[디지털데일리 이유지기자] 모든 인터넷사이트에서 주민등록번호 수집·이용을 금지토록 하는 등 개인정보보호 규정을 대폭 강화한 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법) 일부개정법률안 대안이 지난해 12월 말 국회를 통과했다.
또 지난해 제정된 개인정보보호법상 의무사항인 주요 개인정보 암호화와 공공기관 개인정보 영향평가 유예기간도 만료돼 전면 시행된다.
이에 따라 2012년 새해에는 이용자 개인정보의 안전성과 자기결정권을 한층 강화시킬 수 있는 개인정보보호 법제도가 적용될 예정이다. 개인정보를 처리하는 공공·민간 사업자들은 개인정보보호 의무 범위가 확대되기 때문에 개인정보보호 관련법 준수·대응에 세심한 주의를 기울여야 한다.
◆인터넷상 주민번호 수집·이용 금지, 개인정보 유효기간제 도입=이번에 개정된 정보통신망법은 공포 후 6개월 이후부터 시행된다. 이에 따라 오는 7월부터는 하루 평균 방문자 수가 1만명 이상인 웹사이트는 주민등록번호를 수집할 수 없다. 보유 중인 주민등록번호는 시행 이후 2년 이내에 파기해야 한다.
내년부터는 법률상 예외로 허용한 경우를 제외하고 모든 웹사이트에서 주민증록번호 수집·이용이 금지된다.
또 본인확인기관이 아니면 법률상 예외돼 주민등록번호를 수집·이용할 수 있더라도 본인확인을 위해선 주민등록번호를 사용하지 않고 대체수단을 도입해야 한다.
정보통신망법 개정으로 개인정보 이용내역 통지제와 개인정보 유효기간제도 도입된다.
앞으로 정보통신서비스제공자는 수집한 이용자 개인정보 이용내역을 주기적으로 이용자에게 통지해야 한다. 정보통신망법에는 이같은 개인정보 이용내역 통지 의무규정이 신설됐다.
또한 개인정보 분실·도난·누출 사고 발생시 이용자 통지와 방송통신위원회 신고로 피해를 최소화할 수 있는 조치를 강구해야 한다. 이같은 개인정보 유출사고 통지제도는 지난해 제정된 개인정보보호법에는 명시돼 있었지만, 정보통신서비스제공자들이 우선 규율을 받는 정보통신망법 의무사항으로는 이번에 신설됐다 .
이용자 통지 내용으로는 누출된 개인정보 항목, 발생 시점, 이용자가 취할 수 있는 조치, 사업자의 대응 조치와 함께 이용자가 상담 등을 접수할 수 있는 부서와 연락처가 명기돼야 한다.
개인정보 유효기간제 도입으로 사업자는 휴면계정 등 일정기간 동안 이용되지 않는 개인정보를 파기해야 한다.
이밖에도 일정규모 이상의 정보통신서비스제공자에는 정보보호관리체계(ISMS) 인증이 올해부터 의무화된다. 대신에 정보보호 안전진단 제도는 오는 2013년 폐지된다.
기업의 정보보호를 체계적으로 관리·점검할 수 있는 기반이 되는 ISMS 인증의 의무대상은 기간통신사업자, 집적정보통신시설 사업자, 연간 매출액 또는 이용자 수가 일정기준 이상에 해당하는 정보통신서비스 제공자다.
ISMS 인증 기업에는 정보보호관리 우수·최우수 등급이 부여된다.
방송통신위원회는 이같은 정보통신망법 개정에 따라 시행령과 고시를 개정도 추진할 계획이다.
김광수 방통위 네트워크정책국 개인정보보호윤리과장은 “개정된 정보통신망법에 따라 세부사항을 명시한 시행령과 개인정보의 기술적·관리적 보호조치 기준 고시 개정안을 3월까지는 마련할 수 있도록 추진해 사업자들이 시행일 이전까지 준비할 수 있도록 할 것”이라고 말했다.
방통위는 사업자들이 수집한 개인정보를 철저히 관리할 수 있도록 ‘개인정보의 기술적·관리적 보호조치 기준’을 이전보다 확대, 강화할 방침이다. 지난해 8월 발표한 ‘인터넷상 개인정보보호 강화 방안’ 계획을 그대로 반영, 개인정보 암호화 대상을 현재 비밀번호, 주민등록번호, 계좌번호 등 5가지에서 전화번호, 주소, 이메일 등으로까지 확대하는 등 강화된 의무기준을 반영할 예정이다.
