강은성의 보안 아키텍트ㅣ드디어 통합된 개인정보의 안전성 확보조치 기준

마침내 ‘개인정보의 안전성 확보조치 기준’이 하나로 통합된다. 2023년 3월 14일 공포된 개정 개인정보보호법에서 ‘정보통신서비스 제공자’와 ‘이용자’ 같은 ‘정보통신망법’ 용어가 사라지고, ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’가 삭제되면서 예측됐다.

이후 시행령 개정안에서 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)가 삭제되어 ‘정보통신서비스 제공자 등’에게 적용되는 ‘개인정보의 기술적 관리적 보호조치 기준’(개인정보보호위원회 고시, 이하 보호조치 기준) 고시의 근거 법령이 모두 없어져서 폐기되고, ‘개인정보의 안전성 확보조치’(개인정보보호위원회 고시, 이하 안전조치 기준) 고시로 일원화되는 것은 당연한 순서이긴 하지만, 실제 ‘보호조치 기준’ 고시의 폐지 행정예고가 개인정보보호위 홈피에 올라오면서 드디어 폐지되긴 되는 모양이다, 하는 생각이 들었다.

1999년 정보통신망법에 들어와 21년 동안 자리를 지켰던 ‘제4장 개인정보의 보호’가 ‘데이터 3법’ 개정이란 거대한 물결에 2020년 2월, 개인정보보호법으로 이관되는 대격변 속에서도 꿋꿋하게 자리를 지켜온 ‘보호조치 기준’ 고시의 퇴장을 보며 보안 동네에 오래 몸담았던 사람들은 감회가 남다를 것이다. 
 

겨우 보유 기간, 암호화 대상, 안전한 접속 방법 등 자세히 살펴보지 않으면 알아내기도 어려운 두 고시의 차이로 혼란을 겪어온 정보보안과 개인정보보호, IT 실무자들에게는 반가운 변화다. 이 두 고시의 통합을 아쉬워할 사람은, 아마도 이 두 고시의 차이점을 시험 문제로 내온 출제자들밖에 없을지도 모른다.

이렇게 통합 ‘안전조치 기준’ 개정안을 환영하면서도 통합의 원칙에 적절한지 의문이 드는 일부 조항이 보여 몇 가지 의견을 내고자 한다.

1. 제7조(개인정보의 암호화) 제2항을 모든 개인정보처리자에 적용
 

개정안 제7조(개인정보의 암호화) ② 개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. 1. 주민등록번호    2. 여권번호    3. 운전면허번호    4. 외국인등록번호     5. 신용카드번호    6. 계좌번호    7. 생체인식정보

③ 개인정보처리자는 이용자가 아닌 정보주체의 개인정보를 다음 각 호와 같이 저장하는 경우에는 암호화하여야 한다. 1. 인터넷망 구간 및 인터넷망 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우  2. 내부망에 고유식별정보를 저장하는 경우(다만, 주민등록번호 외의 고유식별정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의 적용 여부 및 적용범위를 정하여 시행할 수 있다) 가.법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 나.암호화 미적용시 위험도 분석에 따른 결과

조문 이해의 장애가 되는 용어 정리부터 하고 들어가야겠다. 먼저, 이용자의 정의는 다음과 같다.
 

개인정보보호법 제2조(정의) 2. “이용자”란 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항 제3호에 따른 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다. 정보통신망법 제2조(정의) 3. “정보통신서비스 제공자”란 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자

즉 이용자는 정보통신서비스 제공자(온라인 영리사업자)의 고객이다. 이를 적용하여 제7조를 개인정보처리자와 그들이 보유한 개인정보를 분류하면 다음과 같다.
 

개정안 제7조 제2항은 ‘이용자의 개인정보’, 즉, [표 1]의 정보통신서비스 제공자의 고객(㉣)의 개인정보 중 고유식별정보 등 7가지 매우 중요한 개인정보를 암호화할 것을 규정한다. 이에 따르면, 특히 일반 개인정보처리자 고객(㉡)은 이용자(㉣)와 고객이라는 같은 위상에 있음에도 덜 중요하게 보호받게 된다. 비고객(㉢, ㉤)의 7가지 개인정보 역시 정보통신서비스 제공자의 같은 종류의 개인정보보다 덜 중요하게 보호받아야 할 마땅한 이유를 찾을 수 없다. 따라서 제7조 제2항을 다음과 같이 변경하는 것이 바람직하리라 생각된다.

     • 변경 전: ② 개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.
     • 변경 후: ② 개인정보처리자는 다음 각 호의 개인정보를 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.

2. 제7조(개인정보의 암호화) 제3항 삭제

이 조항은 주민등록번호 이외의 고유식별정보 즉, 여권번호, 운전면허번호, 외국인등록번호를 일반 개인정보처리자의 내부망에 저장할 때 암호화지 않아도 되는 요건을 규정한다. ‘안전조치 기준’ 제정 때부터 있었던 조항이다. 원래 [표 1]의 ㉡, ㉢에 해당하는 조항인데, 이번 개정으로 ㉤이 포함됐다. 

이 조항의 핵심 대상은 개인정보 영향평가의 대상이 되는 공공기관(제3항 제2호 가목)이 될 것으로 보인다. 

