주민등록번호 대체수단 제공 확대, e프라이버시 클린서비스 운영, 분야별 개인정보보호 포털 운영 등
자율규제 촉진 위해 ISMS-P 운영, 행안부·방통위 등 관련부처 자율규제 및 자율점검 추진
2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경개선과 기술지원 △자율규제 촉진이라는 다섯 가지 측면에서 개인정보보호 기반 강화에 대한 내용이 소개돼 있는데, 여기서는 개인정보 환경개선 및 기술지원과 자율규제 촉진 정책을 중심으로 살펴본다.
[이미지=utoimage]
△개인정보 환경개선과 기술지원
1. 주민등록번호 대체수단 제공 확대
과거 온라인에서 본인확인 목적으로 사용됐던 주민등록번호의 이용을 최소화하기 위해 주민등록번호 없이 본인확인이 가능한 주민등록번호 대체수단이 필요하게 됐다. 이에 따라 방송통신위원회(이하 방통위)는 주민등록번호 없이 온라인에서 본인확인수단을 제공할 수 있도록 정보통신망법 및 하위법령에서 주민등록번호 대체수단을 제공하는 본인확인기관의 지정기준을 마련했으며, 이 법에 따른 주민등록번호 대체수단에는 아이핀·휴대전화·공인인증서·신용카드가 있다.
방통위는 주민등록번호 대체수단을 제공하는 본인확인기관으로 아이핀은 3개의 신용평가사(NICE평가정보, SCI평가정보, 코리아크레딧뷰로), 휴대전화는 3개 이동통신사(SKT, KT, LG U+), 신용카드는 8개 카드사(국민, 농협, 롯데, 비씨, 삼성, 신한, 하나, 현대카드사)를 지정했으며, 공인인증서는 ‘본인확인기관 지정 등에 관한 기준’ 제13조에 따라 공인인증기관을 본인확인기관으로 의제하고 있다.
방통위가 본인확인서비스 이용 현황을 조사한 결과, 대부분의 본인확인이 휴대전화 본인확인에 집중되고 있는 것으로 나타났다. 이는 대부분의 국민이 언제 어디서나 가지고 있는 휴대전화의 대중성, 휴대전화만 가지고 있으면 편리하게 본인확인이 가능한 편의성도 작용했을 것으로 보고 있다.
아이핀도 간편인증을 도입해 아이디(ID)와 비밀번호 없이도 모바일 앱을 통해 간편하게 본인확인을 할 수 있도록 했지만, 이미 대부분의 이용자가 휴대전화를 이용해 본인확인을 하고 있고 다른 본인확인수단이 없는 경우에만 주로 아이핀이 이용되고 있는 상황이다.
방통위는 다양한 본인확인수단을 확보하기 위해 7개 신용카드사를 본인확인기관으로 지정해 신용카드를 이용한 본인확인서비스를 2018년 도입했고, 2019년 4월 농협카드를 신용카드 본인확인기관으로 추가 지정했다.
2. e프라이버시 클린서비스 운영
행정안전부(이하 행안부)는 개인정보 유출 및 오·남용으로 인한 명의도용·사생활 침해 등의 피해를 최소화하고, 정보주체의 개인정보 자기결정권 행사 보장을 위해 2010년 7월부터 ‘e프라이버시 클린서비스(구 주민등록번호 클린센터)’를 운영하고 있다.
e프라이버시 클린서비스는 인터넷에서 회원가입·연령확인(성인인증)·실명인증 등 본인확인 내역을 조회하고, 명의도용이 의심되거나 더 이상 이용을 원치 않는 불필요한 웹사이트에 대한 회원탈퇴를 원스톱 지원하고 있다.
e프라이버시 클린서비스는 정보취약계층과 모바일 접속자에 초점을 두고 2019년 서비스 이용환경을 대폭 개선했다. 다양한 연령층의 서비스 이용을 촉진하기 위해 이용 절차와 입력 정보를 간소화했고, 데스크톱 이외의 스마트기기에서도 편리하게 이용할 수 있도록 반응형 웹 디자인을 적용했다.
이러한 노력을 바탕으로 2019년까지 e프라이버시 클린서비스를 통한 본인확인 내역 누적 조회건수가 1,250만건을 넘어섰다. 향후 정보주체의 알 권리 보장 및 결정권 행사 지원 확대를 위해 서비스 기능 고도화를 추진하고, 이용자 만족도를 높이기 위한 개선 작업을 진행할 예정이다.
