주민번호의 존폐를 논하는 이 시점에서 시행된 개인정보 보호법!

보안라이프/이슈&이슈 2014. 8. 10. 23:18


개인정보 유출 사고가 수도 없이 발생했다. 이젠 개인정보 유출 사고가 또 발생했다고 하더라도, 놀랍지 않을 정도이다. 이렇게 놀랍지 않은 건, 내 개인정보가 이미 유출 된 경험이 있을 것이란 말이 된다. 뒤늦게 기업들에서 지키고, 수습을 한다고 하더라도 이미 늦었다는 생각이 들기도 한다. 그래서일까, 많은 사람들이 한 목소리로 주민번호 폐지를 얘기한다.



이 목소리의 가장 큰 이유는 주민번호로 할 수 있는 일이 너무 많다는 것이다. 처음부터 주민번호는 개인정보를 식별할 수 있게 하는 IT의 한 표현수단이었기 때문에, 회원가입부터 결제까지 주민번호로 할 수 있는 일들이 너무 많다. 그런데, 이게 유출되었다면. 바뀌지도 못하고, 없애지도 못한다면. 무슨 의미가 있냐고 주민번호를 폐지하자고 하는 사람들의 이유다.

하지만 다른 의견도 존재한다. 유출된 주민번호에 대해서는 성찰을 해야 하지만, 폐지는 안된 다는 것이다. 폐지가 된다면, 주민번호로 할 수 있는 것들을 못하게 된다는 것이다. 이미 주민번호와 공인인증서를 기반으로 다양한 서비스를 할 수 있도록 했는데, 주민번호를 없앤다면 이 서비스가 중단된다는 점에서 우려하는 것이다. 이는 사회적인 혼란만 야기할 것이라고 말한다.


 

이러한 시점에서, 87일 개정된 개인정보 보호법이 시행되었다. 제일 첫 번째로, 주민번호를 수집 및 처리하는 것을 원칙적으로 금지한다. 위반할 경우에는 3천만원의 과태료가 부과된다. 물론 주민번호 처리는 예외적인 경우를 허용한다. 불가피하거나 구체적으로 처리를 요구했을 경우가 그렇다. 두 번째로는 주민번호 유출이 발생했을 경우이다. 이 때 안전성 확보조치를 하지 않았다면, 최대 5억원 이하의 과징금이 부과 될 수 있다. 매번 개인정보가 유출되었을 경우에는 누군가가 사퇴하는 것으로 무마하려고 했었는데, 그 관행이 이번 개정된 보호법을 통해서 조금이나마 해결되었으면 좋겠다.

 

13자리 숫자에 대해서 아직도 이렇고, 저렇고 말이 많고. 관련된 법안도 바뀌었다. 그동안 주민번호를 통해서 많은 혜택과 편리함을 누려왔기 때문에. 당장 13자리 숫자를 없애기에는 분명히 어려움이 존재한다. 반대로 계속 유지하고 있는 것은, 정말 찝찝한 일이다. 주민번호 논폐의 끝이 무엇이 되든, 아직은 알 수 없지만. 개정된 개인정보보호가 답이 아니라는 것은 아마 모두가 알 것이다. 물론 개정된 내용은 좋지만, 이는 주민번호 논폐의 해답은 아니다. 짧은 시간 안에 매듭지어질 문제는 아니지만, 다만 해답이 좀 더 명확해지고, 좋은 방향으로 매듭짓길 바란다



 안랩대학생기자단 홍수영 / 서울여대 정보보호학과


 omnia tempus habent

댓글을 달아 주세요

개정되는 개인정보보호법, 효과적으로 대응하려면

현장속으로/세미나 2013. 12. 23. 16:30

지난 201312 3, 서울 잠실 롯데호텔에서 2014IT 보안 시장을 전망하는 Security Next Conference 2014가 열렸다. 점차 다각적이고 지능화되는 사이버 공격 위협 환경에서 정보 보안 현안과 해결방안에 대해 모색해보고자 하는 자리였다그 첫번째 순서로 개인정보보호 추진성과 진단 및 향후 과제라는 제목으로 안전행정부 한순기 개인정보보호과 과장의 키노트가 있었다.



20119월에 전격 시행된 개인정보보호법은 시간이 지남에 따라 점차 개정되어 왔다. 최근에는 이 법이 시행된지 2년만에 20138월 새로운 개정안이 발표되어 그에 따라 기업에서 새롭게 대응해야할 것들이 추가로 생기게 되었다. 그래서 이번 키노트 세션에서는 그동안 개인정보보호를 위해 정부에서 어떻게 해왔고, 앞으로 어떻게 해나갈지에 대한 소개가 이뤄졌다.

 

그간 개인정보 보호를 위한 많은 사업들이 추진되었다. 그 결과 개인정보보호에 대한 인식이 강화되었고, 개인정보보호위원회 설립 등 정책 추진을 위한 기본틀이 마련되었다. 또한 개인정보 보호법이 잘 시행되도록 정책적으로 여러가지가 이뤄졌고, 침해대응을 위한 공조체계가 구축, 운영될 수 있도록 하였다. 하지만 개인정보 보호를 위한 법의 경우 일반법과 특별법으로 이원화되어 있어 규제 피로도가 가중되었다. 한 가지 예로 미국의 경우 적절한 보호제도를 마련하여 사용자에게 고지를 하는 것이 중심으로 되어 있고유럽의 경우 개인정보의 중요성에 대한 인식이 높아 사전에 동의를 마련하는 것을 중심으로 법 체계가 되어 있는데우리나라는 이 두 가지를 모두 요구한다는 점에서 까다로운 점이 있었다. 이 밖에도 분야별로 개인정보보호를 위한 수준이 달라서 그 편차가 누적되어 갈수록 커지고 있다는 점, 그리고 개인정보보호에 대한 인식은 높아졌지만, 자율적 실천이나 자율적 문화는 저조한 수준으로 사회 전반적으로 법적 규제가 없는 경우 보호를 위한 노력이 부족하다는 한계가 있었다.



점점 변하고 있는 주변의 환경


그동안 우리 주변의 환경은 어떻게 변화하였을까. 크게 3가지 측면으로 볼 수 있다.

먼저 사회, 문화적 측면에서 보면 국민의 권익의식이 심화되고 고도화되었다는 점과 CCTV 급증, 영상정보 보호요구 증가라는 점이 있다. 개인정보 침해신고나 분쟁조정신청이 이전에 비해 증가하였고, 사생활 침해에 대한 의식이 이전에 비해 높아졌다. 또한 지능형 CCTV, 차량용 블랙박스 등 영상기기가 다양화되고 많아졌다. 현재 우리나라는 CCTV가 가장 많은 국가인데, CCTV가 많아짐에 따라 관제센터도 증가하면서 오남용 우려가 생겼다.

두번째로는 산업, 기술적 측면이다. 빅 데이터, 클라우드 컴퓨팅이 확산되었고, 침해기법은 점점 지능화, 고도화되어 가고 있으며, 개인정보 보호산업의 수요가 증가하고 있다. 빅 데이터는 익명화된 다량의 정보를 사용한다는 특성이 있지만, 오히려 익명화된 정보가 결합되면서 개인정보가 침해될 수 있다. 또한 모바일 기기 이용 증가에 따라 스미싱, 파밍 등 침해 기법도 다양해지고 있다.

