이젠 여권·운전면허·외국인등록 번호도 암호화 대상
방통위, ‘개인정보의 기술적·관리적 보호조치 기준’ 개정
개인정보보호 조치 심의·의결, 사업자 자율성·책임성 강화
[보안뉴스 민세아] 스마트폰이나 태블릿PC 등의 모바일기기나 USB메모리 등 보조저장매체를 통해 개인정보를 취급할 경우에도 암호화 조치를 취하는 등 개인정보 유출에 대비한 보호를 강화해야 한다.
방송통신위원회(위원장 최성준)는 지난 13일 이 같은 내용을 담은 ‘개인정보의 기술적·관리적 보호조치 기준(이하 보호조치 기준)’ 일부개정안을 심의·의결했다.
이번에 개정된 보호조치 기준은 지난해 7월 31일 발표한 ‘개인정보보호 정상화 대책’의 주요과제 이행사항을 구체화하는 한편, 최근의 업무환경이 개인용 컴퓨터에서 모바일기기와 보조저장매체로 급속히 확대되는 여건을 반영한 것이다.
특히, 보호조치 기준상의 의무들이 기존에는 구체적 기준에서 사업자가 준수해야 할 최소한의 기준임을 명시적으로 규정해 사업의 규모, 개인정보 보유수 등을 고려해 자발적인 보호조치 이행을 유도하고 있다는 점에서 큰 의미가 있다.
아울러 온라인상 주민번호 수집이 지난해 8월부터 금지되면서 주민등록번호 외에 고유식별번호 이용이 늘어날 것으로 예상됨에 따라 여권번호, 운전면허번호, 외국인등록번호도 암호화 대상에 포함시켰다.
또한, 개인정보취급자가 업무종료 이후에도 로그아웃 등 안전조치를 하지 않아 개인정보 유출사고가 일어나는 사례가 있어 접속시간을 제한하는 규정이 신설됐다. 이에 따라 사업자는 개인정보처리시스템 또는 개인정보취급자의 컴퓨터에 접속이나 클릭을 하지 않은 상태에서 일정시간이 지나면 자동 로그아웃 등 안전한 조치를 취해야 한다.
이와 함께 사업자는 온라인상 해킹뿐만 아니라 오프라인상 내부직원 또는 용역회사 직원 등 외부인에 의한 고의·실수 등으로 개인정보 유출사고를 막을 수 있는 조치를 마련해야 한다. 이번에 개정된 보호조치 기준에 개인정보가 보관된 전산실·자료실 등에 대한 출입통제 절차와 함께 개인정보가 포함된 서류·보조저장매체에 대한 보안대책이 신설됐기 때문이다.
이 외에도 사업자 내부관리계획에는 개인정보 유출사고가 일어났을 때 빠른 대응을 통해 혹시 있을 피해를 줄이기 위한 절차와 방법 등을 추가해 보완해야 한다. 여기에는 개인정보 유출사고 통지 및 조회절차, 민원 대응 및 이용자 불안 해소 조치, 피해자 구제조치 등을 반드시 담아야 한다는 조항도 추가했다.
한편, 개정된 보호조치 기준은 사업자의 자율성을 보장하는 내용도 함께 담고 있다. 개인정보취급자가 외부에서 정보통신망을 통해 개인정보처리 시스템에 접속할 때 공인인증서 뿐만 아니라 다양한 인증수단을 사용할 수 있도록 사업자의 선택기회를 확대했다.
또한, 사업자가 개인정보관리책임자와 개인정보취급자를 대상으로 실시해야 하는 교육을 ‘매년 2회 이상’에서 사업규모, 개인정보 보유 수 등을 고려해 사업자의 사업 환경에 맞는 교육계획을 수립해 시행할 수 있게 됐다.
앞으로 개인정보취급자는 비밀번호를 작성하거나 개인정보 표시제한 조치를 취할 때 ‘영문 대문자(26개)·영문 소문자(26개)·숫자(10개)·특수문자(32개)’, ‘성명중 이름의 첫 번째 글자·생년월일·전화번호 또는 휴대전화의 국번’ 등을 크게 신경쓰지 않아도 된다. 그동안 지나치게 세부적으로 제시된 조항을 삭제해 최소한의 기준만 제시했기 때문이다.
최성준 위원장은 “그동안 사업자는 정부가 제시한 구체적인 기준만 준수하면 개인정보 유출사고가 나더라도 면책되는 불합리한 측면이 있었다”며 “사업자에게 개인정보 보호를 위한 최대한의 조치를 유도하기 위한 최소한의 기준”임을 강조했다.
[민세아 기자(boan5@boannews.com)]