개인정보위, 개인정보처리자 인터넷망 차단 규제 개선한다

사진=개인정보보호위원회

개인정보보호위원회는 개인정보처리시스템에 접속이 가능한 기기에 대한 인터넷망 차단 조치를 개인정보 처리환경에 따라 차등 적용할 수 있도록 규제를 개선한다고 21일 밝혔다. 

개인정보위는 이 같은 내용을 담은 '개인정보의 안전성 확보조치 기준' 고시 개정안을 21일부터 8월 9일까지 20일 간 행정예고한다.

이번 고시 개정안은 인공지능, 클라우드 등 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 발맞춰, 개인정보처리자의 처리환경에 맞는 개인정보 안전성 확보에 필요한 조치를 담고 있다.

우선 일정 기준에 해당하는 처리자에게 적용되는 인터넷 접속 차단 조치를 개선한다. 기존 대규모처리자는 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자의 모든 기기에 대한 인터넷망을 차단해야만 했다. 

그러나, 이번 개정으로 대규모처리자가 위험분석 후 위험수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 선별적으로 취급자의 기기에 대한 인터넷망 접속이 가능하도록 했다. 

또한 처리자의 처리시스템 접속 인가 범위를 확대한다. 이번 개정으로 처리자가 처리시스템에 대한 접근권한을 부여·통제하는 대상 및 처리자가 처리시스템에 대한 접속기록을 보관·관리해야할 대상범위가 변경됐다. 

이에 따라 처리시스템 접속 시 처리자가 안전한 인증수단을 적용해야만 하는 대상이 확대되는 등 안전한 개인정보 처리를 위한 처리자의 의무를 강화하였다. 또한, 처리자에게 인가받지 못한 자의 처리시스템에 대한 접근을 막고, 처리시스템에 보관된 접속 기록 등을 통해 개인정보 유출 등 발생 시 책임성이 강화될 전망이다.

처리자가 개인정보 처리환경에 맞게 처리시스템에 대한 접속기록 점검 주기 등을 설정할 수 있도록 했다. 

기존에는 처리자가 처리시스템에 대해 월 1회 이상 접속기록을 점검하여야 했지만, 앞으로는 보유한 개인정보의 규모·유형 등의 처리환경을 고려해 처리시스템의 접속기록 점검 주기 등을 내부 관리계획에 반영하여 운영할 수 있다. 

양청삼 개인정보위 개인정보정책국장은 "인공지능과 데이터 활용의 중요성이 커진 현시점에서, 대규모처리자가 개인정보의 처리 목적·방법·맥락 등을 종합적으로 고려하고 위험 분석을 통해 인터넷망 차단 여부를 스스로 결정하도록 하였다"며, "행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획"이라고 밝혔다.