세번째로는 국제적 동향을 볼 수 있다. 국가간 교역이나 클라우드 컴퓨팅의 활성화로 인해 개인정보의 국외이전이 확산되었다. 그런데 국가별로 규제가 모두 달라서 그에 따른 피해구제, 분쟁조정 관련 문제가 증가하고 있다. 또한 이러한 환경 변화에 대응하기 위해 국제 표준이 만들어지고 있고, 상호운용성의 개선이 이뤄지고 있다.

 


개인정보보호를 위한 한국의 정책 방향


그럼 우리나라의 정책방향은 어떻게 되고 있을까?

SWOT 분석을 통해 전략을 보면 한국의 경우 강력한 정책 추진 의지와 선진 IT기술을 보유했다는 강점이 있다. 그러나 개인정보 보호에 대한 인식이 부족한 문화와 그에 따라 관련 인력이나 예산이 부족하다는 점은 약점이 되고 있다. 그리고 새로운 기술이 도입됨에 따라 침해가능성이 새롭게 생기고 있고, 침해 기술이 고도화되어 간다는 점은 위협이 되지만, 개인정보에 대한 인식이 향상되고, 기술 수요가 증가되고 있다는 점에서 새로운 기회가 되고 있다.


그래서 현재 정부에서는 '개인의 존엄과 가치가 존중 받는 선진 정보사회'라는 비전 하에 C.A.R.E라는 키워드를 만들었다. 일반국민, 산업계, 정부, 개인정보처리자 등 각 대상별 니즈를 고려하여 각 대상에게 알맞은 목표를 가지고 정책을 추진할 계획이라고 한다.



먼저 정부의 경우, 거버넌스 구조 선진화라는 목표를 가지고 있다. 세부적으로 보면, 현재 일반법과 특별법으로 중복 규제가 되고 있는 부분을 일반법을 중심으로 법체계를 정비할 계획이다. 또한 환경변화에 대응할 수 있도록 기준을 개선하고, 국제 상호 운용성을 제고하며, CCTV가 많이 생기는 환경을 고려하여 개인영상정보 보호, 관리체계를 구축할 계획이라고 한다.

두번째로 산업계에는 개인정보를 선제적으로 보호할 수 있는 기술을 ETRI 등을 통해 개발할 수 있도록 지원하고, 대한변호사협회와 협력하여 전문인력 양성/수급 체계를 구축할 계획이다. 또한 개인정보 보호 서비스 산업을 육성하여 산업계 전반적으로 선순환 생태계를 조성하고자 한다.

세번째로 개인정보처리자에게는 선제적, 자율적 보호활동을 활성화시키고, 전사적으로 개인정보 관리통제체계를 강화하도록 하며 전담체계를 마련하고, 전문역량을 강화하도록 할 계획이다.

그리고 마지막으로 개인정보보호법을 적용 받는 국민들의 의식을 강화하기 위한 방안들이 추진된다. 국민들에게 개인정보보호에 대한 홍보를 강화하고, 침해 예방 및 권리구제의 실효성을 높이기 위한 방안들이 추진된다. 대표적으로 현재도 118로 전화하면 권익침해 구제 지원센터의 도움을 받을 수 있도록 되어 있다. 이러한 것들이 좀 더 잘 홍보될 수 있도록 추진할 계획이라고 한다.



정부와 산업계에만 기대하기보다 일반 국민들도 관심 가져야


개인정보보호법의 시행, 그리고 개정에 따라 산업계에서는 기존에 하지 않았던, 규제에 맞게 대응하는 작업이 많이 필요해졌다. 그리고 정부 또한 새로 만들어지는 규제가 적절하게 적용될 수 있도록 개선을 하고 있다. 이러한 상황에서 일반 국민들 역시 그저 방관하고 바라볼 것만이 아니라 어떻게 새로 만들어지는 법이나, 산업계에서 어떻게 대응하는지 잘 확인하는 것이 좋을 것이다.


최근 개인정보 유출사고가 또 다시 발생하였다. 매번 잊을 만 하면 새로운 사고가 생기고 있다. 큰 규모의 기업이라서 막연히 잘 할 것이라고 믿었지만, 허술한 시스템 때문에 그런 사고가 발생한 것이다. 이러한 사고에 대응하기 위해 정부에서는 새로운 방안을 마련할 것이고, 산업계에서도 물론 일부 개선을 할 것이다. 하지만 우리도 우리의 개인정보를 스스로 지키기 위해 많은 관심을 가져야 하고, 평소에도 개인정보 보호 의식이 요구된다. 그래야 최근 발생한 개인정보 사고의 재발을 막을 수 있고, 우리의 정보도 지킬 수 있을 것이기 때문이다.


정부의 개선된 법과 산업계의 적절한 대응, 그리고 일반 국민들의 의식 향상으로 우리의 개인정보가 더 잘 지켜질 수 있는 미래를 기대해본다.






대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


댓글을 달아 주세요

개인정보보호, 단순 관리 넘어 유출 차단까지

현장속으로/세미나 2013. 11. 4. 11:07

10월 23일 코엑스컨벤션센터 그랜드볼룸에서 '안랩 ISF 2013(AhnLab Integrated Security Fair)'이 개최되었다. 안랩은 IT 트렌드 변화 속에서 기업의 비즈니스 환경을 위협하는 차세대 보안 위협 및 법적규제(Compliance Issue)에 대한 최신 정보와 함께 대응 전략을 제시했다. '규제 준수(Security Compliance)', '진화하는 위협(Advanced Threats)', '시큐리티 인사이트(Security Insight)'의 3개 트랙에서 총 12개의 주제 발표가 진행되었다.

그 중 김재열 SW개발실 수석연구원의 <개인정보보호의 진화, 관리를 넘어 '유출 차단'까지>를 들어보았다. 그는 개인정보보호의 범위가 개인정보 관리나 검색 위주에서 유출 차단까지 하는 형태로 진화했다고 강조했다. 다음은 주요 내용.  

개인정보보호법의 핵심

개인정보보호법은 작년 3월 시행되었는데 전체 조항은 많지 않다. 그 중 29조를 보면 전체 개인정보보호법이 말하는 바가 다 담겨있다. 올해 개인정보보호법 개정이 크게 3가지에서 이루어졌다. 과태료가 상승되었고, 주민등록번호는 과거에는 동의가 있으면 수집할 수 있었으나 현재는 수집 금지되었다. 그리고 기업대표 또는 임원이 처벌대상에 포함된다. 이것은 처벌수위 대상이 높아졌기 때문에 그만큼 법이 강화된다는 것이다. 개인정보보호법은 아직 활성화가 부족하지만 앞으로 발전할 것이라고 생각된다.

개인정보보호법이 헷갈리다면 2011 43호 지침을 읽어보면 굉장히 자세하게 나와있다. 이 지침은 개인정보보호법에 기술적인 부분을 어떻게 할지에 대한 체계적인 설명을 볼 수 있다.

