개인정보 분야에서는 ‘가이드라인’ 비롯한 ‘정책 설계’ 이슈 눈길 끌어
[보안뉴스 조재호 기자] 2024년 국정감사가 오는 7일부터 25일까지 진행된다. 올해는 22대 국회의 첫 국감으로 국회의원들의 각오가 남다른 것으로 알려졌다. 국감은 국민의 대표기관인 국회가 행정부를 비롯한 국가기관 전반을 감찰하고 비판하는 자리다.
[이미지=gettyimagesbank]
이와 관련해 국정감사에서 다뤄질 585개의 중점 주제를 선정한 보고서가 눈길을 끈다. 국회입법조사처는 ‘2024 국정감사 이슈 분석 보고서’를 통해 올해 국정감사에서 논의될 현안을 선정했다. 이 중에서 보안 업계와 관련한 이슈들을 살펴봤다. 개인정보 분야에서 주목할 내용으로는 개인정보보호법 개정 관련 이슈 등이 있다.
개인정보 가이드라인 규범 통제 : 개인정보보호위원회
최근 「개인정보 보호법」의 해석 및 보호조치 방안 등에 관해 가이드라인, 지침 등 연성규범(soft law)을 발표하는 사례가 늘어나고 있다.
연성규범이란 법적 강제력은 없으나 사회구성원의 행위에 실질적인 영향력을 미치기 위해 만들어진 행위규범 등으로 표준이나 가이드라인, 지침, 모델 등을 말한다. 이에 기반한 개인정보 규율은 빠르게 변화하는 사회환경에 유연하게 대응할 수 있다. 그러나 연성규범이 담당하는 역할이 커지며 통제의 필요성도 덩달아 커졌다. 이는 법체계에서 충분한 통제 수단이 확보됐다고 보기 어렵기 때문이다.
이에 국회입법조사처는 가이드라인 등 개인정보 규율이 개인정보의 보호와 활용 사이에서 균형을 도모할 수 있도록 내용적 타당성을 확보해야 한다는 의견이다. 연성규범을 통해 법에 근거하지 않은 과도한 규제가 이뤄지지 않도록 주의할 필요가 있다는 것이다. 이를 위해 가이드라인 제정 과정에서 입법예고와 비슷하게 발표 이전에 이해관계자와 일반의 의견을 수렴하는 절차를 마련하거나 장기적으로 연성규범도 사법심사의 대상으로 포함할 수 있는 제도적 방안을 검토해야 한다는 것이다. 다만, 이 경우에는 적절한 심사기준과 함께 운영의 운영성을 확보해야 한다고 덧붙였다.
개인정보 보호 정책 지원 강화 : 개인정보보호위원회
개인정보 침해와 그로 인한 피해 우려가 높아지면서 침해 사고에 대한 금전적 제재 수준이 상향 조정됐다. 지난해 「개인정보 보호법」 개정으로 과징금 부과 기준이 매출액의 100분의 3 이하에서 전체 매출액의 100분의 3을 초과하지 아니하는 범위로 변경됐고 징벌적 손해배상액의 상한도 기존 손해액의 3배에서 5배로 상향됐다. 이와 함께 개인정보보호위원회의 처분 금액 규모도 커졌다. 하지만 침해에 대해 제재 수준을 높이는 것으로는 위험을 낮추는데 한계가 있을 수 있다.
개인정보 유출 사고 증가는 개인정보처리자의 보호조치가 충분하지 않은 것에 직접적인 원인이 있으나, 다른 한편으로 지식·정보 기반 사회 전환이 가속화됨에 따라 정보 유통 및 유출 위험이 전반적으로 증가한 것도 하나의 원인일 수 있다.
이에 따라 제재를 통해 경각심을 높이는 한편 개인정보 보호조치에 대한 지원책을 마련해 민간의 전반적인 대응 역량을 강화하는 정책 방향도 검토해야 한다는 것이다. 대표적인 방안으로 개인정보 관련 전문인력 양성이나 개인정보 침해를 방지하는 기술을 개발·보급하고 민간의 관련 기술 개발 지원 등의 정책도 확대·강화할 필요가 있다는 의견이다.
개인정보 전송요구권 세부기준의 적정성 확보 : 개인정보보호위원회
지난해 「개인정보 보호법」 개정으로 ‘개인정보 전송요구권’이 도입되면서 산업 전반에서 마이데이터 도입이 예고됐다. 마이데이터란 여러 곳에 흩어져 있는 개인정보를 한곳에 모아 통합적으로 관리·활용할 수 있도록 하는 서비스로 우리나라에서는 그동안 금융이나 공공 일부 영역에서 마이데이터가 시행됐다.
지난 4월 정부는 개인정보 전송요구권의 본격적인 시행을 1년여 앞두고 제도의 세부 시행 기준을 정한 시행령 일부개정령(안)을 입법예고했다. 시행령에서 제시한 기준들은 전송비용 부담을 경감하고 정보전송 과정에서 데이터 유출을 방지하는데 기여할 것으로 예상되나 일부 부작용에 대한 우려의 목소리도 제기됐다. 대표적으로 전송 대상이 되는 정보의 범위가 적정 수준 이상으로 넓어지면 개인정보처리자의 정당한 이익이 침해되거나 기업 등의 영업비밀 유출로 이어질 수 있다는 것이다.
이와 관련 데이터 전송 기준을 향후 고시 등을 통해 보다 구체적으로 정할 예정이다. 이해관계자들을 대상으로 한 협의와 전문가 의견수렴 등을 거쳐 전송 범위를 신중하게 설정해 제도 시행에 따른 부작용이 발생하지 않도록 유의하자는 의견이다. 아울러 중계기관의 정보보안에 관해 상세한 방침을 마련해 해당 기관에 집중된 데이터가 위험에 노출되지 않도록 주의해야 한다고 덧붙였다.
개인정보 보호 중심 설계 인증 도입 및 확산 : 개인정보보호위원회
기술 발전에 따라 개인정보 수집이 가능한 인터넷 IP 카메라, 스마트가전 등 다양한 기기가 일상생활 속에 확산하며 개인정보 침해 우려도 높아지고 있다. 제품 및 서비스에 모든 주체가 개인정보 보호 중심 설계(PbD)를 확산하고 적용해야 개인정보의 보호가 가능하나 현재 많은 주체가 시간과 비용의 부담을 이유로 적용을 기피하고 있다.
이에 정부는 PbD를 적용한 제품에 대한 인증제도를 도입·확산할 계획이다. 현재 PbD 인증은 별도의 법적 근거를 두고 있지 않은데, 본격적인 도입을 위해서는 법적 기반을 마련할 필요가 있고 적극적인 지원도 요구된다. 하지만 IoT 보안인증 같은 유사한 성격의 인증제도가 운영 중이고 별도의 인증부여가 사업자에게 규제로 여겨질 우려도 있다.
이에 대한 개선방안으로 PbD 인증 근거 신설과 함께 「개인정보 보호법」 개정안을 마련할 필요가 있으며 제도 활성화를 위해 홍보 및 인식 제고 사업, 공공기관 우선 구매, 수수료 지원 등의 지원방안도 마련해야 한다. 아울러 유사 인증 중 연계가 가능한 부분에 대해 심사항목 면제 등 연계방안도 마련해 사업자 부담을 경감해야 한다는 의견이다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>