보고서 정보
주관연구기관 |
(사)한국정책학회 |
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2013-11 |
과제시작연도 |
2013 |
주관부처 |
미래창조과학부 Ministry of Science, ICT and Future Planning |
등록번호 |
TRKO201500006834 |
과제고유번호 |
1711007659 |
사업명 |
방송통신정책연구 |
DB 구축일자 |
2015-06-13
|
DOI |
https://doi.org/10.23000/TRKO201500006834 |
초록
▼
4. 연구내용 및 결과
○ 개인정보의 기술적·관리적 보호조치 규정 주요 내용
해당 규정은 정보통신서비스 제공자 등이 취급하는 개인정보의 분실·도난·누출·변조·훼손 등을 막기 위하여 안전성을 확보하고 구체적인 기준을 정하는 것을 목적으로 「정보통신망법」제28조제1항 및 시행령 제15조제6항에 의거하여 만들어졌다. 개인정보 보호조치에 관한 기준은 법률에 의하여 반드시 준수하여야 하는 의무사항을 구체화한 것으로, 동 기준을 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다. 또한 보호조치 기준에 대한 구체적인 사
4. 연구내용 및 결과
○ 개인정보의 기술적·관리적 보호조치 규정 주요 내용
해당 규정은 정보통신서비스 제공자 등이 취급하는 개인정보의 분실·도난·누출·변조·훼손 등을 막기 위하여 안전성을 확보하고 구체적인 기준을 정하는 것을 목적으로 「정보통신망법」제28조제1항 및 시행령 제15조제6항에 의거하여 만들어졌다. 개인정보 보호조치에 관한 기준은 법률에 의하여 반드시 준수하여야 하는 의무사항을 구체화한 것으로, 동 기준을 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다. 또한 보호조치 기준에 대한 구체적인 사례 등을 제시하여 정보통신서비스 제공자등이 관련 기준을 해석·적용함에 있어 오해의 소지를 없애고 자발적으로 준수할 수 있도록 지원하기 위한 것으로 행정지도의 성격을 갖는다고 볼 수 있다.
○ 개인정보 보호조치 법제화 과정
“정보통신망법”은 개인정보의 분실·도난·누출·변조·훼손을 방지하기 위한 조치를 강구하도록 원칙만 규정하고 있었으나, 개인정보가 유출 또는 오·남용되는 사례가 빈번하게 발생하면서 보다 세부적인 규정 마련의 필요성이 요구됨에 따라 개인정보 보호조치 규정의 제·개정의 과정을 거치게 된다. 법 개정(2004. 1. 29)과 시행규칙 개정(2004. 7. 30)을 통해 개인정보의 안전성 확보에 필요한 최소한의 기술적·관리적 보호조치 기준을 정하여 고시할 수 있도록 법적 근거를 마련하게 되었고, 2005년 3월 24일 보호조치 기준이 제정되었다.
○ 개인정보의 기술적·관리적 보호조치 상의 문제점
보호조치 규정에는 개인정보 및 정보처리시스템의 안전성을 높이기 위하여 도입된 다양한 기술적 보호조치뿐만 아니라 신기술의 도입과 함께 개선을 요구하고 있는 다양한 정책들이 반영되고 있다. 현재 정보통신망법에 의해 제공하는 기준을 바탕으로 정보통신서비스제공자를 비롯하여 홈페이지 서비스를 제공하는 기관에서도 준수하고 있는데, 그 대표적인 것이 정보통신시스템 및 네트워크를 보호하기 위한 접근통제, 망분리, 침입 차단시스템, 침입방지시스템 등의 도입을 독려하는 규정이다. 하지만 이러한 기술적 측면을 강조한 접근은 정보기술의 빠른 변화와 복잡해지는 사고 유형에 대처하기 어려운 실정이며, 다음과 같은 문제점을 가진다고 할 수 있다.