 

<개인정보보호를 위한 기술적 보호조치 근거 조항>

제5조 비밀번호 관리

개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성 규칙 수립/적용

제6조 접근통제 시스템 설치운영

개인정보가 인터넷홈페이지, P2P, 공유 설정 등을 통하여 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치

제7조 개인정보 암호화

암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장

제9조 보안프로그램설치운영

보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 1일 1회 이상 업데이트를 실시

이것으로는 조금 부족하다고 느낀다면 모든 파일이 어떻게 생성되고 파기되는지 전체를 관장할 수있는 개인정보 통합 유통 관리가 필요하다. 기술적으로 조금 어려울 수도 있으나 작년 금융권에서 안랩이 참여하여 구축을 했다.

다음으로 검색조항을 살펴보면 검색시간이 어마어마하게 오래 걸린다. 백신은 파일을 탐지할 때 패턴을 보고 판단하지만 검색은 문장을 분석해야 한다. 그렇기 때문에 검색 시간이 오래 걸린다. 또한 검색했던 것을 암호화하는 것이 불안정하다. 또 개인정보보호법에 의해 굉장히 들어가야 할 것들이 많기 때문에 서버가 너무 많아 서버관리자들이 필요하다. PC 에이전트 또한 엄청난 수로 필요하게 된다. 그러다보면 검색시간이 6시간 정도 소요된다. 이는 CPU를 굉장히 많이 사용하게 된다.


뉴런 검색(Neuron Search) 기술

안랩이 이런 부분을 해결하기 위해 3초 만에 검색을 하는 기술을 개발하였다. 패러다임을 바꿔 뉴런 DB를 구축했다.

뉴런 DB는 PC에 있는 개인정보 DNA를 DB화를 미리 해놓는것이다. 검색이라는 절차를 완전히 없애버리고 뉴런 DB를 최초에 한번 구축해 놓으면 그 다음부터는 실시간으로 개인정보를 생성될 때만 생성정보를 뉴런 DB로 업데이트하는 것이다. 이때 걸리는 시간이 3초 이내이다. 이런 방법으로 검색의 절차는 사라지는 것이다. 항상 나의 PC 상태가 개인정보를 몇 개 갖고 있는지 실시간 유지해주는 상태로 발전하는 것이다.


개인정보유출 방지 솔루션

개인정보 유출의 79%가 퇴직 직원에 의해 동영상, 휴대폰 등 다양한 방법으로 이루어진다. 내부 정보 유출을 방지하는 솔루션 중 DLP 솔루션은 네트워크가 지나가는 패킷을 분석하기 때문에 불완전하다. 또한 구축비용이 많이 들며 네트워크 트래픽을 모두 분석하기 때문에 네트워크의 성능을 저하시킬 수 있다. 이러한 문제를 해결하고자 안랩은 패턴을 보지 않고 행동 기반 복합 분석을 수행하는 뉴런 엔진(Neuron Prevention Engine)을 개발해 제공한다.  

<뉴런 엔진의 특징>

-탐지 범위 : 알려지지 않은 문서 유출 기법을 완벽하게 방어

-성능 : 이벤트 발생 시점에만 리소스를 사용하기 때문에 최저 수준의 리소스 사용

-통합관리 : APC 기반의 통합 관리

-출력물 : 프린터 접근 제어 및 워터마크 지원

안랩의 개인정보 유출 방지 솔루션인 '안랩 프라이버시 매니지먼트 스위트'는 실시간 검색, 자동 격리 등 개인정보 현황 파악 및 조치는 물론, 유출까지 탐지 및 차단하는 진일보한 솔루션이다. 안랩은 개인정보 파일 유통 통합 관리 시스템을 구현해 개인정보 파일의 유통 관리 및 개인정보보호 효과를 극대화한다. 이로써 개인정보 문서를 안정적으로 유통하고, 개인정보 유출 사고에 대비하는 한편, 통합 관리 및 모니터링할 수 있다. Ahn 


 대학생기자 임지연 / 덕성여대 컴퓨터학과

  

 

댓글을 달아 주세요

  1. 어설 2013.11.04 14:57  Address |  Modify / Delete |  Reply

    좋은 정보였습니다~!!!

개인정보보호법 시행 2년, 무엇이 달라졌나

현장속으로/세미나 2013. 4. 11. 07:00

2013년 3월 26일, 서울 교육문화회관 가야금홀에서 G-PRIVACY 전국 공공·지자체 개인정보보호 컨퍼런스가 개최되었다. 행사는 9시 30분부터 오후 5시 30분까지 진행되었으며, 컨퍼런스 외에도 전시회 부스가 마련되어 참석자의 다양한 참여를 유도하였다.

컨퍼런스에서는 개인정보보호법에 대한 실무교육과 성공 구축 사례를 소개했으며, 참석 대상은 전국 공공/지자체/교육기관 개인정보보호 책임자와 개인정보 취급자 등이었다.

500여 명이 참가한 컨퍼런스 현장

개인정보보호 컨퍼런스에 참석하여 안전행정부 한순기 과장의 발표로 진행된 '개인정보보호 실태 진단 및 정책소개' 발표를 취재해 보았다. 다음은 주요 내용.

1. 현황

개인정보보호 현황은 4가지 단계로 나눌 수 있다. 보안에 대한 기본적인 인식은 되어있으나, 보안에 대한 실질적인 대비는 하지 않고, 그로 인해 치명적 손실을 입게 되는 식으로 단계를 밟아간다. 또한 개인정보의 활용은 늘어가는데, 그에 대한 보안 대책은 제대로 세워지지 않고 있는 실정이다. 보안에 대한 인식의 전환을 통해 보안에 힘써야 한다.


2. 법 시행 개요 및 성과

2011년 9월부터 시행된 개인정보보호법은 모든 개인정보처리자를 규율하며, 개인정보 처리에 대한 기본원칙을 정립하며, 정보주체의 권리 및 피해 구제를 강화한다.

<개인정보보호법의 주요 내용>

1) 수집이용 및 제공 제한 : 정보주체 동의 원칙/ 명확한 고지/ 필요 최소성, 목적 명확성 원칙

2) 저장 관리시 의무사항: 관리·기술·물리적 안전성 확보조치/ 처리 위탁 및 양도시 제한사항/ 개인정보 파기조치

3) CCTV 설치운영 제한: CCTV 설치목적 제한/ 개인영상물 안전관리 및 제공 제한

4) 권리 구제 및 보장: 개인정보 열람, 정정삭제, 처리정지 요구/ 유출통지 및 신고제/ 집단분쟁조정 및 단체소송

이로써 2012년에는 관계법령을 일괄 정비하고 개인정보보호 가이드 라인을 마련하고 배포하는 등의 법 시행 후속조치가 이루어졌으며, 범 정부 대책이 마련·추진되고, 침해 예방 및 실태 검사가 진행되었다. 또한 체계적인 교육과 홍보를 시작하고 취약분야의 현장 지원책을 마련하는 등의 성과를 이루었다.


3. 12년 관리 수준 진단

12년 관리 수준 진단 결과, 중앙부처나 시도에 비해 지방 공기업의 개선이 요구되며, 위탁 관리나 침해예방 및 관리 활동 또한 개선이 필요하다는 결론을 내렸다.

