[암호학] 개인정보보호법 개정

개인정보 보호법 개정

개인정보보호법 개정 시행일: 2012년 8월 18일

주민번호수집과 이용제한, 개인정보 유효기간제, 개인정보 이용내역 통지제, 개인정보 누출통지-신고제 등이 신설되었음

 

 

 

보안서버인증서 설치 의무화

보안서버 미 설치 웹사이트에 대해서 최대 3천만 원까지 정부에서 과태료를 부과할 수 있다.

인터넷 상에서 개인정보 전송 시, 암호화 기능을 제공하는 보안서버인증서를 통해 회원가입, 로그인 등 개인정보를 취급하는 사이트는 반드시 적용되어야 한다.

 

개정된 개인정보보호법 내용 요약

1.     주민등록번호 수집 및 이용제한

:정보통신서비스 제공자는 본인확인기관이거나 다른 법령에서 주민등록번호 수집이용을 요구하는 경우가 아니면 주민등록번호를 활용할 수 없다.

주민등록번호를 사용할 수 없도록 서비스 절차, 시스템 등을 변경해야 한다.(수집가능제외)

또한 기존에 보유하고 있는 주민등록번호도 2014년 8월 이전까지 삭제해야 한다.

 

2.     개인정보 누출 통지, 신고제도

: 정보통신서비스 제공자 등은 개인정보 분실, 도난, 누출 등이 발생한 시점에 이용자가 취할 수 있는 조치, 정보통신서비스 제공자 등의 대응조치, 이용자가 상담할 수 있는 부서 및 연락처를 해당 이용자에게 통지하고 방송통신위원회에 신고해야 한다. 이용자의 연락처를 알 수 없는 경우 정보통신서비스 제공자 등의 인터넷 홈페이지에 30일 이상 기제하는 것 가능.

 

3.     개인정보 유효기간 제도

: 회원 탈퇴 등에 따라 정보통신서비스 제공자 등은 대통령령으로 정하는 기간(현 3년), 해당 정보통신서비스를 이용하지 않는 이용자의 개인정보에 대해 파기 등 필요한 조치를 한다..

 

4.     개인정보처리시스템 망 분리의 건

: 정보통신서비스 제공자 등은 개인정보에 대한 불법적인 접근을 차단하기 위해 개인정보처리시스템과 외부 인터넷 망을 분리 조치해야 한다.

 

5.     개인정보 이용내역 통지 제도

: 적용대상에 해당되는 정보통신서비스 제공자 등은 수집한 이용자 개인정보의 이용내역을 주기적으로 해당 이용자에게 통지해야 한다. 개인정보 이용내역 통지는 전자우편, 서면, 모사전송, 전화 등의 방법으로 연1회 이상 진행해야 한다.

주요 기사(일부발췌)

[앞만 보고 달려온 개인정보보호법 1년…]

사이트 : http://blog.naver.com/kbanker2010?Redirect=Log&logNo=166720873

<대한금융신문=문혜정 기자>

사회를 떠들썩하게 했던 개인정보유출 사고 후 서둘러 마련됐던 개인정보보호법이 시행 1주년을 맞이했다. 하지만 아직도 많은 사업자와 사용자들이 제대로 법안을 이해하지 못하고 있으며 급하게 만들어진 법안으로 관련 법과 충돌이 생기는 등 개선이 시급하다는 지적이다.

 

특히 개인정보보호 관련 법률간 체계 정합성과 법률해석 문제 등을 해결하기 위해 업계 현실에 맞는 개정안과 분야별 별도지침이 필요하다며 한 목소리를 냈다.

 

권헌영 광운대학교 법대 교수는 “소기업이나 소상공인들의 경우 보안시스템을 구축하고 유지관리에 들어가는 비용이 부담돼 도입을 미루고 있다”며 “정부가 모든 분야에 일괄적으로 법적인 규제를 해 생겨난 문제로 이를 개선하기 위해서는 분야별로 개별 법 정리를 통해 정책혼선과 중복규제를 방지해야 한다”고 주장했다.

 

개인정보보호 조치를 제대로 취하고 있는지 내부감사뿐만 아니라 외부감사를 도입해야 한다는 주장도 제기됐다. 현행 개인정보보호법 상에는 개인정보보호 조치 여부를 판단하기 위해 내부감사를 실시해야 한다.

보안 전문가들은 “내부감사의 특징상 스스로 문제를 찾아내지 못하고 은폐 시 문제를 키울 수 있다”며 “밖에서 객관적인 감시가 가능하도록 외부감사를 실시할 수 있는 조항이 추가돼야 한다”고 강조했다.

