오는 18일 시행을 앞두고 있는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법)'에 대한 관심이 뜨겁다. 무엇보다도 법 시행일로부터 온라인 서비스 제공자는 주민등록번호를 수집, 이용할 수 없게 되면서 많은 온라인 사업자들이 걱정과 혼란을 겪고 있다.
개정법이 시행되면 정보통신서비스 제공자는 본인확인기관으로 지정받거나 법령에서 허용하는 경우 등을 제외하고는 이용자 주민번호를 수집·이용할 수 없다. 내년 2월까지 유예기간이 있지만 웹서버에서 주민번호를 삭제하고, 대체수단을 이용자에게 제공해야 하는 사업자들의 부담이 커질 수밖에 없다.
법 개정을 계기로 유독 우리나라에서만 천문학적 규모의 개인정보 유출사고가 빈발한 근본적 원인을 되새겨 볼 필요가 있다.
주민번호를 비롯해 개인을 완벽하게 식별할 수 있는 거의 모든 정보를 모든 인터넷 사이트가 수집, 허술하게 보관하고 있는 것이 근본적 원인 중 하나다. 한편으로 다수의 개인정보를 수집해 인터넷 사업을 전개하면서도 충분한 보안인력을 갖추지 않다 보니 보안 허점이 많은 것도 해커들이 개인정보를 노리고 웹서버를 공격하는 유인이 되고 있다.
이를 근본적으로 개선하기 위해 정통망법 개정안은 정보보호 사전점검제도의 법적 근거를 마련했다. 서비스 제공자가 임원급의 정보보호 최고책임자를 지정할 수 있도록 했다. 또 정보보호 안전진단제도를 폐지하고, 정보보호 관리체계 인증제도로 일원화했다.
임원급의 정보보호 최고책임자 지정의 근거가 마련된 것은 의미가 크다.
그동안 기업 내 정보보안을 담당하는 직원의 최고직급이 낮다보니 회사의 의사결정에 정보보안을 우선시하기 어려운 것이 현실이었다. 정보 보안을 고려하기 보다는 비용절감, 영업우선에 기반한 의사결정이 주를 이루다보니 결국 보안 담당자들은 사고가 터지지 않기만을 기다리는 심정으로 업무를 수행해 왔다.
대형 인터넷 기업들부터 정보보호 최고책임자를 임원급으로 임명해 정보보안 없이는 회사의 발전도 없다는 점을 최고경영진이 충분히 인식하고 있음을 천명하는 것이 보안사고를 막는 가장 쉬운 길이다.
개정법에서는 또 정보통신서비스 제공자가 개인정보의 분실·도난·누출 사고 발생 시 해당 이용자에게 통지 및 방송통신위원회에 신고하도록 했다. 피해를 최소화할 수 있는 조치도 강구하도록 했다.
독자들의 PICK!
그동안 개인정보보호법과 달리 개인정보가 누출되더라도 이용자에게 통지하거나 정부에 신고하는 제도가 없어 혼란스러웠던 것이 사실이다. 이제 인터넷 사업자들도 사고발생시 이용자에게 통지해야 하기 때문에 개인 정보보호에 더욱 관심을 기울일 것으로 예상된다.
이밖에 정보통신서비스 제공자 중 일정 기준에 해당하는 자는 수집한 개인정보의 이용내역을 주기적으로 이용자에게 통지해야 한다. 그동안은 수집 목적 범위 내에서 사업자가 스스로 이용하거나, 위탁 제공하거나 제3자 제공을 해도 아무런 사후 통제가 없었다. 앞으로는 사용내역 통지를 통해 불필요한 이용이나 제3자 제공을 최소화할 수 있다.
이번 정통망법 개정은 실질적·근본적으로 개인정보보호를 달성할 수 있는 조치를 도입하자는 지다. 기업들의 개인정보에 대한 관점이 달라지길 기대한다. 더불어 불필요한 개인정보 수집을 억제하고 고객 아이디, 패스워드, 이메일, 전화번호 정도만 수집해 사업을 하는 모델이 늘어날 것으로 기대된다.