이와 같은 결론에 따라 위탁업무 관리를 개선하기 위해 개인정보 처리 업무를 위탁하는 경우, 처리에 관한 사항을 문서화하고, 수탁자 교육 및 관리, 감독을 강화하기로 하였다. 또한 개인정보 처리 시스템에 대한 접근 권한과 접속 기록을 정기 점검 하도록 하였으며, 개인정보 파일을 누락없이 등록하여 기관별로 등록항목에 대한 보완을 즉시 조치할 수 있도록 하였다.


4. 향후 계획

안전행정부에서는 2012년에 구축된 개인정보보호에 대한 기반으로 2013년에 제도를 안정화하고, 2014년에는 개인정보보호 수준을 제고하는 단계로의 전략을 세우고 있다. 2013년의 주요 업무 계획은 민관 협업의 보호수준의 향상, 법 제도에 대한 개선 및 보호 강화, 합동 점검 및 실태개선, 기술지원 및 교육 등이다.

이제 개인정보보호는 특정 부서만의 일이 아니다. 개인정보보호 책임자와 시스템운영 관리자와 개인정보 취급자가 함께, 업무를 단계 별로 체크해야 한다.


대학생 기자로서 참가한 이번 컨퍼런스를 통해 개인정보보호법에 대한 폭넓은 이해를 할 수 있었다. 또한 안전행정부를 비롯한 한국인터넷진흥원 및 여러 기업이 개인정보보호를 위해 어떤 노력을 하고 있는지 자세하게 들여다 볼 수 있었다. 우수한 성과도 많지만, 아직 개선해야 할 점도 많다. 보안은 특히나 커뮤니케이션이 잘 이루어져야 하는 부분이므로, 보안을 특정 부서만의 일이 아닌 기업 전체의 일로 여기고 함께 노력해야 할 것이다. Ahn


 대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.

댓글을 달아 주세요

개인정보 어디까지 보호해야 하나 핵심 문답 4가지

현장속으로/세미나 2013. 4. 4. 07:00

3월 26일, 서울교육문화회관에서 개인정보보호 실무자를 위한 교육 컨퍼런스인 'G-Privacy 2013'이 개최되었다. 무료참관으로 진행되며 전국 공공기관·지자체·교육기관 개인정보보호 담당자, 개인정보취급자, 개인정보처리시스템운영자, 정보시스템운영자 등 500명여 명이 참석하였다.

'키노트1'은 한국인터넷진흥원의 김민섭 책임연구원이 발표한 '공공기관 개인정보 법령상담 사례를 통한 개인정보 보호책임자의 역할'이었다.

발표에 앞서 김민섭 책임연구원은 "이번 진행되는 'G-Privacy 2013 컨퍼런스'가 실질적인 개인정보보호법 시행 1주년을 맞이하는 중요한 행사라고 생각한다"라고 말하였다. 발표는 한국인터넷진흥원에 있는 개인정보침해신고센터에서 작년 한 해 동안 모아온 데이터를 바탕으로 최근 어떠한 쟁점들이 이슈가 되고있고, 공공기관에서 어떠한 민원들이 많이 접수가 되었는지 중점으로 하여 진행되었다.

   개인정보 침해신고센터

  '개인정보에 관한 권리·이익 침해 구제를 위한 국내 유일의 전문기구'

  (전화) 국번없이 118, (인터넷) pricacy.kisa.or.kr

발표 내용을 바탕으로 주요 민원 또는 질의사항과 답변을 정리해 보았다.

1. 상급기관으로부터 감사를 받을 때 성명·주소·주민번호가 포함된 자료의 제출을 요청받은 경우, 자료를 제공할 수 있는가?

개인정보처리자는 다른 법률에 특별한 규정이 있는 경우 개인정보의 목적 외 이용 또는 제3자 제공이 가능하다. 한편, 주민번호 등 고유식별정보는 그 고유식별정보를 이용하지 않으면 감사가 불가능해지는 경우에 한하여만 제공 가능하다.

2. 암호화해야 하는 개인 정보의 범위는 어디까지인가?

모든 개인정보를 암호화해야 한다고는 규정하지 않는다. 암호화 대상은 '고유식별정보 4가지, 비밀번호, 바이오 정보' 이렇게 6가지이며 그 밖의 정보에 대해서는 기업의 여력이 되는 한 암호화를 하면된다.

3. 안전한 암호화 알고리즘의 기준은 무엇인가?

국내외 정보보호 전문기관(우리나라 경우 국가정보원)의 보안성 평가 제품에 들어가는 암호화 알고리즘으로 본다. 하지만 권고이기 때문에 안전한 암호화 알고리즘에 대한 법적인 범위는 사실상 없다. 하지만 최근 법원 판결에서는 권고되지 않은 암호화 알고리즘 사용도 손해배상 책임의 판단 근거로 삼고 있다는 것을 참고하여야 한다.

4. 검·경에서 수사 목적으로 CCTV 영상정보 제공을 요청해온 경우 제공해도 되는가?

범죄 수사, 공 소제기·유지 등을 위하여 수사기관에서 요청하는 경우 정보 주체의 동의가 없더라도 제공이 가능하다. 다만 이 경우에도 그 요청 목적에 따른 필요 최소한의 영상 정보를 제공해야 하며, 요청 기관 측에서도 관련 법령 및 요청 목적을 명확히 하여 요청할 필요가 있다. Ahn


대학생기자 김대희 /  경기대 컴퓨터과학과


댓글을 달아 주세요

개인정보보호법에서 눈여겨볼 핵심 조문

보안라이프/이슈&이슈 2012. 12. 3. 09:16

2011 9 30, 개인정보보호법이 발효됨에 따라 개인정보 침해 대응법도 구체적으로 구현되었고, 정보보호 중요성에 대한 사회의 의식 수준도 높아졌다. 개인정보보호법의 법적 성질과 주요 조문을 분석함으로써 해당 법률의 역할을 살펴보자.

개인정보는 원하지 않은 방식으로 이용되지 않아야

개인정보는 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다. 개인정보를 법적 권리로 설정할 때, 일반적으로 헌법 제17조에서 규정하는 프라이버시(privacy)라는 개념으로 접근한다. 개인정보의 법적 권리에는 자신에 관한 정보가 자신이 원하지 않은 방식으로 이용되지 않을 권리,’ ‘자신도 모르는 사이에 정보가 남에게 수집되지 않을 권리등이 포함된다.

개인정보 라이프 사이클은 수집, 저장 및 관리, 이용 및 제공, 파기로 이루어지며, 각 단계별로 침해가 발생할 수 있다.

 

개인정보보호법은 기존에 정보통신, 금융/신용, 공공행정, 교육 등의 분야에서 개별적으로 적용되었던 법률들의 체계를 일원화하여 개인정보의 수집, 처리에 관한 일반법으로 기능한다.

개인정보보호법은 기존 개인정보보호 법안의 적용 대상에서 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체까지 그 영역을 넓혔다. 보호 범위도 전자적으로 처리되는 개인정보 외에 수기 문서도 포함된다(동사무소 민원신청 서류 등 공공기관의 종이문서 등).

