차건상 박사 “개인정보보호법 적용대상에 대한 명확한 기준 필요”
“개인정보보호법과 중복되는 정통망법 조항, 과감히 삭제해 혼선 없애야”
지난 2011년 3월 29일 제정되어 같은 해 9월 30일부터 시행된 개인정보보호법, 법이 시행된 후 1년 8개월 정도 흘렀다. 현 시점에서 개인정보보호법의 이슈는 무엇이고 실제 개인정보보호 관련 컨설팅을 진행하면서 느낀 점은 무엇인지, 전 행정안전부 차건상 전문위원(현 이글루시큐리티 이사, 사진)을 만나 그의 목소리에 귀 기울여 봤다. 전 행안부 전문위원으로 개인정보보호법 제정에 참여했을 때의 시각과 지금 한 기업의 컨설팅본부장으로서 느끼는 시각에는 어떤 차이가 있을지 궁금했다. 그리고 좀더 객관적인 관점에서 개인정보보호법을 바라보고 있지 않을까란 생각도 하면서 말이다. “개인정보보호법과 중복되는 정통망법 조항, 과감히 삭제해 혼선 없애야”
차건상 이사는 “개인정보보호법이 제정된 후 기업과 공공에 미치는 영향은 긍정적”이라며 “국민의 개인정보보호를 위해 중요한 역할을 하고 있다. 다만 시행측면에서 이슈가 있지만 앞선 일본도 그런 문제들을 겪으며 정착되어가고 있는 만큼 우리도 그런 과정에 있다고 본다”는 말로 시작했다.
우선 개인정보보호법 관련 현재 이슈에 대한 차 이사의 생각을 들어봤다. 그는 몇가지 현 이슈에 대해 자신의 생각을 다음과 같이 전했다.
◇현재 개인정보보호법에 대한 현장의 이슈들=그가 현장에서 가장 많이 듣는 질문이 바로 “이것도 법에 적용을 받나요?”라는 것이다. 즉 개인정보보호법 적용 대상 기준이 명확하지 않아 오는 혼선이라고 볼 수 있다.
차 이사는 “개인정보보호법의 적용대상에 대한 명확한 기준이 필요하다. 규제대상 정보와 비규제 대상 정보가 명확해야 한다. 기업 측면에서는 행정처벌과 과태료 등과 직결되는 문제기 때문에 자신의 정보자산이 법 적용 대상인지 아닌지의 여부가 명확하길 바라고 있다”며 “다만 법 적용 대상에 대한 명확한 정리는 행정기관에서 가이드라인으로 풀 수 있는 문제가 아니다. 판례와 사례별로 차차 정리가 되어야 한다”고 말했다.
개인정보의 안전성 확보조치의 경우 기업의 규모에 따른 적용기준의 차등화가 필요하다는 의견도나왔다. 그는 “최근에 발생한 3.20사이버 침해의 경우를 봐도 기업의 정보자산을 보호하기 위해서는 끊임없는 투자와 노력이 요구된다. 다만 기업의 정보자산 보호를 위한 투자를 법 의무사항으로 강제화하는 경우 기업에 부담이 될 수 있다는 점과 정보를 대량으로 보유하고 있는 대기업과 정보의 보유량이 적은 소상공인의 경우 보호조치의 차등화 등을 통해 보다 적극적이며 유연한 대응이 필요하다”고 강조했다.
다시말해, 소상공인의 경우 보호조치가 필요 없다는 것을 의미하는 것은 아니라 소상공인의 경우 최소한의 보호조치를 통해 국민의 개인정보를 보호하고, 이와달리 대기업의 경우 대량의 데이터를 보유하고 빅데이타 등 정보 분석을 통해 보다 민감한 정보를 보유하고 있기 때문에 이에 대한 보호조치 기준이 보다 강화되어야 한다는 뜻이다.
한편 빅데이터 등 신규 IT서비스에 대한 개인정보보호를 위한 제도적 장치 마련이 필요하다는 의견도 나왔다.
차 이사는 “빅데이터란 대량의 정형, 비정형 데이터를 빠른 속도로 처리하는 것을 의미한다. 즉 재산, 신체, 사회적 정보, 의료정보 등 다양한 개인정보의 연결성과 식별성의 상관관계 분석을 통해 현대 사회의 문제점을 보다 정확하게 예측하고 그 개선책을 내놓는다는 점에서는 의의가 있다”며 “하지만 이런 측면에서 개인의 프라이버시가 더 민감하게 침해될 수 있다는 우려도 크다. 또한 수집제한의 원칙이나 최소수집 원칙 위배 그리고 정보의 분석과 개인정보보호법 제3조 제2항 이용제한의 원칙 등에 문제가 발생할 수 있어 이에 대한 제도적 장치 마련이 시급하다”고 말했다.
더불어 “CCTV 등 영상정보처리기기에 대한 효과적인 규제 방안 마련도 필요하다”며 “블랙박스, 통합관제센터, 구글글라스와 같이 얼굴인식 장비 등에 대한 규제 방안 마련이 필요하다”고 덧붙였다.
