인터넷 기업의 개인정보보호 정책 개괄 및 향후 개선 방향

1. 들어가며

지난 2012년도에 BSA(Business Software Alliance, 사무용 소프트웨어 연합)에서 발표한 한 자료에 따르면 클라우드 컴퓨팅에 대한 대응력 측면에서 조사된 24개국 가운데, 대한민국은 Data Privacy 분야에서 10점 만점에 9.3점을 기록하면서 전 세계에서 가장 강력한 개인정보보호 법제를 가지고 있는 것으로 확인되었다.1  이러한 배경에는 2011년도에 개인정보보호 측면에서의 일반법인 ‘개인정보보호법’이 공식 제정 및 시행되면서 근대적이면서도 종합적인 개인정보보호의 법률적 근거를 마련한 것이 있다.

온라인 사업을 영위하는 인터넷 기업(정보통신서비스제공자)의 경우 일반법인 개인정보보호법에 앞서 특별법인 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)의 규율을 받게 되는데, 정보통신망법 제28조는 개인정보의 보호조치를 규정하면서, 대통령령에 그 구체적 내용을 위임하고 있으며, 같은 법 대통령령 제15조는 개인정보의 보호조치와 관련한 내부관리계획의 수립, 시행을 규정하는 한편 개인정보보호를 위한 기술적·관리적 보호조치를 나열하는 동시에 방송통신위원회로 하여금 보호조치의 구체적 기준을 정하여 고시하도록 규정하고 있다. 이에 따라 방송통신위원회는 ‘개인정보의 기술적·관리적 보호조치 기준(이하 ‘고시’)’을 제정하여 고시하고 있는 바, 결국 본 방송통신위원회 고시는 법률로부터 그 내용을 위임받은 것이기 때문에, 이를 위반하는 경우 법률을 위반하는 결과에 해당하게 된다.

결국, 대한민국은 개인정보보호법의 존재로 말미암아 세계에서 가장 강력한 개인정보보호 법제를 보유한 국가로 인정받았으며, 인터넷 기업의 경우 그러한 개인정보보호법보다 강력한 규제의 내용을 담고 있는 특별법인 정보통신망법의 규율을 받고 있으며, 해당 법령에서 위임한 고시의 내용에 의해 개인정보보호와 관련한 기술적, 관리적 보호조치의 준수(Compliance)를 법률상 강제 받고 있는 상황인 것이다. 이러한 까닭으로 대한민국 인터넷 기업의 개인정보보호 정책은 그들이 제공하는 서비스나 기업이 처한 상황에 적합한 자율적 개인정보보호 정책을 수립, 이행하기 보다는 법률위반이 발생하지 않는 꼼꼼한 컴플라이언스 위주로 수립, 운영되어온 것을 부인하기 어렵다.

2. 인터넷 기업의 개인정보보호 정책 개관

지난 2008년 5월 19일에 고시된 <개인정보의 기술적·관리적 보호조치 기준(고시 제2008-3호)>은 정보통신망법 제28조제1항 및 동법 시행령 제15조제1항의 규정에 따라 정보통신서비스제공자 등이 이용자의 개인정보를 취급함에 있어 준수해야할 보호조치의 구체적 기준을 정하고 있다. 2008년도에 공개된 고시의 내용은 크게 목적, 개인정보관리계획의 수립·시행, 접근통제, 접속기록의 위·변조방지, 개인정보의 암호화, 컴퓨터 바이러스 방지, 출력·복사시 보호조치 등의 내용을 담고 있는데, 지난 2012년도에 개정 및 고시되어 현재까지 유지되어오고 있는 같은 제목의 고시(방송통신위원회 고시 제2012-50호)의 내용 역시 2008년도에 발표된 고시의 내용과 대동소이하다.

이와 같이 고시를 통해 법률의 개인정보보호 의무를 세부적으로 규정하고 있기 때문에 대한민국 인터넷 기업은 이를 벗어나서 독자적인 개인정보보호 정책을 수립, 운영할 수 있는 여지가 거의 없다고 해도 과언이 아닌 것이다. 또한, 정보통신망법 제47조제2항은 전기통신사업법 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망으로 서비스를 제공하는 자, 집적정보통신시설 사업자, 연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자인 경우 정보보호관리체계(ISMS) 인증을 받아야 한다는 의무를 부과하고 있어, ISMS의 통제항목(104개)이 위 고시와 함께 인터넷 기업의 개인정보보호 정책을 사전적으로 규정(prescribe)하는 역할을 수행하고 있다.2

이와 같은 배경으로 인하여 대한민국 인터넷 기업은 개인정보보호 정책을 수립할 때, 우선적으로 정보통신망법 및 ‘고시’의 내용을 준수하면서, ISMS 인증의 통제항목을 충족시킬 수 있는 Compliance위주로 구성이 되어 왔으며, 기업 자율적으로 제공하는 서비스에 부합하는 창의적 개인정보보호 정책을 수립·운영하기 어려운 상황에 놓여왔다. 물론, 이러한 제약에도 불구하고 자율적으로 추가적인 개인정보보호 정책을 수립할 수도 있지 않느냐는 반문도 가능하겠지만, 실제 많은 기업의 경우 이와 같은 세부적은 법률적 의무를 준수하는 것만 해도 대부분의 개인정보보호를 위한 인적, 물적 자원을 모두 소비하게 되는 것이 현실이다. 이러한 측면에서 대한민국 온라인 기업의 개인정보보호정책은 비용편익적 측면에서의 효율성 고려가 미진했다는 비판도 가능한 것이며, 그러한 가장 큰 원인은 필요 이상으로 세부적으로 규정된 법률의 개인정보보호 조치가 될 것이다.

