지난달 29일 개최된 데일리시큐 주최 PASCON 2014에서 안전행정부 개인정보보호과 문금주 과장(사진)은 공공, 금융, 기업 개인정보보호 및 정보보안 담당자 700여 명이 참석한 가운데 ‘개인정보보호 정상화 대책’을 주제로 키노트 발표를 진행했다.
 
문금주 과장은 실태점검 결과에 대해 공공기관은 개인정보 관리·유통, 보안기술, 인프라 등에서 문제점을 발견했으며 민간부문에서는 개인정보보호 인식과 관리체계가 취약한 상황이라고 지적했다.
 
특히 공공부문에서는 정보를 관행적으로 과다수집하고 보존기간을 과도하게 장기로 설정하거나 파기 지연 등 관리감독 미흡 문제를 지적했고 민간에서는 안전성 확보조치 미흡, 필수 고지사항 누락, 관리감독 미흡 등을 지적했다.
 
공공기관 주요 위반유형 및 사례를 살펴보면, PC 유지보수 등 외부위탁 계약시 개인정보보호 관련 내용을 포함하지 않았고 수탁업체가 연이어 계약될 경우 수탁업체에 대한 교육 등 관리감독 미실시가 적발됐다.
 
또 초중학교에서 관행적으로 각종 조사서식을 이용해 주거현황, 부모 직업 등 개인정보를 과다 수집하고 각종 개인정보 수집양식에 동의 절차 및 필수 고지사항 누락, 제3자 제공에 대한 별도 동의 미준수도 많았다.
 
그리고 전산시스템 접속기록 대부분이 ID, 접속시간 등 기본사항만 관리되고 실제 업무수행 내역은 미관리되고 있었고 인사이동 시 시스템 접근권한을 즉시 변경하지 않고 상당기간 유지하는 경우도 있었다.
 
이외 분쟁 대비 등을 이유로 보존기간을 장기간으로 설정, 관행적으로 파기 지연을 하고 있고 취급자, 수탁자, 시스템 담당자 등에 대한 교육 및 관리감독 미흡, 정기적인 조사점검 미실시도 위반사항으로 적발됐다.
 
문 과장은 이런 문제점에 대한 개선 방안에 대해 “업무별 구체적 수집기준 마련과 서식 정비, 시스템상 확인가능 시 수집 제한이 필요하고 주민번호 수집 법령 근거 마련?정비, 전보?퇴직자 접근권한 현행화, 최소 취급자별 접근 권한 부여?관리, 시스템 조회 모니터링체계 구축, 관리 대상 구체화 및 가이드 마련, 파일 유형별로 세부 기준을 마련해 보관기간을 필요 최소기간으로 재산정해야 한다”고 밝혔다.
 
또 “연계된 파일은 기관별 파기계획(내부 결재) 수립 후 분기별 파기토록 변경하고 파일의 기록물 등록관리 여부 및 관련 기준 마련, 개인정보의 정보공개 기준에 대한 기준 명확화, 민간정보 또는 대규모시스템 운영시 전문인력 확보 의무화 및 인력 확충, 사례?가이드?지침의 교육?홍보 강화, 책임자/취급자별 전용 교육자료 배포, 상호간 협력 강화 및 책임소재 명확화 마지막으로 암호화, 접속기록 관리 등의 조치를 위한 예산 확보가 필요하다”고 강조했다.   
 
한편 민간 분야 주요 위반 유형 및 사례를 보면, 협회 단체 등 비영리 기관에서는 개인정보 수집 동의 및 위탁 절차 등 미준수, 권한관리 및 암호화 조치 등 안전성 확보조치 미흡, 일부 기관의 경우 개인정보를 동의 없이 수립하거나 제3자에게 제공한 사실도 적발됐다.
 
또 증권사에서는 개인정보 수집시 필수 고지사항을 누락하고 안전성 확보조치 미흡, 고유식별정보 수집과 상품판매 권유에 대한 동의 획득시 구분 동의 미흡 등이 위반사례로 지적됐다.
 
통신사 영업점, 온라인 쇼핑몰에서는 개인정보보호 조치 위반, 주민등록번호 이용 금지 위반, 목적달성 후 개인정보 파기 미흡 등이 적발됐고 취급자 관리 감독 미흡, 홍보 판매 권유를 위한 개인정보 수집시 구분 동의 미실시 등이 적발됐다.
 
대학이나 병원에서는 개인정보 처리 위탁시 준수사항과 안전성 확보조치 미흡 등이 드러났고 소규모 생활밀착형 업종에서는 관련 법규에 대한 이해도가 낮아 현장 적용이 미흡한 수준으로 나타났다.
 
문 과장은 “개인정보의 수집, 이용 목적이 적정한지 여부를 확인하고 수집하려는 개인정보의 항목과 보유 및 이용시간 설정이 수집 목적 달성을 위해 불가피하게 설정되었는지 여부 확인, 동의 거부시 불이익 사항을 적시하는 경우 그 적정성 확인이 필요하다”고 지적하고 또 “온오프라인 회원가입 또는 기타 서식을 통해 개인정보 수집시 획득한 동의 범위를 초과해 자체 이용하거나 제3자에게 제공하는 경우 주의해야 한다”고 강조했다.
 
더불어 “개인정보의 당초 수집목적이 달성되었거나 보유기간이 경과되어 파기 시 복원이 불가능한 방법으로 영구 삭제했는지 여부와 기록물, 인쇄물, 서면 등의 경우 파쇄 또는 소각해야 한다”고 밝히고 “전년도 말 직전 3개월간 인터넷 홈페이지 이용자 수가 하루 평균 1만명 이상인 경우 대체 가입수단을 제공해야 하고 개인정보취급자의 개인정보처리시스템에 대한 접근권한을 업무 성격에 따라 최소한 범위로 차등 부여하는 등 접근권한을 관리감독하고 취급자 정기교육을 실시해야 한다”고 주의를 당부했다.

 
이외 개인정보보호 책임성 강화를 위해 정보유출에 대한 손해배상을 강화했다고 밝혔다. 징벌적손해배상은 기업의 고의 중과실로 개인정보가 분실, 도난, 유출되어 피해가 발생한 경우, 기업이 고의 중과실 없음을 입증하고 피해액은 피해자가 입증, 재산 및 정신적 피해 모두 포함되며 실제 피해액의 3배 이내 배상, 개정법 시행 이후 유출사고시 등이 해당된다.
 
법정 손해배상제도는 기업의 고의과실로 개인정보가 분실 도난 유출된 경우, 기업이 고의과실 없음을 입증해야 하고 사실상 피해액 입증이 어려운 정신적 피해도 해당된다. 또 300만원 이하의 범위에서 상당한 금액을 배상해야 한다.
 
또 개인정보 유출 등 범죄자에 대한 처벌도 강화되며 안정성 조치 미비로 개인정보가 유출됐을 경우 현행 과징금 1억원에서 개선안에는 매출액의 3%까지 배상금액이 정해질 수도 있다.
 
문 과장은 “개인정보보호 정상화 대책을 통해 정보보호를 위한 기업의 선투자를 촉진하고 국민들의 소중한 개인정보가 더욱 안전하게 보호될 수 있도록 법·제도적 개선이 필요한 사항은 이해관계자 의견수렴 및 공청회 등을 통해 올해 중 개정안을 마련해 입법 완료를 추진하고 예산 확보 및 조직, 인력 확충이 필요한 사항은 관계 부처와의 긴밀한 협조를 통해 올해 내 마무리할 계획”이라고 전했다.
 
이번 PASCON 2014에서 안전행정부 문금주 과장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com