개인정보처리자 인터넷망 차단 ‘전원 필수’ 끝···‘망분리’ 개선 시행

[사진=디파짓포토스]

[이뉴스투데이 김진영 기자] 앞으로 개인정보를 하루 100만명 이상 처리하는 대규모 기업은 개인정보취급자 기기마다 위험도를 평가해 필요한 경우에만 인터넷망 차단 조치를 적용할 수 있게 된다. 기존 ‘일률적 네트워크 차단’ 방식에서 데이터 중요도 기반 보호체계로의 전환이 이뤄지는 셈이다.

개인정보보호위원회는 이 같은 내용의 ‘개인정보의 안전성 확보조치 기준’ 개정안을 시행한다고 2일 밝혔다. 인공지능(AI)·클라우드 기반 업무 환경 확산에 맞춰 현실적 보안 조치가 가능하게 한 조정이다.

종전에는 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 직원 기기는 모두 인터넷 접속이 차단돼야 했다. 앞으로는 위험 분석 결과에 따라 보호조치를 차등 적용할 수 있으며, 위험성이 낮은 개인정보만 다루는 기기는 차단 대상에서 제외된다. 다만 민감정보·암호화 대상 정보 등을 다루는 핵심 기기는 기존과 동일하게 차단 의무가 유지된다.

오픈마켓 판매자 등 플랫폼을 활용해 개인정보를 처리하는 사업자에 대한 보안 의무도 강화된다. 접근권한 차등 부여 및 접속기록 보관 대상을 ‘개인정보취급자’에서 ‘업무수행자 전체’로 넓히고, 인증 실패 시 접근 제한 대상도 ‘모든 접속 사용자’로 넓혔다. 외부 접속 시 안전한 인증수단 적용도 의무화된다.

자율보호체계도 확대된다. 기존에 형식적인 절차 중심이라는 지적을 받았던 관리기준을 개편해 기업이 점검 주기·방법·사후조치 등을 스스로 설계할 수 있도록 했다. 이와 함께 출력·복사 및 파기 등 물리적 보호조치도 내부관리계획에 포함되도록 했다. 

개인정보위는 연내 ‘안전성 확보조치 안내서’ 개정본을 발간하고 사업자 대상 설명회를 열어 적용 혼선을 최소화한다는 방침이다. 개인정보위 관계자는 “이번 개정은 네트워크 통제 중심에서 위험 기반 보안으로의 정책 전환”이라며 “산업 혁신과 국민 정보 보호를 함께 달성할 것”이라고 말했다.

한편, 규제 완화 및 정의 조항은 즉시 시행되며 내부관리계획 수립 등 준비가 필요한 조항은 1년 유예 후 적용된다.