세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
행정안전부의 2018년 하반기 개인정보보호 정책 방향
  |  입력 : 2018-06-19 11:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
삶을 편리하고 안전하게 만들어줄 ICT 신기술...반면 개인정보 유출 등 문제도
개인정보 안정화 추세지만 침해사고 위험성은 여전...EU GDPR 발효도 이슈


[보안뉴스= 김상광 행정안전부 개인정보보호정책과 과장] 4차 산업혁명 시대의 특징은 빅데이터, 인공지능, 사물인터넷 등 ICT 신기술을 활용한 다양하고 편리한 서비스의 등장이라고 할 수 있다. 아마존의 빅데이터 분석을 통한 맞춤형 광고, 구글의 인공지능 알파고, 테슬라의 무인자동차 등 세계 각국은 앞 다투어 ICT 신기술을 활용한 서비스들을 개발하고 있다.

[이미지=iclickart]


우리나라도 공공과 민간에서 다양한 서비스들을 개발하고 있다. 이동통신사들은 경쟁적으로 인공지능을 활용한 스마트 스피커 서비스를 개발하고 있다. 일부 대형병원들은 인공지능을 활용한 진료 서비스를 제공하고 있다.

공공부문도 4차 산업혁명 시대에 맞추어 활발하게 움직이고 있다. 최근 5년간 중앙부처와 지방자치단체 등 공공분야의 빅데이터 분석사업은 40배가량 늘어났다. 특히, 2016년 140건에서 2017년에는 447건으로 급증했다. 국가정보자원관리원과 대전광역시가 빅데이터 기술협력 사업으로 소방차와 구급차의 초동 대응시간 단축을 연구한 결과 5분 이내 출동 비율이 기존보다 배 이상 높아지는 것으로 나타났다.

이렇듯 4차 산업혁명 시대의 ICT 신기술들은 우리의 삶을 더욱 편리하고 안전하게 만들어 주고 있다. 반면 대량의 개인정보를 활용하는 과정에 개인정보 유출이나 오·남용에 대한 우려가 지속적으로 제기되고 있다. 인공지능을 이용한 챗봇 등은 개인의 감성이나 습관 등을 분석하여 프로파일링 할 수 있으며, 저장된 데이터가 해킹될 경우 범죄에 악용될 수 있다는 문제가 끊임없이 제기되고 있다.

특히 최근 발생한 페이스북의 개인정보 유출사고는 전 세계적으로 큰 파장을 일으키고 있다. 페이스북에서 활동하는 5,000만 명의 개인정보가 빅데이터 분석을 전문으로 하는 캠브리지 애널리티카(CA)로 유출되어, 2016년 미국 대통령 선거에서 당시 도널드 트럼프 후보의 선거활동에 활용된 것이다.

페이스북의 주가는 하루아침에 무려 86조원이나 떨어졌고, 미국인의 9%가 페이스북을 탈퇴했다. 또한 페이스북 CEO 마크 저커버그는 미국 의회에 출석해 답변하는 등 곤욕을 당했다. EU도 이번 사건으로 유럽 시민 270만 명의 개인정보가 유출되었다며 마크 저커버그에게 EU 의회에 출석할 것을 요구하고 있다. 4차 산업혁명 시대에 개인정보의 보호와 활용의 조화가 필수적이라는 좋은 사례이다.

행안부도 4차 산업혁명위원회가 주관하는 해커톤 회의에 참석해 4차 산업 활성화와 개인정보 보호의 균형점을 찾기 위해 유관 부처와 머리를 맞대고 논의하고 있다.

최근 3년간, 개인정보보호는 안정화 추세다. 지속적인 현장점검 확대와 엄정한 행정처분으로 과태료 부과건수와 금액이 증가했다. 2015년 33개소 1억 9,900만 원에서 2017년 217개소 15억 1,700만 원으로 대폭 늘었다. 하지만 개인정보 침해신고·상담건수는 2015년 14만 9,835건에서 2017년 10만 3,873건으로 줄었다. 개인정보 노출 홈페이지 수도 2015년 774개에서 2017년 398개로 절반 정도로 줄었다.

그러나 개인정보 유출신고 건수는 2015년 8건에서 2017년 14건으로 소폭 증가했다. 사회 전반의 개인정보 보호수준은 향상되었지만 여전히 개인정보 침해사고의 위험성은 존재하고 있다고 보아야 한다. 따라서 지속적인 현장점검과 개인정보보호 지원 등 다양한 정책 집행이 필요하다.

