KISA “개인정보유출, ‘공개·유출 방지 조치’ 위반 다수”
[시사저널e=김용수 기자] “과거 법원은 개인정보 안정성 확보 조치 일정 기준을 다 지키면 개인정보처리자 의무를 다했다고 평가했지만, 최근 해당 조치를 최소한의 기준으로 판단하고 있다. 개인정보취급자들은 개인정보 안정성 확보 조치 기준을 최소한의 기준으로 판단하고 접근해야 한다.”
7일 차윤호 한국인터넷진흥원(KISA) 개인정보조사단장은 법원의 개인정보보호 의무 위반 판단 기준과 관련해 이같이 밝혔다.
현재 법원은 ▲해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준 ▲업종·영업 규모와 취하고 있는 전체적인 보안조치의 내용 ▲정보보안에 필요한 경제적 비용 및 효용의 정도 ▲해킹 기술의 수준과 보안기술의 발전 정도에 따른 피해발생 회피 가능성 ▲수집한 개인정보의 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등을 개인정보보호 의무 위반의 판단 기준으로 삼고 있다.
차 단장은 이같은 기준을 소개하면서, 개인정보 유출 사고의 안전조치 위반 사항 중 ‘공개·유출 방지 조치’ 위반을 주요 쟁점 사항으로 꼽았다. 공개·유출 방지 조치는 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보 취급자의 컴퓨터와 모바일 기기에 취하는 조치를 말한다.
이와 관련 차 단장은 “최근 접수되는 개인정보 유출 신고의 상당 부분은 개발 및 업데이트 과정에서 오류가 발생하거나 캐시 설정을 잘못해서 개인화 범위까지 타인에게 노출하는 경우”라며 “개인정보 공개·유출 방지 조치 위반에 대비하기 위해 웹 취약점 점검과 시큐어 코딩, 개발·적용 과정에서 충분한 사전테스트가 필요하다”고 지적했다.
아울러 “(처리자는) 지속적으로 설계에 반영된 보안기술의 적정성을 검증하고 개선조치를 실시해야 한다”며 “이상행위에 대한 탐지와 대응 등 실질적인 활동이 이뤄져야 하며, 개인정보사회 통념상 합리적으로 기대 가능한 수준의 기술적 보호조치를 해야 한다”고 조언했다.
이날 KISA는 직원 50인 미만 업체 또는 비영리단체를 대상으로 연간 50여건의 컨설팅을 제공 중이라고 밝혔다. 또 2015년부터 중소기업을 대상으로 업무용 PC 보안 점검 도구도 무료로 제공하고 있다.