3. 분야별 개인정보보호 포털 운영
행안부는 개인정보보호와 관련한 자료 등을 손쉽게 찾아볼 수 있도록 개인정보보호 종합포털을 운영하고 있다. 개인정보보호 종합포털에서는 개인정보보호 관련 정보 제공, 정책 지원, 기술 지원, 온라인교육, 민원접수 등 다양한 서비스를 제공하고 있다. 또한, 장애인·고령자 등 정보취약계층 대상으로 원활한 서비스 제공을 위해 홈페이지 웹 접근성 품질인증을 받는 등 다양한 사용자의 편의를 위해 지속적으로 개선하고 있다.
2019년 온라인 교육 수료자 수는 42만명으로 2018년 대비 약 8만명 증가했고, 포털 이용자 수는 336만명으로 2018년 대비 약 80만명 증가하는 등 매년 증가 추세를 보이고 있다. 이 외에도 다양한 개인정보보호 서비스 지원을 통해 개인정보보호 수준 제고를 위해 힘쓰고 있다.
방통위도 정보통신서비스 이용자 및 사업자를 대상으로 개인정보보호 관련 자료 등을 손쉽게 찾아볼 수 있도록 온라인 개인정보보호 포털을 운영하고 있다. 정보통신서비스 이용자 및 사업자에게 필요한 관련 법규 및 지침과 연구·동향 자료 등을 게시해 공개하고 있고, 개인정보 유출신고 서비스·온라인 교육 등을 제공하고 있다. 2019년에는 8종의 신규 온라인 교육 콘텐츠(사업자 3종, 이용자 5종)를 추가 개발해 운영하는 등 지속적으로 정보통신서비스 이용자 및 사업자의 인식 제고를 위해 노력하고 있다.
4. 소상공인 대상 등 개인정보보호 기술 지원 추진
개인정보 탈취를 목적으로 하는 사이버 공격은 계속 발전하고 있어 중·소상공인 등은 이에 대해 적절한 대응 프로세스를 확보하는 데 어려움을 겪고 있다. 행안부는 인력·예산과 전문성이 부족해 개인정보보호 조치 이행에 어려움을 겪는 중·소상공인과 비영리단체를 대상으로 개인정보보호 기술 역량을 높이기 위한 기술 지원을 추진하고 있다.
개인정보보호기술 역량강화센터는 2019년 한 해 쇼핑몰·음식점·학원·복지 관련 사회 전반에 종사하는 중·소상공인과 비영리단체 약 177곳을 대상으로 보호조치 컨설팅을 실시했고 4,131명에게 업무용 PC 개인정보 보호조치 점검도구를 배포했다. 이뿐만 아니라 ‘업무용 PC 개인정보 보호조치 점검도구 고도화’ 사업을 진행해 ①비정형 개인정보파일(이미지, PDF)의 암호화 여부 점검 ②개정된 비밀번호 작성규칙 반영 ③최신 운영체제 지원 ④관리자 기능을 신규 개발했다. 아울러 개인정보처리자(또는 수탁업체 개발자)가 분석·설계(기획) 단계부터 개인정보 보호조치를 적용하도록 ‘안전한 개인정보처리시스템 구축·운영 가이드’를 마련했다. 2020년에는 중·소상공인뿐만 아니라 수탁업체 개발자(개발 PM 포함) 대상으로 본 가이드에 대한 단계별 교육(기본/심화)을 실시해 개인정보보호 역량을 높일 계획이다.
과학기술정보통신부(이하 과기정통부)는 지역 영세·중소기업의 정보보호 활동 지원 및 지역 사이버안전망 구축을 위해 전국 8개 지역에서 정보보호지원센터를 운영하고 있다. 전국 8개 정보보호지원센터는 2019년 한 해 동안 영세·중소기업을 대상으로 웹 취약점 점검, 정보보호 현장 컨설팅, 기업 민감정보 보호조치 등 4,924건의 정보보호 서비스를 지원했다. 또한, 265개 기업을 대상으로 규모(영세·중소)에 따른 수준별 종합컨설팅 및 보안솔루션 도입 등을 지원해 ICT 보유 현황에 맞는 맞춤형 중소기업 정보보호 종합 지원 정책을 추진했다.
5. 개인정보 비식별 조치 전문기관의 컨설팅 지원
행안부와 방통위는 빅데이터 분석, 인공지능 등을 통한 새로운 서비스 창출과 신산업 활성화에 데이터 활용 가치가 증대함에 따라 개인정보 침해가능성을 최소화하면서 데이터 산업을 활성화할 수 있도록 2016년 6월 범부처 합동 ‘개인정보 비식별 조치 가이드라인’을 발간했다. 행안부는 ‘개인정보 비식별 조치 가이드라인’에 따라 2016년 8월 한국인터넷진흥원을 공공 분야 전문기관으로 지정했다.
