Secure Korea 2011 - 개인정보보호법

7월 말 우리나라 3 대 포털 사이트중 하나인 '네이트' 해킹사건으로 3500만명의 개인정보가 유출되었다. 이어서 9월 초 삼성카드 고객 20만명의 개인정보가 유출되었다. 삼성카드는 올 들어 잇따라 발생한 해킹 사고에 대비해 내부 보안프로세스를 점검하는 등 만반의 대비를 하고 있다고 밝혀왔다. 고객정보가 유출되는 일은 없을 것이라고 자신했다. 하지만 이와 같은 사고가 발생했다.

현재 알려진 정보에 의하면 유출된 고객 개인 정보는 이름, 나이, 직장, 전화번호로 확인되고 있으며, 다행히도 삼성카드과 관련된 금융 정보는 포함되어 있지 않은 것으로 보인다.

 

그러나 유출된 정보를 바탕으로 대출 등 스팸 문자, 광고 전화, 피싱(Phishing)이 발생할 문제가 있으므로 삼성카드 회원들은 주의할 필요가 있다. 다행히도 9월30일에는 ‘개인정보보호법’도 발효된다고 하니, 한결 마음이 놓인다.

한편으로는 인터넷 신문에 실린 한 금융 관계자는 "9월말 개인정보보호법이 발효되면 해당 직원 뿐 아니라 관련 상사들이 모두 징계를 받게 될 사고"라며 "대표에 대한 징계도 내려질 가능성이 있을 것"이라고 말했다.

앞으로도 발생할 수 있는 개인정보 유출사고는 개인정보보호법의 영향을 많이 받을 것이다. 곧 있으면 시행될 개인정보보호법에 따라 울고 웃는 상황이 나올 수 있다. 이렇게 점점 더 중요해지고 있는 개인정보보호법과 관련된 발표 현장이 있어서 다녀왔다. 

공교롭게도 7.7 DDoS 가 일어난 난지 2주년 되는 날에 열린 컨퍼런스
비가 많이 오는 날이었지만 사람들이 참석을 했다.

 개인정보 보호법과 관련한 시행령 , 시행 규칙 주요 내용



행정안전부(이하 행안부)의 김상광 서기관이 개인정보보호법 시행령과 시행규칙 제정에 대해 이야기를 해주었다. 시행령과 시행 규칙이 중요한 법령이 될 것이라고 한다. 구체적인 사항을 시행령에 담고 있기 때문이다. 

개인정보 보호법이 나오게 된 배경은?
대한민국의 국민이 4천만명인데 지난 해 개인정보 피해 사고는 1억건 이상 발생했다. 어떻게 보면 모든 국민들의 정보는 밖으로 세어나갔다고 할 수 있다. 이렇듯 개인정보 유출 사고가 계속 일어나고 있는데 '어떻게 하면 국가차원에서 막을 수 있을까?' 하는 생각을 했다.

주목을 못 받다가 올해 초 법을 통과하면서 정보화 분야에서 주목을 받게된 중요한 계기가 되었다. 2004년도부터 입법논의가 처음으로 되었는데 8년간의 논의 끝에 법이 제정 되었다. 

이렇게 시간이 오래 걸렸던 이유는?
오래 걸린 것은 개인정보보호법에 대한 중요성과 시급성 중에서 그만큼 중요성이 크기 때문에 충분히 인지하고 준비하는 기간이 되었다. 개인정보보호를 국가적차원에서 각종 사안과 지침 고시를 만들고 있다. 그리고 학계와  여러 전문가들이 준비를 하고있다.

개인정보보호법에는 2 가지 철학이 담겨있다?
실생활에서 부녀자 성폭행과 같은 사건을 막기 위해서 설치한 CCTV. 그리고 개인 DNA 정보를 이용해서  의약 계열에서의 연구. 개인정보는 이런 활용의 수요가 굉장히 높은 부분이다. 
이와는 반대로 애플과 구글의 위치 정보수집부터 동사무소 직원이 개인정보를 빼돌린 사건, 네이트 해킹 피해 등 개인의 프라이버시가 침해되는 개인정보 유출 사고도 끊임없이 나오고 있다.

