올해 꼭 다시 챙겨봐야 할 개인정보보호 법령은?

올해 꼭 다시 챙겨봐야 할 개인정보보호 법령은? AhnLab / 관리컨설팅팀 이장우 이사 / 2017-04-03         지난 2016년 9월 개인정보보호법과 정보통신망법(이하 정통방법) 개정안이 시행되었다. 그리고 올해 3월에는 정통망법의 ‘이동통신 단말장치’ 관련 조항이 시행되었다. 이 글에서는 지난 2016년 개정안 시행 이후 개인정보보호 관련 법령에서 무엇이 어떻게 달라졌는지 다시 한 번 짚어본다.   지난 2016년 ‘월간 안’ 3월호에서 ‘2016년에 챙겨봐야 할 개인정보보호 법령 5가지’라는 제목으로 아래의 다섯 가지 사항을 살펴본 바 있다.   1. ISMS인증 의무대상 확대 (매출 1,500억 원 이상 기업 대상) 2. 개인정보보호 관리체계 인증 PIMS와 PIPL의 통합 3. 유효기간제 적용 강화 (1년간 미접속자 정보 파기 의무) 4. 개인정보 손해배상 책임 강화 (피해액의 3배 또는 300만원 이하의 손해배상 청구 가능) 5. 내부시스템 내 주민번호도 암호화 의무 적용 (100만 건 미만은 2016년12월말까지 조치 완료)   지난해 미리 살펴봤던 개인정보보호 법령 내용대로 PIMS와 PIPL은 통합되었고, 유효기간제 적용 강화나 손해배상 책임 강화도 변경안대로 시행되고 있다. 주민등록번호 암호화 또한 100만 건 미만인 경우의 완료 시한이었던 2016년 12월 31일이 지났다. 보관하고 있는 주민등록번호 100만 건 이상인 기업 및 기관은 2017년 12월 31일까지는 관련 조치를 완료해야 한다.   지난해 살펴본 개인정보보호 법령과 달라진 부분도 있다. ISMS인증 의무대상 확대에 관한 것이다. 지난해 연초만해도 법률만 정해져 있었기 때문에 ‘매출 또는 세입이 1,500억 원 이상인’ 모든 기업 및 기관이 ISMS인증 의무대상이라고 이해되었다. 그러나 이후 발표된 시행령에서 일부 기관과 관련해 ’「의료법」 제3조의4에 따른 상급종합병원 또는 직전연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교’로 대상을 제한함에 따라 당초 예상과는 상당한 차이가 발생했다. 게다가 규제개혁위원회의 개선권고에 따라 금융기관이 ISMS인증 의무대상에서 제외되었기 때문에 인증의무 대상은 오히려 축소된 감마저 있다.     강화된 개인정보 ‘안전성 확보 조치’   ISMS인증 의무대상 외에 개정안(2016년 9월 1일)을 통해 구체화된 개인정보보호 법령 내용은 개인정보 안정성 확보 조치 부분이다. 개인정보처리자에 따라 안전성 확보 조치의 기준이 달라졌으며, 그 외에도 조치 계획이나 시행 등과 관련해 달라진 부분도 꼼꼼히 살펴볼 필요가 있다.   1. 개인정보처리자 유형별 조치 기준 완화 또는 강화 거의 2년 만에 개정된 개인정보 안전성 확보 조치 기준의 가장 큰 변화는 개인정보처리자의 유형 및 보유 개인정보량에 따라 안전성 확보 조치 기준을 완화하거나 강화함으로써 조치 수준을 현실화했다는 점이다.   다만 주의해야 할 사항은 조직 규모와 개인정보 보유량이 모두 유형 구분에 반영된다는 점이다. 즉, [표 1]과 같이 소상공인이나 개인이라 할지라도 처리하는 개인정보 보유량이 1만 명을 넘는다면 ‘유형2’로 적용 받는다. 또한, ‘유형1’에 속하던 개인정보처리자가 어느 시점에 1만 건이 넘는 개인정보를 보유하게 되면 그때부터는 유형2의 조치 기준을 적용 받는다.   [표 1] 개인정보처리자 유형에 따른 안전성 확보 조치 변경(클릭!)   [표 1]과 같이 구분된 유형에 따라 각각 안전성 확보를 위한 조치 사항이 다음과 같이 완화(또는 제외)되거나 강화되었다. 얼핏 보기에는 강화 조치가 별로 대단한 것 같지 않을 수 있다. 그러나 유형1과 유형2에서 면제된 ‘제12조 재해·재난 시 안전조치’는 그 자체만으로 별개의 대형 보안 사업이 될 수 있을 만큼 기업 및 기관으로서는 업무 범위와 투자 부담이 큰 항목이다. 