개인정보보호 실태 점검, 근본적 재발방지 대책 마련

징벌적 손해배상제도와 법정 손해배상제도 도입

[보안뉴스=장 한 행자부 개인정보보호정책과장] 개인정보보호는 사생활 비밀 보장 및 행복추구를 위해 보장되어야 하는 헌법적 가치이며, IT기반의 경제구조에서 개인정보의 이용과 보호는 모든 경제활동에서 그 중요성이 날로 높아지고 있다.

그러나 지난 2011년에 개인정보보호법이 제정된 이후 정부와 민간에서의 다양한 노력에도 불구하고 크고 작은 개인정보 유출사고가 지속됨에 따라 많은 국민들이 자신의 개인정보가 본인도 모르게 유출되어 악용되고 있지 않을까 하는 걱정과 불안을 갖고 있다.

특히, 우리나라는 기존에 주민등록번호 중심의 개인식별 체계가 운영되고 있어 주민번호 유출시 그 피해가 훨씬 커지게 된다.

추진 배경

지난해 1월 카드 3사의 대규모 고객 개인정보가 외부 파견직원을 통해 외부로 유출되는 사고가 발생해서 우리 사회에 큰 충격과 함께 개인정보보호의 중요성이 다시 한 번 부각되는 계기가 되었다. 정부는 사고 이후 공공 및 민간 부문의 개인정보보호 실태를 점검하고, 근본적인 재발방지 대책 마련을 위해 국무총리실을 중심으로 관계부처가 참여하는 ‘범정부 개인정보보호 TF’를 구성·운영했다.

공공·민간 부문 개인정보보호 실태점검 결과와 전문가 의견들을 바탕으로 개인정보보호관련 제도와 개인정보 불법유통·유출방지 시스템의 문제점을 종합하여 ‘개인정보보호 정상화 대책’을 마련, 2014년 7월 31일 정부세종청사에서 개최된 국가정책조정회의를 통해 관계부처 합동으로 확정 발표했다.

‘개인정보보호 정상화 대책’은 개인정보보호가 경제·사회·문화 발전의 견고한 토대로서 사회적 자본으로 자리매김할 수 있도록 그간의 비정상적인 관행을 개선하고 국민들이 체감할 수 있도록 패러다임을 전환하는 것에 중점을 두어 개인정보 관리 제도와 기술, 권리구제를 포괄한 종합적·근본적 관점으로 접근해 3대 분야(핵심제도 선진화, 유출된 개인정보 대응, 유출 예방·방지 및 사이버 안전), 98개 세부추진과제로 구성됐다.

추진 실적 및 성과

앞으로 개인정보는 수요자 맞춤형 서비스 제공, 빅데이터 분석 등 그 활용이 크게 증가할 것으로 예상되며, 또 그에 비례하여 개인정보의 안전성에 대한 국민들의 불안 또한 늘어날 것이다. 정부는 개인정보보호 정상화 대책을 통해 기본이 지켜지는 개인정보보호를 위해 사회 전반의 개인정보보호 실태 점검, 법·제도 정비 등을 추진 중이며, 국민들의 높아진 개인정보보호 의식에 발맞춰 기업·공공기관 등 사회 전 분야에서 개인정보보호 조치를 스스로 이행하도록 유도하는 다양한 방안을 마련하여 지속 추진하고자 한다.

먼저, 개인정보의 근간이 되는 피해배상제도와 주민등록번호 관리제도를 국민의 눈높이에서 개편하고 추진, 개인정보가 유출된 경우 국민들이 쉽게 피해구제를 받고 개인정보보호를 소홀히 하는 기관은 분명히 책임을 지도록 징벌적 손해배상제도와 법정 손해배상제도 등을 도입하고, 일정 요건 하에서 주민등록번호 변경 허용 방안을 마련했다.

실제로 현행법상 카드 3사는 3개월 일부 영업정지와 과태료 600만원만 부과되었고, 소비자가 금전적 피해를 입지 않는다면 2차 피해보상을 받기 어려웠다. 이처럼 처벌이 미비하다 보니 개인정보보호에 대한 기업들의 인식이 변화하지 않고, 소비자의 피해 구제 절차도 원활하지 못한 현실을 개선하고자, ‘징벌적 손해배상제도’와 ‘법정 손해배상제도’ 도입을 추진하게 된 것이다. 징벌적 손해배상제는 고의·중과실로 개인정보를 유출한 기관에 대해 가중책임을 물어 피해액의 최대 3배까지 배상하도록 하는 제도로 2015년 3월 신용정보법 개정을 통해 도입되었으며 개인정보보호법, 정보통신망법에도 법적 근거를 마련 중에 있다.

