공공기관 개인정보보호법 상반기 국회 통과 예정

공공기관 개인정보보호법 개정안이 최근 국회 법사위를 통과해 이르면 하반기부터 시행될 전망이다. 박진수 행정자치부 제도정책팀 사무관은 지난 4월 25일 열린 ‘공공기관 개인정보보호 컨퍼런스’에서 “5개 법률안을 모은 공공기관 개인정보보호법 개정안이 조만간 국회 본회의 의결을 거쳐 상반기 공포될 것으로 보인다”고 밝혔다.

이번 공공기관 개인정보보호법 개정안은 기존의 공공기관 개인정보 이용·제공 가능 범위를 제한하며, 개인정보를 보유하거나 변경·폐지할 경우에 행자부 장관에 통보하던 사전통보를 사전협의로 바뀐다. 이 사전협의는 개인정보파일 보유·변경에 대한 합리성과 합법성을 사전에 검토해 과도한 개인정보 수집을 방지하기 위한 제도로 해당 공공기관이 행자부 장관과 사전에 협의해야 하는 등 개인정보 사전영향 평가제도와 유사하다.

이처럼 공공기관 개인정보보호법 개정안이 어느 때보다 개인정보 보호에 초점을 맞춘 것은 공공기관의 심각한 개인정보 유출 때문이다. 잠시 그 사례를 살펴보면 다음과 같다.

공공기관의 개인정보 유출 사례

행자부의 ‘공공기관 홈페이지 개인정보 노출 진단 연구보고서’에 따르면 지난해 9월부터 12월까지 304개 중앙 행정기관과 지방자치단체 홈페이지에 대한 조사결과 총 263개의 취약점이 발견됐다. 그 유형도 다양하다.

시민들이 무의식적으로 웹 게시판에 개인정보를 게재한 내용에 대해 관리자가 방치한 경우, 관리자가 정보공개와 발표 등을 위해 게시판에 개인정보를 게재한 경우, 관리자가 공시송달, 각종 명단 등 개인정보가 담긴 첨부파일을 등록한 경우, 게시자 본인도 인지하지 못한 상태에서 개인정보가 담긴 파일을 등록한 경우 등 50.0%가 공무원의 실수로 개인정보가 담긴 자료를 게재하는 경우다.

홈페이지를 잘못 설계해 보안이 미흡한 경우도 39.2%나 된다. 개발자가 개인정보 노출에 대한 중요성을 인식하지 못하거나 오래 전에 개발된 게시판의 경우 설계 자체가 사용자 입력값의 노출에 대한 적절한 판단없이 설계된 경우도 있다. 실제 홈페이지 상에서는 개인정보가 보이지 않으나, 게시판에서 소스를 검사하거나 전문검색 또는 취약성 진단 프로그램을 사용할 경우, 구글 검색 등을 통해 관리자 화면이 공개되는 경우도 있다.

공공기관에서의 개인정보 유출은 무엇보다 개인정보가 유출된 시민들의 신변이 보장되지 않는다는 점이다. 비근한 예로 국민건강보험공단의 허술한 보안대책으로 연간 160만 명에 달하는 가입자들의 신용·금융정보가 유출될 위기에 있고, 공공기관 홈페이지를 통해 노출된 정보를 제3자가 해당 정보조작까지 가능한 ‘사용자 모드’로 방치된 예가 있다.

이는 ‘전자정부’를 표방하는 참여정부에서 개인정보 유출에 대한 사례를 일일이 열거하기 민망할 정도의 낯뜨거운 수준이다.

공공기관 개인정보보호법 무엇이 바뀌나

행자부는 공공기관의 개인정보 유출방지를 위해 공무원 교육에 팔을 걷어붙이고 나섰다. 오는 6월부터 한국정보사회진흥원, 자치정보화조합 등 유관기관과 협력해 연중 상시 모니터링 체계를 구축하고, 일선 업무담당자의 인식과 전문성 향상을 위해 다양한 형태의 교육을 실시할 계획이다.

김남석 행자부 전자정부 본부장은 “공공기관의 개인정보 취약점을 파악하고 홈페이지 정보노출 점검도 꾸준히 실시하고 있지만 여전히 사고가 증가하는 등 심각한 실정”이라며 “원인은 담당자의 인식 부족이나 부주의로 이를 위한 시책을 지속적으로 실시할 것”이라고 밝혔다.