 

개인정보보호법과 정보통신망 법 등 법률상 충돌하는 부분 또한 문제로 지적됐다. 개인정보보호법 제정이 급하게 이뤄짐에 따라 일부 세부항목이 상위법과 충돌돼 해석상 문제가 발생할 가능성이 존재하기 때문이다. 업계는 추후 발생하는 문제에 혼란이 없도록 신속한 법 개정이 이뤄져야 한다는 입장이다.

 

한편 개인정보보호법이 시행된 지 1년이 지났지만 부족한 홍보와 교육으로 여전히 많은 사업자와 사용자들의 이해도가 떨어진다는 반성도 나왔다.

 

개인정보보호법 실시로 모든 웹 공간의 정보 관리를 위해서는 보안시스템을 구축해야 하는데, 소상공인이나 소기업의 경우에 유지관리 비용 때문에 도입을 미루고 있다. 또한 1년 전 급하게 마련된 법의 많은 개정 사항이 요구된다.

 

[대기업에 남겨진 개인정보 구직자들 두 번 운다]

사이트 : http://blog.naver.com/rlawjdgus190?Redirect=Log&logNo=40169191373

 

0대 그룹 상당수, 입사지원 시 주민번호와 개인정보 보존 동의 요구

인사·노무업무 가이드라인 “입사지원 시 주민번호 수집 원칙적 금지”

한 구직자의 울분 “구직자들의 개인정보는 전혀 보호받지 못해”

 

회사는 원하는 인재를 선발한다는 명목 하에 입사지원자들의 주민번호는 물론 품성, 성격, 성향 등을 서류전형에서 최대한 확인하기 위해 여전히 많은 개인정보를 요구하고 있다.

 

개인정보보호법이 시행된 지 1년이 지났음에도 불구하고, 구직자들의 개인정보는 아직 보호의 ‘사각지대’에 놓여 있는 셈이다.

 

현재 개인정보보호법은 제3조에서 ‘개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다’고 규정하고 있으며, 제21조에서는 ‘개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다’고 규정하고 있다.

 

행정안전부에서 배포한 ‘인사·노무관리 업무 개인정보보호 가이드라인’에서도 채용 시에는 입사지원자의 이름, 주소, 전화번호, 학력, 성적, 자격사항 등 최소한의 정보만을 기재하도록 하고, 채용전형에 필요 없는 본적, 주민번호 등의 개인정보와 종교·정치적 견해 등의 민감정보의 수집·이용은 원칙적으로 금지하고 있다.

 

또한, 채용전형 및 이의신청 절차 등이 종료된 후에는 입사지원자의 개인정보를 지체 없이 통상적으로 5일 이내 파기하는 것이 원칙이다.

 

그러나 아직까지 많은 기업에서 합격자들뿐만 아니라 입사지원자들의 개인정보를 수집해 최장 5년까지 보관하고 있는 것으로 나타나 충격을 주고 있다. 이로 인해 입사지원자들의 개인정보를 다른 목적으로 활용할 수 있는 가능성이 열리게 되는 것이다. 

 

구직자들의 구직경로는 크게 두 가지다. 각종 취업사이트에 이력서를 등록하고 기업과 매칭을 하는 방법과 입사 희망기업에 직접 이력서를 제출하거나 온라인 채용을 통해 서류를 접수하는 방법이다.

 

우선 취업사이트에 이력서를 등록하는 경우 개인정보보호법 시행 등 개인정보보호 강화 추세로 인해 이력서 등록시 주민번호 기재를 요구하지 않는 경우가 대부분이었다. 본지가 잡코리아와 사람인, 그리고 미디어잡 등 3곳을 대상으로 이력서에 주민번호 기재여부를 조사한 결과 3곳 모두 주민번호를 기재하지 않았고, 회원 가입 시에도 별도의 주민번호를 요구하지 않았다.

 

그러나 문제는 구직자가 입사 희망기업에 직접 지원하는 경우다. 특히, 기업 온라인 홈페이지를 통해 지원을 할 때 대다수의 기업들이 구직자들의 주민번호를 요구하고 있었으며, 개인정보 보존기간도 3~5년으로 정해놓은 기업도 다수 있었다.

 

이와 관련 구직자 송 모씨는 “최근 구직을 하면서 기업 온라인 홈페이지를 통해 지원할 때 여전히 주민번호 입력은 필수사항이었다”며, “1차적인 서류검토를 하는 단계에서 주민등록번호라는 고유 식별번호를 기업에 공개한다는 것이 이해되지 않고 타당하지도 않다고 생각한다”고 밝혔다.