개인정보자기결정권 강화위한 법·제도 개선
정보주체의 개인정보자기결정권을 강화하기 위해 법·제도가 개선됐다. 먼저 2017년 10월 17일 ‘개인정보보호법 제22조’를 개정해 개인정보 처리에 대하여 서면으로 동의를 받을 때에는 중요한 사항을 정보주체가 알기 쉽게 명확하게 표시하도록 했다.

개인정보 수집·이용 목적, 개인정보 항목, 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실, 민감정보, 여권번호, 운전면허의 면허번호 및 외국인등록번호, 개인정보의 보유 및 이용 기간, 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적을 9포인트 이상의 크기로 하거나 다른 내용보다 20%이상 크게 하여야 하고 글씨 색상, 굵기 또는 밑줄로 명확하게 표현해야 한다. 특히 중요한 내용이 많다면 별도로 요약하여 제시해야 한다.

두 번째로, ‘개인정보보호법 시행령 제41조’를 개정해 개인정보 처리에 대한 열람 요구를 쉽게 하도록 개선했다. 개인정보처리자는 정보주체가 개인정보 처리에 대한 열람 요구를 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공하여야 하고 최초로 개인정보를 수집한 창구 또는 방법으로 제공해야 한다.

세 번째로 e프라이버시 클린센터 운영을 확대했다. e프라이버시 클린센터는 정보주체가 과거에 인터넷상에서 본인 확인한 내역을 조회하여 알려주고 명의도용 등이 의심되는 경우 해당 홈페이지에서 탈퇴 등을 지원해 주는 서비스이다. 종전에는 주민등록번호와 아이핀을 이용한 본인확인 내역만 조회가 가능했으나 이를 확대하여 자주 이용하는 휴대폰 본인확인 내역까지 조회하여 알려주도록 확대했다.

부처 합동의 개인정보보호 실태점검도 확대했다. 취약하거나 대량의 개인정보를 보유한 업체를 대상으로 월 20~30개소씩 총 262개를 기획·점검했으며 개인정보 유출사고 등 문제가 있다고 판단되는 경우 특별점검을 실시해 총 64개소를 점검했다. 소규모 사업자를 대상으로 서면점검을 신규로 도입하여 총 300개소를 점검했다.

점검 결과 법 위반으로 확인된 사항에 대하여는 엄정한 행정처분을 했다. 2017년 에는 274개소 630건의 행정처분을 하여 전년도 99개소 436건 대비 44%가 증가했다. 앞으로도 실태점검은 더욱 확대하고 행정처분은 더욱 엄정하게 실시할 계획이다.

2018년 개인정보보호 정책 과제
(1)정보주체의 개인정보자기결정권 강화
서두에서 언급했듯이 개인정보의 보호와 활용의 조화는 매우 중요하다. 최근 대통령 직속의 4차 산업혁명위원회, 국회의 4차 산업특별위원회 등에서 4차 산업 활성화를 위해 개인정보의 활용을 위한 제도개선을 요구하고 있다. 이에 우리 부는 개인정보가 안전하게 보호되면서 효과적으로 활용할 수 있도록 하기 위해 관계 부처와 함께 제도개선방안을 부단히 논의하고 있다.

지난 2월과 4월에 개최된 해커톤에서는 4차 산업 활성화를 위한 개인정보보호 제도의 개선을 합의했다. 먼저 개인정보, 익명정보, 가명정보, 비식별 정보의 개념을 명확히 하기로 했으며, 다음으로 가명정보의 활용 목적과 범위를 공익, 기록유지, 학술 연구, 통계 등으로 검토하고, 익명처리 절차와 기준 및 안전성 평가 기준을 정립하기로 했다. 그리고 데이터 결합 유형을 구체화하고 사전·사후 통제 방안을 마련하기로 했다.

이와 함께 우리 부는 빅데이터 활용에 따른 프로파일링, IoT 등 자동화기기에 의한 개인정보 처리에 있어서의 정보주체 권리를 보장하기 위하여 제품 설계 단계부터 개인정보 보호를 고려하도록 하는 Privacy by Design을 적용하는 방안을 검토하고 있다.

(2)다양한 영상정보처리기기에 의한 개인정보 침해 방지 대책 강구
영상정보처리기기의 종류는 매우 다양하고 일상생활에서도 쉽게 접할 수 있는 환경이 됐다. 누구든지 스마트폰을 통하여 영상을 촬영할 수 있고 자동차용 블랙박스, 드론, 웨어러블 카메라 등 새로운 영상정보처리기기가 대중화됐으며, 인터넷이나 SNS 등을 통해 영상을 공유하고 활용하는 것이 그 어느 때보다 편리하고 활발해졌다.

