2014. 12. 30. 개정된 행정자치부의 ‘개인정보 안전성확보조치 기준 고시(이하 ‘행정자치부 고시’)’가 2016. 9. 1.자로 또 다시 개정되었고, 이번에는 상당한 규모의 개정이 있었다. 통산 2번째 개정으로서, 개인정보처리자의 규모 등에 따른 유형화, 관리용 단말기 보안 강화 등의 기존에 볼 수 없는 내용들이 대거 포함되었다.

이에 2016. 9. 1. 시행된 행정자치부 고시에 대하여 그 변경 내용을 자세히 살펴보고, 그에 따른 기업이나 공공기관의 대응방안에 대하여 알아보기로 한다.

1. 안전성확보조치 기준 등급화 (제3조)

개정 행정자치부 고시는 개인정보처리자가 준수하여야 할 안전성확보조치 기준을 두 가지 기준에 따라 유형화 또는 등급화하였다.

유형화 또는 등급화의 기준은 개인정보처리자 유형 및 개인정보 보유량이었고, 이 기준에 따라 3가지로 유형화 또는 3단계로 등급화하였다. 아래 표는 개정 행정자치부 고시로서 3가지 유형화의 내용이 담겨 있다.

유형3(강화 유형)은 개정 행정자치부 고시의 제4조부터 제13조까지의 모든 조항을 준수할 의무가 있다. 유형3(강화 유형)에 속하는 개인정보처리자는 1) 10만명 이상을 보유한 대기업, 2) 10만명 이상을 보유한 중견기업, 3) 10만명 이상을 보유한 공공기관, 그리고 4) 100만명 이상을 보유한 중소기업, 5) 100만명 이상을 보유한 단체이다.

유형1(완화 유형)은 개정 행정자치부 고시에서 최소한의 규정이 적용되는 유형으로서, 1) 1만명 미만의 소상공인, 2) 1만명 미만의 단체, 3) 1만명 미만의 개인에 여기에 속한다.

유형2(표준 유형)는 유형1과 유형3을 제외한 유형으로서, 표준적인 안전성확보조치 기준이 적용되는 유형이고, 유형1과 유형3의 개인정보처리자를 제외한 모든 개인정보처리자가 여기에 해당한다.

안전성확보조치 기준을 개인정보처리자에 따라 차등적으로 적용하는 이유는, 그간 개인정보처리자의 규모나 보유 개인정보 양에 상관없이 획일적으로 안전성확보조치 의무를 부과한 것에 대한 반성적 고려에서 나온 것이다. 즉 개인정보처리자의 규모나 보유 개인정보 양에 따른 차등적 기준을 적용함으로써, 전체적인 개인정보 안전성확보조치 수준을 올리고 구체적 타당성 있는 규율을 할 수 있는 근거를 마련한 것이다.

2. 최소한의 기준 명시 (제1조)

행정자치부 고시가 개인정보처리자가 준수하여야 할 최소한의 기준이라는 것에 대하여는 해석상 큰 의문이 없었다. 하지만 이러한 해석의 근거에 대하여는 명확하지 않았는바, 개정 행정자치부 고시 제1조(목적)에서는, 행정자치부 고시가 최소한의 기준이라는 점을 포함시킴으로써, 이러한 해석의 근거를 명문화하였다.

문제는 행정자치부 고시를 최소한의 기준으로 보더라도, 법적으로 어떤 영향을 미치는지 회의적이라는 것이다. 행정자치부 고시가 최소한의 기준이라는 것이, 행정자치부 고시가 열거하여 규정한 사항 이외에도 준수할 의무가 있는 것인지를 의미하는지에 대하여 우리나라 법원은 부정적으로 보고 있기 때문이다.

3. 개인정보처리시스템의 정의규정 변경 (제2조 제10호)

개정 행정자치부 고시에서는 개인정보처리시스템의 정의규정을 변경하였다. 이전 행정자치부 고시에서는 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의되어 있었으나, 개정 행정자치부 고시에서는 ‘데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템’으로 정의되었다. 그 결과 개인정보처리시스템의 범위가 확장된 것으로 보인다.

