개인정보 안정성 확보 위해 기술적·관리적 보호조치 강화해야
9월 7~8일 CISO워크숍 및 CPO워크숍에서 필수 보안조치 제시  

[보안뉴스 김태형] 지난 2012년부터 2014년까지 총 1,267개소에 대한 개인정보 관리실태를 점검한 결과, 1,039개소가 관리가 미흡하다는 지적을 받았으며, 평균 위반율이 무려 82.0%로 달해 여전히 개인정보가 제대로 보호되지 않고 있는 것으로 나타났다.

한국정보화진흥원에 따르면, 개인정보 관리 실태점검 결과, 과태료 292건, 시정조치 589건, 개선권고 824건 등 위반건수가 총 1,705건에 이른다. 주요 위반 사항은 △안전성 확보 조치 미흡 △위·수탁 계약·관리 사항 위반 △수집·이용 절차 및 고지사항 미비 △개인정보 미파기(CCTV 제외)로 집계됐다.

또한, 방송통신위원회는 지난 5월 13일 스마트폰이나 태블릿PC 등 모바일기기나 USB메모리 등 보조저장매체를 통해 개인정보를 취급할 경우에도 암호화 조치를 취해야 하는 등 개인정보 유출에 대비한 보호 강화를 주요 내용으로 하는 ‘개인정보의 기술적·관리적 보호조치 기준’ 일부개정안을 심의·의결했다.

아울러 온라인상 주민번호 수집금지에 따라 주민등록번호 외에 고유식별번호의 이용이 늘어날 것으로 예상되어 여권번호, 운전면허번호, 외국인등록번호에 대해서도 암호화 대상에 포함토록 했다.

이에 따라 각 사업자들은 온라인상 해킹뿐만 아니라 오프라인상 내부직원 또는 용역회사 직원 등 외부인에 의한 고의·실수 등으로 개인정보 유출사고를 막을 수 있는 조치를 마련해야 한다.

또한, 사업자 내부관리계획에는 개인정보 유출사고가 일어났을 때 빠른 대응을 통해 혹시 있을 피해를 줄이기 위한 절차와 방법 등을 추가해 보완해야 한다. 여기에는 개인정보 유출사고 통지 및 조회절차, 민원 대응 및 이용자 불안 해소 조치, 피해자 구제조치 등이 포함돼 있다.

이에 대한의사협회 등 5개 의·약 단체는 최근 의료정보 유출사태로 병의원 내에서의 정보보안에 대한 우려의 목소리가 커지고 있어 신청 병의원을 대상으로 정보보안 자율점검을 진행한다. 8월부터 신청기관을 대상으로 요양기관 개인정보보호 자율점검 추진단과 함께 의료기관의 정보보안 점검으로 개인정보보호를 강화하겠다는 방침이다.

이렇듯 각 분야 사업자들은 올해 개인정보보호법과 관련 규제 등의 강화로 개인정보 관리 및 보호에 대해 각별히 신경을 써야 한다. 특히, 사업자들이 개인정보보호를 위해서 반드시 해야 할 기본적인 조치들은 다음과 같다. 

△ 개인정보는 필수정보만 최소한으로 수집

-추가적인 정보를 수집할 때는 반드시 동의를 받아야 함

△주민등록번호와 건강정보 등 민감정보 수집 금지

-법령 근거가 있는 경우가 아니면 주민등록번호, 민감정보 사용 금지

△수집한 목적과 다르게 사용하거나 제3자 제공 금지

-법령의 근거 없이 다른 용도로 사용하거나 외부로 유출하지 않도록 주의

△개인정보를 처리할 경우 개인정보 처리방침 공개

-개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개

△내부관리계획, 방화벽 백신 접근통제 등 안전성 확보 조치

-개인정보가 해킹 등으로 유출되지 않도록 보호조치를 철저히 이행

△개인정보의 이용이 끝난 후에는 반드시 파기

-수집한 목적이 달성된 후(서비스 기간 경과 등)에는 즉시 파기

△개인정보가 유출되었을 경우, 즉시 정보주체에 통보

-유출된 것을 인지하면 5일 이내에 서면 전화 이메일 등의 방법으로 통보

△CCTV를 운영할 경우, 안내판 설치

-설치목적, 장소, 촬영범위 담당자 등을 안내, 운영방침을 수립해 공개