1) IT패러다임 변화에 대응하는 개인정보 보호기술의 적용 미흡
현행 규정에 따라 준수해야 할 사항들은 기본적으로 준수해야 할 사항들을 담고 있지만 클라우드 환경이나 빅데이터, 스마트기기 보급 등 정보통신의 시대적 변화를 포괄하기에는 한계가 있다. 더욱이 최근에는 다양한 정보보호기술이 개발되고 있는데, 데이터누출방지솔루션, 디지털 포렌식, 악성프로글매 확산방지 기술, 2채널 인증, UTM 등은 외부로부터 해킹되어 정보유출이 발생하지 않도록 보호하기 위한 방안 등 다양한 기법들이 반영되지 못한 실정이다. 이와 같이 해킹 및 침해 상황의 복잡화와 보안기술의 다양화가 이루어지는데, 이를 적시에 즉각적인 반영으로 이끌기에는 한계가 있다.
2) 대상 사업체간 동일 수준으로 기술적 보호조치의 실행이 어려움
정보통신망법에서 개인정보의 분실·도난·누출·변조·훼손을 방지하기 위한 조치가 이루어지고 있으며 그에 따른 시행규칙, 고시 등을 개정하여 새로운 기술을 보호할 수 있는 체계를 마련하고 있으나, 이렇게 적용되는 정보통신기술의 대응하는 보안기술에 대해서 모든 대상기관에 동일하게 적용하기에는 예산과 인력의 한계가 있다.
3) 관련 기술의 체계적인 반영 부족
지금까지 규정하고 있는 기술적 보호기준을 바탕으로 하되, 앞으로 개인정보보호를 위해 제도적 안전성을 높일 수 있는 기준의 적용 범위 및 해석을 확대하면서 신속성을 제고할 필요가 있다. 즉, 법률상으로는 다양한 범주에서의 개선을 가져올 수 있도록 다른 법률의 근거규정도 고려하되, 기술 환경의 변화에 맞는 세부기준의 주기적 개편 프로그램을 만드는 방안도 고려할 수 있다. 또한 개인정보보호를 위한 보호기술의 적용이 미흡할 경우 그에 따른 점검활동을 강화하여 정보통신서비스제공자가 보다 강력한 대응을 스스로 할 수 있도록 적극적인 이행권고나 개인정보 보호등급 부여를 제도화할 필요가 있다.
4) 표준 또는 기준에 대한 민간 참여 부족
정보기술에 대한 표준 및 기준의 마련은 기술환경의 변화를 반영하고 민간기업의 적극적 참여를 유도해 효과적으로 개인정보의 기술적·관리적 보호조치를 보완할 수 있다. 민간 기업이 표준과 기준을 준수하면서 보호조치의 지속성을 확보하기 용이할 수 있지만 아직까지 이에 대한 표준·기준 제시와 활용에 대한 제도적 규정이 미흡하고, 기준에 대한 협의나 프로그램 도입이 부족하다는 점을 문제로 지적할 수 있다.
5) 보호조치 집행과 이행을 제고하는 규정 미비
개인정보 보호조치의 적용을 받는 기업의 보호조치 준수여부, 사전 사후 감독 등의 현실적 관리에 있어 행정당국 또는 관련기관이 원활한 업무수행을 기할 수 있는 규정이 부족하다. 대상 기업 등을 어떻게 지원하고 확인할 수 있는지 등의 수단적 측면에서 관련 규정이 명확하지 않은 상태에서 성과를 제고하기가 용이하지 않은 실정이다. 또한 사업을 수행하는 기업체의 입장에서도 관련 규정이 불분명하기 때문에 업무 수행에 곤란을 겪고 이행 의지의 상실로 이어질 수 있다.