반면 몰래카메라 등 사회적 문제도 커졌다. 영상정보처리기기의 활용이 높아지면서 개인의 사생활 등 정보주체의 권리보장의 필요성도 높아졌다. 이에 모든 영상정보처리기기로부터 국민의 권리를 보호하기 위해 ‘개인영상정보 보호법’ 제정을 추진하고 있다.

제정(안)은 작년 12월 국회에 제출됐다. 제정(안)의 주요내용으로는 먼저 영상정보 수집 사실 표시 의무화, 열람·보관·삭제 요구 등 영상정보주체의 권리행사 방법을 명문화하고 있다. 그리고 지방자치단체가 설치·운영하고 있는 CCTV 통합관제센터의 안전성 강화를 위해 지방자치단체가 통합관제센터를 신규로 구축할 때에는 사전에 개인정보 영향평가를 받아야 하며, 설치사항을 행정자치부에 신고하여야 하고, 매년 자체점검을 실시하는 등 영상정보 보호를 위한 물리적·기술적·관리적 안전조치를 하도록 하고 있다.

대규모 민간시설에 대한 영상정보 보호도 강화한다. 터미널, 백화점 등 다중이용시설이 100대 이상의 CCTV를 설치·운영하는 경우와 500세대 이상의 공동주택은 매년 자체점검을 실시하고 그 결과를 행정안전부에 신고해야 한다. 또한 통계작성, 학술연구, 연구개발 등에 필요한 경우 행정안전부장관의 허가를 받아 영상정보처리기기를 설치·운영할 수 있도록 했다.

(3)공공아이핀, 마이핀 서비스의 민간 이관
인터넷 활동을 하다 보면 한번 정도는 본인확인을 거치게 된다. 본인확인은 대개 휴대폰, 공인인증서 등을 이용한다. 그런데 여러 가지 이유로 본인 명의의 휴대폰이 없거나 공인증서를 발급받지 못하는 사람은 본인확인을 할 수 없어 인터넷 활동에 제약을 받을 수 있다. 이를 해소하기 위하여 2008년에 공공아이핀이 도입됐다.

공공아이핀은 인터넷 활동 취약계층에 큰 도움을 준 것은 사실이나 이제는 휴대폰 인증이 전체 인증의 95%를 차지하는 등 아이핀의 이용률이 낮아지고 있어 더 이상 제도를 유지할 필요성이 줄어들었다. 이에 공공아이핀과 마이핀은 단계적으로 폐지하고 아이핀을 통한 인증 업무는 민간 아이핀으로 일원화 할 계획이다. 2018년 7월부터는 공공아이핀 신규발급이 중단된다. 기존 가입자는 유효기간까지 인증을 받을 수 있다. 유효기간이 끝났거나 신규로 발급 받고자 한다면 민간 아이핀을 이용하면 된다.

(4)개인정보 침해사고 예방 활동 강화
개인정보 관리 취약 분야와 개인정보를 대량으로 보유하고 있는 개인정보처리자에 대한 점검을 강화해 나갈 것이다. 연 300개소 이상 기획점검, 30개소 이상의 특별점검을 실시할 계획이고 소규모 사업장에 대한 서면점검을 300개소 이상 실시하고자 한다.

아울러 AI를 기반으로 하는 개인정보 종합점검 시스템을 구축하여 개인정보 보호에 대한 모든 업무를 종합적으로 분석·관리하고자 한다. 빅데이터 분석을 통해 취약 분야와 점검 대상을 선정하고, 개인정보 노출 점검 툴을 활용해 노출이 심각한 기관을 선정, 현장점검을 나갈 것이다. 또한 그간의 법 위반 사례들을 분석하여 행정처분의 정도와 공표 수준을 조정해 나갈 계획이다. 그리고 챗봇으로 개인정보 보호에 대한 상담과 신고가 이루어지도록 시스템을 구축할 계획이다.

