전문가칼럼

[ICT법 바로알기67] 안전성확보조치기준 개정사항 해설

김경환 변호사

[법무법인 민후 김경환 변호사] 개인정보의 관리적·기술적·물리적 보호조치를 담은 행정자치부의 <개인정보의 안전성 확보조치 기준(안전성확보조치기준)>이 처음 개정돼 2014년 12월 30일부터 시행됐다. 그 동안 해킹 또는 관리부주의에 의한 대규모 개인정보 유출 사건에 대해 규율적으로 미흡한 부분을 추가했고, 모바일 기기·무선통신 등의 사용 증대에 따른 보호조치 부분을 보완했다. 나아가 개인정보 파기에 대한 세부 기준을 제시했다.

여기서는 개정 <안전성확보조치기준>을 중심으로 공공기관이나 기업이 보완해야 할 보호조치를 중심으로 설명하고자 한다.

1.내부관리계획(안전성확보조치기준 제3조 제1항 제5호)

개정 <안전성확보조치기준>은, 내부관리계획에 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항’을 의무적으로 추가하도록 하고 있다. 개인정보 처리업무의 위탁은 가장 빈번하게 발생하는 처리 형태 중의 하나이기는 하지만 위탁자의 책임을 면하는 방편으로 악용 가능성이 있는 처리 형태이기도 하다.

즉 위탁으로 인해 위탁자의 책임은 줄어드는 대신에 수탁자는 위탁자가 부담해야 할 법적 책임을 인수하게 되는바, 위탁자는 위탁의 본연의 취지와 달리 위탁 이후 개인정보의 관리에서 손을 놓는 경우도 적지 않았다. 더군다나 최근에는 수탁자의 개인정보 유출이 있었음에도 위탁이 있었는지조차 인식하지 못한 위탁자도 나타나면서 그 폐해가 심각하게 드러나고 있다.

이에 개정 <안전성확보조치기준>은 내부관리계획에 위탁에 관한 사항을 명확하게 밝히는 한편 수탁자에 대한 관리나 감독에 관한 사항을 포함시키게끔 의무화했다. 공공기관이나 기업 입장에서는 내부관리계획을 보완해 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항’을 추가해야 한다. 그렇다면 구체적으로 어떤 내용을 채우면 될지를 살펴보자.

우선 수탁자 교육에 관한 사항이 포함될 수 있다. 교육의 시기와 내용, 대상 등이 내부관리계획에 포함될 수 있고, 교육의 내용으로는 수탁업무의 내용, 수탁자가 준수해야 할 안전성확보조치기준, 개인정보 파기에 관한 사항 등이 포함될 수 있다.

다음으로 수탁자에 대한 관리·감독 방안이 포함될 수 있다. 예컨대 관리·감독의 방법, 시기, 절차, 항목 등이 여기에 해당한다. 위탁자는 수탁자의 개인정보 처리 업무에 대해 관리·감독해야 하고, 그 결과를 기록으로 남겨서 향후 개선조치를 취해야 하는바, 이러한 내용을 내부관리계획에 포함시키면 된다.

‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항’이 포함된 수정된 내부관리계획은 외부적으로 공개할 필요는 없지만 최고경영층의 승인을 받은 이후 모든 임직원 및 취급자 등에게 통지해 이를 준수하도록 해야 한다. 그리고 그 수정 이력도 관리해야 한다(안전성확보조치기준 제3조 제3항).

2. 접근통제(안전성확보조치기준 제5조 제4항, 제5항, 제7항)

접근통제는 안전성확보조치기준의 핵심 조항이다. 소송에서 항상 이슈가 되고 처벌의 근거로 가장 많이 활용되는 조항이다. 앞으로 이 조항은 꾸준히 보완될 것으로 보인다.

개정 <안전성확보조치기준>은 1) 공개된 무선망 이용시 보호조치 의무, 2) 고유식별정보 홈페이지에 대한 연 1회 이상 취약점 점검 의무, 3) 모바일 기기에 대한 비밀번호 설정 등의 의무를 부과했다.

공개된 무선망 이용시, 통신시 암호화 송·수신을 해야 하고, 파일 송·수신시 파일 암호화를 해야 하며, 개인정보 유출 방지조치를 적용해야 한다.

고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검해야 한다. 여기서 취약점은 잘 알려진 웹 취약점을 의미하며, 예컨대 SQL 인젝션, CSS 취약점, 파일 다운로드 취약점 등이 있다. 그 외의 잘 알려진 웹 취약점은 OWASP(국제웹표준기구)의 매년 발표 내용을 참조하면 될 것이다.

개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 해야 한다. 여기서 업무용 모바일 기기에 대해 질문이 많은데, 업무용이란 공공기관이나 기업 소유란 의미가 아니라 개인 소유라도 업무용도로 사용하고 있으면 여기에 해당한다. 비밀번호 설정 등의 보호조치는 비밀번호 외에 패턴 설정이나 PIN, USIM 카드 잠금 설정 등이 여기에 속한다.

