[보안뉴스 조재호 기자] 개인정보보호위원회(위원장 고학수)는 개인정보처리시스템에 접속 가능한 기기에 대한 인터넷망 차단 조치를 개인정보 처리환경에 따라 차등 적용할 수 있도록 규제를 개선한다.

개인정보위는 이같은 내용을 담은 ‘개인정보의 안정성 확보조치 기준’ 고시 개정안을 내달 9일까지 행정예고한다고 21읽 밝혔다. 이번 고시 개정안은 인공지능(AI)과 클라우드 등 기술 발전과 데이터 중심 보호 체계로의 전환에 발맞춰, 개인정보처리자의 처리 환경에 맞는 개인정보 안정성 확보에 필요한 조치를 담았다.



주요 개정 내용은 다음과 같다.

첫째, 일정 기준에 해당하는 처리자에게 적용되는 인터넷 접속 차단 조치를 개선한다. 기존 대규모 개인정보처리자는 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보 취급자의 모든 기기에 대한 인터넷망을 차단해야만 했다. 그러나 이번 개정으로 대규모 처리자가 위험분석 후 위협수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우, 선별적으로 취급자 기기의 인터넷망 접속이 가능하게 했다.

둘째, 처리자의 처리시스템 접속 인가 범위를 확대한다. 처리자가 시스템에 대한 접근권한을 부여·통제하는 대상 및 접속기록을 보관·관리해야할 대상의 범위가 변경됐다. 이에 따라 처리시스템 접속에서 안전한 인증수단을 적용해야 할 대상이 확대되는 등 안전한 개인정보 처리를 위한 처리자의 의무를 강화했다. 또 인가받지 못한 자의 처리시스템 접근을 막고, 보관된 접속 기록 등을 통해 개인정보 유출 등이 발생하면 책임이 강화될 전망이다.

마지막으로, 처리자가 개인정보 처리환경에 맞게 시스템에 대한 접속기록 점검 주기 및 사후조치 절차 등을 설정할 수 있도록 했다. 기존에는 처리자가 시스템에 대해 월 1회 이상 접속기록을 점검해야 했지만, 앞으로는 보유한 개인정보의 규모와 유형 등 처리환경을 고려해 내부 관리계획을 수립하고 운영할 수 있다.

양청삼 개인정보정책국장은 “AI와 데이터 활용의 중요성이 커진 시점에서, 대규모처리자가 개인정보의 처리 목적·방법·맥락 등을 종합적으로 고려해 위험 분석을 진행하고, 인터넷망 차단 여부를 스스로 결정하도록 했다”며 “행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획”이라고 밝혔다.

이번 고시 개정안은 개인정보위 누리집에서 확인할 수 있으며, 의견이 있는 기관이나 단체 또는 개인은 내달 9일까지 의견을 제출할 수 있다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>