그래서 개인정보보호법에서는 '개인정보의 활용 + 보호'라는 '서로 상반된 가치를 어떻게하면 잘 조화를 시킬까?' 그리고 '그 미묘한 균형점을 어떻게 잘 찾아 갈 수 있을까?' 가 기본 취지에 녹아있다. 즉, 어느 한쪽만 강조한다고 될 문제는 아니라고 본다.  이런 차이로 인해 지난 8년동안 입법논의에서 충돌이 있었고 의견일치를 하지 못한 부분이 있었다. 이번 시행령에는 이런 많은 차이를 반영했다.
 

법이 시행되기 전까지 우리 사회가 받아들일 준비가 되어있는가?
사업자 3천명 대상으로 개인정보보호법의 주요 내용에 대해서 명확하게 이해하고 있는가? 라는 설문을 했다. 그 결과 30% 만 개정법에 대해서 듣고 있거나 인지하고 있었다. 이 부분은 지금까지와는 다른 새로운 법에 대한 행안부의 숙제라고 본다. 그래서 계속 홍보와 교육을 하고 알리는 활동을 계속 해가고 있다.

이 법에는 상당한 규제가 포함되어 있다. 하나하나 알 수록 내가 하는 모든 행위들 ,기업입장에서는 마케팅 거래 행위들 뿐만아니라 공공기관 입장에서도 과태료를 물수 있는 상당한 새로운 것들이 포함되어 있다. 그리고 국민의 권리 구제를 위한 집단 소송 ,단체 소송 등 혁신적이고 지금과는 다른 환경이 이 법안에 포함이 되어있다.

현행법과의 차이는? 

1. 더 이상의 사각지대는 없다

현행법률 체계는 개별법으로 공공기관의 경우 행안부의 공공기관 개인정보법이 적용되었다. 민간기관은 각자 섹터별로 나누어져 있다. 망사업자,포탈서비스 업체는 방송통신위원회의 정보통신망법, 금융사업자들은 금융위원회의 신용정보법, 기타 교육 기관들은 교육 기본법등 이런식으로 17개부서 38개 법률이 조각조각 나누어져서 개인정보를 규율했다.

하지만 현행법의 적용을 안 받는 사각지대가 문제가 되었다. 예를 들면 제조업, 서비스업, 농업, 이런 직종들은 이것을 규율하는 것이 없다. 법에서 정하는 의무사항들 (예를 들어 '이렇게 처리하십시오.')이 없었기 때문에 지킬필요가 없었다. 
( * 사각지대는 250만개의 사업자들과 비영리 단체, 법원, 헌법재판소, 국회 등 법관련 기관도 사각지대에 있었다.  )

그래서 이런 모든 사각지대에 있는 기관들과 사업자들이 이 법에 따라서 새롭게 이 법의 적용대상으로 편입이 되었다. 그 결과 준비할 것들이 상당히 많아졌다. 그 동안에는 '이렇게 이러해라' 라는 것이 없었는데 이제 생기게 되었다.

그 중에서도 공공기관은 공공성 때문에 특례를 두고 있다. 영향 평가를 하던가 전자화해서 행안부에 등록을 해야 된다. 이런 특례들을 적용하기 위해 공공기관의 범위를 정하고 있다. ( * 공공기관의 범위 : 국가인권위원회, 공기업, 준정부기관 , 지방 공사 , 연구기관 ,특수 법인, 초,중,고,대학교  => 약 2만 8천여곳 )

2. 영상정보 기계의 처리범위

 
영상정보를 개인정보로 보고 있다. 법령에서는 시행령에서 크게 2가지로 구분한다. 바로  CCTV와  네트워크 카메라로 촬영한 것은 개인정보로 본다. ( * CCTV 는 말그대로 폐쇠망 촬영한다음 안에서만 볼 수 있는 것, 네트워크 카메라는 유무선을 통해서 전송할 수 있는 오픈망이다. ) 단 차량내의 이동형 카메라 , 회사내에서 사용하는 이동형 카메라는 포함이 안된다. 개인 스마트폰도 포함이 되지 않는다. 

