check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

김호성 KISA 단장, 2018년 개인정보보호법 주요 개정내용과 준수해야 할 사항 총정리

PASCON 2017서 800여 명 정보보안 실무자에게 주요 법 준수사항 설명

길민권 기자 mkgil@dailysecu.com 2017년 11월 06일 월요일

▲ 김호성 KISA 단장. 데일리시큐 주최 PASCON 2017에서 800여 명의 정보보안 실무자들에게 개인정보보호법 관련 주요 내용들을 설명하고 있다.
▲ 김호성 KISA 단장. 데일리시큐 주최 PASCON 2017에서 800여 명의 정보보안 실무자들에게 개인정보보호법 관련 주요 내용들을 설명하고 있다.
데일리시큐가 주최한 하반기 최대 2017 공공·기업 개인정보보호&정보보안 컨퍼런스 PASCON 2017이 지난 10월 26일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업, 의료, 교육기관 등 전국의 정보보안 실무자 800여 명 이상이 참석한 가운데 성황리에 개최됐다.

이 자리에서 김호성 한국인터넷진흥원 단장은 ‘2018년 개인정보보호법 주요 개정내용과 준수해야 할 사항’을 주제로 키노트 발표를 진행했다.

◇최근 개인정보보호법 개정 주요 내용

최근 개인정보보호법 주요 개정 내용에 대해 김 단장은 “주민번호 전자적 보관시 반드시 암호화 조치를 해야 한다. 적용시기는 100만명 미만은 2017년 1월 1일부터이며 100만명 이상은 2018년 1월 1일부터 적용된다. 미조치시 3천만원 이하 과태료와 유출시 2년 이하 징역 또는 2천만원 이하 벌금형에 처해질 수 있다”고 설명하고 또 “민감정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보조치를 수행해야 하며 공공기관이나 정보주체 5만명 이상의 고유식별정보처리자는 고유식별정보의 안전성 확보조치를 했는지 행정자치부가 2년 1회 이상 조사를 시행하도록 하고 있다”고 전했다.

또 징벌적 손해배상에 대해 고의나 중과실로 개인정보를 유출한 기관에 가중된 책임을 물어 법원이 피해액의 최대 3배까지 배상액을 부과할 수 있으며 법정 손해배상으로 개인정보 유출 사고 발생시 구체적 피해액 입증 없이 법원을 통해 정해진 일정금액(300만원 이내)을 보상해야 한다. 한편 정보주체 동의에 따라 제3자로부터 제공받아 개인정보를 처리할 경우 출처 등을 고지해야 한다. 수집출처 미고지 시에도 3천만원 이하 과태료가 부과된다. 적용시기는 2016년 7월 25일 이후 유출사고부터 적용된다.

개인정보보호 인증에 대해, 행정자치부가 개인정보보호 인증을 실시하며 유효기간은 3년, 연1회 이상 사후관리를 해야 하며 KISA를 인증 전문기관으로 지정하고 있다. 개인정보보호 인증 기준과 방법, 절차, 인증심사원 자격 등 세부규정은 개인정보보호법 32조2항에 명시돼 있다.

또 개인정보보호 책임자를 사업주, 대표자, 개인정보처리 관련 업무 부서장 등 임원으로 지정해야 한다. 이를 어길 경우 1천만원 이하 과태료가 부과된다.

정보주체 보호 강화를 위해 올해 개정된 내용도 소개됐다. 수집동의 획득시, 개인정보처리자는 시행규직에 따라 동의서 내용을 정보주체가 알기 쉽게 표기해야 한다. 구체적으로 살펴보면, 명확히 표시해야 하는 상항은 △재화나 서비스의 홍보 및 판매권유 기타 이와 관련된 목적으로 개인정보를 이용해 정보주체에게 연락할 수 있다는 사실 △민감정보, 여권번호, 운전면허의 면허번호 및 외국인등록번호 △개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적, 개인정보의 보유 및 이용 기간 등이 포함된다.