이와 더불어 올해 하반기에 통과될 시행될 예정인 공공기관 개인정보보호법 개정안에는 특히, 개인정보보호에 관련한 내용을 강화했다. 1994년 제정된 이후 두 번째 개정안이 제출되는 내용에는 기존의 공공기관 개인정보 이용·제공 가능 범위를 제한하며, 개인정보를 보유하거나 변경·폐지할 경우에 행자부 장관에 통보하던 사전통보를 사전협의로 바뀐다.

이 사전협의는 개인정보파일 보유·변경에 대한 합리성과 합법성을 사전에 검토해 과도한 개인정보 수집을 방지하기 위한 제도로 해당 공공기관이 행자부 장관과 사전에 협의해야 하는 등 개인정보 사전영향 평가제도와 유사하다.

또한 개인정보의 위탁처리에 있어서도 보유 기관의 장이 개인정보 처리를 위탁하는 경우 필요한 제한 및 절차 규정을 마련하고 실태를 점검해야 한다. 만약 위탁처리기관이 준수 의무를 위반했을 때는 손해배상을 할 수 있다.

이 외에도 CCTV 설치 및 화상정보보호의 법적 근거가 마련되어 범죄예방 및 수사, 교통단속 등 공익을 위해 필요한 경우에는 설치할 수 있지만 반드시 설치목적, 촬영범위, 책임관 및 연락처 관련 안내판이 설치돼야 한다. 또한 개인정보관리 책임관의 지정과 운영, 개인정보 침해사실의 신고, 개인정보 수집·이용제공·파기 등의 경우 홈페이지 등에 게재하게 되어 있다.

법 개정한다고 개인정보 보호되나

행자부의 이런 노력에도 불구하고 정보보호 전문가들의 한결같은 지적은 공공기관 보안에 대한 근본적인 대책이다. 이인호 중앙대 교수는 “공공부문의 개인정보보호 집행기관은 행자부로 되어있고, 민간의 온라인 개인정보보호 집행기관은 정통부로 나뉘어져 있다”며 “이제는 공공과 민간 양 부분을 통합 감독하는 독립된 기구가 필요하다”고 주장했다. 이는 정보인권활동가들의 주장과도 맥을 같이 한다. 진보네트워크센터는 “독립적 위상으로 행자부와 정통부의 조직과 권한을 통합한 개인정보 감독기구만이 대안”이라고 공공기관 보안조직에 대해 제안하고 있다.

임종인 고려대 정보경영공학 전문대학원장은 “세계적인 추세가 개인정보관리와 보호에 대한 기업의 책임을 묻는 쪽으로 진행되고 있으며, 기업의 투명·윤리경영을 강조하고 있어 기업뿐 아니라 정부·공공기관의 정보보호 정책을 더욱 그 중요성이 커지고 있다”며 기술적·제도적 측면의 대책마련을 요구했다.

이에 대해 이동훈 고려대학교 정보경영공학전문대학원 교수는 기술적인 부분을 구체적으로 제시하기도 했다. 이 교수는 Security 서비스와 FIPs를 만족하는 데이터보호 기술, 보안기술을 기반으로 6개 영역에 걸친 세부 PET기술, W3C와 ISO/ICE에서 프라이버시 보호 표준기술 등을 제안했다.

공공기관 개인정보보호법, 개인정보보호법 ‘물꼬’틀까

공공기관의 개인정보 보호를 위해 정부를 비롯해 각 전문가들의 노력이 한 곳으로 모이면서 관련 업계와 전문가들의 시선은 이번 공공기관 개인정보보호 개정안 통과가 국회에 계류중인 ‘개인정보보호법’에 힘을 실을 수 있을까하는 점이었다.

이에 대해 개인정보보호법 통합안을 제출한 진영 한나라당 의원측은 회의스럽다는 반응이다. 진영 의원측은 “개인정보 보호를 위한 여러 노력들은 인정하지만 이 때문에 개인정보보호법이 통과될 것이라 생각하지 않는다”며 “당장 국회 일정이 맞지 않는다”고 밝혔다. 그는 “여야 할 것 없이 민생법안에 대한 관심보다 대통령 선거와 내년에 있을 국회의원 선거에 온통 관심이 집중된 상황”이라고 덧붙였다. 국회에서 개인정보보호법을 논의하기에 어렵다는 지적이다.

정보인권활동가들 역시 부정적인 입장이다. 행동하는 시민행동의 한 관계자는 “국회에 계류중인 개인정보보호법이 각 당은 물론 관련 업체들의 이해관계가 얽혀있는 상황이라 쉽게 논의되지는 않을 것”이라며 “법안 통과가 늦어질수록 국민의 개인정보는 줄줄이 새고 있다”고 안타까워했다.

[월간 정보보호21c 통권 제82호 김완선·동성혜 기자(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>