6) 사업자 유형의 다양화로 인한 법규 적용 곤란
현행 개인정보보호조치에서는 대기업과 중소기업, 영세사업자에 대한 구분이 명확하지 않으며, 이들 민간 사업체에 대한 획일적이고 통일적인 보호 조치 기준만 제시되어 있을 뿐 구체적인 규정이 미비하다. 민간기업의 경우, 규모와 특성에 따라 취급하는 개인정보의 종류 등이 다르고 특히 영세사업자나 중소기업의 경우, 개인정보보호조치를 위한 인력 충원과 자금마련에 현실적인 한계가 있다.
7) 보호지침 이행 모니터링 활동 미진
공공기관과 민간 기업은 개인정보 보호조치를 추가적인 비용이나 번거로운 부담으로 인식하는 경향이 많기 때문에 준수를 회피하려는 경향이 많다. 이를 방지하기 위해서는 사후적인 대응보다는 사전적 예방과 이행에 대한 점검이 더욱 효과적이다. 하지만 체계적인 모니터링을 수행하고 관리하기 위한 제도적인 장치가 부족하기 때문에 실무 현장에서 업무수행이 원만히 이루어지지 않고 있으며, 정책실무자의 정보보호 담당자에 대한 체계적인 교육과 홍보가 부족하여 실질적인 성과를 내기 곤란한 실정이다.
8) 민간참여의 통로 부족 및 이의제기의 어려움
개인정보 보호조치에 적용을 받는 민간 사업자와 개인정보 제공자는 보호조치 기준의 수립과 시행에 있어 중요한 역할을 담당하고 있으나 실질적으로 민간 기업의 보호조치를 담당하는 방송통신위원회, 한국인터넷진흥원의 기관에서는 이들의 고충을 수렴하고 개선사항에 대한 의견개진을 할 수 있는 공식적이고 체계적인 통로를 확보하는데 어려움이 있다. 급격하게 변화하는 정보화 환경에서는 위험요소에 대한 신속한 대응을 위해 보호조치 기준의 개선이 필요한데, 개인정보는 공공기관을 포함한 민간 기업에서도 공통적으로 적용되기 때문에 이들 기관과 지속적으로 협의할 수 있는 정합성 있는 프로그램과 운영체계를 마련해야 한다.
9) 기술적 환경변화에 따른 관리적 대응 미흡
빅데이터 환경에서의 대규모 정보활용은 개인정보 유출의 위험성 또한 증가되고 있으나, 정보의 수집과 이용이 무의식적이며, 동의를 받을 수 없는 상황에서 이루어질 가능성이 높기 때문에 이용단계에서의 통제가 강화될 필요성이 제기되고 있다. 정보통신서비스의 빠른 변화에 대응하기 위한 보호조치 기준의 개편작업이 이루어져야 하며, 이를위해서는 기관간 업무협조를 할 수 있는 관리체계 구축이 필요하다.
○ 개인정보의 기술적·관리적 보호조치 관련 주요국 현황 및 시사점
1) 미국
미국은 정부의 적극적인 개입과 규제의 형식이 아닌, 이해당사자의 자발적 협약 마련을 통한 자율규제의 특징을 가지고 있어 체계화된 성문법적 규율을 바탕으로 정부의 관리 및 감독 역할을 중요하게 인식하는 한국과 미국의 제도는 상당한 차이를 보이고 있기에 미국의 개인정보 보호 법제를 한국에 직접적으로 도입하는 것은 구조적으로 불일치할 가능성이 있다.
2) 유럽
① 영국
영국의 데이터보호법의 기본원칙은 데이터의 오용 및 사고로 말미암은 손실 또는 파괴를 예방할 수 있도록 적절한(appropriate) 보안조치를 마련하고 있다. 그러나 영국법제에 따르면 ‘적절한(appropriate) 보안조치’의 명확한 정의가 아직 없고, 사안별 검토를통하여 관리하고 있다. 정보위원회(Information Comissioner's Office)는 다른 유럽국가들에 비해 보안침해에 적극적으로 개입하려고 하는 의지가 있으나, 어느 정도 수준의 보안조치를 취할 의무가 있는지와 관련해서는 ICO 결정 및 판례가 쌓여야 할 것으로 보인다.