 

또한, 그는 “내가 지원한 기업의 이용자 정보수집 동의서를 자세히 보면 개인정보의 보유 및 이용기간이 5년이라고 되어 있는 경우가 있었는데, 입사지원만 하고 실제 입사하지도 않은 기업이 내 개인정보를 향후 5년 간 보관·활용할 수 있다는 사실에 매우 놀랐다”고 덧붙였다.

 

더욱이 정보수집 동의를 하지 않으면 입사지원이 아예 불가능하기 때문에 지원자들은 동의서 내용 자체도 제대로 확인하지 않거나 확인했더라도 찜찜한 마음을 안은 채 입사지원을 진행하는 경우가 대부분이다. 최종 입사가 결정되고 나서도 늦지 않음에도 무분별하게 주민번호를 요구하고, 이를 오랫동안 보관하는 것은 간과할 수 없는 문제라는 지적이다.

 

특히, 최근 온라인상 주민번호 수집이 단계적으로 금지되고, 이를 대체할 수 있는 수단을 요구하는 상황에서 국내 대기업·중견기업들이 이를 우선적으로 실천하지 않고 있는 것에 대한 구직자들의 비판이 이어지고 있다

▲ 국내 10대 그룹의 입사지원시 주민번호 수집여부 및 개인정보 보존기간(본지 조사결과)

 

 

조사결과는 상당히 충격적이다. 10대 그룹 가운데 확인이 되지 않은 한진그룹과 금호아시아나그룹을 제외한 8곳 모두에서 입사지원 시 아직까지 주민번호를 수집하고 있었다. 특히, 롯데그룹과 LG그룹은 5년, 그리고 현대자동차그룹은 3년간 입사지원자의 개인정보를 보관한다는 조항에 대한 동의를 요구하고 있었다.

 

이렇듯 많은 입사지원자가 몰리는 10대 그룹의 인재 채용시 주민번호를 수집·보관함으로써 주민번호 등의 개인정보가 목적 외 용도로 활용될 수 있는 부작용이 우려되고 있다. 더욱이 KT 해킹 사례에서 보듯 기업에서 수집한 개인정보가 외부 해킹이나 내부자에 의해 유출된다면 그 피해는 걷잡을 수 없이 커질 수 있다.   

 

이로 인해 대부분의 온라인 취업포털 사이트에서 주민번호 수집을 금지했음에도 불구하고, 국내 굴지의 그룹들에서 이에 대한 대응이 늦어지고 있다는 측면에서 비판의 목소리가 높은 것이다. 

 

이와 관련 행정안전부 개인정보보호과 한순기 과장은 “지난 8월 인사·노무업무 관련 가이드라인을 배포한 후, 온라인 취업 포털에서부터 시작해 중소기업 및 사업자단체들을 대상으로 교육 및 계도활동에 나서고 있다”면서도 “대기업의 경우 사실 자율적으로 가이드라인을 준수하기를 기다린 측면도 있지만 아직까지 개선되지 못하고 있는 것 같다. 이에 10월부터 본격적인 점검과 함께 계도활동에 나설 것”이라고 밝혔다.

 

또한, 법률사무소 민후의 김경환 대표변호사는 “일부 기업의 경우 입사지원자의 신원조회를 위해 주민번호 수집을 요구하는 경우가 있다”면서도 “주민번호를 수집하지 않고, 인재채용 업무에 필요한 목적을 달성할 수 있으면 다른 방법을 사용하는 것이 바람직하다”는 의견을 제시했다. 덧붙여 그는 “불가피하게 주민번호를 수집하더라도 채용목적을 달성한 후에는 바로 파기해야 한다”고 강조했다.

 

“최근 KT가 870만 명의 고객정보를 해킹 당했지만, 그냥 한번 사과하는 것으로 그치지 않았습니까? 이러면서 무슨 개인정보를 이렇게 많이 요구하나요? 제대로 보관도 못하고 지키지도 못할 거면서 말입니다. 국가적으로 신원을 증명할 때만 써야 하는 것이 주민번호 아닌가요? 개인정보보호법이 시행됐는데도 불구하고 우리나라는 아직까지 개인정보가 너무나 함부로 수집되고 쓰이고 있는 것 같습니다.” 한 구직자의 이러한 울분은 우리나라의 개인정보보호 수준이 아직까지 걸음마 단계에 머물러 있음을 상징적으로 대변하는 듯하다.