3. 향후 개선방향

이와 같이 법령에서 매우 세부적으로 정한 개인정보보호 조치 기준에도 불구하고 최근의 KT 개인정보 대량 유출사건에서 볼 수 있듯이 개인정보를 충분히 보호할 수 있었는지에 대해서는 많은 이들이 동의를 할 수 없을 것이다. 이는 정보보호에 있어서도 환경과 맥락(Environment & Context)이라는 요소가 충분히 고려되지 못한 측면에 그 원인이 있다. 즉, 기업마다 처한 내적, 외적 환경에 적합한 개인정보보호 정책의 수립의 부재와 컴플라이언스에 집중하여 개인정보를 어떤 맥락에서 보호해야 하며 어떤 방식의 보호수단이 적절한 것인지에 대한 고민을 할 수 있는 기회가 주어지지 않았다는 문제를 제기할 수 있다.

단적인 예로, 고시 제6조제1항은 ‘정보통신서비스 제공자 등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.’고 규정하고 있는데 이러한 경우 기존에 저장한 ID 및 비밀번호를 더블클릭으로 계정입력란에 불러오는 모든 브라우저(Internet Explorer, Chrome, Firefox 등 주요 브라우저 공통) 뿐만 아니라 이용자가 방문하는 웹사이트의 비밀번호를 저장하여 대신 입력해주는 각종 툴바의 경우 모두 불법행위를 하고 있는 것이다. 비밀번호는 ‘안전하게 보호되어야 하는 대상’임에는 분명하지만, 필요 이상으로 세부적인 규정은 그러한 정보가 보호되어야 하는 환경과 맥락에서 논의되지 않는다면 실질적인 보호라는 의미는 사라지고 규정의 엄격한 준수만이 절대 선이 되는 컴플라이언스의 사슬에 메이게 된다.

따라서, 향후 인터넷 기업의 개인정보보호 정책은 최소한의 컴플라이언스 정책에 더하여 기업이 처한 내·외부 환경에 적합한 개인정보보호 시책의 마련과 더불어, 특히 보호해야 할 개인정보가 무엇인지를 정보주체와 함께 논의하고, 그러한 개인정보를 보호하기 위해 가장 ‘적절한’ 조치가 무엇인지를 비용편익적 측면과 보호의 수준이라는 맥락에서 고민해야 할 것이다.

특히, 인터넷 기업이 제공하는 서비스와 무관하게 법령에 의해 규정된 기준에 맞추어 서비스 운영방식을 사후적으로 개편하거나 하는 컴플라이언스 관점에서의 접근을 배제하고, 서비스 기획 단계에서부터 설계, 구현, 출시, 사후 서스테이닝에 이르기까지 모든 단계별로 개인정보보호 측면에서의 검토가 이루어질 수 있도록 “Privacy by Design” 원칙을 사전에 적용하는 개인정보보호정책의 수립이 필요하다.3

국가적으로는, 개인정보보호 관계 법령은 사업자가 기본적으로 준수해야 할 최소한의 개인정보보호 기준만을 제시하고, 그러한 기준을 준수하기 위해 실행가능한 방안(implementations)을 가이드하는 방향으로 개인정보보호 정책을 수립해야 할 것이다.

4. 나아가며

여태껏 대한민국 온라인 기업의 개인정보보호 정책은 개인정보 관련 법령이 규정한 각종 의무사항을 단순히 기계적으로 준수하는 컴플라이언스 위주의 정책이라고 할 수 있다. 정보통신망법과 개인정보보호법을 비롯하여 통신비밀보호법, 전기통신사업법, 전자상거래법 등등 다양한 법률이 개인정보보호와 관련된 보호의 망을 짜고 있었다. 그러나, 그 망이 필요이상으로 복잡하고 촘촘하게 짜여져 있는 탓에 물고기를 잡는 목적을 달성하기에는 과도한 무게감을 부여하여 소기의 성과를 이루기가 매우 어려웠던 것이 사실이다.

이를 위해 온라인 기업의 사업별 성격, 수집 및 이용하는 개인정보 항목, 보호의 대상이 되는 개인정보의 차별(차등)화, 비용편익적 보호조치의 적용 등 기업이 정보주체와 소통하면서 자율적으로 적용가능한 보호조치들을 중심으로 개인정보보호 정책이 재편되어야 할 것이며, 그 기저에는 Privacy by Design이라는 원칙이 적용되어야 한다.

 

  1. BSA Global Cloud Computing Scorecoard. Available: http://cloudscorecard.bsa.org/2012/assets/PDFs/BSA_GlobalCloudScorecard.pdf [본문으로]
  2. 정보통신망법 시행령 제49조제2항제1호는 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인자, 제2호는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자가 법률 제47조제2항에서 정한 ‘대통령령으로 정하는 기준에 해당하는 자’라고 규정하고 있음. [본문으로]
  3. Information and Privacy Commissioner of Ontario(2011). 7 Foundational Principles. Available: http://www.privacybydesign.ca/index.php/about-pbd/7-foundational-principles/ [본문으로]
저자 : 이진규

네이버 개인정보보호 책임자 (CPO, CISO)