비록 안전성 확보 조치기준의 의무사항에서 제외되었다 하더라도 일본 후쿠시마 원전사고 등으로 인해 국내에서도 재난•재해에 대한 경각심이 높아지고 있고, ISO27001, ISMS 등 보안 인증에도 재해복구계획이 필수 사항인 만큼 유형1과 유형2에 속하더라도 이와 관련해 충분한 대응책을 마련하는 것이 바람직하리라 생각된다.   (1) 유형1인 경우 완화(제외)된 조치 사항   - 개인정보 내부관리계획 수립 이행 (제4조) - 개인정보처리시스템의 접근 권한 차등 부여 (제5조1항) - 개인정보처리시스템 계정정보 또는 비밀번호 일정 횟수 초과 오류 시 접근제한 조치 (제5조6항) - 취급자의 개인정보처리시스템 외부 접속 시 VPN, 전용선 등 안전한 통신수단/인증수단 적용 (제6조2항) - 고유식별정보를 처리하는 경우 홈페이지에 대한 연1회 이상 취약점 점검 및 조치 (제6조4항) - 개인정보처리시스템의 취급자 업무 휴지 시 접속시간 자동차단 (제6조5항) - 개인정보 암호 키 관리 절차 수립 시행 (제7조6항) - 화재, 홍수, 단전 등 재해·재난 발생 시 개인정보처리시스템 보호를 위한 절차 마련 및 시행 (제12조1항) - 재해·재난 발생 시 개인정보처리시스템의 백업 및 복구 계획 마련 (제12조2항)   (2) 유형2인 경우 완화(제외)된 조치 사항   - 내부관리계획 중 일부 조항 제외 가능 • 위험도 분석 및 대응방안 마련에 관한 사항 • 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치 관련 사항 • 개인정보 처리업무 수탁자에 대한 관리 및 감독 사항 - 개인정보 암호 키 관리 절차 수립 시행 (제7조6항) - 화재, 홍수, 단전 등 재해·재난 발생 시 개인정보처리시스템 보호를 위한 절차 마련 및 시행 (제12조1항) - 재해·재난 발생 시 개인정보처리시스템의 백업 및 복구 계획 마련 (제12조2항)   (3) 유형3인 경우 강화된 조치 사항   ‘유형3’은 100만건 이상의 개인정보를 보유한 중소기업 또는 10만건 이상을 보유한 중견기업, 대기업, 공공기관 등으로, 아래와 같은 사항이 강화되었다. - 개인정보 암호 키 관리 절차 수립 시행 (제7조6항) - 화재, 홍수, 단전 등 재해·재난 발생 시 개인정보처리시스템 보호를 위한 절차 마련 및 시행 (제12조1항) - 재해·재난 발생 시 개인정보처리시스템의 백업 및 복구 계획 마련 (제12조2항) - 내부관리계획 수립   2. 내부관리계획의 강화   개인정보 내부관리계획에 넣어야 할 사항이 대폭 늘어났다. 그러나 기존에 없던 것이 새로 생겼다기보다는 대부분 안전성 확보 조치에 포함되어 있던 사항을 내부관리계획에 명시적으로 포함시키도록 했다는 것이 달라진 점이다.   [표 2] 내부관리계획 주요 변경 사항 (현재 vs. 이전)(클릭!)   3. 관리용 단말기 통제 조항 추가 (제10조)   관리용 단말기란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리 시스템에 직접 접속하는 단말기를 의미한다. 일반적인 단말기와 가장 큰 차이는 ‘직접’ 접속하느냐 아니냐의 차이라고 할 수 있다. 권한에 있어서도 일반 사용자보다는 시스템 변경이나 제어를 할 수 있는 높은 권한을 갖는 것이 일반적이다. 개정된 안전성 확보 조치 고시는 이런 관리용 단말기에 대해서 인가 받지 않은 사람이 접근하여 조작할 수 없고, 본래 목적 외로 사용되지 않도록 조치하라는 통제 조항을 신설하였다.   (클릭!)   4. 개인정보처리시스템에 대한 접근 통제 강화   접근통제에 관련된 신설 조항은 제6조4항과 5항이다. 제5항은 개인정보취급자가 개인정보처리시스템에 접속 후 일정시간 동안 업무를 하지 않으면 자동으로 시스템 접속을 차단하도록 조치하라는 것이다. 