본문 바로가기

보안라이프/이슈&이슈

내 정보 지키는 첫 걸음, 개인정보보호법 바로 알기

대규모 보안 사고가 잇달아 발생한 가운데 최근에는 대표적 신용카드사 두 곳의 고객 정보가 유출되는 사고가 발생했다. 두 경우 모두 내부자가 신용정보회사 등에 정보를 판매한 것이었다. 연이은 해킹 사고에 대비해 내부 보안 프로세스를 점검하는 등 만반의 대비를 했다지만 그 정보를 관리하는 사람에 대한 대비에는 소홀했기 때문이다. 유출된 정보는 대출 등 스팸 문자, 광고 전화, 피싱(Phishing)에 이용될 것이므로 사용자의 주의가 필요하다.

출처 : http://blog.naver.com/molaaing/70106701742

한편, 이런 가운데 개인정보보호법 발효가 9월 30일로 다가왔다.
각 기업은 대비를 어떻게 하느냐에 따라 울고 웃는 상황이 벌어지게 되었다. 사용자에게는 상대적으로 좀더 안심할 수 있는 장치이기도 하다. 이렇게 점점 더 중요해지는 개인정보보호법의 내용을 'Secure Korea 2011'에서 행정안전부 김상광 서기관이 발표한 내용을 중심으로 소개한다.  

개인정보보호법이 나온 배경은?
대한민국의 국민이 4천만 명인데 지난 해 개인정보 피해 사고는 1억 건 이상 발생했다. 어떻게 보면 모든 국민들의 정보는 밖으로 세어나갔다고 할 수 있다. 이렇듯 개인정보 유출 사고가 계속 일어나고 있는데 '어떻게 하면 국가차원에서 막을 수 있을까?' 하는 생각을 했다.

주목을 못 받다가 올해 초 법을 통과하면서 정보화 분야에서 주목을 받게 된 중요한 계기가 되었다. 2004년도부터 입법논의가 처음으로 되었는데 8년간의 논의 끝에 법이 제정 되었다. 

이렇게 시간이 오래 걸렸던 이유는?
오래 걸린 것은 개인정보보호법에 대한 중요성과 시급성 중에서 그만큼 중요성이 크기 때문에 충분히 인지하고 준비하는 기간이 되었다. 개인정보보호를 국가적 차원에서 각종 사안과 지침 고시를 만들고 있다. 그리고 학계와  여러 전문가들이 준비를 하고 있다.

개인정보보호법에는 두 가지 철학이 담겨있다?
실생활에서 부녀자 성폭행과 같은 사건을 막기 위해서 설치한 CCTV. 그리고 개인 DNA 정보를 이용해서  의약 계열에서의 연구. 개인정보는 이런 활용의 수요가 굉장히 높은 부분이다. 이와는 반대로 애플과 구글의 위치 정보수집부터 동사무소 직원이 개인정보를 빼돌린 사건, 네이트 해킹 피해 등 개인의 프라이버시가 침해되는 개인정보 유출 사고도 끊임없이 나오고 있다.

그래서 개인정보보호법에서는 '개인정보의 활용 + 보호'라는 '서로 상반된 가치를 어떻게 하면 잘 조화를 시킬까?' 그리고 '그 미묘한 균형점을 어떻게 잘 찾아 갈 수 있을까?' 가 기본 취지에 녹아있다. 즉, 어느 한쪽만 강조한다고 될 문제는 아니라고 본다. 이런 차이로 인해 지난 8년 동안 입법논의에서 충돌이 있었고 의견일치를 하지 못한 부분이 있었다. 이번 시행령에는 이런 많은 차이를 반영했다. 

우리 사회가 받아들일 준비가 되어있는가?
사업자 3천명 대상으로 개인정보보호법의 주요 내용에 대해서 명확하게 이해하고 있는가? 라는 설문을 했다. 그 결과 30% 만 개정법에 대해서 듣고 있거나 인지하고 있었다. 이 부분은 지금까지와는 다른 새로운 법에 대한 행안부의 숙제라고 본다. 그래서 계속 홍보와 교육을 하고 알리는 활동을 계속 해가고 있다.