한국인터넷진흥원은 안전한 빅데이터 활용 기반 마련 및 활성화를 위해 비식별 조치 기술과 전문인력이 부족한 공공·중소·영세사업자를 대상으로 기업 맞춤형 비식별 조치 컨설팅, 적정성 평가와 더불어 데이터기술지원허브(비식별 조치 테스트베드)에서 비식별 조치 실습을 위한 시설 및 장비를 지원하고 있다.
또한, 비식별 조치에 대한 사회·기술적 인식 제고와 비식별 조치 전문 인력 양성을 위해 기업 비식별 조치 실무자를 대상으로 교육을 개최했다. 2019년에는 기존 비식별 조치 교육 과정에 데이터 분석 및 비식별 처리 등 전문가 과정을 추가함으로써 실습 중심의 교육으로 강화했고, 지역별로 균등하게 교육 기회를 제공하기 위해 권역별(서울, 인천, 대전, 부산, 나주) 교육을 개최했다. 그 외 국내외 비식별 조치 전문가를 초청, 안전한 개인정보 활용을 위한 비식별 기술 및 동향 세미나를 개최해 비식별 조치에 대한 저변 확대 및 활성화 제고를 위해 노력하고 있다.
△자율규제 촉진
1. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)
정부는 기업의 개인정보 관리체계가 인증기준에 적합한지를 심사하는 인증제도를 부처별로 운영하고 있었다. 2016년 행안부와 방통위는 제도 간 연계성을 강화하고 기업 부담 해소를 위해 ‘개인정보보호 인증제(PIPL, Personal Information Protection Level)’와 ‘개인정보보호 관리체계 인증제도(PIMS, Personal Information Management System)’를 통합했다.
이어서 2018년 11월에는 과기정통부가 운영하는 ‘정보보호 관리체계 인증제도(ISMS, Information Security Management System)’와 ‘개인정보보호 관리체계 인증제도(PIMS)’를 통합해 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’로 운영하고 있다.
4차 산업혁명과 더불어 새로운 비즈니스가 창출되고 클라우드, 인공지능, IoT 등 다양한 방식과 채널을 통해 개인정보가 이용됨에 따라 개인정보를 안전하게 보호하기 위해 ISMS-P 인증에 대한 수요도 꾸준히 증가하고 있다. 행안부는 2019년 최초 심사를 통해 총 46개 신규 인증서를 발급했고, 사후·갱신 심사를 통해 32개의 인증서를 유지하고 있다.
아울러 ISMS-P 인증제도 안내서·교육교재 및 온라인 교육을 통해 인증 희망 기관의 부담을 완화하는 한편, ISMS-P 온라인 심사신청 등을 통해 수요자 편의 도모 및 업무처리 원활화에 기여했다.
행안부와 과기정통부, 방통위는 관계 부처 간 지속적인 협의를 통해 인증제도의 기반을 강화하고 인증 활성화를 통해 기업의 자율적인 개인정보보호 환경 조성에 노력하고 있다.
행안부·과기정통부·방통위는 2019년 한 해 동안 1개 인증기관(금융보안원)과 2개 심사기관(한국정보통신진흥협회, 한국정보통신기술협회)을 지정했으며, 총 1,241명의 ISMS-P 인증심사원이 인증심사를 수행하고 있다. 2019년 말 기준으로 ISMS, PIMS, ISMS-P의 총 인증 건수는 755개이다.
2. 개인정보보호 자율규제 및 자율점검 추진
가. 행안부
행안부는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하고 민간 협·단체 주도의 자율규제를 활성화하기 위해 2016년에 「개인정보보호 자율규제단체 지정 등에 관한 규정」을 제정·고시했다. 동 규정에 따라 지정된 자율규제단체는 자체 자율규제 규약을 마련하고 소속 개인정보처리자를 대상으로 개인정보보호 교육, 자율점검, 컨설팅 등을 수행한다.
2017년에는 자율규제단체의 지정과 단체의 자율규제 활동 등을 지원하는 자율규제 전문기관에 대해 총괄, 분야별 전문기관으로 세분화해 역할 분담을 명확히 했다. 이에 따라 행안부는 한국인터넷진흥원을 총괄 전문기관으로, 건강보험심사평가원을 보건 분야 전문기관으로 지정했고 신규 7개 단체를 추가 지정해 자율규제단체가 총 14개로 증가했다.
2018년에는 개인정보 자율규제 활성화를 위한 연구반을 운영해 「자율규제단체 지정 등에 관한 고시 개정(안)」(2019년 1월 29일 시행) 및 ‘자율규제단체 운영 개선 방안’ 등을 마련했다. 이러한 방안에 의거해 자율규제 활동이 미흡한 2개 단체의 지정을 취소했고, 자율규제 활동이 우수한 단체에 대한 인센티브 부여 방안 등을 제시했다.