영상정보 기기는 몇 가지 경우를 제외하고는 원칙적으로 설치하지 못하게 하는 것이다. 예를 들어 교통안전, 화재안전 , 시설안전 등의  용도외에는 사용을 못하는 것이다. 다만 이에 못지 않게 행안부에서는 CCTV 이용 활성화 법을 적용하고 있다. 최근에 CCTV 통합 관제 센터가 광범위하게 설치되고 있고 위에서 언급했듯이 CCTV 에 대한 활용 욕구들이 굉장히 많기 때문이다.

3. 민간정보와 고유정보의 식별 범위

개인정보는 크게 3가지로 나눌 수 있다. 
- 민감정보 : 개인의 사상, 노조 활동 경험, DNA , 성생활  등 기본적인 개인의 인권과 관련된 내용으로  가장보호를 해야되는 정보이다.
- 고유식별정보 : 주민등록번호, 운전면허번호 , 외국인 등록번호, 여권번호와 같은 개인을 고유하게 식별을 할 수 있는 정보이다. 
- 일반개인정보 : 이외의 나머지 것들 

개인정보보호법이 적용되면 민감정보와 고유식별정보는 2가지 경우에만 처리를 할 수 있다. 정보 주체의 별도의 동의가 있을 경우와 법령에서 구체적으로 허용하는 경우이다. 이 2가지 경우외에는 처리를 못한다.

현행법에서는 공공기관의 경우 공공목적 업무수행을 위해서 민감정보를 광범위하게 수집을 해왔다. 이 법에 따르면 공공기관이라 할 지라도 법에 근거한 처리 근거가 없을 경우에 민감정보와 고유식별정보를 사용할 수 없게 강한 규제를 하고 있다.

 
고유식별정보는 주민등록번호와 가장 관련이 있다. 위에서도 말했듯이 지난 해 개인정보가 유출 사건이 1억건이 되었다고 했는데 외국에서는 있을 수 없는 일이다. 왜냐하면 외국의 경우에는 주민등록번호를 사용하지 않기 때문이다. 주민등록번호를 사용하는 것은 우리나라만의 특유한 제도이다. 외국은 그때 그때마다 사회보장번호, 운전면허번호, 회원번호들 중에서 목적에 맞는 번호를 사용한다. 우리나라처럼 국가가 일률적으로 번호를 부여해서 관리하는 체계가 아니다.

심지어 일본에서 토지정보를 조사하려고 하는데 토지정보에 주민번호를 벤치마킹할 정도로 편리하고 효율적이다. 주민등록번호가 우리나라가 세계 1위의 전자정부가 되는데 크게 기여를 했지만 이제 그 역기능이 나타나는 것이다. 

문제는 주민등록번호를 DB(데이터베이스)의 키값,기준값 혹은 검색값으로 사용하고 있는 것이다. 그러다 보니까 주민등록번호 하나만 해킹하면 주르륵 쏟아지면서 1억건이나 유출되는 것이다.

그래서 고민하는 것이 행정목적으로 만들어 진 주민등록번호는 공공기관에서는 어쩔 수 없겠지만 민간분야에서는 사용을 줄여나가야 된다고 생각한다.
이 법에서 말하는 것은 주민등록번호를 될 수 있으면 사용하지 말라는 것이다. 대신 다른 값들을 사용하라는 이야기이다. (예 : 아이핀, 전자서명, 공인인증서 등)

이런 부분들은 다르게 해석해야 되기 때문에 보호하는 것외에 활성화 방안에 대해 서도 연구하고 있다. 기타 고유번호 , 특히 주민번호, 민감정보에 대해서 암호화를 한다든지 그 다음 접근제어를 하는 이런 기술적 관리 보호조치를 하고있다.


