[박나룡 보안전략연구소 소장. 사진] 개인정보보호와 관련된 정보통신망법이 개정되었다.
 
이용자 보호를 위한 내용이 강화된 것으로 판단되지만 이를 준수하기 위한 정보통신서비스 제공자들의 부담이 늘어날 것을 보인다.
 
가장 먼저 ‘개인정보 취급 위탁’에서 ‘취급’을 ‘처리’로 변경하고, 처리의 범위를 ‘수집·보관·처리·이용·제공·관리·파기 등’에서 ‘수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위’로 폭넓게 확대하였다.
 
이에 따라 기존에 취급방침에 게시된 위탁 업체를 다시 검토하여 확대된 개념에 해당되는 업체가 있는지 확인하고 고지 및 동의 절차와 내용을 변경할 필요가 있을 것으로 보인다.
 
두 번째는 국외 이전에 대한 개념을 조금 더 명확히 한 내용으로, 국외 이전의 유형을 ‘제공(조회되는 경우를 포함), 취급 위탁, 보관’으로 명시하고, 이용자의 동의 없이 개인정보를 국외로 제공한 정보통신서비스 제공자등에게 위반 행위와 관련한 매출액의 100분의 3 이하의 과징금을 부과하도록 한 규정이다.
 
이는 기존에 명확하지 않았던 해외 클라우드 서비스 이용이나 해외 법인에서 국내 시스템에 접속하여 개발하거나, 조회할 수 있는 시스템이 국외에 있는 부분들에 대해 국외 이전으로 판단할 수 있는 근거가 될 것으로 보이고 관련 기업에서 대응이 필요해 보인다.
 
다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우 개인정보취급방침에 공개 하거나 전자우편 등으로 이용자에게 알린 경우에는 개인정보 처리위탁?보관에 따른 동의절차를 거치지 않아도 된다는 내용이 있어 적절하게 활용하면 부담을 줄일 수 있을 것으로 보인다.
 
세 번째는 스마트폰 '앱'을 통해 비지니스를 수행하는 스타트업 회사에게 또 하나의 허들이 될 수 있는 조항으로, 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰에 대한 접근권한이 필요한 경우 해당 접근 내용을 명확하게 알리도록 하는 조항이 신설되었다.
 
이 부분은 최종 공포된 법률을 확인해서 어느 권한에 대해 어떤 식으로 알려야 하는지, 동의를 받아야 하는지 등에 대한 내용을 충분히 검토하여 개발 시 적용하거나 이미 배포된 앱에 대한 수정이 필요할 것으로 보인다.
 
네 번째는 위탁자에 대한 교육 의무를 수탁자에게 부여한 내용이다. 기존에도 수탁자의 관리감독 책임을 통해 위탁자에 대한 교육이 진행되던 부분이 있었으나 이번 개정 내용에는 명시적으로 “관리?감독 및 교육”으로 명문화함으로서 위탁자에 대한 교육 의무를 명확하게 부여했다고 볼 수 있다.
 
위탁 대상이 많은 기업은 별도의 교육 프로그램을 수립하고, 교육 방식을 최적화 하여 교육 수행의 근거를 만들 필요가 있어 보인다.
 
다섯 번째는 몰수·추징에 대한 규정이 신설되었다는 것이다. ‘위반 행위와 관련하여 취득한 금품이나 그 밖의 이익’을 산정하기는 쉽지 않을 것으로 보이지만 어쨌든 기업에게 부담으로 작용할 것으로 보인다.
 
몰수·추징의 대상이 되는 내용은 개인정보와 관련된 법률 위반에 대해 어느 하나에 해당하는 죄를 지은 자가 해당 위반 행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있고 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다는 내용으로 세부적인 대상은 아래와 같다.
 
<제71조제1호부터 제8호까지, 제72조 제2호 및 제73조 제1호·제1호의2·제7호>
제71조
1. 제22조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자
 
2. 제23조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집한 자
 
3. 제24조, 제24조의2제1항 및 제2항 또는 제26조제3항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
 
4. 제25조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 자
 
5. 제28조의2제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 개인정보를 훼손·침해 또는 누설한 자
 
6. 제28조의2제2항을 위반하여 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
 
7. 제30조제5항(제30조제7항, 제31조제3항 및 제67조에 따라 준용되는 경우를 포함한다)을 위반하여 필요한 조치를 하지 아니하고 개인정보를 제공하거나 이용한 자
 
8. 제31조제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 자
 
제72조
2. 제49조의2제1항을 위반하여 다른 사람의 개인정보를 수집한 자
 
제73조
1. 제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적·관리적 조치를 하지 아니하여 이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 자
 
1의2. 제29조제1항을 위반하여 개인정보를 파기하지 아니한 자(제67조에 따라 준용되는 경우를 포함한다)
 
7. 제49조의2제1항을 위반하여 개인정보의 제공을 유인한 자
 
이렇듯 개인정보보호를 위한 활동의 대상이 넓어지고 법률 리스크의 크기도 더욱 커지고 있는 만큼 각 기업체에서는 법률전문가의 의견과 조직의 상황을 판단하여 미리 적절한 해법을 찾아야 할 것이다.
 
ISMS인증의 확대와 이번 법률의 개정으로 정보보호와 개인정보보호 관련 컨설팅 수요와 법률 서비스 수요가 늘어날 것으로 판단되고 기업 입장에서는 빠른 분석을 통해 개인정보보호가 소홀히 다루어지고 있는 부분이 없는지 체크하고 전문 인력을 확보하거나 보안 전문 업체와의 공조를 통해 리스크를 줄 일 수 있는 방법을 적극적으로 고민해야 할 것이다.

[글. 박나룡 보안전략연구소 소장 / isssi@hanmail.net]
 

<컨퍼런스 안내: 데일리시큐는 오는 4월 6일 상반기 가장 핵심적인 개인정보보호 컨퍼런스인 G-Privacy 2016을 개최한다. 이번 컨퍼런스는 공공, 금융, 기업 개인정보보호 책임자, 실무자, 시스템 운영자 등 700여 명이 참석한 가운데 이번에 개정된 법에 따른 대응 방안과 준비해야 할 주요 사안에 대해 관련 기관 담당자의 설명과 함께 다양한 이슈를 한 자리에서 체크해 볼 수 있는 시간이 될 전망이다. 또한 최신 개인정보보호 솔루션 전시회도 함께 열린다. 컨퍼런스 발표 및 전시회 참가를 희망하는 정보보안 기업은 관련 실무자에게 문의하면 된다.(컨퍼런스 담당: 데일리시큐 길민권 기자 mkgil@dailysecu.com)>

★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com