지난해 초 주요 은행과 카드사 등에서 무려 1억 건이 넘는 개인정보가 유출되는 사건이 발생하면서 개인정보 유출사고는 2014년을 뜨겁게 달군 이슈 중 하나였다.

국회는 이러한 정보 유출 사고에 대응하기 위해 지난 5월 2일, ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)을 통과시켰고 개정안은 지난 11월 29일부터 시행되었다. 이로 인해 기업의 보안 담당자들은 새로운 법률 내용을 숙지하고 이에 맞는 대책을 세워야 하는 상황에 놓였다.

하홍국 컨설턴트

이번 법률 개정은 개인정보 유출을 사전에 방지하기 위한 법적ㆍ제도적 장치를 마련하기 위해 추진되었으며 개인정보보호조치를 강화함과 동시에 의무 위반에 대한 정보통신서비스 제공자의 처벌을 엄격히 하고 법정 손해배상제도를 도입하는 등 현행 제도의 운영상 나타난 일부 미비점을 보완했다. 주요 개정 내용을 간략히 살펴보면 다음과 같다.

1) 최소한의 정보 수집 원칙 강화

기존 현행법에서 ‘필요한 최소한의 개인정보’에 대한 정의를 ‘해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보’라고 하여 좀 더 상세한 의미를 담았으며, ‘필요한 최소한의 개인정보’를 재차 강조하여 과도한 정보수집을 지양하고 이용자의 동의 항목을 최소화하였다.

2) 미사용 개인정보 파기기간 단축 및 파기 방법 규정

정보통신서비스를 이용하지 않는 자의 개인정보 파기기간이 3년에서 1년으로 조정되었으며, 개인정보를 파기할 때는 복구ㆍ재생할 수 없도록 파기하여야 한다. 파기 방법에 관한 자세한 사항은 방송통신위원회에서 제공하는 ‘온라인 개인정보 취급 가이드라인’에 명시되어있다. 단, 시행령 제 16조의 시행일은 2015년 8월 18일부터 시행되므로 2014년 8월 18일부터 이용여부를 체크하여야 하며, 이를 지키지 않을 시 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해진다.

3) 영리목적의 광고성 정보(스팸) 전송 규제 강화

스팸과 관련된 사항이 다수 개정되었는데 기존에 쪽지, 메신저 등에서 광고를 전송하는 경우 OPT-OUT 방식을 사용하여 수신자는 불필요한 수신에 따른 고충이 있었다. 따라서 개정된 법률에서는 모든 전자적 전송매체에 OPT-IN 방식을 채택하였다. 다만, 거래관계로 직접 연락처를 수집한 경우 6개월, 육성으로 전화권유를 하는 경우는 사전 동의가 필요하지 않으며, 오후 9시부터 오전 8시까지는 전자우편의 경우만 별도의 사전 동의를 받고 광고성 정보를 전송할 수 있다.

4) 의무위반에 대한 과징금 상향 조정

정보통신서비스 제공을 하는 기업들의 과징금 부과 금액이 상향 조정되었다. 기존 과징금의 부과 정책은 관련 매출액의 100분의 1이하, 즉 1%이하에 해당하는 금액을 부과하는 것이었다면 정보통신망법 개정 이후 과징금은 3%이하로 상향되었고 기본과징금 부과기준율 또한 전체적으로 상향 조정되었다.

기본과징금 부과기준율

5) 법정손해배상제도 도입

법정손해배상제도가 새롭게 도입되어 개인정보 누출을 인지한 후 3년 또는 누출이 발생한 후 10년 내에 청구가 가능하며 누출에 대한 무과실 입증은 정보통신서비스 제공자가 하여야 한다. 또한 유출 피해자는 청구 금액 300만원 이하의 범위에서 배상청구가 가능하다.

6) 개인정보취급방침 전자적 표시 폐지

이번 개정 사항 중에 정보통신서비스 제공자의 부담을 경감시켜주는 대표적인 개정 항목으로 기존에는 개인정보취급방침을 공개하는 경우 인터넷을 통한 전자적 표시도 함께 해야 했다. 이번 개정을 통해 실효성이 미흡한 개인정보취급방침의 전자적 표시 방법은 폐지되었다.

개정안이 발표된 후 각 분야의 전문가들이 개정안에 대한 다양한 기대와 우려를 동시에 표출했다. 물론 개인정보보호조치를 마련해 법적 의무사항을 위반할 경우 처벌을 엄격히 하기로 한 점은 고무적인 내용이다. 하지만 각 분야의 전문가들이 시행 전까지 다양한 의견을 제시하였고, 공청회도 개최하였지만 그 다양한 우려사항들이 적극적으로 반영되었는지 다소 의문이다. 적어도 개정법에서 미흡한 부분은 ‘해설서’나 ‘가이드 라인’을 별도로 마련하여 추가적인 상세방안을 제공할 필요가 있다.

끝으로 개정된 내용이 보안담당자에게 미치는 영향은 클 수 밖에 없다. 따라서 관련 담당자는 각 내용을 숙지하여 최신 사항을 향후 보안 체계 운영에 꼭 반영해야 할 것이다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지