이 법에는 상당한 규제가 포함되어 있다. 하나하나 알수록 내가 하는 모든 행위들 ,기업입장에서는 마케팅 거래 행위들뿐만 아니라 공공기관 입장에서도 과태료를 물수 있는 상당한 새로운 것들이 포함되어 있다. 그리고 국민의 권리 구제를 위한 집단 소송 ,단체 소송 등 혁신적이고 지금과는 다른 환경이 이 법안에 포함이 되어있다.


현행법과의 차이는? 

(1) 더 이상의 사각지대는 없다

현행법률 체계는 개별법으로 공공기관의 경우 행안부의 공공기관 개인정보법이 적용되었다. 민간기관은 각자 섹터별로 나누어져 있다. 망사업자, 포털 서비스 업체는 방송통신위원회의 정보통신망법, 금융사업자들은 금융위원회의 신용정보법, 기타 교육 기관들은 교육 기본법등 이런 식으로 17개부서 38개 법률이 조각조각 나누어져서 개인정보를 규율했다.

하지만 현행법의 적용을 안 받는 사각지대가 문제가 되었다. 예를 들면 제조업, 서비스업, 농업, 이런 직종들은 이것을 규율하는 것이 없다. 법에서 정하는 의무사항들 (예를 들어 '이렇게 처리하십시오.')이 없었기 때문에 지킬 필요가 없었다. 심지어 250만 개의 사업자들과 비영리 단체, 법원, 헌법재판소, 국회 등 법 관련 기관도 사각지대에 있었다.

출처 :  http://lgofficenet.blog.me/20122648844

그래서 이런 모든 사각지대에 있는 기관들과 사업자들이 이 법에 따라서 새롭게 이 법의 적용대상으로 편입이 되었다. 그 결과 준비할 것들이 상당히 많아졌다. 그 동안에는 '이렇게 이러해라' 라는 것이 없었는데 이제 생기게 되었다. 그 중에서도 공공기관은 공공성 때문에 특례를 두고 있다. 영향 평가를 하던가 전자화해서 행안부에 등록을 해야 된다. 이런 특례들을 적용하기 위해 공공기관의 범위를 정하고 있다.

(2) 영상 정보 기계의 처리 범위

영상 정보를 개인 정보로 보고 시행령에서 두 가지로 구분한다. 우선 CCTV와 네트워크 카메라로 촬영한 것은 개인 정보로 본다. CCTV는 촬영한 다음 안에서만 볼 수 있는 폐쇄 망이며, 네트워크 카메라는 유무선을 통해서 전송할 수 있는 오픈 망이다. 다음으로 차량 내의 이동형 카메라, 회사 내에서 사용하는 이동형 카메라, 개인 스마트폰은 개인정보보호법 대상에 포함되지 않는다. 

영상 정보 기기는 몇 가지 경우를 제외하고는 원칙적으로 설치하지 못 한다. 예를 들어 교통 안전, 화재 안전, 시설 안전 등의 용도 외에는 사용을 못 하는 것이다. 다만 행안부는 CCTV 이용 활성화법을 적용한다. 최근에 CCTV 통합 관제 센터가 광범위하게 설치되고 있고 CCTV 활용 요구들이 굉장히 많기 때문이다.

(3) 민감 정보와 고유 정보의 식별 범위 

개인 정보는 크게 세 가지로 나눌 수 있다. 
- 민감 정보 : 개인의 사상, 노조 활동 경험, DNA, 성생활 등 기본적인 개인의 인권과 관련된 내용으로 가장 보호를 해야 하는 정보
- 고유 식별 정보 : 주민등록번호, 운전면허번호, 외국인 등록번호, 여권번호와 같은 개인을 고유하게 식별을 할 수 있는 정보
- 일반 개인 정보 : 이 외 나머지 것들 

개인정보보호법이 적용되면 민감 정보와 고유 식별 정보는 두 가지 경우에만 처리를 할 수 있다. 정보 주체의 별도 동의가 있을 경우와 법령에서 구체적으로 허용하는 경우이다. 이 외에는 처리를 못 한다.