◇규제강화 보다 자율규제 촉진해 기업 비즈니스 환경 개선 필요=이번에는 차 이사가 컨설팅 현장에서 느낀 점에 대해 들어봤다. 그는 “기업은 영리를 목적으로 존재한다. 따라서 개인정보를 활용해 보다 나은 고객서비스를 제공하고 이윤을 추구하려는 것이 기업의 자연스런 생리”라며 “개인정보보호법이 시행된 이후에도 지난해 8월 기준 전체 국민의 55%(2700만명)의 개인정보가 끊임없이 유출되었다. 정부는 정보통신망법 개정을 통해 유출통지제, 망분리 의무화, 주민번호 수집 이용금지 등 각종 강력한 규제방안을 내놓고 있다. 이러한 상황을 보면 개인정보 유출과 규제 강화라는 악순환의 고리가 지속되고 있다는 생각이 든다”고 안타까워했다.
정부는 국민의 불안을 해소하고 보다 안전한 정보화 사회를 구현하기 위한 목적으로 개인정보의 활용에 보다 많은 통제를 가하고 있다. 반면 기업은 최소한의 보호를 위한 노력을 과태료 등 행정처분을 받지 않기 위한 노력 정도로 생각하고 있다는 점이다.
차 이사는 “이런 상황을 극복하기 위한 패러다임의 전환이 필요하다”며 “기업은 정보자산 보호를 위한 적극적인 노력으로 안전하게 관리되는 개인정보의 활용을 통해 기업의 이익을 창출하고 정부는 행정처분보다는 자율규제를 촉진해 기업의 비즈니스 환경을 개선해 주는 선순환 고리를 만드는 것이 필요하다”고 강조했다.
◇개인정보보호법과 망법, 중복 부분 과감히 삭제해야=한편 기업 현장에서 애로사항 중 하나가 어떤 법을 따라야 하느냐에 혼선이 일고 있다. 개인정보보호법을 따라야 할지 정보통신망법을 따라야 할지 어려워하고 있다. 이 부분에 대한 차 이사의 생각을 들어봤다.
차 이사는 “개인정보보호법은 약 350만 사업자와 2만5천 공공기관을 규율하는 일반법의 지위를 가지고 있다. 반면 개별법인 정보통신망법은 정보통신서비스제공자를 대상으로 규율하고 있다. 하지만 망법 확대에 따라 일반법과 개별법의 차이가 거의 없는 상황”이라며 “현행 법체계에서 해석은 개인정보보호법 제6조에 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다고 규정하고 있다. 그러나 개인정보보호법과 정보통신망법을 비교해 보면 개인정보의 수집, 이용, 제공, 파기 단계에 이르는 전과정을 규율하고 있다”고 설명했다.
특히 “정보화 사회로 발전에 따라 전기통신 역무를 이용해 정보를 제공하거나 매개하는 경우란 대부분의 기업이 해당 될 수 있다. 이런 측면에서 금융기관의 개인정보처리시스템의 경우도 법 의무사항 이행시 혼선을 야기시키기도 한다”며 “인터넷뱅킹시스템의 경우 암호화 대상이 계좌번호, 카드번호가 포함되어 있으나 내부망의 경우 고유식별정보가 포함되는 부분이다. 따라서 법체계상 적용기관의 혼선을 최소화하고 정책의 일관성을 유지하기 위해서도 개별법에서 일반법인 개인정보보호법과 중복되는 부분은 과감히 삭제해야 하며 적용대상의 경우에도 정보통신서비스 대상자를 한정지어 규율해야 한다”고 제안했다.
그는 기업이나 공공기관 개인정보보호 담당자들에게 이렇게 당부한다. “개인정보는 기업이나 공공기관에서 거의 모든 부서가 활용하고 있다. 특히 개인정보보호 업무는 특정 부서의 노력이나 역할로 보호가 될 수 없다”며 “전직원이 법 의무사항 여부를 이해하고 개인정보 유출방지를 위한 노력을 게을리 해서는 안된다. 이런 점에서 기관의 개인정보보호 담당자는 기관이 개인정보보호 정책과 조직을 구성하고 전직원 인식제고 R&R을 명확히 할 필요가 있다”고 당부했다.
끝으로 그가 몸담고 있는 이글루시큐리티의 개인정보보호 컨설팅 차별점은 무엇인가 질문했다. 그는 “이글루시큐리티는 올해도 일반기업, 공공기관 등 다양한 기관에 개인정보보호 체계구축과 영향평가 등을 수행했다”며 “약 500여명의 정보보호 인력을 보유하고 있고 다양한 개인정보보호 컨설팅 수행 경험이 있는 인력을 다수 보유하고 있다는 점이 장점”이라고 설명했다.
또 “관리적으로 개인정보보호법에 대한 정확한 이해와 안행부, 개인정보보호위원회 등 정책기관과의 협조를 통해 제도 개선 현황에 대한 정확한 컨설팅이 가능하는 점과 기술적으로 취약점진단과 모의해킹 인력을 다수 보유하고 있어 개인정보처리시스템에 안전성을 점검할 수 잇다는 점이다. 더불어 다양한 개인정보보호 솔루션을 보유하고 있어 컨설팅 이후 즉각적인 보호조치 가능하다는 점 등을 차별점으로 들 수 있다”고 말했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지