"현행 제도의 틀을 건드리지 않고 온라인 플랫폼 사업자들이 자율적으로 규제를 이행하도록 유도해봤으나, 자율적으로 개인정보 보호 규제가 정립, 이행되는 데 한계를 보였다. 이런 한계를 극복하고 시장과 규제의 불확실성을 해소하기 위해 업계 공동 규제가 불가피한 것으로 판단했다."(송상훈 개인정보보호위원회 조사조정국장)
오픈마켓, 배달 앱 등 온라인 플랫폼에서 처리되는 개인정보의 보호 책임을 구체적으로 규정한 고시가 마련된다. 플랫폼 운영 사업자와 플랫폼 이용 사업자가 이에 대해 겪는 혼란을 해소하기 위해서다.
개인정보보호위원회는 이런 내용 등이 담긴 '온라인 개인정보 유출예방 및 피해구제 대책'을 12일 김부겸 국무총리 주재로 개최된 제136회 국정현안점검조정회의에 보고하고 최종 확정했다고 밝혔다.
이번 대책은 비대면 경제 및 IT 기업이 급성장하면서 개인정보를 비롯한 데이터 활용도 급증하고 있지만, 유출 등 개인정보 관련 피해는 지속적으로 증가하는 상황에 따라 마련됐다.
대책에는 ▲온라인 플랫폼 규제를 비롯한 개인정보 안전조치 강화 ▲개인정보 유·노출 사고 대응 속도 향상 ▲개인정보 유출 2차 피해 예방 ▲개인정보 분쟁조정 실질화 등의 내용이 포함됐다.
■'오픈마켓' 개인정보 유출 사고 책임 소재 명확해진다
정부는 개인정보를 대량 수집·처리하는 오픈마켓, 배달앱 등 온라인 플랫폼에 대해, 산업계와 함께 공동규제로 온라인 플랫폼에 대한 안전조치 기준을 마련한다. 내년부터 전담 조사팀을 운영해 플랫폼 운영자와 이용 사업자가 준수해야 할 내용과 방법 등 책임을 구체화하고, 이에 대한 준수 여부를 점검하게 된다.
열화상카메라, 웹캠 등 민감 개인정보를 수집하는 디지털 기기에 대한 안전조치도 강화한다. 제조사가 제품 설계 시점부터 개인정보 보호를 고려하는 '프라이버시 바이 디자인'을 접목하도록 추진할 계획이다.
공공 분야에 대해서도 개인정보처리자의 인터넷 전송구간 암호화 등 안전조치 기준을 강화해 민간과 동일한 수준으로 제고한다.
공공기관 개인정보관리수준 진단지표 개선, 미흡기관 대상 컨설팅 확대, 정부업무평가 지표 개선, 영향평가 제도 개선 등 개인정보 관리체계도 개선한다.
■국정원·경찰청·과기부와 '개인정보 사고' 합동 대응반 구성
개인정보 유출 사고에 신속히 대응하기 위해 유출 통지·신고 제도를 개선하고, 공동 대응 협의체도 구축한다.
현재 온·오프라인 분야에 다르게 적용되고 있는 개인정보 유출 통지·신고 절차를 일원화한다. 현재 온라인 분야는 1명 이상의 개인정보가 유출될 경우 24시간 내 신고 및 통지하도록 돼 있다. 반면 오프라인은 1천명 이상 피해를 입었을 시 5일 내 신고 및 통지해야 한다.
송상훈 조사조정국장은 "현재 국회에 제출된 개인정보보호법 2차 개정안이 통과되면 개인정보 유출 통지·신고 규정을 대통령령으로 구체화할 예정"이라고 말했다.
국가정보원, 과학기술정보통신부, 경찰청 등 관계기관과 공동 대응 체계를 구축하고 정보 공유·초동단계 협력, 합동대응반을 구성한다.
특히, 대규모 개인정보 유출 피해가 발생하는 경우 ‘개인정보 침해사고 범정부합동조사단’을 통합·운영한다. 이를 위해 이달 중 개인정보위는 경찰청, 국정원과 업무협약(MOU)을 체결한다.
■계정정보 '다크웹' 유출 여부 확인 서비스 개시
개인정보 유출 이후 2차 피해를 예방하기 위해, 개인정보위는 오는 16일 다크웹 상에서 불법 유통되는 온라인 계정정보를 조회할 수 있는 '털린 내 정보 찾기 서비스'를 개시한다. 국민이 본인의 계정정보가 유출 계정정보에 포함돼 있는지 확인하고, 유출이 확인되면 계정 패스워드를 변경하는 등 능동적으로 대응할 수 있게 된다.
이 서비스에는 구글에서 제공하는 유사 서비스인 '패스워드 체크 업'에 등록된 계정정보 40억건과 경찰청, 국정원 등이 업무 수행 과정에서 확보한 다크웹 내 계정정보 2천300만건 가량이 반영됐다. 정부는 향후 계정정보 외 이메일과 전화번호, 온라인 회원정보, 메신저 계정 등 사기 정보 등을 탑재하는 식으로 서비스를 고도화할 방침이다.
사이버사기 피해 예방을 위한 개인정보 조회 서비스도 강화했다. 사이버사기 피해신고 이력 조회 '사이버캅'에서 조회할 수 있는 정보 범위를 현행 휴대전화 번호와 계좌번호에서 메신저계정와 이메일주소까지 늘린다.
개인정보위는 영상, 음성 등 비정형 개인정보 탐지 기술을 개발해 인터넷 상에 노출된 개인정보를 신속하게 탐지·삭제하고, 해커가 협박 목적으로 개인정보를 노출하는 경우 통신사 등을 통해 긴급 차단·삭제를 추진할 계획이다.
■참여 의무 없던 '피해구제' 제도 실효성 ↑
개인정보 분쟁조정을 통한 피해구제의 실효성을 확보하기 위해 조정 의무 대상 확대, 사실조사권 부여 등을 추진할 계획이다.
관련기사
- 개인정보위 "페북, 유출 피해자에 30만원 지급해라"2021.10.29
- 해커, 다크웹에서 클라우드 데이터 거래2020.11.24
- "10년만에 대폭 손질" 개인정보보호법 개정안 국무회의 통과2021.09.28
- "AI, 개인정보는 이렇게"…'이루다' 재발 막는다2021.05.12
▲분쟁조정 요청에 의무적으로 응해야 하는 대상을 현행 공공기관에서 민간 기업을 포함한 모든 개인정보처리자로 확대 ▲조사관의 사실조사권 부여 ▲신청인 미달 또는 신청 없는 상황에도 집단적 피해가 인지되는 경우 집단분쟁 직권 개시 등 관련 법 규정을 개선한다.
윤종인 개인정보위 위원장은 “디지털 대전환 시대에는 피해 확산 속도가 빠른 온라인을 중심으로 대규모의 개인정보 유출이 발생하는 점을 고려해 유출 사고의 각 단계별로 다각적인 대책을 마련했다”며 “개인정보위는 이번 대책을 계기로 국민이 직접 피해 여부를 확인할 수 있는 서비스를 활용해 정보주체의 개인정보 자기결정권이 실질적으로 보장될 수 있도록 적극적으로 노력하겠다”고 밝혔다.