 

눈여겨볼 개인정보보호법 주요 조문

개인정보보호위원회 설치(7· 8)

개인정보에 관한 주요 사항을 심의 의결하는 대통령 소속 개인정보보호위원회를 두고 위원회에 사무국을 설치하였다. 이는 개인정보 보호 정책의 수립, 결정 및 제도 운영 등 중요 사항에 대한 의사 결정의 신중성, 전문성 및 객관성을 확보하고 이해당사자로부터 독립성을 확보하기 위함이다.

개인정보 처리 단계별 보호 기준 마련(15~22)

개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별 처리 기순을 구체화하였다. 이는 개인정보 수집, 이용, 제공, 위탁, 파기 등 단계별로 개인정보 처리자가 준수하여야 할 처리기준을 구체적으로 규정하고 개인정보처리 과정에서 국민의 개인정보 자기결정권을 강화하기 위함이다.

고유식별정보의 처리 제한 강화(24)

주민등록번호 등 고유식별정보는 원칙적으로 처리 금지되며, 법령에서 고유식별정보 처리를 허용하는 경우는 제외한다. 따라서 개인정보처리자는 홈페이지 회원가입 등 개인의 식별정보가 필요한 경우, 주민등록 번호 외에 방법을 반드시 제공하도록 의무화되어 있으며, 개인을 구별하는 정보의 분실, 도난, 변조, 훼손 등의 방지를 위해 암호화 등 안정성 확보 조치를 규정하고 있다. 이는 주민등록번호의 광범위한 사용 관행을 제한하고 무분별한 오·남용을 방지하기 위함이다.

영상정보처리기기의 설치 제한 근거 마련(25)

범죄의 예방/수사를 위한 경우 등의 법령에서 허용하는 경우 외에 공개된 장소에서는 영상정보처리기기의 설치 및 운영이 제한된다. 영상정보처리기기를 설치하거나 운영할 시에는 안내판, 운영 및 관리지침을 마련하는 조치가 필요하다. 해당 조문은 영상정보처리기기의 설치, 운영 근거 및 보호 조치 사항을 구체화했다는 점과, 영상정보처리기기의 무분별한 설치를 방지하여 사상활 감시에 대한 프라이버시를 보호하는 장치를 마련됐다는 점에서 의의가 있다.

개인정보 영향평가제도 도입(33)

공공기관이 대규모 개인정보 파일 구축을 할 때는 사전에 영향평가를 실시해야 한다(공공기관은 개인정보파일 등록 시 평가 결과를 첨부하여 행정안전부에 제출해야 함). 민간 분야는 자율적으로 수행한다. 이 조항을 통해 개인정보 침해를 예방하기 위하여 사전에 위험요인을 분석하고, 이를 조기에 제거할 수 있다Ahn

 

자유기고. 방지희  

 

댓글을 달아 주세요

뒤늦은 개인정보보호법, 제대로 알고 감시하자

보안라이프/이슈&이슈 2011. 10. 19. 10:10

올해 들어서만도 대형 포털사 회원 3500만 명의 개인정보가 유출된 것을 비롯해 인터넷 이용자 대부분의 정보가 유출됐다 해도 과언이 아닐 정도로 사고가 끊이지 않는다. 한 통계에 따르면 1인 당 2번 이상 개인정보가 유출되었다고 한다. 

이런 상황을 보면 9월 30일부터 전면 시행된, 개정된 개인정보보호법의 발효가 뒤늦은 감이 없지 않다. 대형 사고가 터지기 전에 시행되었다면, 사고를 예방할 수 있지 않았을까? 

그렇다면
개인정보보호법 개정의 필요성은 언제부터 대두했을까. 2008년 4월 대표적 경매 사이트에서 중국 해커에 의해 1000만 명이 넘는 개인정보가 유출됐다. 이때 유출된 개인정보는 보이스피싱, 광고, 스팸 등 추가 범죄에 악용됐다.  


2008년 4월 기사에 '연내 제정'이라는 말이 눈에 띈다. 하지만 법안은 보류되었다. 인터넷 쇼핑몰, 정유회사 등에서 또다시 대규모 개인정보유출 사건이 터지자 정부가 보안 대응 없이 방치한 책임이 크다는 비판이 빗발쳤다.

2010년 4월 국회 행정안전위원회 법안심사소위원회(제3차)를 통해 최종적으로 ‘개인정보보호법’ 제정과 관련한 논의가 이루어질 것으로 예상됐다. 그러나 이날 법안심사소위에서는 아예 논의조차 되지 않은 채 법안심사소위가 폐회되고 말았다. 그리고 2010년 9월, 국회 법안소위를 통과해 개인정보보호법 제정이 속도를 내는 듯했지만, 새해 예산 등 쟁점 문제로 무산되고 말았다.

그러다 2011년 3월, 3.4 디도스 공격과 금융사 두 곳의 해킹 등 대규모 사이버 테러가 3건이나 터지고 나서야 뒤늦게 개인정보보호법이 국회를 통과하고 3월 29일 공표됐다. 개인정보보호법이 시행되기까지 3년이 걸린 것이다.

그렇다면 이토록 힘들게 개정된 개인정보보호법은 개인, 사업자에게 자연스럽게 받아들여지고 있을까? 3월 공포 이후 6개월의 시간이 있었지만 그동안 홍보나 인식이 없었던 것이 사실이다. 대형 포털의 사고 후에야 관심을 보이면서 쫒기듯 대응할 기업이 한두 군데가 아닐 것이다. 법 개정으로 적용 사업자가 50만에서 350만 사업자로 확대됐으나 자신이 해당되는 사업자인지도 모르고 넘어가는 게 대다수라고 한다.

이렇다보니 개인정보보호법은 '범법자 양산법'이란 비아냥도 나온다. 이에 대해 김남석 행전안전부 차관은 "시행 초기에는 업격한 법 집행보다 6개월 가량 계도 기간을 두고 처벌보다 개선 중심의 현장 정검을 강화할 것"이라고 전했다.

개인정보보호 홍보대사 개그맨 박영진, 김영희 씨

어떤 제도나 법도 시행 초기에 즉시 효과를 보기는 어렵다. 법을 준수해야 하는 것은 기업이고, 기업은 사용자의 정보를 수집, 관리하는 데 비용 투자를 해야 하기 때문에 저항이 있을 수밖에 없다. 하지만 신뢰할 수 있는 사회를 만드는 일인 만큼 책임 있는 자세를 보여주어야 할 것이다. 사용자는 스스로 권리를 지키기 위해 기업이 법을 잘 준수하는지 지켜볼 필요가 있다. 그러나 본인의 개인정보를 스스로 보호하는 것이 최우선임을 기억하자.  

