개인정보 인터넷망 차단, 위험도 따라 선별 강화
개인정보 인터넷망 차단 조치, 위험도 기반으로 개선
2025년 1월 31일부터 개인정보보호위원회가 발표한 '개인정보의 안전성 확보조치 기준' 개정 고시가 본격 시행된다. 이번 개정안은 일평균 100만 명 이상의 개인정보를 저장·관리하는 개인정보처리자에게 일률적으로 적용되던 인터넷망 차단조치 제도를 개선해, 위험도가 낮은 개인정보 처리에 대해서는 차단조치 대상에서 제외하는 내용을 담고 있다.
인터넷망 차단조치, 데이터 중요도 중심으로 전환
기존에는 모든 개인정보처리자에게 동일하게 인터넷망 차단조치가 적용됐으나, 이번 개정으로 개인정보 취급자의 기기에 대한 위험 분석을 실시해 위험성이 감지될 경우에만 보호조치를 취하도록 했다. 위험하지 않은 개인정보 처리의 경우 차단 대상에서 제외함으로써, 인공지능과 클라우드 기술 활용을 촉진하고 업무 효율성을 높이는 효과가 기대된다.
플랫폼 사업자 책임 강화 및 접근권한 관리 확대
오픈마켓 판매자 등 플랫폼을 이용해 개인정보를 처리하는 자에 대한 책임도 강화됐다. 기존에는 이들이 안전한 인증수단 적용과 접속기록 보관 의무에서 제외됐으나, 이번 개정으로 접근권한 차등부여 대상이 '개인정보취급자'에서 '업무수행자'로 확대되고, 인증 실패 시 접근 제한 대상도 '개인정보처리시스템에 접근하는 모든 자'로 확대됐다.
또한, 외부 접속 시 안전한 인증수단 적용 대상이 '정당한 접근권한을 가진 자'로 명확히 규정되고, 접속기록 보관 대상 역시 '개인정보처리시스템에 접속한 자'로 확대되어, 소상공인 등 플랫폼 이용자도 개인정보를 보다 안전하게 관리할 수 있는 환경이 조성됐다.
개인정보처리자 자율보호 체계 및 내부 관리계획 강화
기존 안전성 확보조치 기준이 형식적 절차에 치중한다는 지적을 반영해, 개인정보처리자가 내부 관리계획을 수립하고 점검 주기, 방법, 사후조치 절차 등을 자율적으로 정할 수 있도록 개선했다. 다만, 오픈마켓 판매자 접속기록은 보관하되 점검 및 사후조치는 '개인정보취급자'에 한정해 수행하도록 현실적 여건을 고려했다.
또한, 출력·복사 시 안전조치와 개인정보 파기 관련 사항을 내부 관리계획 수립 항목에 포함시켜 개인정보 보호 체계를 한층 강화했다. 일부 규제 완화 및 정의 조항은 즉시 시행되며, 내부 관리계획 수립 등 준비가 필요한 조항은 1년간 유예된다.
개인정보위, 안전관리 체계 강화 방안과 안내서 발간 예정
개인정보보호위원회는 이번 개정과 함께 지난해 9월 발표한 '개인정보 안전관리 체계 강화 방안'의 암호화 적용 확대 등 선제적 조치 내용을 반영한 '개인정보의 안전성 확보조치 안내서'를 연내 발간할 계획이다. 또한 관계자 설명회를 개최해 세부 내용을 알릴 예정이다.
양청삼 개인정보위 개인정보정책국장은 "이번 개정을 통해 개인정보처리자가 기술 환경 변화에 유연하게 대응하면서도 개인정보를 보다 안전하게 관리할 수 있도록 제도적 기반을 강화했다"며 "앞으로도 개인정보위는 현장의 어려움을 세심히 살피며 실질적인 지원을 아끼지 않겠다"고 밝혔다.
