지난 7월 30일 국무회의를 통과한 개정 개인정보보호법이 내년 8월부터 본격적인 시행을 앞두고 있으나 아직도 개인정보 수집, 저장, 처리 등에 대한 법 조항을 이해하는데 어려움을 겪는 담당자, 임원들이 많다.
23일 개최됐던 안랩의 개발자 컨퍼런스인 '안랩 ISF 2013'에서 발표를 맡은 이장우 안랩 관리컨설팅팀 이사는 '개인정보보호법 개정 무엇을 준비하 것인가'를 주제로 법 시행을 앞두고 현업에서 준비해야 할 사항들에 대해 설명했다.
주민등록번호 등 개인정보를 다루는 기관, 기업 등은 오는 내년 8월 7일까지 정보통신망법 상 온라인 회원에 대해 주민등록번호를 이용하지 않도록 업무체계를 변경해야 한다. 또한 2016년 8월 6일까지는 법적 근거가 있는 예외조항을 빼고는 모든 주민등록번호를 파기해야한다.
다시 말해 사내 온라인 게시판을 운영하거나 기관 등이 제공하는 인터넷 서비스를 활용하기 위해 주민등록번호를 수집하는 사이트에서는 특별한 예외사항을 빼고는 관련 내용을 모두 없애야 하는 것이다.
이러한 사항을 위반했을 경우 기존과는 달리 정보보호담당자 뿐만 아니라 각 기관의 대표자, 최고기술책임자(CTO) 등 임원급도 최대 5억원까지 벌금이 청구될 수 있다.
해당 법에 대응해야 하는 임원 및 개인정보담당자 입장에서는 주민등록번호를 처리하는 일이 가장 골칫거리다. 이 이사는 개인정보보호법을 준비해야하는 담당자 입장에서 준비해야 할 대응방안을 개인정보보호 담당자 입장에서 소개했다.
주민등록번호 처리 개선을 위해서는 크게 4가지 단계로 작업을 수행해야 한다. 처리 현황 파악 단계에서는 수집/이용/보유/제공하고 있는 주민등록번호에 대해 정확히 파악할 필요가 있다. 이 이사는 처리 개선 단계 중에서 무엇보다 중요한 것은 부서 직원들의 양해를 구해 최대한 협조를 얻어내는 일이라고 밝혔다. 이후 법적으로 수집이 필요한지 아닌지의 여부를 판단하는 과정이 필요하다. 주민등록번호의 일부 내용을 활용할 경우 이에 대한 대체방안을 수립할 필요가 있다. 주민등록번호를 사이트에서 본인 확인을 위한 '키'로만 활용할 경우 별도의 고유 키값으로 대체할 필요가 있다.
주민등록번호 12자리 중 구성요소의 일부 기능만 사용할 경우 앞의 6자리 출생년월일과 뒤의 성별을 표시하는 1자리는 그대로 사용할 수 있다. 그 뒤 해당 개인이 출생 신고를 한 동사무소 주소를 나타내는 4자리 숫자는 우편번호 등으로 대체가능하다. 그러나 이 이사는 말은 쉽지만 이렇게 주민등록번호 대체 수단을 마련하기 위해서는 기관, 기업 내에서 운영하고 있는 전산시스템을 100% 이해하고 있어야 한다는 문제가 생긴다고 지적했다. 어떤 프로그램이 어떻게 돌고 있는지 모르는 경우가 허다한 상황에서는 어려움이 따를 수밖에 없다는 것이다.
그는 결국 주민등록번호 처리 개선을 한번에 해결할 수 있는 방법은 없고, 해당 업무로 시스템이 마비되지 않도록 개인정보 현황 파악과 현업에서 일하는 담당자들의 동의를 구하는 작업이 최우선돼야 한다고 밝혔다.
관련기사
- 김홍선 안랩 "다계층 보안 APT종말 시킬 것"2013.10.24
- “구글 플레이도 개인정보 활용 묻지 않는다”2013.10.24
- 5년간 해외 유출 개인정보 4만여건2013.10.24
- 개인정보 무단조회·유출 경찰관 수 급증2013.10.24
또한 주민등록번호 처리 개선을 위한 변경 작업이 단순히 전산팀에만 해당하는 것이 아니라는 점을 인지할 필요가 있다. 이 이사는 웹서비스 기획팀, 콜센터, 시스템 개발팀, 인사팀 등에서 각각 다루고 있는 개인정보의 처리에 대한 공동의 작업이 필요하다고 강조했다.
이를테면 인사팀이 수집하는 입사서류는 사내 인사DB에 저장되고, 근로기준법 시행령 제27조에 근거해 처리한다. 온라인 사업팀의 경우 전자결제화면은 쇼핑몰DB에 저장하며 전자금융거래법 시행령 제31조를 따르고, 같은 팀의 경품지급서류는 이벤트DB를 통해 관리하며 부가가치세법 제32조에 따라 처리한다는 등의 내용을 일목요연하게 정리해 놓아야 하는 것이다.