법제도/정책

100만명 이상 개인정보 보유 사업자 망분리·ISMS 의무화

이유지 기자
- 개인정보 누출신고·이용자통지 강제, 3년 이용 않은 개인정보 파기
- 정통망법 시행령 개정안 공청회 개최…사업자 “조치대상·범위구체화”를  

[디지털데일리 이유지기자] 오는 8월 18일부터 100만명이 넘는 이용자 개인정보를 보유한 정보통신서비스제공자들은 업무망과 인터넷망 분리가 의무화된다. 매년 1회 이상 개인정보 이용내역을 통지해야 하고, 3년 이상 서비스를 이용하지 않은 개인정보는 파기하거나 다른 개인정보와 분리해 저장·관리해야 한다.

또 내년 2월 18일부터 매출액 100억원이 넘거나 일일 평균 이용자 수가 100만명이 넘는 사업자는 정보보호관리체계(ISMS)를 의무적으로 받아야 한다. 이 기준에 따라 의무화될 대상 사업자는 276곳이다.

방송통신위원회는 이같은 내용을 골자로 한 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법) 시행령 개정안을 마련, 지난 22일부터 입법예고에 들어갔다. 30일에는 서울 명동 은행회관에서 시행령 개정안 공청회를 개최해 전문가들의 의견을 수렴하는 자리를 가졌다.

이날 공청회에서는 사업자 망분리 적용 범위와 개인정보 누출 사실 신고·이용자 통지, 개인정보 파기 조치 대상이 되는 서비스 미이용 기간, ISMS 인증기관 등과 관련해 가장 많은 의견이 나왔다.

개정된 정보통신망법 시행에 앞서 최근 가장 쟁점으로 부상한 인터넷상 개인정보 수집
·이용 제한 관련 사항은 시행령에 위임된 사항이 없어 이날 논의에서는 제외됐다.

우선 인터넷산업계에서 패널토의에 참여한 전문가들은 일정규모의 개인정보가 누출된 경우에 신고·통지해야 하는 범위를 규정하거나 제한해야 한다고 주장했다.   

최성진 한국인터넷기업협회 사무국장은 “개인정보보호법 시행령에는 1만명 이상의 개인정보가 유출될 경우 관계기관에 신고하는 규정과는 달리 정보통신망법에서는 한 건이라도 개인정보가 누출되면 방통위에 신고하고 이용자에게 통지하도록 돼 있어 사업자 혼란을 일으킬 우려가 있다”고 지적했다.

이진규 NHN 개인정보보호팀장은 “개인정보 유·노출로 오해할 수 있는 사례가 많고 그 원인이 되는 사건을 확인하기 어렵거나 타인에 의해 의도적으로 개인정보가 노출된 경우, 이를 누출사건으로 간주해 방통위에 신고해야 하는지 판단하기 힘들다. 때문에 누출사건이 발생하지 않았거나 그에 기인하지 않은 상당한 이유가 있으면 신고를 유예하고 면책받을 수 있도록 해야 한다”고 말했다.

개인정보 이용내역 통지와 관련해서도 이 팀장은 “통지해야 할 개인정보의 범위가 넓어 자칫 사업자들이 개인정보 취급방침에 명시한 내용으로 형식적으로 보낼 경우에도 면책이 가능해, 이용자들이 스팸으로 처리하게 되면 실효성이 없을 것”이라는 의견을 제시했다.

정보통신망법 시행령에는 이용자에게 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목과 개인정보를 제공받은 자, 그 제공목적 및 제공 항목, 개인정보를 취급 위탁 받은 자와 그 목적을 이용자에게 연 1회 이상 통지하도록 했다.

한편, 구태언 행복마루 변호사는 “개인정보 이용내역 통지 대상에 제3자에게 제공해 이용한 내역도 포함돼야 하며, 해당 개인정보 제공에 관해 이용자가 동의를 쉽게 철회할 수 있는 수단도 강구해 이용자 통제권을 강화해야 한다”고 제안했다.

개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등의 외부 인터넷 망 차단조치를 의무 적용해야 한다는 규정과 관련해서도 대상과 범위를 규정해야 한다는 의견이 주를 이뤘다.

최성진 사무국장은 “시행령안에는 업무상 개인정보를 처리하는 모든 개인정보취급자에 망분리를 적용토록 돼 있다”며, “이로 인한 비용, 실효성을 감안할 때 사업자에게 과도한 부담이 될 수 있어 개인정보처리시스템 관리자 권한을 가진 취급자나 1만명 이상 등 일정규모의 개인정보를 취급하는 자에 한해 제한적으로 적용되도록 명확히 해야 한다”고 강조했다.

이진규 팀장은 “개인정보 DB 접근권한을 가진 DB관리자(DBA)뿐만 아니라 서비스관리도구를 통해 접근하는 모든 개인정보취급자가 망분리 대상에 해당된다”며, “자칫 고객서비스(CS)부서 담당자나 처리자의 컴퓨터까지 모두 망분리 조치를 해야하는 상황이 발생할 수 있기 때문에 일정규모 이상의 개인정보에 접근하는 경우로 완화해야 한다”고 주장했다.

이 팀장은 “무조건적인 망분리는 비용과 시설, 자원이 많이 들어가야 하므로 산업 진입장벽으로 작용할 수 있고 산업 발전에 장애가 될 수 있다”고 덧붙였다.

