법제도/정책

개인정보보호법 준수 위한 암호화, 얼마나 강력해야 할까?

이민형 기자
- 암호화 조치는 고시에 준하돼, 업계 평균에 맞출 수 있도록 해야

[디지털데일리 이민형기자] 마이크로소프트 오피스, 한컴 오피스로 개인정보가 포함된 문서를 작성하고, 이를 오피스에 기본적으로 들어있는 패스워드 기능으로 암호화 했을 경우, 이를 개인정보보호법을 준수한 것으로 볼 수 있을까.

지난 3월 말 개인정보보호법 계도기간이 종료됨에 따라 해당 법을 적용받는 기관들의 움직임이 빨라지고 있는 가운데, 개인정보 암호화 등 안정성 확보조치 수준에 대한 관심이 달아오르고 있다.

개인정보보호법 제24조 제2항에는 ‘개인정보처리자는 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 하여야 한다’고 규정돼 있으나 암호화의 수준과 관련된 항목은 ‘개인정보보호법 시행령’을 비롯해 ‘행정안전부 개인정보 보호법령 및 지침·고시 해설해설서’등에서도 찾아보기 힘들다.

이로 상황으로 인해 일각에서는 오피스의 패스워드 기능으로도 충분히 컴플라이언스 이슈를 해소할 수 있다는 주장이 나오고 있다.

이는 한국인터넷진흥원이 지난 2010년에 내놓은 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’ 중 ‘개인정보의 저장형태가 소프트웨어 파일 형태일 경우에는 해당 소프트웨어에서 제공하는 암호 설정 기능을 사용할 수 있다’는 내용을 기준으로 삼은 것이다.

그러나 이렇게 판단하는 것에는 위험하다고 전문가들은 지적한다. 암호화에 대한 이슈를 일부 해소할 수 있는 것은 사실이지만 법적으로 완벽한 것은 아니기 때문이다.

이경호 고려대학교 정보보호대학원 교수는 “고시(告示)라는 것 자체는 법적 판단의 기준이 될 수 없다는 것에 유념해야 한다”며 “고시에 따라 조치했음에도 불구하고 상위 법을 위반했을 경우에는 면책의 사유나 감경의 사유가 인정되지 않는다”고 강조했다.

이는 문서파일에 암호를 걸어두라는 것은 개인정보보호를 위한 최소한의 조치라는 것이지 이것이 정보통신망법, 개인정보보호법을 완벽히 준수하는 것이라고는 보기 힘들다는 의미다.

이 교수는 “개인정보와 관련된 사고가 발생해 법정에 갔을 때 판사들이 판단하는 기준은 고시가 아닌 법령과 해당 ‘업계의 평균’이다. 개인정보를 유출시킨 옥션이 면책을 받을 수 있었던 이유는 옥션이 업계평균 이상의 개인정보보호 조치를 취하고 있었기 때문”이라며 “중소기업의 경우도 조치 수준이 업계의 평균인지, 아니면 그 이하인지의 여부가 중요하다”고 말했다.

이어 “다만 현실의 점검문제에 있어서는 고시 준수만으로도 이슈를 해소할 수 있다. 중소기업의 경우 최소한의 기준을 충족해 관리자가 충분히 노력했다는 증적을 쌓았다면 큰 문제는 발생하지 않을 것”이라고 덧붙였다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널