1천만→2~3천만원…방통위, 인터넷상 개인정보 침해방지 대책 수립

옥션 해킹사고로 1,081만 명의 개인정보가 유출되는 사건이 발생하여 명의도용, 보이스피싱(전화금융사기) 등 제2의 후속 피해가 우려됨에 따라, 방송통신위원회는 24일 행정안전부, 대검찰청, 경찰청, 금융감독원, 한국정보보호진흥원, 통신사업자 및 인터넷사업자 등과 대책 회의를 개최하여 "인터넷상 개인정보 침해방지 대책"을 발표했다.

특히, 이번 개인정보보호 대책 수립으로 앞으로 개인정보취급방침 미고지, 개인정보관리책임자 미지정 등 절차의무 위반에 대해선 과태료를 상향 조정(1천만→2~3천만원)하고, 개인정보보호를 위한 기술적 조치 미비, 동의 없는 개인정보 제3자 제공 등 위법성이 중한 경우에는 벌칙(징역 또는 벌금) 부과는 물론 과징금도 병과할 수 있도록 법개정을 추진한다.

방통위는 "개인정보 유출, 노출 등의 침해 사고가 발생하면 사업자는 피해를 입은 이용자에게 침해 사실을 의무적으로 알리도록 정보통신망법을 개정하고, 개인정보보호 의무규정의 실효성 확보를 위해 개인정보 관련 법위반 사업자에 대한 제재수준을 상향 조정한다"고 밝혔다.

최근 일어난 옥션 및 하나로텔레콤의 개인정보 유출 및 불법이용 사건이 적극 반영된 방안이라 할 수 있다.

이번 대책에는 ▲옥션에서 유출된 개인정보로 인한 후속피해를 최소화하기 위한 대책과 ▲개인정보의 수집·저장·이용의 각 단계별로 통신사업자, 인터넷사업자의 책임성을 강화하기 위한 제도적·기술적인 대책 ▲사업자 자율적 개인정보보호 활동 강화 및 인식 제고 ▲해킹에 대한 기술적 대응 강화 ▲개인정보 침해사고에 대한 유관기관간 협력체계 강화 방안 등을 포함하고 있다.

구체적인 주요내용은 다음과 같다.

개인정보 유출에 의한 이용자피해 최소화

인터넷에 유출된 개인정보가 명의도용, 회원자격 도용에 악용 되는 것을 막기 위하여, 한국정보보호진흥원(KISA)과 주요 포털사들은 유출 개인정보에 대한 모니터링을 강화(1일 1회→4~6회)하고, 인터넷사업자의 휴대폰 등을 이용한 본인확인 절차의 도입도 확대한다.

방통위는 인터넷쇼핑몰·게임 사이트 등 300여 업체와 공동으로 오는 5월부터 3개월간 비밀번호 변경캠페인과 휴면계정 정리 캠페인을 집중적으로 실시한다.

보이스피싱에 대응하기 위해 개인정보보호 10계명, 보이스피싱 피해예방 10계명 등 대처요령을 금감원 등과 공동으로 인터넷, 신문, 반상회 등을 통해 적극 홍보하고, 검·경에서는 이에 대한 수사를 강화한다. 스팸과 관련해서는 통신사업자의 불법스팸 발송자에 대한 관리 강화 및 대출·성인·대리운전 등 3대 악성 스팸에 대한 집중관리도 추진한다.

이용자 피해에 신속하게 대응하기 위해 KISA에 상황실을 설치·운영하고 인터넷사업자들과 Hotline을 구축하여 피해 구제에 노력하는 한편, 개인정보침해신고센터에서의 침해민원에 대해서도 검·경은 물론 사업자들과 공동으로 대처할 예정이다.

