앞으로 개인정보를 많이 보유한 사업자가 안전 분야에 더 많은 책임을 진다. 사업자가 갖춰야 할 개인정보 보호 장치 수준이 정보 보유량에 따라 차등화된다.
행정자치부는 `개인정보의 안전성 확보조치 기준` 고시를 개정, 9월 1일 시행한다.
개인정보 안전 조치는 사업자나 기관이 개인정보 유출 사고와 해킹 위협에 대응하기 위해 따라야 하는 지침이다. 종전까지는 개인정보를 다루는 모든 사업자에 동일한 기준이 적용됐다. 개인정보 보유량이 적은 영세 사업자는 과도한 부담을 떠안았다. 대규모 개인정보를 처리하는 기업은 마땅한 근거가 없어 안전 조치 추가에 어려움을 겪었다.
개정 기준은 기업 규모와 개인정보 보유량에 따라 세 가지 유형으로 나눠 안전조치 의무사항을 명시했다. 개인정보 보유량이 1만명 미만인 소상공인·단체(유형1)는 내부관리계획 수립을 면제받는다. 외부 접속 시 가상사설망(VPN) 적용, 고유식별정보 취약점 점검 등 기술상의 안전조치 일부도 제외된다.
개인정보 보유량이 100만명 미만 중소기업과 10만명 미만 대기업·공공기관(유형2)은 재해·재난에 대비한 개인정보시스템 백업·복구 조치를 면제받는다. 그 대신 개인정보처리시스템 접근 권한과 통제 조치는 강화된다.
각각 10만명, 100만명 이상 개인정보를 보유한 대기업·공공기관과 중소기업(유형3)은 가장 높은 안전조치 의무를 부여받는다. 위험도 분석·대응, 안전한 암호키 관리 절차, 재해·재난 대비 조치 등이 의무화된다.
정부는 보호 수준 전반을 높이기 위해 관리·기술상의 안전 조치를 신설하거나 강화했다. 유형2, 3에 해당하는 사업자는 내부관리계획에 개인정보 보호조직 구성·운영안을 담아야 한다. 개인정보처리시스템 비정상 계정 접근 차단 조치, 일정 시간 업무 처리를 하지 않을 때 자동으로 접속을 차단하는 시스템도 갖춰야 한다.
이인재 행자부 전자정부국장은 “개인정보 보유량과 상관없는 획일화된 규제는 불합리한 측면이 있었다”면서 “영세 사업자의 규제 부담을 완화하면서 대규모 개인정보 보유 기관의 보호 수준을 높이는 계기가 될 것”이라고 말했다.
[표] 개인정보 안전성 확보 조치 기준
이호준 SW/콘텐츠 전문기자 newlevel@etnews.com
