개인정보처리시스템에 접속하는 기기에 대해 일률적으로 적용됐던 인터넷망 차단 규제가 위험 기반으로 개선된다. 개인정보처리자의 처리 환경과 보호 조치를 종합적으로 고려해 망 차단을 선별적으로 적용할 수 있도록 제도적 기반이 마련될 전망이다.
개인정보보호위원회(위원장 고학수, 이하 개인정보위)는 ‘개인정보의 안전성 확보조치 기준’ 고시 개정안을 7월 21일부터 8월 9일까지 행정예고한다고 밝혔다. 이번 개정안은 기술 변화와 데이터 중심의 보호체계 강화 흐름에 따라 대규모 개인정보처리자에 대한 규제를 합리적으로 조정하는 데 중점을 두고 있다.
■대규모처리자, 위험분석 기반으로 인터넷망 차단 예외 허용
기존 기준에 따르면, 일일 평균 100만 명 이상 개인정보를 처리하는 ‘대규모처리자’는 개인정보처리시스템(이하 처리시스템)에서 개인정보를 내려받거나 파기할 수 있는 모든 기기에서 인터넷망을 차단해야 했다. 그러나 이번 개정안은 위험분석을 실시한 결과 위험 수준이 낮거나, 보호조치를 통해 위험을 낮출 수 있는 경우에는 일부 기기에 한해 인터넷망 접속을 허용할 수 있도록 했다.
즉, 망 차단의무를 무조건 적용하는 대신, 처리자가 정보유출 등 위험을 종합적으로 판단해 선별 적용할 수 있도록 하는 ‘차등 규제’로 전환되는 셈이다.
■처리시스템 접속 인가 범위 확대…접근기록 관리도 강화
접근 권한 통제 대상 역시 확대된다. 기존에는 ‘개인정보취급자’만을 대상으로 처리시스템 접속 권한 부여와 접속기록 관리를 요구했지만, 개정안에서는 ‘정당한 접근 권한을 가진 자’로 범위가 확대된다. 이로 인해 오픈마켓 입점 판매자 등 다양한 유형의 사용자도 관리 대상에 포함된다.
아울러 안전한 인증수단 적용 대상도 넓어지고, 인가받지 않은 사용자의 접근 차단 의무가 강조되면서 개인정보 유출 시 책임소재가 보다 명확해질 것으로 보인다.
■접속기록 점검 주기 자율 조정 가능…처리환경 반영
또한 개인정보처리자가 보유한 개인정보의 규모, 유형 등 처리환경에 따라 접속기록 점검 주기를 자율적으로 설정할 수 있도록 했다. 기존에는 모든 처리자가 월 1회 이상 점검해야 했으나, 개정안은 내부관리계획을 통해 점검 주기·방법·사후조치 등을 유연하게 운영할 수 있게 했다.
이는 과도한 규제로 인한 운영상의 비효율을 줄이고, 실질적인 보안 효과를 높이는 방향으로 개선한 조치로 풀이된다.
■“AI·데이터 활용 환경에 맞는 현실적 기준 마련”
양청삼 개인정보정책국장은 “인공지능, 클라우드 등 기술 발전에 따라 개인정보 처리 목적, 방법, 맥락 등을 종합적으로 고려한 규제가 필요하다”며 “이번 개정을 통해 대규모처리자가 위험 분석을 바탕으로 합리적 보안조치를 자율적으로 설계할 수 있도록 했다”고 설명했다.
행정예고 기간 동안 접수된 기관·단체·개인의 의견은 향후 고시 개정에 반영될 예정이다. 개정안은 개인정보위(www.pipc.go.kr)에서 확인할 수 있으며, 의견은 8월 9일까지 전자우편이나 일반우편을 통해 제출할 수 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
