"개인정보보호위원회와 사이버안전 분야 주요 기관 간 협력 체계를 재정비해야 한다. 공동 조사, 처벌 등 세부 절차에 대해 어떤 부처들이 협력할지, 또는 특정 부처가 전담할지, 현재 민·관·군으로 나뉘어 있는 사이버안전 부처들이 전부 개입할지 등의 이슈들이 있다."
최광희 한국인터넷진흥원(KISA) 미래정책연구실장은 18일 국회에서 열린 사이버안전포럼에서 '데이터 3법 통과 이후 사이버안전 분야의 제도적 과제'에 대해 발표하면서 이같이 언급했다.
데이터 3법 이후 개인정보 총괄 감독 부처로 운영되는 개보위가 업무 수행 과정에서 혼란을 겪지 않도록 사이버안전 분야 기관 간의 관계를 점검할 필요가 있다는 주장이다.
그 동안 해킹으로 개인정보 침해 사고가 발생할 경우 소관부처인 과학기술정보통신부가 온라인 개인정보 업무를 담당하는 방송통신위원회, 오프라인 개인정보 업무를 담당하는 행정안전부와 협력하는 체계가 운영돼 왔다. 공공 분야에서 발생하는 해킹은 별도로 국가정보원이 담당하는 식이었다. 향후 방통위와 행안부의 소관 법률과 업무들이 개보위로 합쳐진 이후 펼쳐질 상황을 미리 살펴봐야 한다는 것이다.
기관 간 협력체계 재정비와 함께, 중요 데이터 처리 시설에 대한 보호제도도 필요하다고 지적했다. 최광희 실장은 "앞으로 가명정보 결합 전문기관, 마이데이터 사업자, 데이터 유통 사업자 등이 다수 등장할 것으로 보이는데 이 사업자들에 대한 관리 제도도 고민할 필요가 있다"며 "기반보호시설로 지정하는 방법도 있을 수 있는데 이 제도가 네트워크 시설을 위해 만들어졌기 때문에 데이터 중심 기관에 적절한 수단이 될 수 있을지도 살펴야 한다"고 말했다.
그 외 현재 운영되는 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증' 등의 제도 적용을 고려하거나, 새로운 대책 마련이 필요할 것으로 봤다.
개인정보 보호 기준과 정보보호 기준의 정합성을 충족하는 것도 향후 과제로 제시했다. 개인정보 안전성 확보조치 기준, 개인정보영향평가 등 공통적으로 운영할 수 있는 기준에 대한 상호 협의를 예로 들었다.
수사 과정에서 사이버안전 기관이 개인정보를 수집, 처리하는 것에 대한 투명성 확보도 필요한 과제로 짚었다. 최광희 실장은 "수사기관이나 정보기관이 개인정보를 어떻게 다뤄야 할지를 다루는 국내 법제가 없다"며 "EU는 이에 대한 기준이 있는데 우리나라는 기관들이 준수해야 하는 내용이 아닌, 개인정보를 활용할 수 있게 하는 법적 근거만 담겨 있는 상황"이라고 지적했다.
관련기사
- 정부, '데이터 3법' 고려한 개인정보 보호 체계 마련2020.02.18
- 정수환 정보보호학회장 "개보위 규제 양산 안돼...재미있고 유익한 학회 만들겠다"2020.02.18
- '데이터 3법' 통과되자 '비식별화' 기술 주목2020.02.18
- 정부, '데이터 3법' 후속 조치 박차…다음달 시행령2020.02.18
이날 포럼에 참여한 이옥연 국민대 정보보안암호수학과 교수는 중요 데이터 처리 시설에 대한 보호 제도로 암호모듈검증기관인 KISA의 검증을 거치게 하는 방안을 제안했다. 이옥연 교수는 "개인정보를 안전하게 활용하는 방법으로 암호화, 결합 키 관리 등이 언급되는데 이런 방법들이 뚫리면 문제가 커질 수 있다"고 덧붙였다.
위금숙 위기관리연구소 소장은 평상 시와 비상 시 업무 체계의 구분이 필요하다고 주장했다. 위금숙 소장은 "사고 예방 차원의 활동은 시간을 두고 기관 간 협력도 무리없이 할 수 있다"며 "침해 사고 등이 발생한 비상 상황에서는 업무 분담을 명확히 하지 않으면 우왕좌왕할 위험성이 있다"고 말했다.