[IT전문 미디어 블로그=딜라이트닷넷]

개인정보보호법의 계도기간이 끝나면서 다음달 말부터 본격적인 시행에 들어갑니다.

이번 법안 시행으로 개인정보보호법의 적용을 받는 사업자수는 약 350만 개. 공공기관, 비영리단체, 동창회, 부동산중개소, 택배사, 등 흔히 생각하는 인터넷서비스업체뿐만 아니라 생활 곳곳에 있는 사업자들이 모두 대상입니다.

동창회라고 하면 기업도 아닌데 왜 적용을 받느냐라고 반문할 수 있습니다. 동창회는 회원명부(이름, 전화번호, 주소 등)를 수집·관리하는 절차가 들어있기 때문에 영리목적이 아니라도 이것이 유출될 경우 개인이 피해를 입을 수 있다는 법적 해석이 들어가 있기 때문입니다.

그러나 아직까지 개인정보보호법 시행안을 인지하지 못하고 있는 중소기업이나 소상공인들이 많다는 지적이 여전히 나오고 있습니다.

최근에 기자가 만난 쇼핑몰 사업자들은 대부분 개인정보보호법이 시행됐다는 사실조차 모르고 있었으며, 이를 인지한 사업자들 중에서도 무엇을 해야할지를 모르고 있는 사람이 대부분이었습니다.

쇼핑몰 사업자들은 우선적으로 온라인을 통해 개인정보를 수집하기 때문에 정보통신망법의 적용을 받지만, 실물을 거래하는 서비스의 개념도 포함돼 있어 개인정보보호법의 적용도 받게됩니다.

<관련기사 : 개인정보보호법, 정부차원의 당근과 채찍 필요>

행정안전부가 지난해부터 중소기업, 소상공인 등 국민생활과 밀접한 중소사업자를 대상으로 업종별 컨설팅에 돌입하긴 했지만 여전히 사각지대에 놓인 사업자들이 많다는 것이겠지요.


반면 법은 누구에게나 공정합니다. 매출액이 적은 소상공인이라고 법의 적용을 받지 않는 것은 아닙니다. 소상공인들이 개인정보보호법을 지키지 않는다면 행정조사를 받게되고, 이는 벌금이나 징역과 같은 형사처벌도 받을 수 있습니다.

더 나아가 민사소송으로까지 연결된다면 금전적 피해는 더욱 커지겠지요.

소상공인, 중소기업들이 개인정보보호법을 지킬 수 있는 방법을 알아보기 위해 행복마루 법률사무소 구태언 변호사를 만났습니다.

구 변호사는 “개인정보보호법은 어려운 것이 아니므로 겁먹을 필요가 없다”고 운을 뗐습니다. 이미 많은 사업자들이 헌법을 비롯해 정보통신망법과 같은 법을 모두 지키고 있는데, 새로운 법안이 등장했다고 해서 고심할 필요는 없다는 이야기였습니다.

그는 이어 “개인정보보호 지침을 보면 합리적인 비용이 소요되는 선에서 구축할 것을 요구하고 있다”며 “대기업처럼 많은 인력과 장비를 갖추라는 것은 아니다”라고 덧붙였습니다.

대기업에서는 개인정보보호를 위해 보안솔루션을 새롭게 도입하고 보안컨설팅을 받는 등 다양한 조치에 나섰지만, 중소기업은 대기업처럼 투자할 여력이 마땅치 않습니다.

개인정보보호법은 ‘개인정보의 안정성 확보를 위해 기업이 최선의 노력을 다했느냐’라는 부분이 핵심이기 때문에 수준보다는 관리의 영역이 중요하다는 것이 구 변호사의 설명입니다.

개인정보보호법 시행령 제30조(하단)를 살펴보면 가장 먼저 나오는 부분이 바로 ‘관리’의 영역입니다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

관리의 조치를 한 이후 기술적 조치를 취하고, 마지막으로 물리적 조치를 취하는 것이 올바른 순서라는게 구 변호사의 설명입니다.

구 변호사는 “중소기업이 개인정보보호법을 지키기 위해서는 관리적인 노력부터 시작해야 한다. 어떤 절차로 개인정보를 수집·활용하며, 그 정보는 누가 어떻게 관리하고 있는지와 같은 것들을 우선적으로 정해두고, 이후 암호화 기술을 적용하는 것이 그 순서다”라고 말했습니다.

우선적으로 개인정보를 수집, 보관하고 있는 기업들은 그 정보를 열람할 수 있는 인원을 한정하고 개인정보관리책임자를 선임해야합니다.

즉, 개인정보관리책임자를 제외한 다른 직원들은 해당 정보에 접근할 수 없도록 권한을 분배해야겠지요.

그 다음 해킹 등을 통한 유출을 방지하기 위해 개인정보가 있는 DB를 암호화 해야합니다. DB암호화, 방화벽, DRM과 같은 솔루션이 필요하겠네요.

개인정보보호법과 관련해 기술적 조언을 받기 위해서는 한국정보화진흥원과 행안부가 공동으로 만든 기술지원센터(www.privacy.go.kr)에서 받을 수 있습니다.

법률사무소 행복마루(www.happy-maru.kr)에서는 개인정보보호법과 관련된 법률상담을 실시할 예정이라고 합니다. 행복마루는 유수기업에 개인정보관리체계 구축 자문을 활발히 하고 있는 법률사무소입니다.

구 변호사는 “인터넷으로 개인정보보호법과 관련된 자문서비스를 준비하고 있다”며 “중소기업을 운영하는 사업자들의 궁금증을 해소할 수 있도록 막바지 작업에 들어갔다”고 전했습니다.

개인정보보호법 계도기간 종료까지 이제 한달 남았습니다. 이제 마무리를 해야할 것 같습니다.

[이민형 기자 블로그=인터넷 일상다반사]