4. 내부관리계획의 수립ㆍ시행 사항의 확대 및 점검ㆍ관리 의무 부과 (제4조)

내부관리계획은 개인정보처리자가 내부적으로 정한 개인정보의 분실·도난·유출·위조·변조 또는 훼손 방지 조치를 의미하는데, 기존에는 수립ㆍ시행 사항을 개인정보 보호책임자의 지정에 관한 사항, 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항, 개인정보의 안전성 확보에 필요한 조치에 관한 사항, 개인정보취급자에 대한 교육에 관한 사항, 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항, 그 밖에 개인정보 보호를 위하여 필요한 사항에 한정했으나, 개정 행정자치부 고시는 이를 확대하여 개인정보 보호조직에 관한 구성 및 운영에 관한 사항, 개인정보 유출사고 대응 계획 수립·시행에 관한 사항, 위험도 분석 및 대응방안 마련에 관한 사항 등이 추가되었다(제4조 제1항).

나아가 기존에는 존재하지 않았던 조항이 신설되었는바 제4조 제4항이 그것으로, 이로 인하여 개인정보 보호책임자는 연 1회 이상 내부관리계획의 이행 실태를 점검·관리하여야 할 의무가 생겼다.

내부관리계획이 강화된 것이 이번 개정 행정자치부 고시의 특징인바, 그간의 개인정보 유출 사고 중 상당수가 관리 부실로 발생한 것에 대한 반성적 조치로 볼 수 있다.

5. 접근권한 관리의 강화 (제5조 제6항)

개정 행정자치부 고시에서는 접근권한 관리가 강화되었는바, 제5조 제6항의 신설로 ‘개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.’

즉 예컨대 계정정보나 비밀번호에 대하여 오류 횟수에 대한 상한을 정해 두고 이를 어긴 접근에 대하여는 관리를 할 수 있도록 조치하여야 한다. 기본적인 보안조치인데, 고시에 열거된 것만 준수할 의무가 있는 법원 판례 때문에 불가피하게 이러한 기본적인 조치가 자꾸 고시에 포함되는 현상이 발생하고 있는 것이다.

6. 접근통제의 강화 (제6조 제5항)

개정 행정자치부 고시에는 오랜 시간 동안 시스템 또는 접속 상태, 로그인 상태를 켜 두는 습관이 보안사고의 원인이 되고 있다는 점을 고려하여, 개인정보처리자는 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 하는 의무를 추가하였다(제6조 제5항).

이것 역시 기본적인 보안조치인데, 고시에 열거된 것만 준수할 의무가 있는 법원 판례 때문에 불가피하게 고시에 포함된 것이다.

그간 네이트ㆍ싸이월드 해킹 사고나 인터파크 해킹 사고 등이 시스템 관리자의 로그아웃 해태 등을 이용하여 발생하였는데, 이러한 점을 반면교사로 삼아 도입된 것이다.

그리고 개정 행정자치부 고시에서는 기존에 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 하는 의무를 개정하여, 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다고 변경하였다(제6조 제2항).

기존에는 안전한 접속수단만이 의무 사항이었으나, 이제는 안전한 접속수단이나 안전한 인증수단 중에서 택일할 수 있도록 조치하였다. 안전한 인증수단이라는 공인인증서, IP 인증, OTP(one time password) 등을 의미한다.

접속수단과 인증수단은 기능적으로 구분되는 것인데, 이제는 택일적으로 선택하여 장착하면 그 의무를 다한 것이다. 그간 공인인증서를 사용하여 로그인하도록 시스템을 설계하여 운영하였는데, 공인인증서가 안전한 접속수단이 아니라는 이유로 과태료 등의 처분을 받을 뻔한 사례가 존재하였는바, 이제는 이러한 사례는 발견되지 않을 것으로 보인다.

7. 암호키 관리의 강화 (제7조 제6항)

기존 행정자치부 고시는 데이터 등의 암호화 조치는 명시하고 있었으나 암호키의 관리에 대하여는 침묵하고 있었다. 하지만 암호키 관리 없는 암호화 조치는 무의미하다는 점을 고려하여 개정 행정자치부 고시에서는 암호키 관리 의무를 추가하였다.