2019년에는 단체의 개인정보보호 이해도와 수준 제고를 위해 업종별 개인정보처리 특성을 반영한 5개 분야 ‘업종별 개인정보처리 가이드’를 마련하고 배포했다. 또한 개인정보보호 종합포털 내 자율규제 메뉴를 신설해 개인정보보호 분야의 자율규제 제도를 안내하고, 시스템을 통해 개인정보보호 자율점검이 가능하도록 해 그동안 서면으로 작성하던 자율규약 체결 및 자율점검 수행의 편리성·효율성을 증대했다.
나. 방통위
방통위는 정부규제의 사각지대를 해소하고 기업 스스로 이용자의 개인정보를 보호하는 환경을 조성하기 위해 방송·통신·온라인 분야 개인정보보호 자율규제를 도입·시행했다.
방통위는 ‘방송·통신·온라인 분야 개인정보보호 자율규제 기본계획’을 의결해 자율규제 체계를 수립하고, 이에 따라 통신·쇼핑·알뜰통신·유료방송·스타트업 등 5개 업종별로 특성을 고려해 회원사와 협의 하에 자율점검·현장 컨설팅·인증 취득·교육 등 다양한 방식의 자율규제를 추진하도록 유도했다.
이와 별개로 자율규제에 대한 협회와 사업자들의 이해를 돕기 위해 ‘방송·통신·온라인 분야 개인정보보호 정책 설명회’를 개최했다. 해당 설명회에서는 자율규제 도입 취지 및 체계·절차·참여 방식 등을 소개하는 한편, 중소·스타트업 사업자 대상 개인정보보호 현장 컨설팅지원사업을 소개해 관심 있는 사업자들의 참여를 유도했다.
더불어 자율규제 참여 사업자 중 개인정보보호 활동을 성실히 수행하거나 수탁사(협력사) 등에 대한 지원·협력을 위해 적극 노력한 경우, 기준 금액의 30% 이내에서 과태료를 추가 감경할 수 있도록 「개인정보 및 위치정보의 보호 위반행위에 관한 과태료 부과 지침」에 세부기준을 마련했다.
또한, 방통위는 자율규제 시행에 따른 실효성을 제고하기 위해 ‘개인정보보호 자율규제 심의평가위원회’를 구성해 개인정보 및 자율규제 관련 학계, 법조계, 소비자단체 전문가 7인을 심의평가위원으로 위촉했다. 2018년 11월에 개최된 첫 회의에서는 개인정보보호 기본계획 및 표준 자율규약 등에 대해 보고하는 한편, 자율규제 관련 평가 대상(안)·심의평가위원회 운영 규정(안) 등을 의결하고 통신·쇼핑·알뜰통신·유료방송 등 4개 분야의 연간 자율규제 활동 결과에 대한 심의·평가 계획을 논의했다. 2019년 3월에 개최된 회의에서는 스타트업 분야를 포함시키고 참여를 유도했다.
한편, 예산과 인력의 문제로 대기업에 비해 개인정보보호 여력이 부족한 상황에 있는 중소·스타트업 사업자들의 고민을 나누고, 개인정보 관련 법률을 준수할 수 있도록 기업별 맞춤형 현장 컨설팅을 진행했다.
현장 컨설팅은 총 55개 사업자를 대상으로 진행됐으며, 통신·쇼핑·알뜰통신 등 2019년 개인정보보호 자율규제 참여 업종을 비롯해 스타트업 등 정보통신망법 적용을 받는 일반 중소 사업자 역시 지원 대상으로 했다.
컨설팅은 정보통신망법 적용을 받는 사업자들이 공통적으로 지켜야 할 사항(84개)과 통신·쇼핑 등 업종별 개인정보처리 특성상 관리가 필요한 맞춤형 항목(17~22개)을 기준으로 진행됐으며, 사업자의 자율적인 개인정보보호 역량을 강화하기 위해 PDCA 사이클(Plan-DoCheck-Action) 프로세스를 고려해 구성했다.
컨설팅 결과 스타트업 및 창업자를 위한 개인정보보호 가이드라인 부재 등의 애로사항이 있었던 것으로 조사됐으며, 통신 분야의 이행률은 약 98% 수준으로 높은 반면 스타트업 분야의 평균 이행률은 약 40% 수준으로 개인정보 보완의 사각지대에 위치하는 스타트업 분야의 개인정보 관리체계 수립에 대한 지원을 확대해야 할 것으로 판단됐다.
