‘개인정보의 기술적·관리적 보호조치 기준’ 5월 19일 일부 개정

모바일 기기에서의 개인정보 보호조치 사항 등 반영 

[보안뉴스=이석희 김·장 법률사무소 변호사] 개인정보의 안전성 확보를 위해 정보통신서비스제공자 등이 준수해야 할 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회고시 제2015-3호, 이하 ‘보호조치 기준’)의 일부 개정안이 5월 19일 시행됐다.

이번 보호조치 기준 개정은 관계부처 합동으로 지난 2014. 7. 발표한 개인정보보호 정상화 대책 중 ‘기업의 개인정보보호 조치 자율성 보장’, ‘개인정보유출 대응지침 마련 의무화’ 등의 주요 과제 이행과 최근 스마트폰과 태블릿PC 등 모바일 기기에서의 개인정보 처리가 늘어남에 따른 보호조치 사항 등을 반영하기 위함이며, 주요 내용 및 시사점은 다음과 같으므로, 일선 사업자들의 입장에서 세심한 검토와 현업에의 적용에 더욱 신경을 써야 할 것으로 생각한다.

보호조치 기준의 목적

보호조치 기준의 목적이 사업자가 준수해야 할 ‘최소한의 기준’을 정하는 것으로 명시하여 개정하고, 각 사업자가 사업규모·개인정보 보유 수 등을 고려하여 자율적으로 사업자 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행토록 하였다(제1조 제1, 2항).

종전에는 보호조치 기준의 목적이 사업자가 준수해야 할 ‘구체적인 기준’을 정하는 것으로 되어 있어서, 그 기준만을 준수하면 유출사고 발생한 경우에도 면책이 가능하다는 해석이 우세하였고, 최근 옥션 사건에 관한 대법원 판례도 동일한 입장을 취하였다.

그러나 금번 개정으로 인해 앞으로는 보호조치 기준에 정한 사항을 이행하였다 하더라도 유출사고 발생시 바로 면책되는 것이 아니라, 최소한의 조치를 넘어 각 사업자의 환경과 업계의 통상적 수준 등 제반 상황을 고려하여 상당한 보호조치를 취하였는지를 검토하여야 한다는 주장이 제기될 여지가 커졌다.

다만, 다른 한편으로 수범자에게 법 준수 여부에 대한 예견가능성을 부여하는 것이 법규범 자체의 근본적인 기능임을 감안하면 여전히 관련고시의 내용만을 준수하면 면책되어야 한다는 주장도 충분히 성립 가능하리라 생각된다.

결국 이 부분은 위와 같은 개정에도 불구하고 법원의 판단이 필요한 부분으로서 해석의 여지를 남겨두고 있다고 보인다.

사업자의 내부관리계획 보완

사업자가 수립·시행하여야 할 내부관리계획에 (i)개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항, (ii)개인정보 유출사고 등 발생시 대응절차 및 방법에 관한 사항을 추가하였다(제3조 제1항).

이는 최근 개인정보 처리위탁과 관련하여 수탁자 측을 통한 유출사고나 관리상의 부실 등의 문제가 제기됨에 따라 처리위탁과 관련한 사업자의 책임을 명확히 하고 유출 사고 발생 시신속한 조치를 취할 수 있도록 내부관리계획을 보완하도록 한 것이다.

한편, 개인정보관리책임자 및 개인정보취급자를 대상으로 사업자의 교육 실시 의무에 관해, 종전 “매년 2회 이상 교육” 실시하도록 한 것을 “사업규모, 개인정보 보유수 등을 고려하여 필요한 교육을 정기적으로” 실시하도록 변경하여 사업자의 의무를 현실화, 완화하였다(제3조 제2항).

인증수단 확대, 비밀번호 작성규칙 표시 개선

개인정보취급자가 정보통신망 외부에서 개인정보처리시스템에 접속할 때의 ‘안전한 인증수단’과 관련하여, 종전 예시로 규정되었던 ‘공인인증서 등’ 부분을 삭제하였다(제4조 제1항).

