법제도/정책

주민번호수집금지 확대·ISMS 인증 의무화…새해 바뀌는 정보보호제도는?

이민형 기자
- 정보통신망법·개인정보보호법 유예기간 종료, 내년부터 본격 시행

[디지털데일리 이민형기자] 올해는 개인정보보호법, 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정안이 시행으로 정보보호 시장에 많은 변화를 가져왔다. 그러나 여전히 정부와 기업의 정보보호 인식은 높아지지 않았다는 지적도 나오고 있다.

내년부터는 개인정보보호를 비롯한 보안제도가 더욱 강화된다. 주민등록번호 수집 금지가 모든 웹사이트에 적용되며, ‘정보보호 안전진단제도’가 ‘정보보호관리체계(ISMS)’ 인증제도로 변경된다.

이외에도 개정 정보통신망법에 따라 ▲정보통신망의 안정성 확보 ▲정보보호 사전점검 ▲정보보호 최고책임자 지정 등 이 시행되고, 개인정보보호법 유예기간 종료로 개인정보 DB암호화도 내년부터 의무화된다. <디지털데일리>는 2013년부터 바뀌는 정보보호 제도와 규정 등을 알아봤다.

◆안전진단제도 폐지…ISMS인증 의무화=내년 2월 18일부터 개정 정보통신망법 시행으로 ‘정보보호관리체계(ISMS) 인증제도가 의무화된다.

ISMS 인증은 방통위가 내리고, 인증 업무 전반은 현행대로 한국인터넷진흥원이나 방통위가 지정하는 인증기관에서 수행한다. 인증서 발급은 한국인터넷진흥원에서 이뤄진다.

ISMS 인증 의무 대상자는 ‘전기통신사업법’ 제6조 제1항에 따른 허가를 받은자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 사업자와 집적정보통신시설 사업자, 연간매출액, 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 등이다.

이동통신사, 인터넷서비스사업자 등 대부분의 정보통신서비스 사업자들이 의무적으로 인증을 받아야한다. 특히, 전년도 매출액 100억원 이상의 방통위가 고시하는 기준에 해당하는 경우와 전년도말 기준 3개월간의 일일평균 이용자수가 100만명 이상으로서 방통위가 고시하는 기준에 해당되는 경우도 포함된다.

ISMS 인증 의무제도 시행에 따라 인증 의무사업자들은 내년 말까지 반드시 인증을 취득해야한다.

◆주민등록번호 수집 전면 금지=내년부터 인터넷상에서의 사업자들의 주민번호 신규 수집과 이용이 전면 금지된다. 새해부터는 지난 2월 발표된 ‘주민등록번호 사용 제한’이 2단계에 들어서기 때문이다.

이번에 시행되는 법령은 주민등록번호 사용제한(제23조의2), 개인정보 누출 통지(제27조의3) 등 개인정보보호와 관련된 부분이다. 이에 따라 사업자들은 인터넷 상에서 주민번호를 수집할 수 없게 되며, 주민번호를 대체할 방법으로 공인인증서, 휴대전화 인증 등을 사용해야 된다.

방통위는 3단계에 걸쳐 주민번호 사용을 제한할 계획을 수립했다. 1단계인 올해에는 일일 방문자 1만명 이상 웹사이트에 이 제도가 적용됐다. 2013년에는 모든 웹사이트가 주민번호를 수집하거나 이용할 수 없다.

또 2월부터는 ‘개인정보 누출 통지 및 신고’제도가 시행된다. 이는 사업자가 자신이 보관하고 있는 개인정보가 분실·도난·누출된 사실을 알게 됐을 경우 사용자에게 알리고, 방통위에 신고하는 제도다.

이전까지는 사업자가 개인정보를 유출시켰을 경우 홈페이지 등에 침해사실을 통지하는 것에 그쳤으나, 앞으로는 사용자에게 직접 알려야한다.

◆기업들의 개인정보보호 책임 강화=개인정보보호를 위한 기업들의 책임도 강화된다. 사업자들은 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려해야 한다(제45조의2).

방통위는 내년 2월부터 개인정보를 수집해 업무에 활용하는 사업자들을 대상으로 사전점검을 실시한다.

이들 분야에 대한 사전점검은, 개인정보를 수집하는 과정에서 사용자로부터 명시적인 동의를 받고 있는지와 개인정보를 안전하게 관리하기 위한 기술적·관리적 보호조치를 취하고 있는지에 중점을 두고 진행된다.

이와 더불어 ‘개인정보 이용내역 통지(제30조의2)’제도도 시행된다. ‘개인정보 이용내역 통지제’는 100만명 이상의 개인정보를 보유하고 있거나, 정보통신 서비스 관련 매출액이 100억원 이상인 사업자가 연 1회 사용자에게 개인정보 이용내역을 통지해야 하는 제도다. 이는 사용자들의 자기정보통제 권리를 높이기 위한 조치다.

사업자가 개인정보보호조치를 이행하지 않을 경우 최고 3000만원의 과태료가 부과될 수 있는 법령도 신설돼 시행되며, 해당 사업자를 방통위가 고발할 수 있는 법령도 마련됐다.

기업의 정보보호 최고책임자의 지정도 내년 2월부터는 의무화된다. 정보통신서비스 사업자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위해 임원급의 정보보호 최고책임자를 지정하고, ▲정보보호관리체계의 수립 및 관리·운영 ▲정보보호 취약점 분석·평가 및 개선 ▲침해사고의 예방 및 대응 ▲사전 정보보호대책 마련 및 보안조치 설계·구현 ▲정보보호 사전 보안성 검토 등을 수행해야 한다.

◆시큐어코딩 의무화=이달 27일부터 행정기관이나 정부부처 등에서 추진하는 40억원이상 정보화사업 소프트웨어 개발에 ‘SW개발보안 제도(시큐어코딩)’이 의무화된다. 사실상 2013년부터 의무화로 볼 수 있다.

시큐어코딩이란 소프트웨어의 개발과정에서 개발자의 지식부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위해, 설계 단계부터 보안을 고려해 개발하는 것을 의미한다.

행정안전부는 올해 12월부터 행정기관 등에서 추진하는 40억원 이상 정보화사업에 시큐어코딩 적용을 의무화하고 단계적으로 의무 대상을 확대해 2013년에는 20억원 이상 사업에, 2014년에는 감리대상 전 정보화사업에 적용할 예정이다.

개발보안 적용 대상 정보화사업은 정보시스템 감리시 소프트웨어 개발보안 여부를 의무적으로 확인해야 한다. 행안부는 소프트웨어 개발보안 여부를 전문적으로 진단하고 조치 방안을 제시하는 ‘보안약점 진단원’ 자격제도를 도입해 감리인력으로 활용하도록 할 계획이다.

시큐어코딩 의무화에 SW 개발사업자가 반드시 제거해야 할 보안약점은 SQL 삽입, 크로스사이트스크립트 등 43개며, 감리법인은 정보시스템 감리시 검사항목에 보안약점 제거 여부를 반드시 포함시켜야 한다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널