개인정보 보호 책임과 법...

얼마 전에 옥션의 해킹 과정상의 문제점(2008/02/20 - 옥션 해킹 사건으로 생각해보는 보안 문제점) 을 언급해봤습니다. 이번 상황을 잘 보신 분이라면, 실제로는 답이 없는 게임인 것이죠. 이런 생각을 하고 심각하게 받아들이신 분은 조금 큰 곳에 계신 분이 아닐까 싶습니다. 나도 모르게 '보안 책임자'라는 직책이 붙어있는 경우도 있으니까요. 이런 직책을 맡게되면 나중에 '나에게 문제가 되는 것은 아닐까?'라는 불안감을 갖고 계시는 분도 꽤 되시더군요. 이번에는 법에서 정한 책임 부분에 대해서 한번 이야기를 해볼까 합니다.

 보안 관련된 부분으로 사람을 언급하는 부분은 크게 두가지가 있습니다. 하나는 책임자이며, 또 하나는 실제 보안 시스템입니다. 책임자는 보안 사고가 발생을 막는데 주로 힘을 쓰기도 하지만, 발생 후에는 그 책임을 지는 사람이지요. 그리고 보안 시스템은 이런 보안을 마련해가기까지의 과정에 들어가는 각종 소프트웨어/하드웨어 제품들로 제한을 하도록 하겠습니다. 일단 책임자부터 차근차근 보도록 하겠습니다.

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제27조에 따르면 개인정보에 대한 관리는 "개인정보관리책임자"가 책임을 지도록되어 있습니다. 그렇다면, 이 "개인정보관리책임자"는 누가 될 수 있을까요? 이 부분은 "정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙"의 제3조에 있군요.

※ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조

제27조 (개인정보관리책임자의 지정)

 ① 정보통신서비스제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보관리책임자를 지정하여야 한다. 다만, 종업원 수·이용자 수 등이 정보통신부령이 정하는 기준에 해당하는 정보통신서비스제공자등의 경우에는 지정하지 아니할 수 있다. [개정 2004.1.29, 2006.10.4] [[시행일 2007.1.5]]
 ② 제1항 단서의 규정에 따른 정보통신서비스제공자등이 개인정보관리책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보관리책임자가 된다. [신설 2006.10.4] [[시행일 2007.1.5]]
 ③ 개인정보관리책임자의 자격요건 그 밖의 지정에 관하여 필요한 사항은 정보통신부령으로 정한다. [개정 2006.10.4] [[시행일 2007.1.5]]

 시행규칙 제3조에 따르면 개인 정보보호는 임원이거나 회사의 고충처리팀이 맏도록 되어 있습니다. 여기에서 임원은 책임자일뿐 실무진은 아니죠. 즉, 개인 정보에 대한 관리는 고충처리팀에서 실질적인 관리를 하고 있다는 것이라는 뜻이 됩니다. 개인 정보를 가장 많이 다루는 팀이 고충처리팀이기에 있는 법이지요.

※ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 제3조

제3조 (개인정보관리책임자의 자격요건 등)

 ① 정보통신서비스제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스제공자등”이라 한다)가 법 제27조제1항 본문에 따라 지정하는 개인정보관리책임자는 다음 각 호의 어느 하나에 해당하는 지위에 있는 자로 하여야 한다. [개정 2007.6.14]
  1. 임원
  2. 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장

 ② 법 제27조제1항 단서에서 “정보통신부령이 정하는 기준에 해당하는 정보통신서비스제공자등”이라 함은 상시 종업원 수가 5인 미만인 정보통신서비스제공자등을 말한다. 다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스제공자등의 경우에는 상시 종업원 수가 5인 미만으로서 전년도말 기준으로 직전 3개월간의 일일평균이용자가 1,000명 이하인 자를 말한다.
[전문개정 2007.3.16]
[본조제목개정 2007.3.16]

그렇다면, 이제는 법에서 언급하고 있는 시스템쪽으로 봅시다.

"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제28조에 보면, "정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다."라고 되어 있지요. 이 시스템이 자세히 없어서 다시 "정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙"을 찾아봤더니 제3조의3이 여기에 해당됩니다.

※ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28

제28조 (개인정보의 보호조치)

 ① 정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.
 ② 정보통신서비스제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.
[전문개정 2007.1.26] [[시행일 2007.7.27]]

※ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 3조의3

제3조의3 (개인정보의 보호조치)
 ① 법 제28조의 규정에 의한 개인정보의 안전성 확보에 필요한 기술적·관리적 조치는 다음 각호와 같다.
   1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행
   2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영
   3. 접속기록의 위조·변조 방지를 위한 조치
   4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
   5. 백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치
   6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
 ② 정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
[본조신설 2004.7.30, 2007.7.27 제3조의2에서 이동]

제3조의3이 조금 어렵게 써있지만, 요약해보면,

1. 내부에 접근할 수 있는 사람 통제와 증거 (당연히 서류로 남기는 것을 말합니다)
2. IPS, ACL 적용 (역시 서류로 남길 수 있으면 좋습니다)
3. 암호화 적용
4. 암호화와 보안 프로토콜의 사용, 추가로 접근 로그 남기기
5. 백신 설치
6. 알아서 적당히 추가할꺼 있으면 하시오

가 됩니다. 1~5에서 언급한 모든 시스템을 다 갖췄는데, 해킹을 당해서 개인 정보가 유출됐다면, 누구 책임일까요? 잘 모르는 인력을 사용하고, 돈이 없어서 보안 시스템에 투자를 못해서 사고가 발생하는 것이라면, 임원에게 책임을 물을 수 있겠지요. 실제로 법대로라면, 개인정보의 유출 책임을 진 임원이 받는 것이 맞습니다. 물론, 실제 잘못은 개인 정보가 세어나갔으니 임원과 함께 "개인정보관리책임자"도 불이익을 받게 되지요.

 하지만, 법에서 지적하고 있는 "개인정보책임자"는 고객의 불만을 처리하는 위해 존재하는 팀이지, 회사의 보안을 책임지는 팀이 아닙니다. 그리고, 법에서 언급한 1~5번의 모든 시스템을 갖췄음에도 불구하고 사고가 발생했다면, 어떻게 풀어가야 할지 진지하게 고민해봐야 할 시기가 아닐까 싶습니다(이번 옥션 해킹 사건이 그렇습니다).

출처 : NTFAQ