2022-01-20 16:35 (목)
개인정보보호법의 효과적 적용을 위한 제언
상태바
개인정보보호법의 효과적 적용을 위한 제언
  • 길민권
  • 승인 2012.05.15 00:11
이 기사를 공유합니다

“개인정보보호법, 적용대상 규모에 따라 보호조치 차등화해야”
[김대환 소만사 대표] 개인정보보호법은 적용범위가 넓은 법으로 공공기관, 대기업, 중소기업, 소상공인, 인터넷카페, 동창회까지 대한민국에서 개인정보를 처리하는 모든 조직에 적용된다.
 
중앙행정기관, 헌법기관, 정유사, 대형마트, 비디오대여점, 렌트카업체, 부동산중개업자, 학교, 보험회사, 은행, 통신사, 여행사, 항공사, 호텔, 학원, 협회, 인터넷 동호회까지 (예외가 있긴 하지만) 동일한 법적용을 받는 것이다.
 
개인정보보호를 할 수 있는 여력 차원에서 보자면 박사, 석사, 대학생, 고등학생, 중학생, 초등학생, 유치원생, 젖먹이까지 다 모아놓고 같은 문제로 시험보고 같은 기준으로 채점한 후 벌주는 것과 마찬가지이다.
 
석사, 박사에겐 너무 싱겁고 고등학생, 중학생들은 풀만하며 유치원생과 초등학생은 아예 포기하고 젖먹이들은 아무 것도 모르고 있다.
 
보유한 개인정보 양과 투자여력에 비추어볼 때 개인정보보호법 규정은 대기업과 대규모 공공기관에겐 약하다. 중소기업과 영세기업에겐 엄하다. 소상공인들은 아예 무엇인지도 모를 것이다.
 
필자는 이런 문제를 해결하기 위하여 개인정보보호법이 적용대상의 규모에 따라서 보호조치를 차등화해야 한다고 믿는다.
 
◇보호조치가 차등화되어야 하는 이유 첫번째는 개인정보보호법이 과실로 인한 유출에 대하여 형사처벌을 규정하고 있기 때문이다. 과실의 개념은 할 능력과 여력이 있는데 하지 않은 것이다.
 
따라서 능력과 여력이 많은 대형 조직일수록 과실에 대한 처벌은 강해진다. 조직규모에 따라 처벌수준은 달라지는데, 보호조치수준은 동일하다면 이상하지 않은가?
 
법이 능력과 여력여부에 따라 더 많은 책임을 묻고 있는 만큼 대형조직, 중형조직, 소형조직에 따라 관리적, 기술적 보호조치 규정이 달라져야 한다.
 
◇보호조치가 차등화되어야 하는 이유 두번째는 개인정보보호법 3조(개인정보보호원칙) 4항에서 찾을 수 있다. (④개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.)
 
이 원칙에 따르면 개인정보처리자(개인정보를 처리하는 기관, 기업, 조직)는 조직 내에서 개인정보가 처리되는 방법 및 개인정보 종류를 파악하고 정보주체의 권리가 침해받을 가능성과 위험정도를 산정하여서 위험도에 비례하는 수준으로 보호조치를 적용해야 한다.
 
대형조직들은 데이터베이스 서버만 수백대에 달하며 수천만명의 개인정보가 다양한 경로로 저장, 이동, 활용된다. 정보주체의 권리가 침해받을 가능성과 위험정도 역시 클 수밖에 없다. 따라서 안전조치 수준 역시 높아져야 한다.
 
필자는 지금이 기존에 없던 분야와 산업이 탄생하는 IT와 보안의 변혁기라고 생각한다. 보안영역과 공격루트 역시 세분화, 다양화되고 있다.
 
그런데 왜 그 다양한 영역에 대한 보안솔루션은 모두 방화벽과 백신인 것일까? 방화벽과 백신은 보안에 있어 가장 기본이 되는 솔루션으로 매우 훌륭한 보안책이다. 하지만 분명히 영역이 있으며 해킹방지, 내부정보유출방지, 개인정보보호 모든 영역에서 답이 될 수는 없다.
 
해킹방지 영역에서는 백신, IPS, 웹방화벽이, 내부정보유출방지 영역에서는 DLP솔루션이, 개인정보보호 영역에서는 범용의 방화벽이 아니라 데이터베이스에 특화된 DB방화벽(=DB접근통제솔루션)과 DB암호화 솔루션, 엔드포인트내 개인정보 보유통제솔루션이 더 효과적인 것이다.
 
필자는 개인정보보호법을 준수하기 위한 보호조치가 대형조직, 중형조직, 소형조직 이렇게 나뉘어서 세분화되었으면 한다.
 
이는 그랜저 대상으로 그랜저의 룰, 티코 대상으로 티코의 룰을 제정하는 것이며 박사, 석사, 대학생, 고등학생, 중학생, 초등학생, 유치원생, 젖먹이에게 각각 적합한 평가기준과 처벌기준을 만드는 것이다.
 
또한 대기업이나 대형공공기관 대상 보호조치에는 개인정보보호에 특화된 전문솔루션이 언급되어야 한다고 생각한다. 이는 무엇보다 대기업과 공공기관을 위한 길이기도 하다.
 
개인정보를 대규모로 처리하기 때문에 정보주체의 권리가 침해받을 가능성과 위험정도가 높을 수밖에 없는 대기업과 대형공공기관은 선도적인 보안조치를 적용하여 고객과 국민의 권리를 지킬 책임이 있기 때문이다.
[글. 김대환 소만사 대표이사]