법정손해배상 제도는 피해자의 피해액 입증 없이도 법원 판결에 따라 300만원 이내에서 손쉽게 배상 받을 수 있는 제도로써 2014년 5월 정보통신망법 개정과 2015년 3월 신용정보법 개정을 통해 도입됐으며, 개인정보보호법에도 법적 근거가 곧 마련될 예정이다. 이와 함께 금융기관 등은 손해배상이 금융기관 자체의 부담으로 끝나는 것이 아니라 공적 자금 등 국민 부담으로 전가될 우려가 있으므로, 손해배상책임의 이행을 위해 금융기관 등이 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하도록 신용정보법 개정을 통해 의무화했다.

또한, 과거에 유출된 주민등록번호를 악용한 2차 피해를 방지하고 국민불안을 해소하기 위해 주민등록번호 변경 허용 방안을 마련했고, 일상생활에서 주민등록번호 제공이 필요치 않도록 주민등록번호 수집 최소화 및 대체수단 마련을 통해 주민번호에 대한 수요 자체를 줄여나가기 위해 노력하고 있다.

이미 유출된 개인정보에 대해서는 관계부처 합동으로 대대적인 개인정보 대청소 캠페인을 실시하여 유출된 개인정보를 삭제·폐기하는 등 검색 가능한 개인정보를 최대한 삭제했고, 주요 웹사이트의 개인정보 검색주기를 대폭 단축(2주→3일)하는 등 유출된 개인정보의 단속·회수·폐기 등을 대폭 강화하여 국민 불안을 해소하고자 한다.

또한, 검·경 등 관련 기관 합동으로 정부합동수사단을 구성·운영하여 개인정보 침해 및 불법유통에 대한 집중단속을 실시하고 관계기관간 긴밀한 정보공유 및 협업체계를 구축하였다. 유출정보를 활용한 금융사기를 방지하고자 새로운 기술로 진화하고 있는 피싱·파밍·스미싱 대응시스템을 구축했고, 개인정보를 취급하는 공공기관 및 일정규모 이상의 민간기관은 사고 발생시 신속하게 대응조치를 할 수 있도록 개인정보유출 사고 대응 매뉴얼 마련을 의무화했다.

현장중심의 취약분야 관리체계를 정비하여 꼭 필요한 정보만 수집하고 수집된 정보는 철저히 보호토록 개선하고자 한다. 이를 위해 이통통신 3사를 대상으로 개인정보 관리수준 시범평가를 실시하고, 텔레마케팅 시 개인정보 수집 출처를 수신인에게 사전고지하도록 의무화하는 정보통신망법 개정안을 마련 중이며, 현재 인터넷사이트 대상으로 적용되는 개인정보보호 인증 마크제(ePRIVACY)를 텔레마케팅 업체까지 확대 적용했다. 아울러 개인정보보호 추진체계 개선을 위해 개인정보보호위원회에 제도 개선권고 및 이행점검권, 법령 제·개정시 개인정보 침해요인 평가권 등의 권한을 신설하는 내용으로 개인정보보호법 개정을 완료했다.

또한, 급변하는 기술환경 변화에 신속히 대응하기 위해서는 정보보호에 투자하는 여건을 조성하는 것이 중요하므로 보안 투자 및 법규 준수 등 보안역량 강화를 위한 기업의 준비·노력 정도를 평가하는 ‘정보보호 준비도 평가’를 시행하고, 전자금융감독규정 개정과 개인정보의 기술적·관리적 보호조치 기준 개정안을 마련해 입법을 추진 중이다.

아울러 빠르게 발전하는 해킹기술에 대응하여 예방·탐지·분석·치료 등 단계별 보안기술을 개발·보급하여 사이버 안전 및 기술기반 강화를 위해 노력할 예정이다. 또한, 공인인증서 이용환경 개선 등을 위해 웹표준 기반 공인인증서 발급·이용 기술을 개발하여 보급을 추진 중에 있으며, 보안토큰 등 안전한 저장매체 보급도 확대 운영 중에 있다. 또한 국가 사이버보안 역량 강화 및 정보보호산업 발전 기반을 확충하고자 초·중·고, 대학, 군대 등 연속성 있는 맞춤형 인력양성 체계를 구축하고자 한다.