그런 면에서 안철수연구소가 진행하는
'개인정보보호 캠페인'을 눈여겨볼 필요가 있다. 또한 행정안전부(http://www.mopas.go.kr/)와 개인정보보호 종합지원시스템(http://privacy.go.kr)에서도 개정된 개인정보보호법과 기업, 개인, 공공기관 별 가이드라인을 받을 수 있으며 교육 등의 정보를 얻을 수 있다. Ahn    

대학생기자 변동삼 / 동국대 컴퓨터공학 
http://zxh.co.kr
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다.-링컨
아직은 꿈 많은 10대, '나' 라는 도끼를 갈자.
날카롭게

 

 

댓글을 달아 주세요

  1. 라이너스 2011.10.19 10:58  Address |  Modify / Delete |  Reply

    잘보고갑니다.^^
    좋은 하루되세요^^

  2. ssook 2011.10.19 15:50  Address |  Modify / Delete |  Reply

    좋은정보 감사합니다~ 제 블로그에 글 퍼담기 해도 될까요??

개인정보보호법 시행됐는데 난 뭘 해야 하지?

독자이벤트 2011. 10. 13. 13:55

개인정보보호법 발효됐는데 난 뭘 해야 할까? 고민하는 분이 많습니다. 
안철수연구소가 그런 분을 위해
개인정보보호 수칙 10계명을 비롯해 바뀌는 개인정보보호법 체크리스트, 효과적인 개인정보보호 3종 세트 - 패스워드의 효과적 관리, 내가 가입한 사이트 한번에 찾기, 피싱에 대한 효과적 대처 - 를 안내합니다.
SNS에 전파하고 내년도 탁상용 캘린더도 미리 찜하세요.^^ 

댓글을 달아 주세요

내 정보 지키는 첫 걸음, 개인정보보호법 바로 알기

보안라이프/이슈&이슈 2011. 9. 20. 11:47
대규모 보안 사고가 잇달아 발생한 가운데 최근에는 대표적 신용카드사 두 곳의 고객 정보가 유출되는 사고가 발생했다. 두 경우 모두 내부자가 신용정보회사 등에 정보를 판매한 것이었다. 연이은 해킹 사고에 대비해 내부 보안 프로세스를 점검하는 등 만반의 대비를 했다지만 그 정보를 관리하는 사람에 대한 대비에는 소홀했기 때문이다. 유출된 정보는 대출 등 스팸 문자, 광고 전화, 피싱(Phishing)에 이용될 것이므로 사용자의 주의가 필요하다.

출처 : http://blog.naver.com/molaaing/70106701742

한편, 이런 가운데 개인정보보호법 발효가 9월 30일로 다가왔다.
각 기업은 대비를 어떻게 하느냐에 따라 울고 웃는 상황이 벌어지게 되었다. 사용자에게는 상대적으로 좀더 안심할 수 있는 장치이기도 하다. 이렇게 점점 더 중요해지는 개인정보보호법의 내용을 'Secure Korea 2011'에서 행정안전부 김상광 서기관이 발표한 내용을 중심으로 소개한다.  

개인정보보호법이 나온 배경은?
대한민국의 국민이 4천만 명인데 지난 해 개인정보 피해 사고는 1억 건 이상 발생했다. 어떻게 보면 모든 국민들의 정보는 밖으로 세어나갔다고 할 수 있다. 이렇듯 개인정보 유출 사고가 계속 일어나고 있는데 '어떻게 하면 국가차원에서 막을 수 있을까?' 하는 생각을 했다.

주목을 못 받다가 올해 초 법을 통과하면서 정보화 분야에서 주목을 받게 된 중요한 계기가 되었다. 2004년도부터 입법논의가 처음으로 되었는데 8년간의 논의 끝에 법이 제정 되었다. 

이렇게 시간이 오래 걸렸던 이유는?
오래 걸린 것은 개인정보보호법에 대한 중요성과 시급성 중에서 그만큼 중요성이 크기 때문에 충분히 인지하고 준비하는 기간이 되었다. 개인정보보호를 국가적 차원에서 각종 사안과 지침 고시를 만들고 있다. 그리고 학계와  여러 전문가들이 준비를 하고 있다.

개인정보보호법에는 두 가지 철학이 담겨있다?
실생활에서 부녀자 성폭행과 같은 사건을 막기 위해서 설치한 CCTV. 그리고 개인 DNA 정보를 이용해서  의약 계열에서의 연구. 개인정보는 이런 활용의 수요가 굉장히 높은 부분이다. 이와는 반대로 애플과 구글의 위치 정보수집부터 동사무소 직원이 개인정보를 빼돌린 사건, 네이트 해킹 피해 등 개인의 프라이버시가 침해되는 개인정보 유출 사고도 끊임없이 나오고 있다.

그래서 개인정보보호법에서는 '개인정보의 활용 + 보호'라는 '서로 상반된 가치를 어떻게 하면 잘 조화를 시킬까?' 그리고 '그 미묘한 균형점을 어떻게 잘 찾아 갈 수 있을까?' 가 기본 취지에 녹아있다. 즉, 어느 한쪽만 강조한다고 될 문제는 아니라고 본다. 이런 차이로 인해 지난 8년 동안 입법논의에서 충돌이 있었고 의견일치를 하지 못한 부분이 있었다. 이번 시행령에는 이런 많은 차이를 반영했다. 

우리 사회가 받아들일 준비가 되어있는가?
사업자 3천명 대상으로 개인정보보호법의 주요 내용에 대해서 명확하게 이해하고 있는가? 라는 설문을 했다. 그 결과 30% 만 개정법에 대해서 듣고 있거나 인지하고 있었다. 이 부분은 지금까지와는 다른 새로운 법에 대한 행안부의 숙제라고 본다. 그래서 계속 홍보와 교육을 하고 알리는 활동을 계속 해가고 있다.

이 법에는 상당한 규제가 포함되어 있다. 하나하나 알수록 내가 하는 모든 행위들 ,기업입장에서는 마케팅 거래 행위들뿐만 아니라 공공기관 입장에서도 과태료를 물수 있는 상당한 새로운 것들이 포함되어 있다. 그리고 국민의 권리 구제를 위한 집단 소송 ,단체 소송 등 혁신적이고 지금과는 다른 환경이 이 법안에 포함이 되어있다.


현행법과의 차이는? 

(1) 더 이상의 사각지대는 없다

현행법률 체계는 개별법으로 공공기관의 경우 행안부의 공공기관 개인정보법이 적용되었다. 민간기관은 각자 섹터별로 나누어져 있다. 망사업자, 포털 서비스 업체는 방송통신위원회의 정보통신망법, 금융사업자들은 금융위원회의 신용정보법, 기타 교육 기관들은 교육 기본법등 이런 식으로 17개부서 38개 법률이 조각조각 나누어져서 개인정보를 규율했다.

하지만 현행법의 적용을 안 받는 사각지대가 문제가 되었다. 예를 들면 제조업, 서비스업, 농업, 이런 직종들은 이것을 규율하는 것이 없다. 법에서 정하는 의무사항들 (예를 들어 '이렇게 처리하십시오.')이 없었기 때문에 지킬 필요가 없었다. 심지어 250만 개의 사업자들과 비영리 단체, 법원, 헌법재판소, 국회 등 법 관련 기관도 사각지대에 있었다.