즉 개정 행정자치부 고시 제7조 제6항은 ‘개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.’는 규정을 신설하였는바, 앞으로는 암호키 관리 의무를 준수하여야 한다. 다만 이러한 조치는 유형3(강화 유형)의 개인정보처리자에게만 적용된다.

8. 악성프로그램 등의 삭제의무 (제8조 제3호)

기존 행정자치부 고시에서는 백신 소프트웨어 등의 설치나 업데이트에 대하여만 규정하였으나, 개정 행정자치부 고시는 이러한 의무를 확대하여 악성프로그램 등의 삭제의무를 부과하였다.

다만 모든 악성 프로그램에 대한 삭제 의무는 아니고 발견된 악성 프로그램에 한정하고 있는바, 악성 프로그램을 발견하고도 삭제 등의 대응조치를 취하지 않으면 개정 행정자치부 고시 위반이 된다.

9. 관리용 단말기의 안전조치 추가 (제10조)

관리용 단말기란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다(제2조 제20호). 따라서 DB 관리자의 PC 등은 관리용 단말기에 해당한다.

기존 행정자치부 고시는 관리용 단말기에 대한 안전조치에 대하여 침묵하였으나, 개정 행정자치부 고시는 관리용 단말기에 대한 보호조치 의무를 신설하여 부과하였다(제10조).

그간 네이트ㆍ싸이월드 해킹 사고나 인터파크 해킹 사고 등이 관리용 단말기에 대한 보호조치 부실로 발생하였다는 점을 감안하여 제10조를 신설한 것이다.

관리용 단말기에 취해야 할 조치는 3가지인바, 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치, 본래 목적 외로 사용되지 않도록 조치, 악성프로그램 감염 방지 등을 위한 보안조치 적용이 그것이다.

따라서 비인가자의 관리용 단말기 접근을 허용허가나 오락 목적으로 관리용 단말기를 활용하거나 백신 프로그램 등을 설치하지 않은 경우 개정 행정자치부 고시 위반에 해당한다.

10. 재해ㆍ재난 대비 안전조치의 신설 (제12조)

개정 행정자치부 고시는 화재, 홍수, 단전 등의 재해·재난 발생에 대비한 안전조치 의무를 신설하였는바, 구체적으로 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 하고(제12조 제1항), 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다(제12조 제2항).

신설된 제12조는 ‘가용성’에 대한 규제에 해당하고, 최초의 가용성 규제라는 점에서 의의가 있다. 그간 행정자치부 고시나 동종의 방송통신위원회의 기술적ㆍ관리적 보호조치는 기본적으로 ‘기밀성’이나 ‘무결성’ 규제를 원칙으로 하고 있었는데, 여기에 ‘가용성’ 규제가 처음으로 추가된 것이다.

지금까지 개정 행정자치부 고시의 개정 내용을 살펴보았다. 가장 획기적인 내용은 보호조치의 유형화ㆍ등급화인바, 획일적인 규율에서 벗어나 개인정보처리자의 개별적 상황에 맞춘 보호조치를 지향하고 있다는 점에서 매우 진일보한 조치에 해당한다.

그 밖에 많은 강화된 조치들이 포함됨으로써 개인정보처리자가 취하여야 할 안전성확보조치 수준을 향상시켰다. 다만 열거되지 않으면 조치의무가 없다는 법원 판례 때문에 불가피하게 추가되고 있는 기본적 보안조치는 여전히 행정 고시의 한계를 느끼게 하고 있다.

반드시 열거되어야 준수 의무가 생긴다는 한계는 결국 고시가 그 본래 목적인 보안 수준 향상이 아니라 반대로 면죄부 역할밖에 못하고 있다는 규범적 상황을 실감하게 한다는 점에서, 기존 고시보다는 진일보한 개정 행정자치부 고시에도 여전히 개선의 여지가 있다고 판단된다.

* 법무법인 민후 김경환 대표변호사 작성, 디지털데일리(2016. 9. 22.), 리걸인사이트(2016. 10. 26.) 기고.