“사업자, 여권·운전면허번호도 암호화해 보관해야”

방통위, 개인정보의 보호조치 기준 해설서 개정
개인정보 수집·이용하는 사업자 위한 가이드라인

개인정보를 수집·이용하는 정보통신서비스 제공자는 앞으로 여권번호나 운전면허번호, 외국인등록번호도 암호화해 보관해야 한다. 또 스마트폰, 태블릿PC, 외장형하드디스크 등에 개인정보를 저장할 때에도 암호화를 해야 한다.

12일 방송통신위원회와 한국인터넷진흥원(KISA)은 "온라인을 통해 영리목적으로 개인정보를 수집·이용하는 정보통신서비스 제공자등이 개인정보를 안전하게 보관, 관리하기 위해 지켜야 할 '개인정보의 기술적·관리적 보호조치 기준 해설서'를 개정했다"고 밝혔다.

온라인 사업의 특성상 1인 사업자부터 대기업에 이르기까지 규모 및 업종 등이 다양한 기업군이 분포함에 따라, 이들 사이에서는 기술적·관리적 보호조치가 복잡하고 어렵다는 지적이 꾸준히 제기되어 왔다. 방통위와 KISA가 이번에 해설서를 개정한 배경이다.

방통위는 일반인도 쉽게 이해할 수 있도록 각 조문별 의미와 이행방법 등 사례를 상세히 수록했다. 사업자별 환경에 맞는 개인정보 보호조치 기준을 수립·시행하는데 도움을 줄 것으로 기대된다.

개정된 해설서는 내부관리계획 수립·시행 등 관리적 분야, 접근통제, 접속기록의 위·변조 방지, 개인정보의 암호화, 악성프로그램 방지 조치 등 기술적 분야를 포함해 총 10개 조문에 대해 보완했다.

주요 내용을 살펴보면, 제4조 제4항에서 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 때에, 공인인증서만이 안전한 인증수단인 것으로 오해하는 경우가 많아, 다양한 인증수단을 사용할 수 있음을 명확히 했다.

제4조 제10항에서는 개인정보취급자가 업무종료 이후에도 로그아웃 등 보호조치를 하지 않아 해킹에 의한 개인정보 유출사고가 발생한 사례가 있어, 사업자는 개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 최대접속시간 제한 등의 조치를 하게 했다.

정보통신망법 개정으로 온라인상 주민등록번호수집이 금지됨에 따라, 주민등록번호 외에 고유식별번호의 이용이 늘어날 것으로 예상된다. 이에 제6조 제2항에서는 여권번호, 운전면허번호, 외국인등록번호를 암호화 대상에 추가했다.

스마트폰, 태블릿 PC 등 모바일 기기 및 보조저장매체(외장형 HDD 등)에 개인정보를 저장할 때에도 암호화를 적용해야 한다.

개인정보가 보관된 전산실, 자료보관실 등에 대한 출입통제 절차와 보조저장매체의 반출입 통제 등 물리적 접근 방지 조치도 필요하다.

이번에 개정된 해설서는 방통위 홈페이지 및 KISA 온라인 개인정보보호 포털 자료실에서 내려 받아 볼 수 있다.

김재영 방통위 이용자정책국장은 "해설서에 담긴 내용은 사업자가 이용자 개인정보 보호를 위해 지켜야 할 최소한의 기준으로서 사업자들은 해설서 내용을 숙지하고 관련 업무를 지속적으로 점검·개선해야 한다"고 말했다.

김동표 기자 letmein@asiae.co.kr
<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>