4.일정규모이상의 공공기관 사업자의 경우

자기 조직내에 CPO(개인정보보호책임자) 를 지정해서 CPO 중심으로 개인정보를 보호하는 것이다. 그리고 CPO가 개인정보보호에 대한 지식과 어떤 마인드를 가지고 내부직원교육이나 자체 감사 등 되도록 많은 것을 하도록 책임을 지고 있다.

그 다음 공공기관에 관한 영향평가를 실시하도록 한다. 공공기관의 경우에는 새로 시스템을 구축할 때 사전에 개인정보침해 위험이 있는지 없는지 분석을 하고 시스템 구축전 문제점을 해결하도록 해야된다.

5.금융정보피해 구제 강화

개인정보 유출 신고제를 신설한다. 개인정보가 유출되었을 때 정보의 주체에게 유출사실을 이야기 해주어야 한다. 언제 어디서 어떻게 유출이 되었고 유출된 정보 중 피해 부분에 대해서 어떤 처리를 하고 있고 고객입장에서 할 수 있는 피해 구제가 무엇인지 섬세하게 알리도록 되어있다.

행안부에서는 한국정보화진흥원과 한국인터넷진흥원 복수로 신고하고 신고한것에 대해 금융피해와 같은 2차 피해가 발생하지 않도록 전문적인 기술을 지원하는 부서를 복수기관에 지정해 놓았다.

유출신고제, 집단분쟁조정, 단체 소송이 개인정보보호법에 따라 새롭게 도입이 된다. 예전에 있었던 옥션사고가 판결이 무혐의로 기울었다. 그 당시 현행 법률체계로 보면 옥션이 그 당시 취할 수 있는 모든 것을 했다는 판결이 났기때문이다. 하지만 이 법이 적용이 되면 최선을 다했더라도 판결동향이 바뀔 수 있을 것이다.

기업이나 공공기관 외 산학연 모두 30일이 되면 제대로 시행이 될 수 있게 준비를 해야 될 것이다. 그리고 개개인의 자신의 정보가 소중하게 쓰일 수 있도록 노력하는 것이 좋을 것이다.

=================================================================

Q: 발급번호로 바뀐 다고 했는데 주민번호가 발급번호로 바뀐다고 했는데 발급번호도 해킹을 할 수 있을 것 같은데 거기에 대한=> 칩으로 들어가 있으니까 유출되는 것은 어쩔 수없으나 현재 주민번호 앞자리는 뭐 성별 태어난 지역 이 값만 있어도 개인에 대한 정보가 많이 들어있다. 그러나 전자주민증의  발급번호는 일종의 난수이다.  123456 그렇게 난수이기때문에 그것만 가지고 할 수 없다.

Q: 버스나 택시에 설치된 카메라는 제외한다고 했는데 제외한 이유가 있습니까?
=> 택시가 크게 문제가 되었다. CCTV 의 장점 . 그공간이 공적인 공간인지 사적인 공간인지 교통사고 분석때문에 바깥쪽에는 하고 있고 , 택시 내부를 바라보는 것, 승객과 운전자가 있는데 이공간을 사적인 공간으로 볼 것인가? 공적인 공간으로 볼 것인가? 이런 쟁점들이 남아있다. 외국의 사례를 살펴보았을 때 호주의 경우는 공적인 공간이어서 설치 하자는 입장도 있고 미국,영국, 유럽의 경우는 사적인 공간으로 생각하는 경향이 있다.
우리입장에서는 택시내에서 강도, 폭력사건 등의 여러가지 범죄들이 택시안에서도 이루어져 있고 그런 현실들을 감안해서 아주 예외적인 경우에만 택시내부를 찍는 CCTV 를 촬영할 수 있도록 예를 들면은  기사님이 지금 CCTV 가 촬영이 되고 있습니다. 충분히 동의를 구하고 촬영한 CCTV 화면을 경찰관의 입회하에만 볼 수 있도록 그렇게 예외적으로 강하게 보호를 하면서 촬영을 할 수 있도록 하고 있다.