정보통신망법 ‘개인정보 기술적 관리적 보호조치기준’ 제4조10항에도 동일한 사항이 있다. 두 법령의 조치 기준을 일치시킨 셈이다.   4항은 고유식별정보를 처리하는 개인정보처리자인 경우, 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연1회 이상 취약점을 점검하고 보완조치를 하라는 내용이다. 여기에서 요구하는 취약점 점검은 모의해킹이 아니라 웹 취약점 점검을 의미한다. 여력이 된다면 보안 업체에 의뢰하는 대신 기업 및 기관에서 자체적으로 수행해도 무방하며, 점검 도구 또한 상용, 공개용, 자체제작 도구 사용 등 특별한 제한이 없다.   (클릭!)   5. 개인정보 암호 키 관리 절차 수립·시행   개인정보 암호화에 대한 조치 기준은 대부분 기존과 동일하지만 암호 키의 생성, 이용, 보관, 배포 및 파기에 관한 절차를 수립·시행을 요구하는 제7조6항이 신설되었다. 암호 키에 대한 자세한 가이드는 개인정보보호 종합포털(http://www.privacy.go.kr)에서 제공하는 “개인정보의 암호화 조치 안내서”와 한국인터넷진흥원에서 제공하는 ‘암호이용활성화(http://seed.kisa.or.kr)’ 페이지의 “암호 키 관리 안내서” 등을 참고하자.     6. 재해·재난 대비 안전조치 조항 신설 (제12조)   본 조항은 유형3의 개인정보처리자만 해당되는 내용이다.   (클릭!)   일반적으로 ‘재난’이란 국민의 생명·신체·재산과 국가에 피해를 주거나 줄 수 있는 것을 말하며, ‘재해’란 재난으로 인하여 발생하는 피해를 말한다. 개인정보 안전성 확보 조치 기준은 개인정보처리시스템에 대한 위기 대응 절차를 문서로 만들고, 실질적인 활용이 가능하도록 정기적으로 점검할 것을 요구하고 있다. 이에 따라 개인정보처리시스템의 원활한 복구를 위한 백업과 복구 계획 또한 필수적으로 수립해야만 한다.     ‘이동통신 단말장치의 접근 권한에 대한 이용자 동의’ 필수   2016년 3월 22일 개정된 정보통신망법 제22조의2 조항이 딱 1년이 지난 2017년 3월 23일부터 시행됐다. 법률에서 요구하는 사항은 이용자의 이동통신 단말장치에 저장된 정보나 기능에 접근하려면 반드시 필수 사항을 고지하고 이용자의 동의를 받아야만 한다는 것이다. 서비스 제공에 반드시 필요한 접근 권한이 아닌 경우에는 이용자가 동의를 거부할 수 있다. 필수사항이 아닌 항목에 대해 이용자가 동의 거부를 했다는 이유로 개인정보처리자가 서비스 제공을 거부한다면 3천만원 이하의 과태료 처벌을 받을 수 있다.   구체적인 동의 방법에 대해서는 2017년 3월 22일 시행령 개정안 제9조의2에 자세히 서술되어 있다. 관련 조항은 [표 3]과 같이 정리할 수 있겠다. 이동통신 단말장치의 운영체제 제작자와 단말장치 제조업자에게 요구하는 사항도 있으나, 국내 대다수 기업과는 관련성이 적어 [표 3]에서는 언급하지 않았다.   [표 3] 이동통신 단말장치에 관한 개인정보 제공 동의 관련 내용(클릭!)   지금까지 올해 3월 시행된 정통망법의 이동통신 단말장치 관련 조항과 2016년 9월에 개정된 개인정보의 안전성 확보 조치 기준에 대해 상세히 알아봤다. 사실 개인정보보호 관련 법령의 주목할 만한 변화는 2016년 9월 시행된 개인정보보호법과 정통망법 개정안에서 이미 이루어졌다. 이에 대한 자세한 내용은 이미 지난해 ‘월간 안’ 6월호에서 다룬 바 있어 이 글에서는 따로 언급하지 않았다.   ☞더 읽기: [월간 安 2016년 3월호] 2016년에 챙겨봐야 할 개인정보보호 법령 5가지   기업 입장에서 기존의 안전성 확보 조치기준이 개정안을 통해 기업 규모에 따라 현실화된 점은 반가운 변화가 아닐 수 없다. 앞으로도 우리나라의 정보보호 법령이 보호 조치의 유연성과 처벌의 엄정성이라는 양축을 균형 있게 유지 및 개선해 나가기를 기대한다.