출처 :  http://lgofficenet.blog.me/20122648844

그래서 이런 모든 사각지대에 있는 기관들과 사업자들이 이 법에 따라서 새롭게 이 법의 적용대상으로 편입이 되었다. 그 결과 준비할 것들이 상당히 많아졌다. 그 동안에는 '이렇게 이러해라' 라는 것이 없었는데 이제 생기게 되었다. 그 중에서도 공공기관은 공공성 때문에 특례를 두고 있다. 영향 평가를 하던가 전자화해서 행안부에 등록을 해야 된다. 이런 특례들을 적용하기 위해 공공기관의 범위를 정하고 있다.

(2) 영상 정보 기계의 처리 범위

영상 정보를 개인 정보로 보고 시행령에서 두 가지로 구분한다. 우선 CCTV와 네트워크 카메라로 촬영한 것은 개인 정보로 본다. CCTV는 촬영한 다음 안에서만 볼 수 있는 폐쇄 망이며, 네트워크 카메라는 유무선을 통해서 전송할 수 있는 오픈 망이다. 다음으로 차량 내의 이동형 카메라, 회사 내에서 사용하는 이동형 카메라, 개인 스마트폰은 개인정보보호법 대상에 포함되지 않는다. 

영상 정보 기기는 몇 가지 경우를 제외하고는 원칙적으로 설치하지 못 한다. 예를 들어 교통 안전, 화재 안전, 시설 안전 등의 용도 외에는 사용을 못 하는 것이다. 다만 행안부는 CCTV 이용 활성화법을 적용한다. 최근에 CCTV 통합 관제 센터가 광범위하게 설치되고 있고 CCTV 활용 요구들이 굉장히 많기 때문이다.

(3) 민감 정보와 고유 정보의 식별 범위 

개인 정보는 크게 세 가지로 나눌 수 있다. 
- 민감 정보 : 개인의 사상, 노조 활동 경험, DNA, 성생활 등 기본적인 개인의 인권과 관련된 내용으로 가장 보호를 해야 하는 정보
- 고유 식별 정보 : 주민등록번호, 운전면허번호, 외국인 등록번호, 여권번호와 같은 개인을 고유하게 식별을 할 수 있는 정보
- 일반 개인 정보 : 이 외 나머지 것들 

개인정보보호법이 적용되면 민감 정보와 고유 식별 정보는 두 가지 경우에만 처리를 할 수 있다. 정보 주체의 별도 동의가 있을 경우와 법령에서 구체적으로 허용하는 경우이다. 이 외에는 처리를 못 한다.

현행법에서는 공공기관의 경우 공공 목적 업무 수행을 위해서 민감 정보를 광범위하게 수집해왔다. 이 법에 따르면 공공기관이라 할지라도 법에 근거한 처리 근거가 없을 경우에 민감 정보와 고유 식별 정보를 사용할 수 없게 강한 규제를 한다.
 

출처 : http://ask.nate.com/qna/view.html?n=8316430

고유 식별 정보는 주민등록번호와 가장 관련이 있다. 지난해 개인 정보 유출 사건이 1억 건으로 외국에서는 있을 수 없는 일이다. 왜냐하면 외국은 주민등록번호를 사용하지 않기 때문이다. 외국은 그때그때 사회보장번호, 운전면허번호, 회원번호 중에서 목적에 맞는 번호를 사용한다. 우리나라처럼 국가가 일률적으로 번호를 부여해서 관리하는 체계가 아니다. 주민등록번호는 일본에서조차 벤치마킹할 정도로 편리하고 효율적이다. 우리나라가 세계 1위의 전자정부가 되는 데 크게 기여하기도 했다.

하지만 이제 그 역기능이 나타나는 것이다. 
문제의 핵심은 주민등록번호를 DB(데이터베이스)의 키값, 기준 값 혹은 검색 값으로 사용한다는 것이다. 그러다 보니까 주민등록번호 하나만 해킹하면 1억 건의 정보를 유출할 수 있는 것이다.

행정 목적으로 만들어진 주민등록번호는 공공기관에서는 어쩔 수 없겠지만 민간분야에서는 사용을 줄여나가야 한다. 이 법에서 말하는 것은 주민등록번호를 가급적 사용하지 말고 다른 값을 사용하라는 이야기이다. (예 : 아이핀, 전자서명, 공인인증서 등)

이런 부분은 보호하는 것 외에 활성화 방안도 연구하고 있다. 기타 고유번호, 특히 주민번호, 민감 정보를 암호화하거나 접근 제어를 하는 기술적 관리 보호 조치가 그에 해당한다.

(4) 일정 규모 이상의 공공기관 사업자의 경우

출처 : http://windlov2.tistory.com/826

자기 조직 내에 CPO(개인정보보호책임자)를 지정해서 CPO 중심으로 개인정보를 보호하는 것이다. 그리고 CPO가 개인정보보호에 대한 지식과 어떤 마인드를 가지고 내부직원교육이나 자체 감사 등 되도록 많은 것을 하도록 책임을 지고 있다.

그 다음 공공기관에 관한 영향평가를 실시하도록 한다. 공공기관의 경우에는 새로 시스템을 구축할 때 사전에 개인정보침해 위험이 있는지 없는지 분석을 하고 시스템 구축 전 문제점을 해결하도록 해야 한다.

(5) 금융 정보 피해 구제 강화

개인정보 유출 신고제를 신설한다. 개인정보가 유출되었을 때 정보의 주체에게 유출 사실을 이야기해주어야 한다. 언제 어디서 어떻게 유출이 되었고 유출된 정보 중 피해 부분에 대해서 어떤 처리를 하고 있고 고객 입장에서 할 수 있는 피해 구제가 무엇인지 섬세하게 알리도록 되어있다.

행안부는 한국정보화진흥원과 한국인터넷진흥원에 복수로 신고하고 신고한 것에 대해 금융 피해와 같은 2차 피해가 발생하지 않도록 기술을 지원하는 부서를 지정해 놓았다.

또한 유출신고제, 집단분쟁조정, 단체 소송이 개인정보보호법에 따라 새롭게 도입된다. 예전에 발생한 인터넷 경매 업체의 고객 정보 유출 사고가 무혐의로 판결이 기울었다. 그 당시 현행 법률체계로 보면 해당 업체가 그 당시 취할 수 있는 모든 것을 했다는 판결이 났기 때문이다. 하지만 이 법이 적용되면 최선을 다했더라도 판결 동향이 바뀔 수 있다.

기업이나 공공기관 외 산학연 모두 9월 30일이 되면 제대로 시행이 될 수 있게 준비를 해야 한다. 그리고 각 개인은 자신의 정보가 소중하게 쓰일 수 있도록 노력하는 것이 좋을 것이다. Ahn 

대학생기자 김재기 / 한양대 안산 컴퓨터공학과


해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 

타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다. 
 

댓글을 달아 주세요

  1. TISTORY 2011.09.21 11:09  Address |  Modify / Delete |  Reply


    안녕하세요, TISTORY입니다.



    티스토리 메인에서 '개인정보보호'를 주제로 회원님의 글을 소개해드렸습니다.^^
    혹시 노출과 관련하여 궁금한 점이 있으시면 tistoryeditor@hanmail.net 메일을 통해 말씀해주세요!


    앞으로도 재미있고 유익한 글로 자주 뵈었으면 좋겠습니다.