◆개인정보보호법 전면 시행, 개인정보 암호화·영향평가 적용유예 만료=작년 9월 30일 발효된 개인정보보호법 적용이 유예됐던 인터넷상 회원가입 대체수단, 고유식별번호 등 주요 개인정보 암호화, 개인정보 영향평가도 전면 시행된다.
공공기관과 하루 평균 1만명 이상의 방문자 수를 보유한 인터넷 홈페이지 운영 사업자는 인터넷홈페이지를 통해 회원가입시, ‘아이핀(I-PIN)’ 등 주민번호를 사용하지 않고 회원으로 가입할 수 있는 방법을 오는 3월 30일부터 제공해야 한다.
개인정보보호법에는 개인정보처리 사업자가 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유식별정보와 비밀번호, 바이오정보를 저장시 암호화 적용이 의무화 돼 있다.
개인정보를 정보통신망을 통해 송수신하거나 보조저장매체 등을 통해 전달하는 경우, 비밀번호와 바이오정보는 암호화 저장이 필수사항이다. 이 때 비밀번호는 복호화 되지 않도록 일방향 암호화 방식으로 저장해야 한다.
다만 고유식별정보는 안전성 확보조치 고시에 규정된 의무화 기준에 따라 선별적으로 암호화할 수 있다.
내부망에 고유식별정보를 저장하는 경우엔 공공기관은 개인정보 영향평가 결과에 따라, 그 밖의 개인정보처리사업자는 위험도 분석에 따른 결과에 따라 각각 암호화 적용여부나 적용범위를 정할 수 있다.
개인정보 저장시 암호화를 적용하는 경우엔 시행일로부터 3개월 이내에 암호화 계획을 수립하고, 계획 수립일로부터 12개월 이내에 암호화를 적용해야 한다. 따라서 개인정보 암호화 적용 유예기간은 올해 말 만료돼 내년 1월 1일부터 시행된다. 암호화 대상을 정하고 적용하는 것에는 대상 규모에 따라 시간과 비용이 많이 소요될 수 있기 때문에 계획을 미리 수립해야 한다.
공공기관은 올해부터 개인정보 영향평가도 수행해야 한다. 개인정보 침해 위험요인을 사전에 분석해 개선사항을 도출하는 개인정보 영향평가는 일정규모 이상의 개인정보 파일을 운용하는 공공기관에 의무화됐다.
대상 공공기관은 전자적으로 처리할 수 있는 개인정보파일을 구축·운용, 또는 변경하거나 연계할 때마다 개인정보 침해 위험 요인을 분석하고 개선사항을 도출하는 개인정보 영향평가를 수행해야 한다.
시행령에 따르면, 공공공기관은 5만명 이상의 민감정보나 고유식별정보를 처리해야 하는 개인정보파일을 구축·운용하거나 50만명 이상의 다른 개인정보파일과 연계하는 경우에 영향평가를 수행해야 한다.
100만명 이상의 개인정보파일을 구축·운용·변경하는 경우에도 영향평가를 실시해야 하며, 개인정보 영향평가를 받은 후에 개인정보파일 운용체계를 변경하는 경우에도 변경 부분은 다시 받도록 돼 있다.
해당 공공기관은 올해 말까지 영향평가 계획을 수립하고 내년 9월 30일까지 계획을 이행해야 한다.
개인정보보호법 시행일 이후 구축한 개인정보파일은 오는 9월 30일까지 영향평가를 수행해야 한다. 법 시행일 전에 구축해 놓은 개인정보파일의 경우엔 법 시행일로부터 5년 안에만 이뤄지면 된다.
행정안전부는 공공기관 개인정보 영향평가를 수행할 기관으로 지난해 말 롯데정보통신, 인포섹, 씨에이에스, 안철수연구소, 이글루시큐리티, 한국정보기술단을 지정했다. 조만간 추가 지정을 위한 평가기관 신청·심사도 진행할 예정이다.
한편, 공인인증서 암호체계 고도화로 올해부터는 1024비트로 상향된 전자서명키, SHA-256 알고리즘이 적용된 신규 공인인증서 발급도 시작된다.