[김국배기자] '개인정보의 안전성 확보조치 기준(고시)' 개정안이 개인정보 보호 수준을 높이는 계기가 될 지 관심이 쏠리고 있다.
그간의 획일적 규제를 벗어나 개인정보 보호조치를 개선할 토대가 마련됐다는 긍정적 평가가 나오지만 일부 내용을 실효성 있게 보완해야 한다는 지적도 있다.
개인정보의 안전성 확보조치 기준은 기업이나 공공기관이 개인정보를 수집·이용할 때 준수해야 하는 안전조치에 관한 사항을 규율하고 있다.
애초 이 고시는 지난 2011년 9월 시행된 개인정보보호법과 그 시행령을 근거로 만들어졌다. 기업 규모나 개인정보 보유량에 관계없이 모든 사업자가 동일한 의무를 지게 되는 불합리한 면이 있어 행정자치부가 개정 작업에 나섰고 올 3월 개정안이 나왔다. 행자부는 7월까지 의견 수렴과 규제심사를 거쳐 8월 고시를 확정할 예정이다.
이번 개정안에서 가장 눈여겨볼 점은 개인정보 처리자의 규모, 개인정보 보유량에 따라 개인정보 보호조치를 차등화한 것이다.
지금까지는 모든 사업자에게 동일한 의무를 부여한 데다 영세사업자에 기준이 맞춰져 하향평준화를 초래했다는 비판을 받았다. 대규모 개인정보 처리자는 오히려 보호책임이 낮고 영세사업자는 과도한 부담을 느꼈다.
개정안은 개인정보 처리자를 세 가지 유형으로 분류했다. 1만 명 미만의 개인정보를 보유한 소상공인·단체·개인은 업무용 컴퓨터 백신 소프트웨어(SW) 설치 등 필수적인 안전조치만 하면 된다.
1만 명 이상의 개인정보를 보유한 소상공인·단체·개인, 10만 명 미만의 개인정보를 보유한 대기업·중견기업·공공기관, 100만 명 미만의 개인정보를 보유한 중소기업은 내부 관리 계획의 수립·시행, 접근 권한 관리, 접근통제 등 현행 수준의 조치를 취하면 된다.
10만 명 이상의 개인정보를 보유한 대기업·중견기업·공공기관, 100만 명 이상의 개인정보를 보유한 중소기업은 암호키 관리, 재해·재난 대응 등 안전조치가 강화됐다.
이같은 개정안을 두고는 긍정적 효과를 기대하는 반응이 나온다. 특히 현 고시는 돈이 많이 드는 기술적 보호조치에 치중했다면 이번 개정안은 관리적 보호조치를 강화해 기업 부담을 줄이면서 보안 역량을 키울 수 있을 것이라는 평가다.
단 개정안이 효력을 발휘하기 위해선 개인정보 처리자 분류 시 개인정보의 양만이 아니라 민감도, 중요도 등 개인정보의 속성을 고려해야 한다는 의견도 있다.
김경환 법무법인 민후 대표 변호사는 지난 4일 열린 개인정보 안전성 확보조치 개정 공청회에서 "이번 고시 개정안은 기업 규모나 개인정보 보유랑에 따라 보안 수준을 레벨화하고 있다"며 "전체적인 보안 수준을 향상시키는데 기여하고 나아가 보안 투자 확대에도 도움이 될 것"이라고 말했다.
그는 다만 "위험도 분석 및 대응방안 마련 등 상당한 관리적 보호조치가 추가됐다"면서도 "관리적 보호조치를 내부관리계획에만 편성해 규정하는 건 한계로 독립적 조문을 할애해 구체적인 조치로 승화시키는 것이 바람직할 것"이라고 덧붙였다.
또 "현재 고시는 세세한 형식의 규정으로 로그아웃 등 기초적 보안조치를 하지 않은 경우에도 잘못을 묻지 못하거나 기술 변동 상황을 즉시 반영하지 못하는 현상이 발생한다"며 "장기적으론 이런 형식을 탈피해 목적 지향적 조문으로 개선할 필요가 있다"고 조언했다.
/김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기