2025년 10월 31일 개정·시행된 '개인정보의 안전성 확보조치 기준'은 흔히 말하는 '망분리 완화' 그 이상이다. 대규모 개인정보처리자의 인터넷망 차단 제도를 위험분석 기반으로 재설계하고, 플랫폼·오픈마켓 생태계 전반으로 접근통제·접속기록 의무를 확장하며, 내부관리계획과 로그 점검을 형식 규제에서 자율·책임 규제로 전환한 것이 핵심이다. 기술 선택의 자유를 넓혀주는 대신, 그에 상응하는 위험분석 능력과 입증책임을 개인정보처리자에게 강하게 요구하는 구조다.
먼저 망분리 규율이 일괄 의무에서 위험기반 체계로 바뀐다. 전년도 기준 일일 평균 100만명 이상 이용자의 개인정보를 처리하는 대규모 사업자는, 개인정보를 다운로드·파기하거나 접근권한을 설정할 수 있는 단말에 대해 원칙적으로 인터넷망을 차단해야 한다. 다만 이번 개정으로, 업무 특성·처리 데이터의 민감도·보호조치 수준을 평가한 결과 위험이 낮다고 인정되는 단말에 한해 예외를 둘 수 있게 됐다. 대신 민감정보, 주민등록번호·고유식별정보, 비밀번호·생체정보 등 고위험 정보에 접근하는 단말은 여전히 강한 망분리 의무가 유지된다. '어디까지 망분리를 유지하고 어디부터 다운로드 제한·권한 최소화 등으로 대체할 것인지'를 스스로 설계하라는 메시지다.
둘째, 오픈마켓 등 플랫폼 환경에서 책임 범위가 넓어진다. 종전 기준이 주로 내부 임직원 등으로 정의되는 '개인정보취급자'에 초점을 맞췄다면, 이번 개정은 개인정보처리시스템에 접속하는 모든 '정당한 권한 보유자'와 '업무수행자'를 염두에 둔다. 이에 따라 오픈마켓 입점 판매자, 외부 파트너 계정까지 포함한 전체 사용자 집단에 대해 접근권한 부여·해지, 안전한 인증수단, 로그인 실패 시 차단, 접속기록 보관 체계 등을 재설계해야 한다. 그동안 규제의 사각지대에 가깝던 영역이 사업자의 책임 범위로 포함된 셈이다.
셋째, 접속기록 및 내부관리계획 운영 방식이 크게 달라진다. 접속기록 보관 대상은 '개인정보취급자'에서 '개인정보처리시스템에 접속한 자(정보주체 제외)'로 확대되지만, 점검 주기와 방법은 월 1회 일률 규정에서 벗어나 내부관리계획으로 정해 이행하는 형태로 바뀐다. 그리고 출력·복사·파기 통제까지 내부관리계획에 반드시 포함돼야 한다.
인터넷망 차단 예외 허용 등은 즉시 시행되지만, 접속기록 범위 확대와 내부관리계획 개편 등 준비가 필요한 부분은 2026년 10월 31일부터 시행된다.
이번 개정이 주는 시사점은 분명하다. 첫째, 안전성확보조치 기준은 단순 체크리스트가 아닌 바, '망분리를 했는가, 월 1회 점검을 했는가'라는 형식 요건보다 '위험을 어떻게 평가했고, 그 결과 어떤 보호조치를 설계·운영했는가, 이를 입증할 수 있는가'가 쟁점이 된다.
둘째, 오픈마켓 등 플랫폼 사업자는 판매자·협력사까지 아우르는 통합 보안·프라이버시 거버넌스를 설계할 책임을 명시적으로 부여받았다.
셋째, 클라우드 활용과 개인정보 보호 규제의 조정 시도가 있었다. 다만 망분리 예외를 활용하더라도, 데이터별 관리 수준 차등화, 다운로드·파기 권한 제한 등 기본 원칙은 오히려 더 치밀하게 정립해야 한다.
종합하면, 개인정보 보호 정책은 촘촘한 보호망을 전제로 하는 사전 예방으로 중심이 옮겨지고 있고, 보호 전략은 도래할 인공지능(AI) 환경에 맞춰 위험기반 보호체계로 변경될 것으로 보인다. 이번 개정은 그 시발점으로 보이는바, 이번 개정을 단순한 규제 완화가 아니라 보호환경 변화의 시발점으로 받아들일 때, 기업은 1년의 유예기간을 진정한 경쟁력 강화의 시간으로 바꿀 수 있다.
김경환 법무법인 민후 변호사