종전 규정 하에서는 사업자들이 공인인증서만이 안전한 인증수단인 것으로 오해하는 경우가 자주 발생하였는 바, 위와 같이 예시를 삭제하여 사업자가 공인인증서뿐만 아니라 다양한 인증수단을 사용할 수 있음을 명확히 하였다.

한편, 비밀번호 작성규칙에 관해서 종전 “영문 대문자(26개)·영문 소문자(26개)·숫자(10개)·특수문자(32개)”로 지나치게 세부적인 비밀번호 작성규칙을 “영문·숫자·특수문자”로 간략화하였다(제4조제8항). 다만, 이는 실질적으로 기존의 비밀번호 작성규칙과 달라진 것이 없는 규정의 표현상 개선으로 보인다.

개인정보 암호화 대상 정보의 개정

개정 개인정보보호법에 따라 주민등록번호의 수집이 금지됨에 따라 주민등록번호 외에 고유식별번호의 이용이 늘 것으로 예상되어, “여권번호, 운전면허번호, 외국인등록번호”를 암호화 대상에 추가하였다(제6조 제2항).

따라서, 사업자는 기존에 보유하고 있던 여권번호, 운전면허번호, 외국인등록번호에 대해서도 안전한 암호 알고리즘에 따른 암호화를 적용하여야 한다. 한편, 복호화 되지 않는 일방향 암호화 대상에서 “바이오정보”를 제외하였는데(제6조 제1항), 이는 이부분에 대한 기존의 논의를 반영한 결과이다.

개인정보 처리 및 통제 장치의 추가(모바일 기기)

업무환경 변화 등으로 스마트폰, 태블릿PC 등 모바일 기기의 활용이 증가함에 비해, 관련 규정이 미비함으로써 이들 기기와 관련한 개인정보보호가 일종의 보호의 사각지대에 놓여 있었다는 평가가 있었다.

이에 금번 보호조치 기준 개정에서는 개인정보 처리와 관련한 장치로 모바일 기기와 보조저장매체를 추가하였다(제2조 제13, 14호).

구체적으로, 사업자는 이들 장치에 개인정보를 저장할 때에도 암호화를 실시해야 하며(제6조 제4항), 모바일 기기에 대해서도 개인정보 유출 방지 조치를 취하고, 개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 최대접속시간 제한 등의 조치를 취하여야 한다(제4조 제9, 10항).

이로써, 모바일 기기를 이용한 모바일 환경에서 사업을 행하고 있는 여러 사업자들이 신경을 써야 할부분이 증가되게 되었다. 다만, 이 부분과 관련해서는 이러한 모바일 기기와 법령상 보호대상이 되는 개인정보처리 시스템과의 관계가 무엇이며, 과연 고시 수준에서 모바일 기기에 대한 규정을 독자적으로 두는 것이 하위 규정에 불과한 고시 입장에서 위임입법의 범위를 벗어난 것이 아닌지 하는 점에 대해 향후 충분히 논의되어야 할 것으로 생각된다.

물리적 접근 방지 근거 마련

개정 보호조치 기준은 전산실, 자료보관실 등에 대한 출입통제, 보조저장매체의 반출입 통제 조치의무를 신설하였다(제8조).

이는 오프라인상 내부직원 또는 용역회사 직원 등 외부인에 의한 고의·실수등으로 개인정보 유출사고를 막기 위한 것으로, 사업자는 출입통제, 반출입 통제 등에 관한 구체적인기준을 마련하고 적절한 조치를 취해야 한다.

위 개정 2015. 5. 19.자로 고시와 동시에 시행되었다. 관련 사업자들은 위와 같이 대체로 강화된 보호조치 기준을 숙지하고 관련 업무를 점검, 개선하여야 할 것이며, 나아가 개정규정에 대하여 앞서 살펴본 바와 같은 이론적 논의와 성찰도 병행되어야 할 것으로 생각된다.

[글_이 석 희 김·장 법률사무소 변호사]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>