② 프랑스
프랑스의 국가정보 및 자유 위원회(Commission Nationale de l’'Informatique et des Libertés: CNIL)는 2010년 개인데이터 보안가이드를 마련하여 개인데이터를 수집 및 관리하는 모든 이들을 대상으로 하여 가이드라인을 마련하였다. CNIL 보안가이드는 원칙적으로 권고적 효력만을 지니고 있으나, 데이터보호를 위한 세분화된 가이드라인으로서 ‘유효한 예방적 조치(useful precautions)'이행 여부를 판단할 수 있는 기준으로 의의가있으며, 상당히 세분화되어 있어 우리나라의 관리적 지침 마련을 위한 향후 면밀한 검토가 필요할 것으로 파악되었다.
③ 독일
독일의 데이터보호법은 제9조에서 기술적 조직적 조치를 명시하고 있으며, 그 내용을 부속서에서 다루고 있는 바, 접근관리, 공개관리, 입력관리, 업무관리, 가용성관리 및 기타 (기타의 목적으로 수집된 데이터의 여부 및 그 처리의 적합성) 등 간략한 지침을 마련하고 있다. 다만, 본 지침은 세부적인 가이드라인 혹은 Best Practice 등의 지침 형식이 아닌 데이터 관리의 기본사항으로 미흡한 것으로 보인다.
3) 일본
일본은 개인정보보호에 관한 가이드라인을 마련하여 법률을 보완하는 형태를 띄고 있으며, 이는 조직적인 보안조치, 인적보안조치, 물리적보안조치 및 기술적보안조치 등으로 분류된다. 개인정보데이터 보안 조치가 취약한 사적 단체의 보안 사항 위반에 대해 상대적으로 약한 처벌로 인하여 제재의 효율성이 떨어진다고 볼 수 있다. 이 밖에 관련 정부부처에서 데이터보호와 관련하여, 부령을 통해 보안에 관한 지침을 내려 법령에서 요구하는 사항의 구체적인 사항을 권고하고 있어 개인데이터 보호를 위한 통일적인 적용이 어려운 상황이다. 하지만, 개인정보보호에 관한 다양한 가이드라인은 향후 우리나라 법제 개선방향에 있어 검토가 필요한 것으로 판단된다.
4) EU 및 OECD
EU의 개인정보보호법제는 회원국 국내법으로서 직접적인 구속력을 발생시키는 법제도입 대신, 회원국에게 개인정보보호 법제 입법의 가이드라인으로서 간접적 영향을 미치는 형식으로 발전되어온바 내재적인 한계를 보였다. 규칙안의 세부 이행의 경우 EU에서 직접 관할하는 방식이 아니라, 개별 회원국의 권한있는 관할기관으로 위임하는 형식을 띄고 있기 때문에 개인정보보호에 관한 세부 기준 및 가이드라인은 2012년 규칙안의 위임에 의거한 EU회원국 개별 관할 정부기관의 기준 및 가이드라인이 별도로 마련될 것으로 예측된다. OECD 회원국의 경우 대다수 개인정보에 관한 규정을 마련하고있으며, 그 틀은 각 국가의 사회적·문화적 특수성에 기인하여 다양한 형태로 존재한다는 사실을 고려할 때, 현행 및 향후 OECD의 가이드라인은 개인정보보호 제도에 관한 상세한 세부규정을 마련하기보다는 회원국들의 개별 특수성을 포괄할 수 있는 기본적이며 근본적인 원칙 선언의 수준으로 진행될 것으로 예견된다. 이러한 특성으로 OECD의 정책 및 가이드라인은 상세한 action plan이 아닌 기본 원칙과 기준으로서 한국의 향후 정책발전의 기저 및 기본 방향의 제시로서 의의가 있으나, 정책의 세부작업에는 부족할수 있을 것으로 판단되었다.
