오는 8월 7일부터 주민등록번호 수집 법정주의가 시행된다. 즉 모든 공공기관 및 민간기업들은 법령상 근거없는 주민등록번호 수집 행위가 원칙적으로 금지되며 이를 위반할 경우 최대 3천만원의 과태료가 부과된다. 또한 주민번호를 유출시킨 기업에는 최대 5억원의 과징금이 부과될 수 있다.
 
안전행정부는 지난해 개인정보보호 제도 정착을 위해 고유식별정보 및 민감정도 처리 근거 법령을 일괄 정비했다. 또 주민번호 수집 법정주의 등을 반영한 개인정보보호법 개정, 각종 개인정보 서식 일괄 정비 및 인증마크제 도입, CCTV 보호 관리 강화 및 보호 체계를 개선한 상태다. 또한 합동점검단을 구성해 카드사, 병원, 기업 등 취약 분야를 집중 점검한 후 행정처분도 실시했다.
 
그럼에도 불구하고 여전히 대형 개인정보보호 유출 사고로 국민들은 불안해 하고 있다. 안행부 개인정보보호과 문금주 과장(사진)은 “여전히 민간사업자의 보호 수준 제고를 위한 자율적 실천이 미흡한 상황이다. 지난해 통계에 따르면, PIMS 2.1%, ISMS 0.8%, 서식개선 32.5%에 불과해 보다 적극적인 실천이 필요해 보인다”고 아쉬워했다.
 
공공기관에 대해서도 문 과장은 “개인정보 파일 관리 등은 양호하지만 위탁업무에 따른 관리감독이 부족하고 개인정보처리시스템 정기점검 등이 주요 개선할 부분”이라고 지적하며 “개인정보 처리업무를 위탁하는 경우, 처리에 관한 사항을 문서화하고 수탁자(수탁업체) 교육 및 관리 감독을 강화해야 한다”고 강조했다.
 
즉 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 정기적으로 수탁자를 교육하고 수탁자가 개인정보를 안전하게 처리하는지를 정기적으로 감독해야 한다는 것이다. 감독할 사항으로는 개인정보처리 현황 및 실태, 목적 외 이용 및 제공, 재위탁 여부, 안정성 확보조치 여부 등을 체크해야 한다.
 
특히 미흡한 부분으로 지적되고 있는 개인정보처리시스템 관리부분에 대해 문 과장은 “개인정보처리시스템의 안정성 확보조치를 위해 접근권한 관리, 접속기록 정기 점검 등을 지속적으로 수행해야 한다”며 “책임자와 취급자에 대한 접근권한 차등부여, 전보, 퇴직자에 대한 권한삭제, 접근권한에 대한 이력관리 등이 철저하게 이루어져야 하며 사용자별 수행한 명력기록, 사용자의 접속상태, 사용자들의 로그인 정보 등 접속기록 관리와 접속 ID, 날짜 및 시간, IP주소, 수행업무 등을 6개월 이상 저장하고 정기적으로 백업을 수행해야 한다”고 구체적으로 밝혔다.

 
안전행정부는 지난해 1월부터 12월까지 공공, 민간 총 331개소를 점검해 297개소에 대한 처분명령을 내렸다. 위반율이 89.7%에 달한다. 여전히 개인정보보호에 대한 자율적 실천이 부족하다는 것을 보여주는 수치다.
 
과태료가 113개소, 시정명령이 147개소, 개선권고가 208개소로 조사됐으며 공공기관에서는 산하기관이 89개소로 가장 많았고 민간사업자 중에서는 기타를 제외한 방송통신-학원-의료-금융-협회 및 단체 등이 많은 행정처분을 받은 것으로 조사됐다.

법 위반별 행정처분 사항을 보면, 안전조치 미흡이 207개소로 가장 많았고 위수탁 위반이 58개소로 2위, 이외 CCTV 설치 위반, 고지의무 불이행, 동의업는 수집 이용, 개인정보 미파기 순으로 조사됐다. 즉 여전히 많은 기관과 기업에서 안전조치가 미흡한 상태이며 위탁기관 관리가 제대로 이루어지지 않고 있다는 것을 알 수 있다.
 
또한 문 과장은 “지난 3월 21일까지 각 부처는 ‘개인정보보호 실태점검단’을 구성해 모든 공공기관을 대상으로 실태 점검을 실시한 결과 가장 기본적인 안전조치들이 미흡한 것으로 조사됐다”며 “서식 관행, 주민번호 수집근거 불명확, 접근권한 관리 미흡, 과다조회, 개인정보 파일 누락, 보관기관, 파기 불이행, 전담인력 및 예산 부족 등 개선할 부분이 산재해 있다”고 지적했다.

 
올해 안행부는 개인정보보호 강화를 위한 어떤 계획들을 세우고 있을까. 문 과장은 “업종별 자율점검 및 개선을 유도하기 위해 인증 마크제(PIPL)를 의무화를 적극 논의중이다. 또 8월 7일 개인정보보호법 개정 시행으로 주민번호 수집 법정주의, 과징금 제고 신설, 유출기업 CEO 및 임원 징계 권고제 도입 등을 준비하고 있으며 빅데이터 시대 개인정보보호 대책마련을 위해 데이터 공유-개방과 보호조치가 조화롭게 이루어질 수 있도록 준비하고 있다. 또 취약 업종과 반복 노출 기관에 대한 점검도 강화하고 행정처분도 강력하게 추진할 예정”이라고 밝혔다.
 
올해 안전행정부의 개인정보보호 강화 조치와 관련 보다 자세한 사항은 데일리시큐 자료실에 올라온 ‘G-Privacy 2014 발표자료집’을 참고하면 된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com