이에 방통위는 2019년 개인정보보호 현장 컨설팅 지원 사업자 중 개선사항 이행조치 확인·지원에 동의한 사업자뿐 아니라 신규 중소·영세 사업자를 위해 2020년에도 지원을 지속할 예정이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
자율규제 촉진 위해 ISMS-P 운영, 행안부·방통위 등 관련부처 자율규제 및 자율점검 추진
2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경개선과 기술지원 △자율규제 촉진이라는 다섯 가지 측면에서 개인정보보호 기반 강화에 대한 내용이 소개돼 있는데, 여기서는 개인정보 환경개선 및 기술지원과 자율규제 촉진 정책을 중심으로 살펴본다.
[이미지=utoimage]
△개인정보 환경개선과 기술지원
1. 주민등록번호 대체수단 제공 확대
과거 온라인에서 본인확인 목적으로 사용됐던 주민등록번호의 이용을 최소화하기 위해 주민등록번호 없이 본인확인이 가능한 주민등록번호 대체수단이 필요하게 됐다. 이에 따라 방송통신위원회(이하 방통위)는 주민등록번호 없이 온라인에서 본인확인수단을 제공할 수 있도록 정보통신망법 및 하위법령에서 주민등록번호 대체수단을 제공하는 본인확인기관의 지정기준을 마련했으며, 이 법에 따른 주민등록번호 대체수단에는 아이핀·휴대전화·공인인증서·신용카드가 있다.
방통위는 주민등록번호 대체수단을 제공하는 본인확인기관으로 아이핀은 3개의 신용평가사(NICE평가정보, SCI평가정보, 코리아크레딧뷰로), 휴대전화는 3개 이동통신사(SKT, KT, LG U+), 신용카드는 8개 카드사(국민, 농협, 롯데, 비씨, 삼성, 신한, 하나, 현대카드사)를 지정했으며, 공인인증서는 ‘본인확인기관 지정 등에 관한 기준’ 제13조에 따라 공인인증기관을 본인확인기관으로 의제하고 있다.
방통위가 본인확인서비스 이용 현황을 조사한 결과, 대부분의 본인확인이 휴대전화 본인확인에 집중되고 있는 것으로 나타났다. 이는 대부분의 국민이 언제 어디서나 가지고 있는 휴대전화의 대중성, 휴대전화만 가지고 있으면 편리하게 본인확인이 가능한 편의성도 작용했을 것으로 보고 있다.
아이핀도 간편인증을 도입해 아이디(ID)와 비밀번호 없이도 모바일 앱을 통해 간편하게 본인확인을 할 수 있도록 했지만, 이미 대부분의 이용자가 휴대전화를 이용해 본인확인을 하고 있고 다른 본인확인수단이 없는 경우에만 주로 아이핀이 이용되고 있는 상황이다.
방통위는 다양한 본인확인수단을 확보하기 위해 7개 신용카드사를 본인확인기관으로 지정해 신용카드를 이용한 본인확인서비스를 2018년 도입했고, 2019년 4월 농협카드를 신용카드 본인확인기관으로 추가 지정했다.
2. e프라이버시 클린서비스 운영
행정안전부(이하 행안부)는 개인정보 유출 및 오·남용으로 인한 명의도용·사생활 침해 등의 피해를 최소화하고, 정보주체의 개인정보 자기결정권 행사 보장을 위해 2010년 7월부터 ‘e프라이버시 클린서비스(구 주민등록번호 클린센터)’를 운영하고 있다.
e프라이버시 클린서비스는 인터넷에서 회원가입·연령확인(성인인증)·실명인증 등 본인확인 내역을 조회하고, 명의도용이 의심되거나 더 이상 이용을 원치 않는 불필요한 웹사이트에 대한 회원탈퇴를 원스톱 지원하고 있다.
e프라이버시 클린서비스는 정보취약계층과 모바일 접속자에 초점을 두고 2019년 서비스 이용환경을 대폭 개선했다. 다양한 연령층의 서비스 이용을 촉진하기 위해 이용 절차와 입력 정보를 간소화했고, 데스크톱 이외의 스마트기기에서도 편리하게 이용할 수 있도록 반응형 웹 디자인을 적용했다.
이러한 노력을 바탕으로 2019년까지 e프라이버시 클린서비스를 통한 본인확인 내역 누적 조회건수가 1,250만건을 넘어섰다. 향후 정보주체의 알 권리 보장 및 결정권 행사 지원 확대를 위해 서비스 기능 고도화를 추진하고, 이용자 만족도를 높이기 위한 개선 작업을 진행할 예정이다.
