강화된 개인정보 안전조치 기준, 3달 뒤 적용대상 넓힌다

고학수 개인정보보호위원장./사진=뉴시스

개인정보 안전조치 기준의 적용대상 확대일이 오는 9월15일로 다가온 데 따라 개인정보보호위원회가 20일 각계 기업·기관에 주의를 당부했다.

개인정보위에 따르면 △일정 횟수 이상 인증에 실패할 경우 개인정보처리시스템 접근을 제한하는 조치 △개인정보처리시스템 접속기록에 대한 월 1회 이상 점검은 당초 공공기관·오프라인 개인정보처리자에게만 의무사항이었지만, 확대일 이후로는 모든 개인정보처리자가 이를 준수해야 한다.

법령상 '정보통신서비스 제공자'에게만 적용되던 △인터넷망 구간으로 개인정보를 전송할 경우 암호화할 의무 △개인정보를 포함한 인쇄물과 외부저장매체에 대한 보호조치 의무도 확대일 이후 전체 개인정보처리자로 적용대상이 넓어진다.

10만명 이상의 개인정보를 처리하는 대기업·중견기업·공공기관, 100만명 이상의 개인정보를 처리하는 중소기업·단체 등 '대규모 개인정보처리자'는 암호화·복호화 키 관리절차와 재해·재난 대응 백업·복구 계획이 추가로 의무화된다. 개인정보위가 지정한 공공시스템 1515개 운영기관 300곳은 △엄격한 접근권한 관리 △불법접근 등 이상행위 탐지·차단 기능 도입 등 기준도 준수해야 한다.

개인정보보호법상 안전성 확보조치 기준은 당초 온·오프라인 사업자별로 각각 다르게 적용되다 지난해 9월 관련 시행령·고시가 개정되면서 일원화됐다. 당시 개인정보위는 안전조치 기준 확대적용에 대해 유예기간 1년을 부여했다.

개인정보위는 "지난해부터 주요 공공시스템을 대상으로 사고 예방을 위한 안전조치 강화 이행실태를 점검하기 시작했다"며 "내년까지 순차적으로 점검을 이어가면서 안전조치 제도 홍보·안내도 지속할 계획"이라고 밝혔다.

성시호 기자 shsung@mt.co.kr