더불어 올해 10월 19일 신설된 내용으로, 표시는 글씨 9포인트 이상의 크기로 하되 다른 내용보다 20%이상 크게 해야 하며 다른 색의 글씨, 굵은 글씨 또는 밑줄 등을 사용해 명확히 드러낼 것, 또 중요한 내용이 많은 경우에는 별도로 요약해 제시해야 한다. 이를 어길 경우 1천만원 이하 과태료가 부과된다.

또 유출 신고도 강되됐다. 올해 10월 17일 개정된 사항으로, 개인정보가 유출된 경우 행정안전부와 KISA에 신고를 해야 한다. 1만명 이상의 정보주체에 관한 정보유출에서 1천명 이상 유출로 변경됐다. 즉 1천명 이상 개인정보가 유출될 경우 행안부와 KISA에 5일 이내 신고를 해야 한다. 이를 위반할 경우 3천만원 이하 과태료가 부과된다.

◇개인정보의 안전성 확보조치 기준 신설 내용(2016년 9월 1일 시행)

▲ 데일리시큐 주최 PASCON 2017 김호성 단장 키노트 발표 현장.
▲ 데일리시큐 주최 PASCON 2017 김호성 단장 키노트 발표 현장.
개인정보 안전성 확보조치 기준 신설 내용은 개인정보 보유량 및 사업자 유형에 따른 안전조치 기준을 적용하고 관리용 단말기 임의 조작 금지 및 목적외 사용을 금지한다. 또 재해, 재난에 대비해 위기대응 절차 마련 및 점검, 백업, 복구 계획을 마련해야 한다.

또한 개인정보처리자 유형 및 개인정보 보유량에 따라 안전조치기준이 차등 적용된다. 공공기관, 대기업, 중견기업(10만명 이상)은 강화된 안전조치를 이행 해야 하며, 반면 소상공인이나 개인사업자중 1만명 미만은 완화된 안전조치 기준을 적용받게 된다.

개인정보보호책임자는 연1회 이상으로 내부 관리체계의 이행 실태를 점검 관리해야 한다. 내부관리계획 수립은 개정전에는 개인정보의 안전성 확보에 필요한 조치에 관한 사항이었지만 개정후에는 개인정보의 안전조치에 관한 사항을 명확하게 명시해야 한다.

개정후 내부관리계획에 추가된 내용은 △접근권한 관리 △접근통제 △개인정보 암호화 △접속기록 보관 및 점검 △악성프로그램 방지 △물리적 안전조치 △개인정보보호조직 구성 및 운영 △유출사고 대응계획 수립 및 시행 △위험도 분석 및 대응방안 마련 △개해, 재난대비 개인정보처리시스템의 물리적 안전조치 등이 추가 포함돼 있다.

이외에도 김호성 단장은 안전성 확보조치 기준에 대해 개인정보처리시스템 측면, 네트워크 측면, 업무용 PC 측면, 모바일 기기 측면, 홈페이지 측면, 전산실, IDC, 자료보관실 측면 등에 대해 상세히 설명하는 시간도 가졌다.

마지막으로 김 단장은 “지난 3월 발생한 유명 숙박관련 앱이 해킹에 의해 숙박예약정보 323만건, 회원정보 97만건이 유출됐다. 지난해 매출액이 246억원이며 올해 매출 목표가 750억원이다. 이 기업은 접근통제, 접속기록 보존, 암호화, 유효기간제 등 보호조치 규정을 다수 위반한 것으로 조사돼 과징금 3억100만원과 과태료 2천500만원 부과 그리고 책임자 징계 권고를 받았다. 이 정도 과징금으로 징벌적 손해배상이 되는지 생각해 볼 문제다. 한편 다수의 법률사무소에서 피해자들의 위임을 받아 1인당 100만원 등 손해배상 소송이 진행 중이다. 개인정보를 다수 보유한 기업들의 철저한 개인정보보호 의지와 투자가 필요하다”고 강조했다.

김호성 한국인터넷진흥원 단장의 PASCON 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록