○ 개인정보의 기술적·관리적 보호조치의 운영·관리상 개선방향
1) 보호조치 운영 차원의 개선방향
개인정보의 기술적·관리적 보호조치의 운영차원의 개선방향은 개인정보 보호조치를 통한 침해 및 유출 대비의 사전적 적합성, 개인정보 침해발생시 문제 해결을 위한 대처활동의 적시성, 개인정보 침해 및 유출에 대한 사후적 대처의 적절성 등을 고려하여 정비하는 것이 바람직하다.
① 보호조치 전문가로 구성된 통합 전담팀 마련
정보통신기술 발달의 속도를 보안기술이 따라가지 못함에 따라 개인정보 유출의 위험성이 증대되고 있다. 보호조치 담당자 대부분이 소수로 구성되어 있거나, 이와 같은 새로운 기술변화에 대한 전문성이 상대적으로 낮은 경우가 많기 때문에 기술 환경 변화에 적합한 전문가를 수시 발탁하여 사안별로 전담팀을 유기적으로 구성하고 이를 통해 최대한 모든 분야를 점검하고 침해 가능성을 진단할 수 있도록 하는 것이 바람직하다.
② 업종·대상별 특성에 따른 보호조치 운영의 차별화
현행 개인정보 보호조치는 기업 유형에 따른 다양성을 고려하는 차별적 보호조치 없이 획일화된 규정을 적용하고 있다. 사업체의 업종별 특성을 고려한 체계적이고 세부적인 보호조치의 수립이 필요하게 되는데, 특히 소상공인의 경우 현실적으로 개인정보보호조치 마련에 대한 한계가 있어 최근 정부가 마련한 ‘개인정보 보호 구현 가이드’ 와같이 소규모 업종 등에 대한 지원방안이 필요하다. 이와 함께 개인정보 보호조치가 취약한 영세사업자에 대한 차별적인 관리를 통해서 실효성 있는 지원체계를 갖출 필요성이 요구되고 있음. 온·오프라인의 두 가지 방식으로 중소기업, 영세사업자 등을 대상으로 방문교육을 실시하거나 정보보호조치 취약점에 대한 온라인 점검 서비스 등의 지원이 필요하다.
③ 맞춤형 정보제공과 체계적인 교육 강화
정부차원에서의 정보보호를 위한 기술적·관리적 기준을 고시로 제정하거나, 이에 대한 가이드라인을 제공함에 있어 지역적 제약, 담당자 외의 관심부족으로 인해 준수대상자가 관련 준수사항에 대한 숙지 및 이해가 전반적으로 부족한 실정이다. 따라서 이들을 대상으로 하기 위해서는 정기 교육과정을 KISA와 같은 실무기관이나 학교, 교육센터 등에 개설하여 운영하는 방안도 고려할 수 있으며, 쉽게 이해할 수 있는 홍보물을제작·배포하고 방송, 신문 등 언론매체를 활용하여 적극적으로 안내하는 것이 중요하다.
2) 집행 및 관리 차원의 개선방향
개인정보의 기술적·관리적 보호조치의 집행 및 관리 차원의 개선방향은 개인정보 보호조치가 기술 환경의 변화와 새로운 서비스 등장에 대처하기 위한 실제적인 집행체계를 마련하는 방향으로 나아가야 한다. 이를 통하여 적극적으로 ICT 발달에 대한 대응력제고, 실무현장에 대한 정합성 확보, 제도로서의 지속적인 실효성 확보 등이 이루어져야한다.