향후 정책방향

행정자치부는 공공기관, 사업자, 국민의 개인정보보호 의식이 사회 전 분야에 뿌리 내려 사회 전반의 개인정보보호 수준을 향상시킴과 동시에 다시금 개인정보 유출사고로 피해를 보는 사람들이 발생하지 않도록 관련 제도와 여건 마련에 최선을 다하고자 한다. 이를 위해 공공·민간 개인정보보호 관리현황을 상시적으로 실태점검하고, 법·제도 등을 정비하여 개인정보처리자가 개인정보보호 조치를 스스로 이행하도록 유도하는 다양한 방안을 제시할 것이다.

첫째, 주민등록번호 수집 법정주의 정착을 위해 불필요한 주민등록번호를 수집·이용하는 행태를 개선할 것이다. 이와 관련하여 2014년 8월 7일부터 주민등록번호 처리를 원칙적으로 금지하고 법령에서 구체적으로 주민등록번호 처리를 요구하거나 허용한 경우 등에 한하여 허용하는 개정 개인정보보호법이 시행됐다. 이에 따라 신용카드 명세서 확인, 통신요금 조회, 요금 자동이체, 철도·고속버스 표 예매, 렌터카 대여 등의 경우에 주민등록번호를 요구하지 않는 등 사회 전반에서 불필요한 주민등록번호 수집·이용이 개선되고 있다.

아울러 행정자치부는 주민등록번호 처리를 허용하는 현행 법령 1,114개에 대한 타당성을 검토하고 35개 법령에 대하여 개인정보보호위원회의 심의·의결을 거쳐 소관 부처에서 해당 법령상 근거를 개정하도록 의견 제시하였으며, 주민등록번호 처리 근거 법령에 대한 일제정비를 통해 지속적으로 주민등록번호 유통을 최소화할 계획이다. 이와 함께 2016년 1월부터 시행되는 주민등록번호 암호화 조치 의무화에 따라 적용대상·시기·기준 등을 마련 중이다.

주민등록번호 처리 제한에 따른 불편을 해소하고자 2014년 8월 온라인상 본인확인수단인 I-PIN을 오프라인까지 확대한 마이핀 서비스를 개발·보급하여 공공기관 및 민간사업자의 주민등록번호 대체를 지원하고 있다. 마이핀은 개인정보가 포함되지 않는 13자리 무작위 숫자로 구성되며, 연 5회까지 변경 가능하여 도용 시 피해를 최소화하고 있다. 2015년 4월말 현재 275만명이 마이핀을 발급 받았으며, 66개 기관(4,700여개 사업장)에서 활용 중이다.

둘째, 개인정보 유출에 따른 사회 전반에 경각심을 고취하고, 법이 제대로 작동되고 있다는 신뢰를 줄 수 있도록 관계부처 합동으로 개인정보보호 실태점검 강화 등 전방위적 단속·점검을 실시하여 개인정보 유출의 사각지대를 없애는데 중점을 두고자 한다. 행정자치부는 2012년 1월~2014년 12월까지 총 1,267개소를 점검하였고 1,039개소(위반율 82%)에 대해 과태료 292건, 시정조치 589건 등 총 1,705건의 행정처분을 실시했다.

셋째, 개인정보보호 종합지원 포털(www.privacy.go.kr)을 통해 누구든지 개인정보보호에 필요한 각종 교육자료, 동영상 등을 활용할 수 있도록 교육·홍보 자료를 게시하고 있으며 개인정보 보호법상의 의무사항인 컨설팅, 홈페이지 취약점 점검, 업무용 PC 개인정보보호조치 점검도구 등을 제공하는 등 기술지원을 실시하여 중소 영세사업자에게는 어렵고 복잡하게만 느껴지는 개인정보 관리를 쉽게 해결할 수 있도록 지원하고 있다.

앞으로도 개인정보보호에 관한 국민의 목소리에 귀 기울이는 한편, 개인정보보호법이 기업 경제활동과 국민 생활 속에 조속히 정착하여 개인정보보호의 원칙과 기준이 지켜지는 안전하고 신뢰받는 정보사회를 앞당겨 나가는데 최선을 다하고자 한다.

[글 _ 장 한 행정자치부 개인정보보호정책과 과장(hjang59@korea.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>