3. 접속기록 보관·점검(안전성확보조치기준 제7조 제2항)

개인정보처리시스템의 접속기록의 경우 6개월 이상의 보관 의무가 있지만 개정 <안전성확보조치기준>에서는 보관 의무뿐만 아니라 점검 의무도 추가됐다. 개인정보처리시스템 접속기록의 점검 의무가 안전성확보조치기준 제7조 제2항 신설 이전에도 존재했는지에 대해 의견이 갈리고 있었지만, 제7조 제2항 신설로 인해 이제는 확고하게 법령상 의무가 된 것이다.

점검 의무가 부과된 취지는, 개인정보의 유출·변조·훼손 등에 대해 이를 탐지하고 대응하기 위해서이다. 예컨대 비인가된 개인정보 처리나 대량의 개인정보 조회·정정·다운로드·삭제 등의 비정상적인 행위를 탐지하기 위해서 점검 의무를 부과한 것이다.

과거 접속기록의 보존에만 업무상 역량을 집중했지, 실제 이를 분석해 이상행위를 탐지하려는 노력이 크지 않았다. 하지만 제7조 제2항 신설로 인해 공공기관과 기업은 주기적인 접속기록 점검을 통해 비인가 접근이나 비정상적 행위를 탐지해야 한다. 실제 개인정보 유출이 있었고 접속기록의 점검을 통해 이를 쉽게 발견할 수 있었음에도 점검의무를 해태해 이상행위를 간과한 경우, 이는 처벌 대상이 될 수 있음을 명심해야 할 것이다.

4. 악성프로그램 방지(안전성확보조치기준 제8조)

악성프로그램을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램의 설치 및 운영 의무는 이전부터 존재한 의무이다. 운영 의무에는 업데이트 의무가 포함돼 있었다.

개정 <안전성확보조치기준>는 여기에 ‘최신 상태 유지 의무’를 추가했다. 업데이트 의무가 수단이라면 최신 상태 유지는 목표인 셈이다. 단순한 업데이트 행위만으로는 최신 상태 유지 의무를 다한 것은 아니고, 업데이트를 통해 최신 상태 유지를 해야만 비로소 이 의무를 다한 것으로 해석된다.

참고로 <안전성확보조치기준>의 각 조문을 행위 중심에서 목표 중심으로 변화시켜야 한다는 움직임이 있다. 위 조문은 이러한 흐름을 반영한 조문이라 평가된다.

5. 보조저장매체의 반·출입 통제(안전성확보조치기준 제9조 제3항)

보조저장매체란 ‘이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체’를 의미한다. 보조저장매체의 발달로 인해 정보의 전달이나 이전이 매우 용이해진 것은 사실이지만, 2014년 초 있었던 신용정보 유출 사건에서 볼 수 있듯이 정보유출의 주요 통로로 활용되고 있어 이에 대한 대책이 시급한 상황이었다.

이에 개정 <안전성확보조치기준>은 보조저장매체 사용의 위험성을 인식하고 반출·입 통제를 위한 보안대책 수립을 의무화했다. 따라서 보조저장매체를 활용하는 공공기관과 기업은 보조저장매체에 대한 보안대책을 수립해야 한다.

보조저장매체를 위한 보안대책에는 인가자 현황, 비인가자 통제, 비인가 사용에 대한 대응 등이 포함돼야 한다. 특히 외부 용역업체에 대한 통제 방안도 빠뜨리지 말고 포함시켜야 하는 보안대책에 해당한다.

보안대책은 현실성 있고 준수할 수 있는 범위에서 수립하는 것이 좋다. 지나치게 이상적이고 비현실적인 보안대책은 오히려 독이 될 수 있다. 하지만 너무 완화된 보안대책은 제대로 된 의무 이행이 되지 않을 수 있다는 점을 명심해야 할 것이다.

6. 개인정보의 파기(안전성확보조치기준 제10조)

개인정보의 파기 방안이 개정 <안전성확보조치기준>에 추가됐다. 개인정보의 파기는 개인정보가 복구나 재생이 되지 않도록 삭제하는 것인데, 그 구체적인 내용이 열거됐다.

이렇게 구체적인 기술 내용을 자세하게 열거하는 것은 기술 중립성을 저해할 염려가 있는바 공공기관이나 기업이 스스로 기술내용을 선택할 수 있게끔 하는 것이 바람직하지만, 중소기업 입장에서는 구체적인 기술 내용의 열거가 도움이 될 수도 있을 것이다. 개정 <안전성확보조치기준>은 완전파괴, 삭제, 초기화, 덮어쓰기 등을 바람직한 개인정보 파기 방안으로 열거하고 있다.

<안전성확보조치기준>의 꾸준한 개정은 기술현상의 발달과 해킹기술의 진보에 비추어 보건대 불가피하다. 공공기관과 기업 입장에서는 단순히 조문에 규정한 행위 중심의 이행보다는 당해 조문이 어떠한 목표를 가지고 설정됐는지를 따져서 그 목표 달성에 치중하는 보호조치를 취하는 것이 향후 바람직한 대책이라 생각된다.

<끝>

<법무법인 민후>www.minwho.kr

<기고와 칼럼은 본지 편집방향과 다를 수도 있습니다>

김경환 변호사
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널