개인정보 미파기 시 형사처벌 도입으로 파기 이슈가 수집단계까지 앞당겨졌다. 형사처벌 도입으로 부작위범으로 처벌이 가능해진 것이다. 이에 기업 입장에서는 자동적으로 삭제해야 하는 항목 등을 최소화하는 등의 대책이 필요하다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>