카드 3사 금융정보유출, KT 개인정보유출사고 등이 연이어 발생하면서 올해는 어느 때보다도 강력한 정보보호조치를 취하도록 관련 법이 개정됐다.
개인정보보호법을 중심으로 분야별 전문성을 고려한 정보통신망법, 전자금융거래법 등까지 의무적으로 이행해야 하는 사안이 늘었고, 이를 위반할 때에는 높은 과태료가 부과되도록 했다.
방송통신위원회가 지난달 공개한 온라인 개인정보취급 가이드라인, 테크앤로 법률사무소 등의 설명을 취합해 보안 담당자들이 알아야할 핵심사안들을 되짚어 본다.
■CISO 겸직금지 뭐길래
지난달 미래창조과학부는 정보통신사업자 중 3개월 간 하루 평균 이용자들 수가 1천명 이상인 곳, 임직원 수가 1천명이상인 곳들을 대상으로 정보보호최고책임자(CISO)를 지정해 신고하도록 했다. 일부 스타트업을 제외한 주요 사업자들 대부분이 여기에 해당하기 때문에 별도로 책임자를 두어야 한다(정통망법 제45조의 3).
전자금융거래법에서는 아예 CISO가 최고정보보호책임자(CIO)를 겸직하지 못하도록 했다. 금융회사 내 보안성을 높이기 위해 임원급 보안책임자를 두고 전문성을 높이자는 취지다(전자금융거래법 제21조의 2).
CIO의 경우 IT시스템을 구축해 업무효율성을 높이는 역할을 하기 때문에 전문성이 떨어진다는 지적이 제기됐었기 때문이다.
다만 이 경우 CISO와 CIO의 겸직만 제한되고, CISO와 개인정보 관리책임자(CPO)와 겸직까지 제한되는 것은 아니다.
최근 개최된 '강화된 개인정보보호 법제도, 핵심파악과 준수요령' 세미나에서 테크앤로 진창환 변호사는 CIO 외에 겸직을 제한한다고 보기는 어렵지만 현실에서는 전문성을 가져가기 위해 CISO가 CPO 업무까지 겸직하기는 쉽지 않을 것이라고 밝혔다. CISO의 경우 정보보호를 위한 기술과 보안정책에 특화된 업무라면 CPO는 개인정보보호법 등 관련 법령을 얼마나 준수하고 관리하고 있는지를 다루기 때문이다.
■개인정보는 언제, 어떻게 파기해야 하나
방통위가 공개한 온라인 개인정보취급 가이드라인에 따르면 개인정보는 필수항목에 대해서만 최소한으로 수집을 허용하고, 선택항목에 대해서는 사용자의 동의를 받아야만 한다.
정통망법상 필수항목은 포털 등 인터넷서비스 사업자의 경우 ID, 비밀번호, 이름, 생년월일, 연락처, 이메일 등이 해당한다. 온라인쇼핑몰 등의 경우 결제에 필요한 계좌번호, 카드번호, 결재 및 배송정보 등을 수집할 수 있도록 하고 있다.
선택항목은 말그대로 해당 회사의 서비스에 반드시 필요치 않은 마케팅 목적으로 수집하는 정보들을 말한다. 흔히 온라인쇼핑몰이나 기타 웹사이트에 회원가입할 때 등장하는 '제3자 정보제공에 동의하시겠습니까'라는 항목이 여기에 해당한다.
이 경우에는 사용자가 허용여부를 직접 선택할 수 있도록 해야한다. 사용자들 입장에서는 동의허용 항목이 '선택' 사항인지 '필수' 사항인지를 구분해 동의여부를 선택할 수 있다.
수집한 개인정보는 필요한 목적이 달성됐거나 보유, 이용기간이 끝났을 때, 해당 정보를 수집한 회사가 망했거나 사용자가 기존에 제공한 개인정보를 지워달라고 요청할 경우 즉시 파기해야 한다. 행정자치부 '표준 개인정보보호 지침' 제11조 1항에 따르면 정당한 사유가 없을 경우 5일 내에 해당 정보를 파기해야 한다.
사업자들 입장에서는 복구하거나 재생할 수 없는 방법으로 파기해야 한다. 인쇄물은 파쇄한 뒤 소각하는 방법을 사용하도록 하고 있으며, 하드디스크, CD/DVD, USB메모리 등에 저장된 개인정보는 복구가 불가능하도록 방법을 취해야한다.
여기에는 저장매체를 공장초기화 시키는 '로레벨포맷(low level format)', 여러 번 정보를 덮어씌워 흔적을 지우는 '와이핑(wiping)', 강한 자기장을 이용하는 '디가우저(degausser)'를 활용한 파기 등을 활용할 수 있다.■손해배상 기준은 어떻게?
정보통신망법에서는 해킹이나 정보유출사고를 당한 피해자들이 해당 정보를 관리한 회사에 법정손해배상을 청구할 수 있도록 하고 있다(정통망법 제32조의2).
굳이 민사소송을 가지 않더라도 사업자의 고의, 과실이 인정되거나 개인정보가 분실, 도난, 누출된 경우 피해자들은 300만원 범위 내에서 법원에 손해배상을 청구할 수 있게 한 것이다. 이 경우 피해자가 개인정보 유출 사실을 알게된 날로부터 3년, 실제 누출이 발생한 날로부터 10년 내에 청구가 가능하다.
사업자들 입장에서는 자사 개인정보를 조회하거나 유출이 가능한 수탁업체를 통한 유출에 대해서도 책임을 져야하기 때문에 어려움이 커졌다.
관련기사
- 개인정보 제3자 제공 강제하면 처벌2014.12.15
- 정보보호최고책임자 지정 신고제 도입2014.12.15
- 금융권 '보안 3종 세트' 의무적용 없어진다2014.12.15
- 서비스 무관 개인정보 수집 동의 강제 못한다2014.12.15
테크앤로 송도영 변호사는 법정손해배상제도는 최대 300만원 이하 금액에 대해서만 청구가 가능하고, 그 이상 피해를 입었다고 판단되는 피해자들은 직접 피해를 당했다는 점을 입증해야 하는 어려움이 있다고 설명했다.
일반법인 개인정보보호법과 개별법인 정보통신망법, 전자금융거래법, 신용정보보호법 등은 내년에 중복되거나 교통정리가 안 된 부분들에 대해 또 다시 개정이 논의될 예정이다. 이에 따라 일반 사용자들은 물론 정보통신사업자, 금융회사 등이 더 주도면밀하게 법안 개정 사항을 살펴봐야 할 것으로 전망된다.