현행법에서는 공공기관의 경우 공공 목적 업무 수행을 위해서 민감 정보를 광범위하게 수집해왔다. 이 법에 따르면 공공기관이라 할지라도 법에 근거한 처리 근거가 없을 경우에 민감 정보와 고유 식별 정보를 사용할 수 없게 강한 규제를 한다.
 

출처 : http://ask.nate.com/qna/view.html?n=8316430

고유 식별 정보는 주민등록번호와 가장 관련이 있다. 지난해 개인 정보 유출 사건이 1억 건으로 외국에서는 있을 수 없는 일이다. 왜냐하면 외국은 주민등록번호를 사용하지 않기 때문이다. 외국은 그때그때 사회보장번호, 운전면허번호, 회원번호 중에서 목적에 맞는 번호를 사용한다. 우리나라처럼 국가가 일률적으로 번호를 부여해서 관리하는 체계가 아니다. 주민등록번호는 일본에서조차 벤치마킹할 정도로 편리하고 효율적이다. 우리나라가 세계 1위의 전자정부가 되는 데 크게 기여하기도 했다.

하지만 이제 그 역기능이 나타나는 것이다. 
문제의 핵심은 주민등록번호를 DB(데이터베이스)의 키값, 기준 값 혹은 검색 값으로 사용한다는 것이다. 그러다 보니까 주민등록번호 하나만 해킹하면 1억 건의 정보를 유출할 수 있는 것이다.

행정 목적으로 만들어진 주민등록번호는 공공기관에서는 어쩔 수 없겠지만 민간분야에서는 사용을 줄여나가야 한다. 이 법에서 말하는 것은 주민등록번호를 가급적 사용하지 말고 다른 값을 사용하라는 이야기이다. (예 : 아이핀, 전자서명, 공인인증서 등)

이런 부분은 보호하는 것 외에 활성화 방안도 연구하고 있다. 기타 고유번호, 특히 주민번호, 민감 정보를 암호화하거나 접근 제어를 하는 기술적 관리 보호 조치가 그에 해당한다.

(4) 일정 규모 이상의 공공기관 사업자의 경우

출처 : http://windlov2.tistory.com/826

자기 조직 내에 CPO(개인정보보호책임자)를 지정해서 CPO 중심으로 개인정보를 보호하는 것이다. 그리고 CPO가 개인정보보호에 대한 지식과 어떤 마인드를 가지고 내부직원교육이나 자체 감사 등 되도록 많은 것을 하도록 책임을 지고 있다.

그 다음 공공기관에 관한 영향평가를 실시하도록 한다. 공공기관의 경우에는 새로 시스템을 구축할 때 사전에 개인정보침해 위험이 있는지 없는지 분석을 하고 시스템 구축 전 문제점을 해결하도록 해야 한다.

(5) 금융 정보 피해 구제 강화

개인정보 유출 신고제를 신설한다. 개인정보가 유출되었을 때 정보의 주체에게 유출 사실을 이야기해주어야 한다. 언제 어디서 어떻게 유출이 되었고 유출된 정보 중 피해 부분에 대해서 어떤 처리를 하고 있고 고객 입장에서 할 수 있는 피해 구제가 무엇인지 섬세하게 알리도록 되어있다.

행안부는 한국정보화진흥원과 한국인터넷진흥원에 복수로 신고하고 신고한 것에 대해 금융 피해와 같은 2차 피해가 발생하지 않도록 기술을 지원하는 부서를 지정해 놓았다.

또한 유출신고제, 집단분쟁조정, 단체 소송이 개인정보보호법에 따라 새롭게 도입된다. 예전에 발생한 인터넷 경매 업체의 고객 정보 유출 사고가 무혐의로 판결이 기울었다. 그 당시 현행 법률체계로 보면 해당 업체가 그 당시 취할 수 있는 모든 것을 했다는 판결이 났기 때문이다. 하지만 이 법이 적용되면 최선을 다했더라도 판결 동향이 바뀔 수 있다.

기업이나 공공기관 외 산학연 모두 9월 30일이 되면 제대로 시행이 될 수 있게 준비를 해야 한다. 그리고 각 개인은 자신의 정보가 소중하게 쓰일 수 있도록 노력하는 것이 좋을 것이다. Ahn 

대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 

타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.