특정 보안시스템 설치해도…개인정보 유출 '책임' 못 피해

개인정보법 개정 따라 합리적 보안 조치했는지 살펴
기업, 정보 규모와 투자 여력 등 모두 따지게 될 전망
유출사고 기업 66% 안전조치 미흡 나타나
특정 보안시스템 아닌 수준에 맞는 보안인지 '중요'

차윤호 한국인터넷진흥원(KISA) 개인정보조사단장

[이데일리 함정선 기자] 앞으로 기업들은 규모와 사업 영역 등에 걸맞은 정보보호 시스템을 구축해야 할 전망이다. 이전까지는 개인정보를 유출해도 법이 정한 시스템만 갖추고 있다면 법을 위반하지 않았다고 봤지만, 개인정보보호법이 개정되며 얼마나 합리적으로 보안 조치를 했는지가 중요해졌기 때문이다.

차윤호 한국인터넷진흥원(KISA) 개인정보조사단장은 7일 “법 개정 전에는 안전성 확보 조치 기준이 구체적으로 정해져 있어 법원도 이 기준을 지켰다면 처리자의 의무를 다했다고 봤다”며 “그러나 법 개정에 따라 최소한의 기준만 정해두도록 변경됐다”고 설명했다.

차 단장의 설명에 따르면 새로운 개인정보보호법 고시에 따라 법원이 기업의 규모와 투자 가능 수준 등을 따져 개인정보보호법 위반 여부를 결정하게 된다. 기업이 개인정보보호를 위한 ‘안전조치’에 최선을 다했는지가 핵심이 될 전망이다.

KISA에 따르면 개인정보를 유출한 기업 중 개언정보보호를 위반한 것으로 결정된 기업 66%가 안전조치에 미흡했던 것으로 나타날 만큼 안전조치는 개인정보 유출 조사에서 중요한 항목으로 손꼽힌다.

개인정보를 저장하거나 전송할 때 이를 제대로 암호화하지 않거나 정보유출에 대한 방지 조치를 제대로 하지 않아 유출 사고를 내는 기업이 가장 많다는 뜻이다.

이어 법 위반 기업 중 16%는 개인정보 유출을 제때 통지하지 않은 것으로, 10%는 법에 따라 개인정보를 파기하지 않았던 것으로 조사됐다.

차 단장은 “개인정보 유출 사고를 조사할 때 데이터를 안전하게 관리했는지, 보호조치 의무사항들을 제대로 준수했는지 확인해서 위반 사항이 있는지 확인하고 보고서를 작성한다”며 “가장 많은 비율을 차지한 위반 유형이 안전 조치 의무를 위반한 것”이라고 설명했다.

차 단장에 따르면 개인정보 유출 사고가 발생했을 때 법원은 5가지 사항을 중점적으로 살피고 있다. 판례를 보면 법원은 △해킹 등 침해사고 당시 보편적으로 알려진 정보보안의 기술 수준 △업종·영업 규모와 취하고 있는 전체적인 보안조치의 내용 △정보보안에 필요한 경제적 비용 및 효용의 정도 해킹 기술의 수준과 보안기술의 발전 정도에 따른 피해발생의 회피 가능성 △수집한 개인정보의 내용과 사회통념상 합리적으로 기대 가능한 정도의 보호조치 등이다.

차 단장은 “해킹 등 침해 사고 당시 정보 보안 기술이 어떠했는지, 이 기술 수준으로 해킹 등을 막을 수 있었는지를 법원은 살피고 있다”며 “정보 보안과 관련해 모든 침해 사고를 완벽하게 막는 것은 현실적으로 어렵기 때문에 필요한 경제적 비용이나 효용의 정도 등도 판단하고 있다”고 말했다.

이어 차 단장은 “해킹 기술 수준과 보안 기술 발전에 따른 피해 발생을 방지할 수 있었는지도 판단하고 유출한 개인정보가 다른 서비스에도 영향을 미치는 것인지 등도 판단 대상이 된다”고 덧붙였다.

다만 법원은 개정 정보보호법에 따라 기업이 침입 차단, 탐지 시스템을 설치하고 제대로 운영하는지 판단할 때 꼭 유료 시스템 또는 인증받은 시스템인를 따지지는 않을 전망이다.

차 단장은 “특정 시스템을 설치했는지 보지는 않을 것”이라며 “합리적인 기대 수준으로 대응 가능하다면 유료 제품일 필요가 없고, 설치 의무를 판단하는 기준 중 하나”라고 했다.

이어 차 단장은 “그렇다고 다 비인증 제품을 쓰라는 것은 아니다”라며 “기업의 규모나 업종, 비용 등을 고려해 충분한 조치를 취했는지가 판단의 기준”이라고 강조했다.

함정선 (mint@edaily.co.kr)