법제도/정책

개인정보보호법…저장되는 모든 개인정보 암호화 조치 안해도 된다

이유지 기자
- 유연성 반영한 안전성 지침안 마련, 암호화 조치 시점도 최장 1년 유예

[디지털데일리 이유지기자] 오는 9월 30일 시행될 개인정보보호법상 개인정보처리사업자에 의무화될 것으로 알려졌던 개인정보 암호화 등 안전성 조치 규제강도가 정보통신망법에 비해 크게 완화될 전망이다.

내부망에 저장되는 개인정보 암호화 조치시한도 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예될 수 있어, 개인정보보호법 의무대상 사업자들이 준비할 현실적인 조건이 마련된다.

개인정보보호법과 시행령에 따라 행정안전부와 개인정보보호 연구회가 마련 중인 ‘개인정보 안전성 확보 지침’에 이같은 개인정보 기술적·관리적 보호조치 방안이 담겼다.

행정안전부는 23일 정부청사 별관에서 부처와 협회, 학계 전문가 40명을 초청해 토론회를 열고, 개인정보 표준지침안과 함께 이같은 안전성 확보 지침안에 대한 의견을 수렴했다.

개인정보 안전성 확보지침은 개인정보의 안전한 처리를 위해 개인정보처리사업자들이 적용해야 할 관리적·기술적·물리적 보호조치 사항을 담고 있다.

이 안에 따르면, 주민번호, 여권번호, 운전면허번호 등 송·수신되는 주요 개인정보(고유식별정보)는 반드시 암호화해야 한다. 비밀번호도 단방향 암호화를 적용해야 하며, 바이오정보에는 양방향 암호화 적용이 의무화된다.

그러나 내부망에 주요 개인정보를 저장할 경우엔 반드시 암호화해야 하는 것은 아니다. 개인정보처리시스템에 적용돼 있는 접근권한관리, 접근통제 등 조치사항을 종합적으로 위험수준을 측정, 분석해 암호화 적용 범위를 결정할 수 있도록 했기 때문이다.

이를 위해 점검항목 등을 담은 위험도 분석 자가진단 가이드라인이 별도로 만들어질 예정이다. 다만 인터넷구간이나 DMZ 구간에 개인정보를 저장할 때에는 의무적으로 암호화해야 한다.

이에 따라 저장되는 주요 개인정보를 암호화하지 않아도 종합적으로 접근권한 관리와 침입차단시스템 등 기술적·관리적 보호조치를 활용한 내부통제 등을 적절히 수행하면 적절한 개인정보보호 조치를 수행했다는 점이 인정될 수 있게 됐다.

정보통신망법이 PC 등에 저장되는 주민번호, 계좌번호 등 주요 개인정보를 반드시 암호화 조치토록 한 것과는 대비된다.  

이로 인해 그동안 주민번호, 계좌번호 등 주요 개인정보 DB 전체를 암호화하는데 반대해온 금융기관은 최소한 개인정보보호법으로는 부담을 덜게 됐다.

은행 등 금융기관은 개인정보 DB를 암호화하게 되면 오버헤드로 인해 서비스 처리가 지연될 수 있어 정상영업에 차질을 빚을 수 있고, 막대한 예산 소요 등을 이유로 개인정보 암호화 일괄 적용에 반발해 왔다.

한편, 공공기관은 의무화되는 개인정보 영향평가 결과에 따라 내부망에 저장되는 개인정보 암호화 범위 등을 결정할 수 있도록 했다.

행정안전부 개인정보보호과 관계자는 “접근통제 수단과 관리적 보호조치 강화 등으로 적절한 개인정보보호 조치를 하는 것이 중요하며, 개인정보 암호화가 능사는 아니다”라고 말하고, “민간 사업자들의 자율성을 보장하고 막대한 비용부담 등을 완화할 수 있도록 했지만 개인정보 유출사고가 발생할 경우 적절한 보호조치를 수행했는지 입증책임은 각 사업자들이 져야 할 것”이라고 덧붙였다.

이같은 내부망 저장정보 암호화 조치는 개인정보보호법 시행일로부터 3개월 이내에 계획을 수립해야 한다. 계획 수립 후에는 12개월 이내에 조치를 완료할 수 있도록 지침에 명시된다.

따라서 방대한 개인정보를 보유하고 있더라도 민간 사업자들이 법에 따라 암호화 조치를 완료해야 하는 사실상의 유예기간이 1년 더 생겼다.

아울러 개인정보 안전성 확보 지침에는 주민번호 등 암호화 조치 이외에도 내부관리계획 수립, 접근기록의 보관, 접근통제 시스템 설치 등 관리적·기술적·물리적 보호조치 사항이 포괄적으로 담긴다.  

이 지침은 또 상시근로자 5인 미만의 직원을 보유한 소상공인과 5인 이상 50인 미만의 중소사업자의 부담을 경감할 수 있도록 내부관리 계획과 안전성 확보 조치사항을 일부분 차등 적용하도록 했다. 제조업의 경우엔 10인 이상 또는 미만이다.

행정안전부는 현재 총리실 규제심사와 법제처 심사 등 제정절차를 진행중인 개인정보보호법 시행령이 오는 9월 중순경 공포될 것으로 예상하고 있다. 안전성 확보 지침안과 표준지침안 등 10여개 지침안은 시행령 공포 이전에 확정될 것으로 내다보고 있다.     

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널