3. 분야별 개인정보보호 포털 운영
행안부는 개인정보보호와 관련한 자료 등을 손쉽게 찾아볼 수 있도록 개인정보보호 종합포털을 운영하고 있다. 개인정보보호 종합포털에서는 개인정보보호 관련 정보 제공, 정책 지원, 기술 지원, 온라인교육, 민원접수 등 다양한 서비스를 제공하고 있다. 또한, 장애인·고령자 등 정보취약계층 대상으로 원활한 서비스 제공을 위해 홈페이지 웹 접근성 품질인증을 받는 등 다양한 사용자의 편의를 위해 지속적으로 개선하고 있다.
2019년 온라인 교육 수료자 수는 42만명으로 2018년 대비 약 8만명 증가했고, 포털 이용자 수는 336만명으로 2018년 대비 약 80만명 증가하는 등 매년 증가 추세를 보이고 있다. 이 외에도 다양한 개인정보보호 서비스 지원을 통해 개인정보보호 수준 제고를 위해 힘쓰고 있다.
방통위도 정보통신서비스 이용자 및 사업자를 대상으로 개인정보보호 관련 자료 등을 손쉽게 찾아볼 수 있도록 온라인 개인정보보호 포털을 운영하고 있다. 정보통신서비스 이용자 및 사업자에게 필요한 관련 법규 및 지침과 연구·동향 자료 등을 게시해 공개하고 있고, 개인정보 유출신고 서비스·온라인 교육 등을 제공하고 있다. 2019년에는 8종의 신규 온라인 교육 콘텐츠(사업자 3종, 이용자 5종)를 추가 개발해 운영하는 등 지속적으로 정보통신서비스 이용자 및 사업자의 인식 제고를 위해 노력하고 있다.
4. 소상공인 대상 등 개인정보보호 기술 지원 추진
개인정보 탈취를 목적으로 하는 사이버 공격은 계속 발전하고 있어 중·소상공인 등은 이에 대해 적절한 대응 프로세스를 확보하는 데 어려움을 겪고 있다. 행안부는 인력·예산과 전문성이 부족해 개인정보보호 조치 이행에 어려움을 겪는 중·소상공인과 비영리단체를 대상으로 개인정보보호 기술 역량을 높이기 위한 기술 지원을 추진하고 있다.
개인정보보호기술 역량강화센터는 2019년 한 해 쇼핑몰·음식점·학원·복지 관련 사회 전반에 종사하는 중·소상공인과 비영리단체 약 177곳을 대상으로 보호조치 컨설팅을 실시했고 4,131명에게 업무용 PC 개인정보 보호조치 점검도구를 배포했다. 이뿐만 아니라 ‘업무용 PC 개인정보 보호조치 점검도구 고도화’ 사업을 진행해 ①비정형 개인정보파일(이미지, PDF)의 암호화 여부 점검 ②개정된 비밀번호 작성규칙 반영 ③최신 운영체제 지원 ④관리자 기능을 신규 개발했다. 아울러 개인정보처리자(또는 수탁업체 개발자)가 분석·설계(기획) 단계부터 개인정보 보호조치를 적용하도록 ‘안전한 개인정보처리시스템 구축·운영 가이드’를 마련했다. 2020년에는 중·소상공인뿐만 아니라 수탁업체 개발자(개발 PM 포함) 대상으로 본 가이드에 대한 단계별 교육(기본/심화)을 실시해 개인정보보호 역량을 높일 계획이다.
과학기술정보통신부(이하 과기정통부)는 지역 영세·중소기업의 정보보호 활동 지원 및 지역 사이버안전망 구축을 위해 전국 8개 지역에서 정보보호지원센터를 운영하고 있다. 전국 8개 정보보호지원센터는 2019년 한 해 동안 영세·중소기업을 대상으로 웹 취약점 점검, 정보보호 현장 컨설팅, 기업 민감정보 보호조치 등 4,924건의 정보보호 서비스를 지원했다. 또한, 265개 기업을 대상으로 규모(영세·중소)에 따른 수준별 종합컨설팅 및 보안솔루션 도입 등을 지원해 ICT 보유 현황에 맞는 맞춤형 중소기업 정보보호 종합 지원 정책을 추진했다.
5. 개인정보 비식별 조치 전문기관의 컨설팅 지원
행안부와 방통위는 빅데이터 분석, 인공지능 등을 통한 새로운 서비스 창출과 신산업 활성화에 데이터 활용 가치가 증대함에 따라 개인정보 침해가능성을 최소화하면서 데이터 산업을 활성화할 수 있도록 2016년 6월 범부처 합동 ‘개인정보 비식별 조치 가이드라인’을 발간했다. 행안부는 ‘개인정보 비식별 조치 가이드라인’에 따라 2016년 8월 한국인터넷진흥원을 공공 분야 전문기관으로 지정했다.