시행령안에서 정한 3년의 개인정보 유효기간을 축소해야 한다는 의견도 나왔다.

윤주희 소비자시민의 모임 부위원장은 “개인정보를 파기해야 할 장기 미이용 기간 3년은 지나치게 길다”고 전제하고, “개인정보 보호가 목적이라면 6개월에서 1년으로 기간을 단축하거나 우선 별도로 저장·관리토록 하고 3년이 경과한 경우 파기토록 함으로써 보다 실효성 있는 개인정보 유효기간제를 적용해야 한다”고 피력했다.

이진규 팀장도 “개인정보를 보호할 의지라면 개인정보 보존기간을 1년 정도로 정하고 예외규정을 두는 것이 더 바람직하다”며, “최초 회원가입시 휴면에 따른 개인정보 파기 내지 계정 강제 탈퇴 등의 계약을 맺는 경우 통지의무를 면제하는 것도 고려해 봐야 한다”고 제시했다.

시행령에 따르면, 정보통신서비스제공자는 개인정보 보존기간 도래 30일 전까지 개인정보가 파기 또는 분리해 저장·관리되는 사실, 일시 및 해당 개인정보의 항목을 통지해야 한다.

이 경우, 대부분 ‘휴면계정’이 대상이 될 것이므로 통지의 실효성을 담보하기 어렵기 때문에 실효성을 거두기 어렵다는 것이 이 팀장의 설명이다.  

ISMS 의무화 시행으로 발생할 부실과 혼란을 방지할 대책도 마련해야 한다는 의견도 나왔다.

윤석진 언스트앤영 한영회계법인 상무는 “부실 논란이 있었던 안전진단이 폐지되고 ISMS가 의무화되지만 각각 통제항목은 차원이 달라 외부컨설팅 기관에 도움을 받아야 한다”며, “ISMS 역시 부실화되는 상황을 방지하기 위해 컨설팅 공급능력과 제한적인 인증평가 역량을 고려해 시행일에 일괄 적용하기 보다는 매출액을 기준으로 순차 적용을 검토해야 한다”고 말했다.

시행령에 따르면, ISMS 의무 대상 사업자는 정보통신서비스부문 전년도 매출액이 100억원 이상이거나 전년도 말 기준 3개월 간 일일평균 이용자 수가 100만명 이상으로 방통위 고시 기준에 해당하는 경우다. 기존 안전진단 의무 대상이었던 VIDC의 경우엔 매출 100억원 이상, 100만명 이상 사업자에만 의무 적용된다.

윤 상무는 민간 ISMS 인증기관 추가 지정과 관련해서도 우려를 나타내면서 “인증 컨설팅 병행 금지, 엄격한 프로세스 적용 등 인증기관의 독립성 확보가 중요하고, 인증심사 수수료도 현실화할 방안이 마련돼야 한다”고 강조했다.  

이밖에도 구태언 변호사는 정보통신망법과 개인정보보호법의 불일치 문제를 지적했다. “정보통신망법은 인터넷상에서 원칙적으로 이용자의 주민등록번호를 수집·이용할 수 없게 했지만, 개인정보보호법은 동의를 받을 경우 처리할 수 있게 돼 있어 이를 해소할 필요가 있다”는 설명이다.

이에 대해 김광수 방통위 개인정보윤리과장은 “문제를 인식하고 있다”면서 “행정안전부와 공동으로 오프라인에서도 주민등록번호를 사용하지 않도록 개인정보보호법을 개정할 수 있도록 안을 논의, 준비하고 있고, 국회 사정을 고려해 추진하게 될 것”이라고 말했다.

방통위는 이번 공청회와 입법예고 기간 동안 개인정보보호조치 의무 대상 사업자를 규정한 개인정보 보유규모인 ‘100만명’의 범위가 넓고, 3년으로 정한 개인정보 유효기간을 단축해야 한다는 의견이 많았던 점을 감안해, 추가 의견검토를 거쳐 시행령 개정안을 최종 확정할 방침이다.

김광수 과장은 이 자리에서 “작년 한 해 여러 개인정보 유출 사고가 발생하면서 우리나라는 0세부터 100세까지 모든 국민의 주민등록번호가 유출됐다”며, “이번 정보통신망법 개정 시행령안에 담긴 사업자 개인정보취급자 대상 망분리, 개인정보 이용내역 통지 등 모든 사항은 개인정보를 보호하는 것이 목적임을 주지해 달라”고 당부했다.

이번에 마련된 정보통신망법 시행령 개정안은 인터넷 이용자 개인정보보호와 기업의 정보보호 수준 제고를 위해 지난해 개정, 올 2월 17일 공포된 정보통신망법에서 신설된 위임한 사항을 규정하기 위해 마련됐다.

개정된 법에는 ISMS 인증기업을 대상으로 한 정보보호 관리등급제, 정보통신서비스 운영 이전에 계획·설계부터 정보보호를 고려토록 하는 정보보호 사전점검, 임원급 정보보호 최고책임자(CISO) 지정 등도 신설됐다.

한편, 이날 공청회는 박균성 경희대 교수의 사회로 진행됐으며, 김정덕 중앙대 교수, 장경원 서울시립대 교수를 비롯해 총 7명의 전문가가 패널로 참여했다.


<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널