① 현행 개인정보 보호조치 기준의 주기적 검토 설정
현재 기술적·관리적 보호환경의 변화에 대해서 가장 우선적으로 대응하는 것이 법률개정 및 관련 규정을 마련하여 정보통신서비스제공자 및 정보처리자이 개인정보를 보호하고 안전한 정보서비스 환경을 구현하도록 독려하고 있는 것이다. 하지만, 새로운 규정이나 기준의 변경을 가져오기 위해서는 그만큼 시간이 소요되고, 공청회 등의 한정적 공간에서 이루어지거나 입법예고 등을 통해 일반적인 업무수행자의 의견을 반영하기에는 한계가 있다. 따라서 기술적·관리적 보호기준을 수립함에 있어서 관련 전문가, 실무담당자 등이 변화하는 정보화환경에 맞물려 적극적인 정보보호기술을 제안하거나 정보보호를 위한 지침이나 규정을 마련하도록 수시로 의견을 제시하고 교류할 수 있는 참여통로가 마련되어야 한다. 이때 개인정보 보호조치의 기준 및 세부 내용에 대한 적합성을 검토하기 위해서 이해관계자들이 반기별로 참여하는 공식적인 회의를 실시하는 것이바람직하다.
② 실무기관의 협의 협업 강화를 통한 집행 실효성 제고
개인정보 보호조치 등 정부의 규제지시와 현장 실무의 현실적인 괴리를 좁히기 위한 일반적인 관리과정에서 한국인터넷진흥원 등 전문기관의 적극적인 조정역할이 필요하다. 실무기관과 민간부문의 사업자 및 이해당사자들의 적극적 참여를 유도하고 보호조치가 실효적으로 반영될 수 있도록 공식적 협의기구가 제도적으로 마련될 필요가 있으며, 이는 보호조치 기준의 적합성 검토를 포함하여 집행과정에서 나타나는 문제점을 전반적으로 수시평가하는 자리로 활용될 수 있다.
③ 표준마련 및 기준제시에 대한 이해관계자 참여 활성화
국제적 표준에 준하는 국내의 개인정보보호 표준 제시를 위해 정부와 민간이 협력하여 국내실정에 맞는 표준제시와 인증제도 준비가 필요하며 개인정보 보호조치의 계획수립에서부터 사후조치에 이르기까지 세부 단계에 대한 협의가 이루어져야 한다. 현재 한국인터넷진흥원에서 운영되고 있는 인증심사제도에 대한 홍보 및 교육활동을 강화하고 정부기관과 민간기업 그리고 전문인력 풀(pool)제를 도입하여 각 분야의 전문가가 참여한 효과인 표준 및 기준을 제시하는 것도 하나의 대안이 될 수 있다.
④ 자율규제 유도를 통한 기업의 일상 점검과 보안활동 강화
보호조치 기준을 위반할 경우 과징금, 과태료 등의 징벌적 규제는 단기적 규제 효과를 얻을 수 있으나, 규제 효과의 지속성과 장기적인 개인정보보호조치의 효율적인 운영을 위하여 기업체의 자율적 규제를 유도하는 것이 중요하다고 볼 수 있다. 민간기업의 개인정보에 대한 투자가 개인정보 유출 예방효과를 통한 장기적인 이익으로 돌아올 수 있다는 점을 강조하고 개인정보보호조치를 실시하지 않을 경우의 위험성에 대한 실질적인 교육 및 홍보를 실시하여 일상적인 보안의식 강화가 필요하다.
⑤ ICT 패러다임 변화에 맞는 새로운 개인정보 보호기준의 중장기적 검토
최근 클라우드 보안에 관한 중요성이 더욱 강조되고 다양한 스마트 기기의 확산과 함께 빅데이터라는 사회적 이슈가 제기되면서 이를 어떻게 대처하여 개인정보를 보호할것인가라는 실질적 우려에 대한 개선방안을 검토해야 한다. 이를 점검한 뒤 기존의 개인정보 보호조치와 또 다른 기술적 요구 수준과 점검방식을 필요로 할 경우에는 별도의 기준 또는 가이드라인을 만들어 관리하고 기술발전이 확산되어 서비스 보편화 이후에는 기준을 통합관리하는 것도 하나의 대안이 될 것이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.