(5)법 위반 기업 CEO 및 인원 대상 특별교육 실시
기업의 개인정보 보호는 업무담당자의 열정만으로는 한계가 있다. 기업의 CEO와 CPO, CISO, CIO 등의 임원진이 관심을 가지고 챙겨야 정상적인 개인정보보호가 이루어질 수 있다. 이에 중대한 법 위반을 한 기업의 CEO와 임원진을 대상으로 특별 교육을 실시할 계획이다. 교육대상은 법 위반으로 행정처분을 받은 기관 중에서 공표된 기관, 10만 건 이상 개인정보 유출기관으로 하고자 한다. 이 자리에서는 기관에서 침해사고 이후 조치한 사항과 기관의 보안정책을 공유하고 개인정보 보호조치에 대한 전문가의 특강, 개인정보보호에 대한 사회적 협약 등을 통해 CEO와 임원진에게 개인정보 보호에 대한 인식과 경각심을 제고하고자 한다.

(6)정보주체의 권리구제 및 개인정보처리자의 책임성 강화
정보주체의 권리보장을 강화하기 위해 집단소송제를 도입하고자 한다. 현행 개인정보 침해에 대한 소송제도는 단체소송제도로서 개인정보 침해사고를 당한 사람 중에서 소송에 참가한 사람만 배상을 받을 수 있다. 그러나 집단소송제도는 같은 피해를 입은 모든 사람에게 영향을 미치게 되어 개인정보처리자의 책임성은 더욱 강화되고 정보주체의 권리보장은 더욱 확대될 수 있다. 한편 집단소송제가 도입되면 개인정보 유출사고로 인한 기업의 피해도 심각할 수 있으므로 개인정보 보유량과 매출액 등을 고려하여 일정 규모 이상의 기업은 사이버 보험 가입을 의무화 하고자 한다.

법 위반자에 대한 과징금 부과 금액도 EU의 GDPR과 정보통신망법과 비교하여 볼 때 ‘개인정보 보호법’의 과징금 부과 금액은 매우 적다. EU의 GDPR은 전 세계 연 매출액의 4% 또는 2,000만 유로 중 높은 것을 부과하도록 하고 있고 정보통신망법은 매출액의 3%를 부과하도록 하고 있다. 반면 ‘개인정보 보호법’은 최대 5억 원으로 가장 낮은 금액으로 규정하고 있다. 이에 과징금 부과 규모에 대한 법령 간 정합성 확보와 개인정보처리자의 책임성 확보를 위해 과징금 부과 금액을 국제적 수준으로 상향하고자 한다.

(7)글로벌 개인정보 침해 대응체계 및 국제협력 강화
전자상거래, 클라우드 이용 활성화 등으로 개인정보의 국경간 이동은 급증하고 있으며 그 유형도 제3자 제공, 위탁 등 다양한 형태로 이루어지고 있다. 세계 각국은 자국민의 개인정보를 보호하기 위하여 여러 가지 규제를 강화하고 있다. 특히, EU는 개인정보보호법(GDPR)을 제정하고 2018년 5월 25일 발효했다.

우리나라의 많은 기업들이 유럽과 교역을 하고 있어 EU의 개인정보보호법은 큰 교역 장애로 작용할 수 있다. 이에 작년 4월에 우리 기업들이 유럽과의 교역에 참고할 수 있도록 하기 위하여 GDPR의 제정 취지 및 주요 내용을 알기 쉽게 설명하는 ‘우리 기업을 위한 유럽 일반 개인정보 보호법 안내서’를 제작하여 공개했다. 안내서에는 GDPR의 개요와 함께 GDPR이 규정하고 있는 개인정보 보호 주요원칙, 정보주체의 권리보장, 기업의 책임성 강화를 위한 조치사항 등의 내용을 알기 쉽게 해설하고 있다. 또한 금년 5월에는 EU 집행위의 GDPR 가이드라인 발표내용 및 그간의 Q&A를 반영한 핸드북을 발간했다.

APEC 글로벌 개인정보 인증제도(CBPR, Cross Border Privacy Rule)에 2017년 6월에 가입 완료했으며, APEC은 금년 내에 우리나라의 CBPR 인증 책임기관(Accountability Agent) 지정을 승인할 것으로 예상된다. CBPR 인증이 본격 시행되면 국가 간 개인정보보호 공조 강화, 가입 국가 간 교역 활성화, 국민의 권리구제 용이 등의 효과가 기대된다.

이 밖에도 행정안전부는 국가 전반의 개인정보 관리체계를 선제적으로 개선하여 4차 산업혁명 시대에도 국민의 개인정보는 안전하게 보호될 수 있도록 다양한 정책과 제도를 마련하여 추진해 나가고자 한다.
[글_ 김상광 행정안전부 개인정보보호정책과 과장(tim2co@korea.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)