통신·인터넷사업자의 개인정보보호 책임성 강화

서비스 제공과 무관하게 개인정보를 과다하게 수집하는 관행이 개인정보의 침해에 주요 원인이 되고 있음을 감안하여, 인터넷상의 주민등록번호 수집을 제한하는 방안을 행정안전부 등 관계부처와 협의해 추진하고, 현재 선언적 성격이 강한 개인정보의 필요 최소한의 수집 의무 규정(정보통신법 제23조제2항)의 실행력 확보를 위해 벌칙을 규정하는 등 제도개선을 추진한다.

아울러 정보통신서비스제공자는 이용자가 주민등록을 제공하지 않고도 회원에 가입할 수 있는 주민등록 대체수단(예 : i-PIN)을 의무적으로 제공토록 하는 법개정도 추진한다. 또한 비밀번호 생성 시 일정수준 이상의 안전성이 확보되도록 작성기준 적용을 의무화하고 주민등록번호, 계좌번호 등 금융정보는 반드시 암호화하여 저장토록 의무화할 계획이다.

한편, 개인정보 유출, 노출 등의 침해 사고가 발생하면 사업자는 피해를 입은 이용자에게 침해 사실을 의무적으로 알리도록 정보통신망법을 개정한다. 개인정보보호 의무규정의 실효성 확보를 위해 개인정보 관련 법위반 사업자에 대한 제재수준을 상향 조정한다.

즉 개인정보취급방침 미고지, 개인정보관리책임자 미지정 등 절차의무 위반에 대해선 과태료를 상향 조정(1천만→2~3천만원)하고, 개인정보보호를 위한 기술적 조치 미비, 동의 없는 개인정보 제3자 제공 등 위법성이 중한 경우에는 벌칙(징역 또는 벌금) 부과는 물론 과징금도 병과할 수 있도록 법개정을 추진한다.

일정 기준 이상의 사업자는 매년 개인정보 보호에 대한 취약점을 분석·평가하는 개인정보위험관리제도 도입도 검토한다.

사업자 자율적 개인정보보호 활동 강화 및 인식 제고

인터넷기업협회 등 사업자단체는 개인정보보호를 위한 윤리강령 및 자율규약을 제정하여 정보보호 투자확대, 분야별 필요 최소한 개인정보의 범위 설정·준수, 위반업체에 대한 제재 등 사업자 중심의 개인정보보호 활동을 강화한다.

또한 개인정보 침해 예방요령 등에 대해 언론사 등과 공동으로 홍보를 추진하고, 초·중·고등학생을 대상으로 개인정보보호 교재 개발 및 보급 등도 추진한다.

개인정보 해킹 대응 및 기술적 대책 강화

개인정보가 수집, 이용되는 네트워크, 사업자 서버, 개인PC에서의 보안수준을 높이기 위해, 네트워크 차원에서는, 개인정보를 암호화하여 송·수신하는 보안서버 보급을 확대하고(21,000→33,000대), KISA에서 운영하는 「악성코드 은닉사이트 탐지시스템」의 탐지 대상 사이트 수를 확대하며(10만개→12.5만개), 인터넷상 개인정보 유출은 탐지하여 조기 대응할 수 있는 개인정보탐지시스템(일명 e-WatchDog) 구축도 추진한다.

사업자 DB 서버차원에서는, 정보보호 안전진단제도의 확대 강화와 정보보호에 취약한 중소기업을 대상으로 무료 웹방화벽 보급을 확대(4,297→ 6,000대)하고, 개인 PC차원에서는 PC 자동보완업데이트 프로그램을 확대 보급하고 개인PC복구를 위한 원격서비스도 제공한다.

유관기관간 공조체제 강화

해킹과 개인정보 탈취가 복합화, 지능화되어 가는 경향을 고려하여 행정안전부, 방송통신위원회, 검·경, 금융감독원, KISA간 긴밀한 협조체제를 구축하여 개인정보 침해사고 예방과 사고 발생시 신속하게 대응할 수 있도록 한다.

상시적으로 KISA와 인터넷사업자간의 Hotline을 구성하여 민간분야에서의 대응도 보다 활성화하고 해외에서 해킹과 개인정보 노출, 불법거래에 대응하기 위해 해당국 정부와 협력을 강화한다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지