    감사합니다.

    • Jack2 2011.09.21 17:56 신고  Address |  Modify / Delete

      티스토리 메인에 제 글이 올라갈 수 있다니 저야 영광이죠^^
      앞으로도 유익한 글 올리겠습니다 ㅋㅋ
      보안세상에도 자주 방문해주세요

개인정보보호법 시행되면 내 정보 안전할까

보안라이프/이슈&이슈 2011. 9. 14. 07:00

최근 잇달아 발생한 개인정보 유출 사고는 본인이 모르는 대출 시도, 카드 추가 발급 등의 2차, 3차 피해로 이어져 심각성이 다하다. 일련의 사건은 우리 사회가 보안 문제를 진지하게 살펴보게끔 했다. 보안에 대한 관심이 급격히 높아진 이 시점에, 2003년 처음으로 입법 논의가 제기되어 8년여의 기간을 거쳐 수정된 개인정보보호법이 오는 9월 30일부터 시행된다. 

 

개인정보보호법, 이렇게 바뀐다

 

사실 개인정보보호법과 유사한 내용을 담은 법이 전혀 없었던 것은 아니다. 기존 정보통신망법이 있지만 이는 공공기관, 정보통신사업자, 신용정보 제공 및 이용자만을 대상으로 했다. 이와 달리 새로 제정된 개인정보보호법에서는 오프라인 사업자, 의료기관, 동호회나 모임과 같은 비영리단체 등이 대상으로 추가되었으며 수기문서까지 포함되어 보호 의무 적용 대상을 대폭 확대했다.

 

, 앞으로는 어떤 기관이나 혹은 목적을 가진 개인이 아닌 일반 단체의 개인도 개인 정보를 취급하면 개인정보 처리자로서 개인정보보호법의 적용을 받는다. 또한 업무에 따라 자유롭게 개인 정보를 취급할 수 있었던 공공기관도 앞으로는 개인 정보 수집 시 정보 주체의 동의가 있어야만 사용할 수 있다. 반면에, 목적 외의 개인 정보를 사용하는 것도 강력하게 금지되었으나 정보 주체의 동의에 따라 통계 및 학술 연구로는 사용이 가능토록 하는 융통성도 가지고 있다.

 

의무 적용 대상 확대 외에도, 앞서 말한 공공기관의 사례와 목적 외 개인 정보 이용의 사례만 보아도 알 수 있듯이, 개인 정보 처리자의 권한은 줄어들고 정보 주체의 권익은 크게 늘어났다. 처음 정보를 수집할 때 정보 주체에게 정보 수집 목적과 수집할 정보의 항목, 보유 기간 등을 정보 주체가 명확히 인식할 수 있도록 고지 의무를 강화했다. 또한 개인 정보 유출 및 시스템 침해 사고 등의 보안 사고가 발생할 경우, 즉시 정보 주체에게 유출 사실, 유출 정보, 시점, 경위에 대한 사실을 통보하도록 하여, 정보 주체의 개인 정보의 중요성을 강조하였다. 

그리고 주민등록번호 등의 고유식별정보의 사용에 강한 제한을 두었다. 집주소, 전화번호와 쉽게 바뀔 수 있는 정보와는 달리 주민등록번호는 완전하게 개인에게 귀속되므로 개인을 인식하는 데 좋은 도구가 된다. 그러나 그런 만큼, 이 정보가 노출되었을 때의 위험도는 매우 높다.

개인정보보호법에서는 이런 문제를 해결하기 위해 주민등록번호, 운전자면허번호, 여권번호 등의 고유식별정보의 처리를 원칙적으로 제한하고, I-Pin, 공인인증서 등 대체 방안을 사용할 것을 적극 권장한다. 만약, 고유식별정보를 이용할 경우에도, 암호화 등의 안전 조치를 확보할 것을 의무화하도록 하였다.

 

마지막으로 영상 정보 처리 기기에 대한 규제를 강화하였다. 현재까지는 공공기관이 설치 및 운영하는 CCTV에 한하여 규율을 적용했으나 앞으로는 민간까지 규율 적용 대상을 확대하여 설치 여부에 대한 조건을 화재 예방, 교통 단속 등으로 명시하였다. 또한 CCTV뿐만 아니라 네트워크 카메라도 포함하였으며 공중 화장실, 목욕탕 등 사생활 침해 우려가 큰 장소에는 설치를 금지했다.

 

개인정보보호를 위해서는 국가적 노력이 필요

 

개인정보보호가 이렇게 법으로 시행된 것은 큰 의미를 지닌다. 하지만 개인정보보호는 법만으로 이룰 수 있는 것이 아니다. 실제로 이와 같은 보호를 수행할 수 있는 다양한 기술적 보호 조치가 함께 이루어져야 비로소 개인정보보호라는 과제를 해결할 수 있는 것이다. 개인정보보호법 위반 시 2년 이하의 징역 또는 1000만원의 벌금이 처벌로 가해지므로 기술적 보호 조치의 노력은 적극적으로 이루어질 것이며, 이를 뒷받침하기 위한 보안 업계의 서비스 강화도 함께 이루어지게 될 것이다.

 

추세에 맞춰 나가고 있다 안철수연구소에서도 개인정보보호와 관련하여 기존 컨설팅 서비스를 제공하던 것에서 한 걸음 더 나아가 개인정보보호에 특화한 솔루션 정책 등을 반영하여 개인정보보호 맞춤 컨설팅을 펼칠 계획 이러한 . 또한 여러 보안업체에서도 함께 노력을 기울이고 있어 향후 법이 시행된 이후에는 지금과 같은 피해를 방지하기 위한 노력이 전 국가적으로 계속해서 이루어지고 있다.

 

하지만 개인정보보호를 위한 가장 중요한 조건은 따로 있다. 그것은 바로 스스로 개인정보의 중요성을 체감하고 이를 지키기 위해 노력하여야 한다는 점이다. 기업을 통한 개인 정보 유출 사건은 그 규모가 방대하다는 점에서 크게 다가오지만 기업을 통하지 않고서도 개인의 무관심으로 개인 정보가 유출되는 경우도 무척 많다. 오히려 기업에서의 개인정보 유출이 이슈화하는 것에 반해 유출되었다는 사실도 알기 어려울 뿐더러 무관심하게 넘어가기 쉽다는 점에서는 더 심각한 문제라고 할 수 있다.

 

갈수록 디지털화해가는 사회에서 정보의 가치는 점점 더 증가하고 있다. 개인은 새롭게 시행되는 개인정보보호법을 계기로 스스로 정보에 너무 무관심했던 것은 아닌지 되돌아보고, 기업은 법을 준수하며, 정부는 법을 수정보완하며 적절하게 집행할 때 개인정보보호는 막연한 개념이 아닌 현실이 되어 돌아올 것이다. Ahn

대학생기자 최승호 / 고려대 컴퓨터통신공학부

모두가 열정적으로 살지만 무엇에 열정적인지는 저마다 다릅니다.
당신의 열정은 당신의 꿈을 향하고 있나요?
이제 이 길의 끝을 향해 함께 걸어나가지 않으시겠습니까.

댓글을 달아 주세요