 

 

입사 원서 제출을 위해 개인정보를 요구하는 것은 인사. 노무업무 가이드라인과 어긋난다.  행정안전부는 대기업의 경우 자율적으로 가이드라인을 따르기를 바라기만 했다. 개인정보보호법에서는 개인정보수집은 분명한 목적이 있을 때 이루어져야 하며, 목적 달성 시 폐기해야 한다고 명시하고 있다.  하지만 실제 대기업에서는 최대 5년 까지 이를 보관하고 있는 것으로 드러났다.  이런 문제는 잡코리아, 사람인 등과 같이 취업 중계하는 곳이 아닌, 사내 홈페이지를 통해 직접 취업 등록을 할 때 발생하고 있었다(주민번호요구문제).  이런 정보 수집과 보관은 KT의 정보유출이나 옥션의 개인정보 유출 사건과 같은 대규모 피해를 낳을 수 있다는 문제점을 안고 있다.개인정보제공동의를 하지 않을 시, 지원 자체가 불가능하기 때문에 지원자의 개인 정보 제공의 선택권 자체가 없는 것이다.

[개인정보보호법 시행 1년...得과 失 그리고 나아갈 길]

원문 : http://www.boannews.com/media/view.asp?idx=32982

 

적용 확대, 개인정보보호 협업체계 구축·가이드라인 마련 성과 

실효성 높일 수 있는 법 개정과 분야별 별도 지침 필요성 제기

 

[보안뉴스 김태형] 개인정보보호법이 시행된 지 1년이 지난 지금. 과연 득과 실은 무엇이고, 이를 더욱 확대· 발전시키기 위한 방안에는 무엇이 있을까?

 

개인정보보호법은 공공·민간 분야를 망라하고 온·오프라인 모든 사업자에게 적용되는 개인정보의 원칙과 기준의 필요성이 대두되면서 지난해 9월 개인정보보호법이 발효됐고, 법·제도 연착륙을 위해 6개월간 계도기간을 거쳐 올해 3월부터 본격적으로 시행되고 있다.

지난 1년 동안의 법 시행 후 규율대상은 기존 공공기관이나 정보통신사업자 등 개별법이 규정했던 약 51만 사업자에서 공공·민간의 모든 개인정보처리자, 약 350만 사업자로 확대 시행되는 결과를 가져왔다.

 

이에 따라 보호범위가 기존 컴퓨터 등에 의해 처리되는 개인정보 파일에서 종이문서에 기록된 개인정보도 포함됐으며, 주민등록번호 등의 고유식별정보 처리 제한을 원칙적으로 처리 금지했다. 또한, 개인정보 유출통지를 의무화하고 집단분쟁제도와 단체소송을 도입하는 성과를 거두었다.

 

한순기 행정안전부 개인정보보호과장은 “개인정보보호법의 제정과 발효로 인해 하위법령 및 지침이 마련됐고 개인정보보호의 기본계획 및 시행계획 수립, 분야별 개인정보보호 협업체계 구축 및 가이드라인 등을 마련하게 됐다”고 밝혔다.

아울러 그는 “주민번호 수집·이용 최소화 대책 추진, 개인정보 영향평가제도 도입·운영, 개인정보 인증마크제 도입 추진 등을 통해 제도적 기반을 정비했고 교육·홍보 및 자율규제를 통한 인식을 제고했다”고 말했다.

 

이러한 성과에 함께 문제점이나 개선할 부분도 적지 않다는 지적이다. 개인정보보호 포럼에서의 발표를 통해 권헌영 광운대학교 법대 교수는 “개인정보보호법의 준수를 위해 중소기업이나 소상공인들은 개인정보보호 체계를 구축해야 하는데 이에 따른 비용이 부담되어 머뭇거리고 있다”고 밝혔다.

또한, 그는 “학교와 영세업소 등에서는 보안 시스템으로 인해 업무 효율성이 떨어진다는 불만도 늘어나고 있으며 대형 포탈에서도 수천만 명의 신상정보가 유출되는 상황에서 영세업체들을 무작정 동참하게 하는 건 비현실적이라는 비판도 높아지고 있다”고 설명했다.

이러한 문제점 외에도 개인정보보호 정책의 집행체계 혼선으로 인한 업무권한과 기능의 분산 문제, 그리고 법률간 체계 정합성, 법률해석과 관련한 문제 등으로 인해 일각에서는 현실에 맞는 개인정보보호법의 개정안이나 분야별 별도의 지침 필요성도 제기되고 있다.

 

이처럼 개인정보보호법이 본격 시행되고 있음에도 일반인은 물론 공무원들조차 개인정보보호의 중요성에 대해 크게 인식하지 못하고 있어 크고 작은 보안 사고는 끊임 없이 이어지고 있다.