개인정보 영향평가(법 제33조)는 5만 명 이상의 고유식별정보나 민감정보, 100만 명 이상의 개인정보를 운용하는 등 일정 규모 이상의 공공기관에 적용하는 법률이어서 이들 공공기관에 정보통신서비스 제공자보다 완화된 개인정보 보호 조치를 허용하게 된다. 위험도 분석(제3항 제2호 나목) 역시 공공기관에서 많이 이용한다. 이 조항 때문에 공공기관에 신용카드번호, 계좌번호, 생체인식정보의 암호화 의무가 면제됐다. 

공공기관은 법령에 따라 정보주체의 동의 없이 개인정보를 수집할 수 있어서 정보통신서비스 제공자 이상의 개인정보 보호조치를 해야 할 개인정보처리자다. 이미 개인정보위는 “법령에 따라 개인정보를 수집·이용하는 공공기관의 경우 개인정보보호 의무를 철저하게 준수할 필요가 있다는 점을 고려”(개인정보위 보도자료, “개인정보위, 개인정보보호 법규 위반 7개 공공기관 제재”, 2022.8.10)한다고 발표한 바 있다. 따라서 제7조 제3항은 삭제하는 것이 적절하다고 판단된다.

3. 제7조 제5항의 암호화 대상을 제7조 제2항과 동일하게 변경
 

개정안 제7조(개인정보의 암호화) ⑤ 개인정보처리자는 이용자의 개인정보 또는 이용자가 아닌 정보주체의 고유식별정보, 생체인식정보를 개인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

제7조 제2항에서 암호화의 주체는 개인정보처리자이고, 암호화 대상 저장매체나 장소를 규정하고 있지 않으므로, 제2항의 조문은 제5항의 내용을 포함하는 것으로 해석될 수 있다. 다만 개인정보처리자가 개인정보취급자의 PC에 있는 개인정보 파일에 안전한 알고리즘을 적용하기 어렵다는 현실을 고려하면, 엑셀이나 아래아한글 등 상용 소프트웨어에서 제공하는 암호화 방법을 이용할 수 있도록 허용하는 것은 합리적이다. 다만 제5항의 암호화 대상인 ‘이용자의 개인정보’는 개인정보처리자의 암호화 의무 대상을 상당히 넓힐 수 있어서 제2항처럼 암호화 대상을 7가지 개인정보로 한정하는 것이 적절하리라 판단된다. 

이를 종합하면 개정안 제7조 제5항은 다음과 같이 변경하는 것이 어떨까 한다.
 

변경안 제7조(개인정보의 암호화) ⑤ 개인정보처리자는 다음 각 호의 개인정보를 개인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다. 1. 주민등록번호    2. 여권번호    3. 운전면허번호    4. 외국인등록번호     5. 신용카드번호    6. 계좌번호    7. 생체인식정보

4. 접속기록 범위의 확대는 반드시 필요한가?
 

개정안 제2조(정의) 3. "접속기록"이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.

개정안 제8조(접속기록의 보관 및 점검)  ① 개인정보처리자는 개인정보처리시스템에 접속한 자에 대한 접속기록을 생성하고 3개월 이상 보관·관리하여야 한다. ② 제1항에도 불구하고 개인정보처리자는 개인정보취급자의 접속기록은 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만 명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」 제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 ③ 제1항 및 제2항에 따른 접속기록은 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무를 포함하여야 한다. ④ 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ⑤ 개인정보처리자는 제1항 및 제2항에 따른 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다.

개정안 제2조(정의) 제3호에서는, “개인정보취급자 등이 개인정보처리시스템에 접속”하여 활동한 기록으로 되어 있는 현행 접속기록의 정의에서 ‘개인정보취급자’를 삭제함으로써 정보주체가 개인정보처리시스템에 접속한 기록까지 포함하도록 접속기록의 범위가 확대되었다. 정보주체의 수는 개인정보취급자의 수에 비해 수만~수백만 배 이상 될 수 있고, 총 접속기록의 건수는 그 이상이 될 수도 있다. 개정안에 따르면, 개인정보처리자는 정보주체의 접속기록도 안전하게 보관하여야 하고(제1항, 제3항, 제5항) 월 1회 이상 점검(제4항)도 해야 하므로, 개인정보처리자의 부하가 크게 늘어날 수밖에 없다. 

그러므로 이처럼 고시를 개정하려면, 그 동안 개인정보취급자의 접속기록 점검을 통해 개인정보 유출 사고를 예방한 사례, 그러한 사고를 예방하는 데 접속기록 점검이 유일하거나 효율적인 방안인지, 또는 정보주체의 접속기록을 보관하지 않아 사고를 예방하는 데 발생한 문제점 등 개정안을 통해 얻으려는 법익이 사업자의 부담보다 명백하게 우월하다는 등 합리적인 설명이 필요해 보인다.

5. 제6조(접근통제) 제6항에서 ‘개인정보처리자’를 ‘정보통신서비스 제공자’로 변경
 

개정안 제6조(접근통제) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다.

표 1에서 즉 이용자는 정보통신서비스 제공자(온라인 영리사업자)의 고객이므로, 개정안 제6조 제6항의 ‘개인정보처리자’는 ‘정보통신서비스 제공자’로 해석된다. 따라서 ‘개인정보처리자’ 대신에 ‘정보통신서비스 제공자’라고 명시하는 것이 수범자가 쉽게 이해하여 법규를 준수하는 데 도움이 된다. 현행법 제39조의4(개인정보 유출등의 통지·신고에 대한 특례) 제1항의 ‘정보통신서비스 제공자 등’ 규정이 없다고 해도 이 조문에서 별 문제가 없어 보인다. 

     
* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr