본문으로 바로가기

이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다.

(※이 포스트에서는 정보통신망법과 개인정보보호법 기준에 대해서만 설명합니다. ※)

정보통신망법 적용 대상 사업자 (2018.02.10 기준)

일단 정보통신망법은 정보통신망을 이용해 영리 목적의 서비스를 제공하는 사업자는 모두 적용대상입니다. 다만 매출이 미미하지만 사업자로 등록된 사업자의 경우 특별한 기준이 명시되어 있지 않으나 묵시적으로 정보통신망법의 적용대상에서 예외로 보고 있습니다. 그 이유는 「정보통신망법 제47조(정보보호 관리체계의 인증)」에서 다음과 같이 규정하고 있기 때문입니다.

제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립·운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.  <개정 2012.2.17., 2013.3.23., 2015.12.1., 2017.7.26.>

② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  <신설 2012.2.17., 2015.12.1.>

1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

위 기준 중 3의 기준에 부합하지 않는 대부분의 소상공인이나 사업자의 경우 "정보보호 관리체계 인증"을 받지 않아도 되기 때문에 정보통신망법의 적용 대상이긴 하지만 정보통신망법 상의 기술적·관리적 보호조치를 이행하고 "인증"을 받아야 할 "의무"는 없다고 볼 수 있는 조금 말이 되지 않는 상황이 발생합니다. 그럼에도 불구하고 예외로 보는 것은 정보통신망법 적용 대상이라 하더라도 그만한 자금력이 없는데 정보통신망법과 그 이하 법령에서 요구하는 정보통신서비스 제공자의 의무인 기술적·관리적 보호조치를 요구하는 것은 무리이기 때문입니다. 그래서 매출액 및 세입과 연간 매출액 그리고 3개월간의 일일평균 이용자 수를 "의무" 대상자로 규정하고 있는 것이라고 봐야 합니다.

정보통신망법은 특별법입니다.  위 기준에 해당되는 사업자 및 기관 이외의 사업자는 정보통신망법을 지켜야할 의무는 없습니다. 하지만 개인정보를 조금이라도 수집한다면 일반법인 「개인정보보호법」의 적용을 받게 됩니다.

정보통신망법과 개인정보보호법의 차이

개인정보를 조금이라도 수집하는 모든 사업자, 단체 및 개인은 원칙적으로 개인정보보호법 적용대상자 입니다. 개인정보보호법은 일반법이기 때문에 정보통신망법 보다 그 적용대상이 월등히 많습니다. 두 법은 유사한 점도 많지만 차이점도 꽤나 많습니다.

그 예외 중에서 몇 가지를 살펴보겠습니다.

먼저 개인정보 수집 출처와 이용 고지의무의 예외 대상입니다. 개인정보 보호법 시행령(2017.10.19)에서는 다음과 같이 개인정보 이용에 대한 고지 의무 대상을 명시하고 있습니다.

제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차) ① 법 제20조제2항 본문에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.

1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 "민감정보"라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 "고유식별정보"라 한다)를 처리하는 자

2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자

② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.

③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제4항에 따라 해당 개인정보를 파기할 때까지 보관·관리하여야 한다.

1. 정보주체에게 알린 사실

2. 알린 시기

3. 알린 방법

[본조신설 2016.9.29.]

역으로 위의 조건에 해당되지 않는 개인정보처리자 즉 사업자나 개인은 개인정보의 수집과 이용에 대해 연1회 고지 의무가 없다는 이야기가 됩니다.

하지만 정보통신망법에서는 망법 대상자에게 모두 동일한 기준을 제시하고 있습니다.  정보통신망법 제30조의2(개인정보 이용내역의 통지)에서는 다음과 같이 명시하고 있습니다.

제30조의2(개인정보 이용내역의 통지) ① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보 처리위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다.  <개정 2016.3.22>

   ② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.  [본조신설 2012.2.17]

대통령령을 봐야겠죠?

제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 "대통령령으로 정하는 기준에 해당하는 자"란 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.

② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다.  <개정 2016.9.22.>

1. 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목

2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.

3. 법 제25조에 따른 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용

③ 법 제30조의2제1항에 따른 통지는 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다. [본조신설 2012.8.17.]

네.. ③항에 연1회 이상 개인정보의 이용내역을 통지하라고 되어 있습니다. 이 부분은 개인정보보호법과 동일하죠?

다음은 고유식별정보인 주민등록번호 암호화에 대한 의무 예외의 경우입니다. 이 경우 개인정보보호법은 조금 복잡합니다. 먼저 개인정보보호법 시행령(2017.10.19)에서는 다음과 같이 암호화 의무 대상과 기한을 명시하고 있습니다.

제21조의2(주민등록번호 암호화 적용 대상 등) ① 법 제24조의2제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다.

② 제1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.

1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일

2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일

③ 행정안전부장관은 기술적· 경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다.  <개정 2017.7.26.>

[본조신설 2015.12.30.]

즉 2018년 1월 1일까지는 모든 개인정보처리자는 모두 주민등록번호를 암호화 해야 하는 것 같습니다. 그렇다면 예외는 없을까요?  ③ 에 명시한 행정안전부 장관의 고시 「개인정보의 안전성 확보조치 기준(2017.7.26)」에 암호화에 대한 세부 사항이 나와 있는 것 같습니다.  관련 내용은 제4조(내부 관리계획의 수립.시행)에 나와 있습니다.

제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.

1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보취급자에 대한 교육에 관한 사항

4. 접근 권한의 관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보 보호를 위하여 필요한 사항

② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.

③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.

④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.

고유식별번호인 주민등록번호의 암호화는 6. 개인정보의 암호화 조치에 관한 사항에 해당됩니다. 그런데 ②에 보면 [별표]의 유형1에 해당되는 개인정보처리자는 내부 관례획을 수립하지 않을 수 있다고 명시되어 있습니다. 계획을 수립하지 않아도 된다는 것은 "하지 않아도 된다"는 의미죠. 그렇다면 [별표]를 봐야 합니다. 보지 않게 "암호화하지 않아도 된다"고 섣부르게 판단하면 안됩니다.

[별표]는 다음과 같습니다.

[별표]의 유형1은 1만명 이하의 개인정보를 보유하고 있는 개인정보처리자 입니다. 최소 기준이죠. 이 기준의 개인정보처리자의 개인정보보호조치의 최소한의 기준입니다. 최소한 5,6,7조의 일부와 8,.9,10,11조 그리고 13조를 이행해야 합니다.

그 중에서도 개인정보의 암호화는 제7조(개인정보의 암호화)에 있습니다.

 제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

2. 암호화 미적용시 위험도 분석에 따른 결과

⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.

[별표]에서 유형1의 사업자나 개인이 이행해야하는 조항을 붉은 색으로 표시해봤습니다. 네... 다 해야하네요. ^^ 다만 암호화에 사용되는 암호키관리는 특별히 요구하지 않습니다. 왜냐하면 개인정보를 암호화할 때 암호키관리를 ⑥항의 기준에 맞추어 이행하자면 비용이 많이 들게 될 가능성이 높거든요. 

그리고 내부망에 고유식별정보를 저장하는 경우 마치 암호화 적용 여부를 자체 판단할 수 있는 것 처럼 나와 있지만 인터넷과 완전하게 물리적으로 분리되며 장비에 대한 물리적 접근등이 완벽하게 통제되지 않는 이상 암호화를 해야 합니다. 때문에 고유식별정보는 무조건 암호화한다고 생각하는 것이 마음 편합니다.

하지만 정보통신망법을 적용받는 사업자는 다릅니다. 정보통신망법 제15조(개인정보의 보호조치)를 보면 다음과 같습니다.

제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다.  <개정 2016.9.22.>

1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항

(중략~)

④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.  <개정 2014.11.28., 2017.3.22.>

1. 비밀번호의 일방향 암호화 저장

2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치

4. 그 밖에 암호화 기술을 이용한 보안조치

⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.

⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.

[전문개정 2009.1.28.]

또 고시를 보라네요. 이번에는 방송통신위원회의 「개인정보의 기술적·관리적 보호조치 기준 고시」 입니다. 

제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.

1. 주민등록번호

2. 여권번호

3. 운전면허번호

4. 외국인등록번호

5. 신용카드번호

6. 계좌번호

7. 바이오정보

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

네... 그냥 주민등록번호부터 바이오정보까지 묻지도 따지지도 않고 암호화하라 합니다. 즉 정보통신망법 대상 사업자는 개인정보를 무조건 암호화해야 합니다.


이렇듯 두 법은 유사한 점도 있고 다른 점도 있습니다. 따라서 자신이 속한 사업장이 어떤 법을 적용받는지 적절하게 판단해야 합니다. 그리고 그 판단의 결과에 따라 해당 법령을 세밀하게 해석하고 정리해야 합니다. 자칫 엉뚱한 법에서 요구하는 내용을 정책과 지침에 반영하거나 자신의 사업장에 적용되어야 하는 법령을 누락시키면 큰 문제가 발생할 수도 있습니다.



댓글을 달아 주세요