 

지난 7월 KT 고객정보 유출사건을 비롯해 최근엔 경기도시공사가 민원인들의 주소와 전화번호 등의 개인정보를 홈페이지에 공개해 해당 민원인들의 불만을 사는 등 물의를 빚기도 했다.

 

이러한 가운데 공격자들은 다양한 방법으로 각 기업과 공공기관이 보유한 개인정보를 포함한 중요 정보를 유출할 기회를 노리고 있어 보안의식 제고를 위한 노력도 필요하다.

 

이와 관련 이경호 고려대학교 정보보호대학원 교수는 “기존 알려진 공격에 대해서는 대비를 잘하고 있지만 이보다 더 커다란 피해를 줄 수 있는 알려지지 않은 공격에 대해서는 전문가의 지속적인 모니터링은 물론이고, 정보관리 프로세스, 관리체계, 시스템 및 법·제도를 연계한 종합적인 정보보호 및 관리가 필요하다”고 밝혔다.

 

또한, 이 교수는 “개인정보 유출사고 예방과 피해 최소화를 위해서 개인정보 영향평가, 개인정보 유출통지, 개인정보 관리체계인증 등의 제도를 활성화해야 한다”면서 “개인정보 유출사고 증거 보존 및 포렌식 기능도 강화되어야 한다”고 설명했다.

-포렌식 기능이란 수사관에 의한 의도적인 훼손이 없었음을 증명할 수 있는 절차나 제도를 말합니다.

 

무엇보다 중요한 것은 개인정보처리자 및 보안담당자의 정보보호 패러다임 변화를 통한 자율적인 리스크 관리, 개인정보보호를 위한 체계적인 지침 마련, 그리고 전반적인 보호조치 이행이라고 할 수 있다.

 

개인정보보호법 실시로 이를 준수하려는 기업의 수가 늘었고, 정보보호범위도 확대되었다. 하지만 실제 현실과 맞지 않는 부분이 있고, 비용의 문제 등을 안고 있다. 이와 더불어, 보안의 중요성을 사람들이 인식하지 못함으로써 생기는 문제들도 크다. 이를 위해, 보안의식 제고, 전문가의 모니터링, 종합적인 정보보호 관리, 개인정보관리체계 인증 등이 필요하다.

 

[개인정보보호법 시행 1년]

기사 원문 : http://www.ddaily.co.kr/news/news_view.php?uid=95526

 

[디지털데일리 이민형기자] 오는 30일이면 개인정보보호법이 시행된지 1주년이 된다. 우리나라의 개인정보보호 의식은 얼마나 성장했을까.

 

행안부는 개인정보보호에 대한 실질적 사례를 담은 ‘가이드라인’을 발간해 배포하고, 개인정보보호지원단 등을 운영하는 등 개인정보보호법 영향을 받는 기업, 기관에게 직접적인 도움을 주기 위한 노력도 해왔다.

 

그러나 실상은 개인정보보호법 시행 전과 크게 다르지 않았다. 정부에서는 개인정보보호법의 조기안착을 위해 다양한 방법을 사용했지만, 정작 큰 효과는 누리지 못했다.

 

기자가 지난 7월 한 달간 인터넷쇼핑몰과 오프라인 매장을 대상으로 ‘개인정보보호 솔루션 도입여부’와 ‘개인정보보호법 이해수준’을 질문했을 때 사업자 절반 이상이 솔루션을 구축하지 않았고, 개인정보보호법이 어떤 법인지 이해하지 못하고 있었다.

 

이러한 갭은 어디에서부터 오는 것일까? 익명을 요구한 한 공무원은 “개인정보보호법을 대중에게 알리는 방법에 문제가 있는 것 같다. ‘왜 개인정보보호법을 지켜야하나. 왜 위반하면 안되나’에 대한 이야기를 해주는 것이 더 좋을텐데, ‘개인정보보호법을 지키는 법’을 먼저 알려주니 사람들이 이를 인지하지 못하고 있는 것”이라고 말했다.

 

물론 개인정보보호법에 대한 인식은 지속적으로 높아질 것으로 예상된다. 추가적인 법안이 줄줄이 시행되기 때문이다. 개인정보보호법의 ‘DB암호화 조치’ 법규가 내년 1월부터 본격 시행되고, 내년 2월부터는 개인정보보호와 관련된 정보통신망법 개정안도 시행된다.

 

그래도 가장 바람직한 방향은 정부가 국민들에게 ‘개인정보는 반드시 보호해야한다’는 인식을 심어주는 일일 것이다.