한국인터넷진흥원은 안전한 빅데이터 활용 기반 마련 및 활성화를 위해 비식별 조치 기술과 전문인력이 부족한 공공·중소·영세사업자를 대상으로 기업 맞춤형 비식별 조치 컨설팅, 적정성 평가와 더불어 데이터기술지원허브(비식별 조치 테스트베드)에서 비식별 조치 실습을 위한 시설 및 장비를 지원하고 있다.
또한, 비식별 조치에 대한 사회·기술적 인식 제고와 비식별 조치 전문 인력 양성을 위해 기업 비식별 조치 실무자를 대상으로 교육을 개최했다. 2019년에는 기존 비식별 조치 교육 과정에 데이터 분석 및 비식별 처리 등 전문가 과정을 추가함으로써 실습 중심의 교육으로 강화했고, 지역별로 균등하게 교육 기회를 제공하기 위해 권역별(서울, 인천, 대전, 부산, 나주) 교육을 개최했다. 그 외 국내외 비식별 조치 전문가를 초청, 안전한 개인정보 활용을 위한 비식별 기술 및 동향 세미나를 개최해 비식별 조치에 대한 저변 확대 및 활성화 제고를 위해 노력하고 있다.
△자율규제 촉진
1. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)
정부는 기업의 개인정보 관리체계가 인증기준에 적합한지를 심사하는 인증제도를 부처별로 운영하고 있었다. 2016년 행안부와 방통위는 제도 간 연계성을 강화하고 기업 부담 해소를 위해 ‘개인정보보호 인증제(PIPL, Personal Information Protection Level)’와 ‘개인정보보호 관리체계 인증제도(PIMS, Personal Information Management System)’를 통합했다.
이어서 2018년 11월에는 과기정통부가 운영하는 ‘정보보호 관리체계 인증제도(ISMS, Information Security Management System)’와 ‘개인정보보호 관리체계 인증제도(PIMS)’를 통합해 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’로 운영하고 있다.
4차 산업혁명과 더불어 새로운 비즈니스가 창출되고 클라우드, 인공지능, IoT 등 다양한 방식과 채널을 통해 개인정보가 이용됨에 따라 개인정보를 안전하게 보호하기 위해 ISMS-P 인증에 대한 수요도 꾸준히 증가하고 있다. 행안부는 2019년 최초 심사를 통해 총 46개 신규 인증서를 발급했고, 사후·갱신 심사를 통해 32개의 인증서를 유지하고 있다.
아울러 ISMS-P 인증제도 안내서·교육교재 및 온라인 교육을 통해 인증 희망 기관의 부담을 완화하는 한편, ISMS-P 온라인 심사신청 등을 통해 수요자 편의 도모 및 업무처리 원활화에 기여했다.
행안부와 과기정통부, 방통위는 관계 부처 간 지속적인 협의를 통해 인증제도의 기반을 강화하고 인증 활성화를 통해 기업의 자율적인 개인정보보호 환경 조성에 노력하고 있다.
행안부·과기정통부·방통위는 2019년 한 해 동안 1개 인증기관(금융보안원)과 2개 심사기관(한국정보통신진흥협회, 한국정보통신기술협회)을 지정했으며, 총 1,241명의 ISMS-P 인증심사원이 인증심사를 수행하고 있다. 2019년 말 기준으로 ISMS, PIMS, ISMS-P의 총 인증 건수는 755개이다.
2. 개인정보보호 자율규제 및 자율점검 추진
가. 행안부
행안부는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하고 민간 협·단체 주도의 자율규제를 활성화하기 위해 2016년에 「개인정보보호 자율규제단체 지정 등에 관한 규정」을 제정·고시했다. 동 규정에 따라 지정된 자율규제단체는 자체 자율규제 규약을 마련하고 소속 개인정보처리자를 대상으로 개인정보보호 교육, 자율점검, 컨설팅 등을 수행한다.
2017년에는 자율규제단체의 지정과 단체의 자율규제 활동 등을 지원하는 자율규제 전문기관에 대해 총괄, 분야별 전문기관으로 세분화해 역할 분담을 명확히 했다. 이에 따라 행안부는 한국인터넷진흥원을 총괄 전문기관으로, 건강보험심사평가원을 보건 분야 전문기관으로 지정했고 신규 7개 단체를 추가 지정해 자율규제단체가 총 14개로 증가했다.
2018년에는 개인정보 자율규제 활성화를 위한 연구반을 운영해 「자율규제단체 지정 등에 관한 고시 개정(안)」(2019년 1월 29일 시행) 및 ‘자율규제단체 운영 개선 방안’ 등을 마련했다. 이러한 방안에 의거해 자율규제 활동이 미흡한 2개 단체의 지정을 취소했고, 자율규제 활동이 우수한 단체에 대한 인센티브 부여 방안 등을 제시했다.
