개인정보보호위원회가 개인정보 처리 시스템에 접속이 가능한 기기에 대한 인터넷망 차단 조치를 개인정보 처리 환경에 따라 차등 적용할 수 있도록 규제를 개선한다.
개인정보위는 이 같은 내용을 담은 ‘개인정보의 안전성 확보조치 기준’ 고시 개정안을 이날부터 다음 달 9일까지 행정예고한다고 21일 밝혔다. 개인정보위는 이번 고시 개정안을 두고 “인공지능(AI), 클라우드 등 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 발맞춰 개인정보 처리자의 처리환경에 맞는 개인정보 안전성 확보에 필요한 조치를 담고 있다”고 설명했다.
이번 개정에 따라 일정 기준에 해당하는 처리자(대규모 처리자)에게 적용되는 인터넷 접속 차단 조치가 개선된다. 대규모 처리자는 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보 처리자를 의미한다. 이들은 그동안 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보 취급자의 모든 기기에 대한 인터넷망을 차단해야 했다. 다만 개인정보위는 이번 개정으로 대규모 처리자가 위험분석 후 위험수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 선별적으로 취급자의 기기에 대한 인터넷망 접속이 가능하도록 했다.
또한 이번 개정에 따라 개인정보 처리자의 시스템 접속 인가 범위도 확대된다. 이번 개정으로 개인정보 처리자가 △처리 시스템에 대한 접근권한을 부여·통제하는 대상과 △처리 시스템에 대한 접속 기록을 보관·관리해야 할 범위가 변경됐다. 다만 동시에 개인정보 처리자는 처리 시스템 접속 시 인증수단을 적용해야 하는 대상이 확대됐다. 접속 인가 범위가 확대됨에 따라 개인정보 처리를 위한 처리자의 의무도 강화된 것이다. 개인정보위는 이와 함께 처리 시스템에 보관된 접속 기록 등을 통해 개인정보 유출이 발생할 경우 책임성이 강화할 방침이다.
개인정보위는 이 외에도 개인정보 처리자가 환경에 맞게 처리 시스템에 대한 접속 기록 점검 주기를 설정할 수 있도록 개정한다. 기존에는 처리자가 처리 시스템에 대해 월 1회 이상 접속기록을 점검해야 했지만, 앞으로는 보유한 개인정보의 규모·유형 등의 처리환경을 고려해 처리 시스템의 접속기록 점검 주기 등을 내부 관리계획에 반영하여 운영할 수 있다.
양청삼 개인정보정책국장은 “AI와 데이터 활용의 중요성이 커진 현시점에서, 대규모처리자가 개인정보의 처리 목적·방법·맥락 등을 종합적으로 고려하고 위험 분석을 통해 인터넷망 차단 여부를 스스로 결정하도록 했다”며 “행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획”이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
