개인정보보호법,
공표에서 정식 시행에 이르기까지
개인정보 유출 및 오·남용을 근절하고 안전하고 신뢰 가능한 정보사회를 구현하고자 제정된 ‘개인정보보호법’이 공표된 지 1년여가 지났다. 2011년 3월 29일 공표된 개인정보보호법은 6개월 간의 계도기간을 거쳐 지난해 9월 30일부터 정식으로 시행되기 시작했다.
일찍이 개인정보보호를 규율하는 법률은 공공, 정보통신, 금융 등의 분야별로 법률이 제정돼 있었다. 그러나 법 사각지대가 다수 존재해 국민의 개인정보를 안전히 보호하기에는 무리가 있다는 판단 하에 정부는 사회 전 분야를 아우르는 개인정보보호법 제정의 필요성을 제기하기에 이르렀다.
주무부처인 행정안전부는 개인정보보호법 공표 이후 개인정보 영향평가를 도입, 운영하는 등 제도적 기반 정비와 함께 대상별 맞춤형 교육으로 개인정보보호에 대한 인식 제고에 나섰다. 여기에 한국인터넷진흥원 등의 산하기관들도 산업 현장 구석구석에 개인정보 수준 향상을 위한 지원센터 운영, 컨설팅 등의 사업을 진행해왔다.
이에 힘입어 개인정보보호법은 규율 대상의 대폭 확대를 이뤘다. 기존 공공기관이나 정보통신사업자 등 개별법 규정사의 약 51만 사업자에서 공공 및 민간의 모든 개인정보처리자를 적용 대상으로 폭을 넓히면서 대상자도 약 350만 사업자로 증가했다. 즉 개인정보를 취급하는 곳이라면 모두 개인정보보호법에 해당되는 것이다.
보호 범위도 확장됐다. PC 등 기기에 의해 처리되는 개인정보 파일은 물론 종이문서에 기록된 정보도 보호 대상으로 포함됐으며 주민등록번호 등의 고유식별번호 처리 제한이 원칙적으로 금지됐다.
개인정보보호법의 목적인 제 1조는 헌법 17조 및 18조상에 명시된 사생활 보호 및 국민의 권리와 이익, 연결 및 통신상의 비밀 보호와 함께 헌법 10조 인간의 존엄과 가치, 행복 추구권과 궤를 같이 한다.
이러한 맥락에서 개인정보보호법 시행으로 인해 개인정보의 사회적 가치가 높아지는 성과를 거뒀다고 볼 수 있다. 시간이 지나면서 하위법령 및 세부 지침이 마련되고 구체적인 시행계획이 수립되면서 개인정보보호법이 개인과 기업 모두에게 체계적인 보안 구축을 위한 가이드라인으로 자리 잡아가고 있다는 평가다.
인식 미비, 실효성 언급
반면 아직 개선해야할 문제점도 많다는 지적도 끊이지 않는다. 업무를 목적으로 개인정보 파일을 운용해 스스로 또는 타인을 통해 개인정보를 처리하는 개인 또는 단체가 모두 개인정보보호법의 대상임에도 여전히 일부 대기업을 제외하고는 개인정보보호법에 대해 명확하게 인지하지 못하고 있다는 것.
개인정보보호법을 준수하기 위한 보안 체계 구축에 따르는 비용 부담도 걸림돌이다. 시스템 모니터링 및 전담 관리를 위한 인력은 물론이고 각종 보안 솔루션 구입이 녹록지 않은 영세 사업자가 부지기수이기 때문. 앞서 대기업의 개인정보 유출 사고만 보더라도 이러한 소규모 사업장에서 완벽한 보안 체계를 갖추기는 쉽지 않은 것이 현실이다.
일각에서는 개인정보보호법의 실효성 문제를 언급하고 있기도 하다. 계도기간을 두고 정식으로 시행된 만큼 엄밀한 법 집행이 이뤄져야 하는데 아직까지 개인정보 유출 시 제대로 처벌이 이뤄지지 않고 있다는 지적이다.
개인정보보호법에 따르면 내년부터는 동의 없이 개인정보를 제 3자에게 제공하거나 제공받을 경우 2년 이하 징역이나 1000만 원 이하의 벌금이 부과된다. 중소기업이나 소상공인의 경우 개인정보 유출로 처벌받을 시 치명적인 타격을 입을 수밖에 없다. 이에 각 분야별로 세분화된 지침 개정을 비롯해 민간 자율 규제 강화 등의 필요성이 제기되고 있기도 하다.
보안 수요 증가, 업계 기대감
개인정보보호법 시행에는 성과와 과제가 공존하고 있으나 보안 시장에는 전반적으로 기대감이 커지고 있는 상황이다. 공공, 금융, 포털 등 개인정보보호법 시행의 직접적인 영향권 아래 있는 영역을 중심으로 보안 수요가 눈에 띄게 증가하고 있기 때문이다.
대표적인 분야로 데이터베이스(DB) 보안과 데이터 유출방지 등을 꼽을 수 있다. 실제로 개인정보보호법 제 29조와 시행령 제 30조에는 개인정보 암호화에 대한 의무가 명시돼 있고 이에 DB 보안과 개인정보 접근 제어 솔루션을 구축하는 사례가 늘고 있다.
이와 함께 서버 보안 솔루션, PC 및 네트워크 보안, 모바일 단말 관리, DRM에서부터 보안 관제 등의 통합 보안에 이르는 다양한 보안 방안들이 부각되고 있다. 해당 기업의 규모와 비즈니스 성격에 따라 외부로부터의 공격에 대비하고 내부 정보 유출을 미연에 방지할 수 있는 방안이 활발하게 논의되고 있는 상황이다.
보안 업계에서는 개인정보보호법이 세계적으로 충분히 경쟁력 있는 수준이라고 강조한다. 그러나 한편으로는 아무리 효과적이고 강력한 규제라 할지라도 기업들이 이를 이행하고자 하는 의지를 갖지 않으면 소용없다는 점도 직시하고 있다.
일반 사용자들도 마찬가지다. 개인정보를 필요로 하는 서비스 이용 시 자신의 정보가 어디에 어떻게 사용될 것인지 면밀하게 살펴보는 습관을 갖는 것이 중요하다.
아직은 시행 초기임을 고려하면 개인정보보호법은 본격적으로 자리를 잡아가는 과정에 있다고 볼 수 있다. 주무부처와 산하기관, 보안 업계의 활발한 움직임에 발맞춰 개인정보보호법이 신뢰 가능한 정보사회 구현의 주춧돌이 될 수 있을 것인지에 귀추가 주목된다.
노동균 기자 yesno@chosunbiz.com