2019년에는 단체의 개인정보보호 이해도와 수준 제고를 위해 업종별 개인정보처리 특성을 반영한 5개 분야 ‘업종별 개인정보처리 가이드’를 마련하고 배포했다. 또한 개인정보보호 종합포털 내 자율규제 메뉴를 신설해 개인정보보호 분야의 자율규제 제도를 안내하고, 시스템을 통해 개인정보보호 자율점검이 가능하도록 해 그동안 서면으로 작성하던 자율규약 체결 및 자율점검 수행의 편리성·효율성을 증대했다.
나. 방통위
방통위는 정부규제의 사각지대를 해소하고 기업 스스로 이용자의 개인정보를 보호하는 환경을 조성하기 위해 방송·통신·온라인 분야 개인정보보호 자율규제를 도입·시행했다.
방통위는 ‘방송·통신·온라인 분야 개인정보보호 자율규제 기본계획’을 의결해 자율규제 체계를 수립하고, 이에 따라 통신·쇼핑·알뜰통신·유료방송·스타트업 등 5개 업종별로 특성을 고려해 회원사와 협의 하에 자율점검·현장 컨설팅·인증 취득·교육 등 다양한 방식의 자율규제를 추진하도록 유도했다.
이와 별개로 자율규제에 대한 협회와 사업자들의 이해를 돕기 위해 ‘방송·통신·온라인 분야 개인정보보호 정책 설명회’를 개최했다. 해당 설명회에서는 자율규제 도입 취지 및 체계·절차·참여 방식 등을 소개하는 한편, 중소·스타트업 사업자 대상 개인정보보호 현장 컨설팅지원사업을 소개해 관심 있는 사업자들의 참여를 유도했다.
더불어 자율규제 참여 사업자 중 개인정보보호 활동을 성실히 수행하거나 수탁사(협력사) 등에 대한 지원·협력을 위해 적극 노력한 경우, 기준 금액의 30% 이내에서 과태료를 추가 감경할 수 있도록 「개인정보 및 위치정보의 보호 위반행위에 관한 과태료 부과 지침」에 세부기준을 마련했다.
또한, 방통위는 자율규제 시행에 따른 실효성을 제고하기 위해 ‘개인정보보호 자율규제 심의평가위원회’를 구성해 개인정보 및 자율규제 관련 학계, 법조계, 소비자단체 전문가 7인을 심의평가위원으로 위촉했다. 2018년 11월에 개최된 첫 회의에서는 개인정보보호 기본계획 및 표준 자율규약 등에 대해 보고하는 한편, 자율규제 관련 평가 대상(안)·심의평가위원회 운영 규정(안) 등을 의결하고 통신·쇼핑·알뜰통신·유료방송 등 4개 분야의 연간 자율규제 활동 결과에 대한 심의·평가 계획을 논의했다. 2019년 3월에 개최된 회의에서는 스타트업 분야를 포함시키고 참여를 유도했다.
한편, 예산과 인력의 문제로 대기업에 비해 개인정보보호 여력이 부족한 상황에 있는 중소·스타트업 사업자들의 고민을 나누고, 개인정보 관련 법률을 준수할 수 있도록 기업별 맞춤형 현장 컨설팅을 진행했다.
현장 컨설팅은 총 55개 사업자를 대상으로 진행됐으며, 통신·쇼핑·알뜰통신 등 2019년 개인정보보호 자율규제 참여 업종을 비롯해 스타트업 등 정보통신망법 적용을 받는 일반 중소 사업자 역시 지원 대상으로 했다.
컨설팅은 정보통신망법 적용을 받는 사업자들이 공통적으로 지켜야 할 사항(84개)과 통신·쇼핑 등 업종별 개인정보처리 특성상 관리가 필요한 맞춤형 항목(17~22개)을 기준으로 진행됐으며, 사업자의 자율적인 개인정보보호 역량을 강화하기 위해 PDCA 사이클(Plan-DoCheck-Action) 프로세스를 고려해 구성했다.
컨설팅 결과 스타트업 및 창업자를 위한 개인정보보호 가이드라인 부재 등의 애로사항이 있었던 것으로 조사됐으며, 통신 분야의 이행률은 약 98% 수준으로 높은 반면 스타트업 분야의 평균 이행률은 약 40% 수준으로 개인정보 보완의 사각지대에 위치하는 스타트업 분야의 개인정보 관리체계 수립에 대한 지원을 확대해야 할 것으로 판단됐다.
이에 방통위는 2019년 개인정보보호 현장 컨설팅 지원 사업자 중 개선사항 이행조치 확인·지원에 동의한 사업자뿐 아니라 신규 중소·영세 사업자를 위해 2020년에도 지원을 지속할 예정이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
