이번 발표에서 무엇보다 반가운 부문은 단일 ‘개인정보보호법’ 제정 추진이 핵심 과제로 선정됐다는 점이다. 개인정보보호의 필요성이 높아진 반면, 관련 법안이 산재해 혼선을 줬던 것이 사실. 이에 시민단체 등에서는 그동안 단일 개인정보보호법 제정을 요구해 왔으며, 국회에서도 추진됐었지만 국회에서의 정치 공방으로 인해 제정이 무산된 바 있다. 또 현재 2.9%에 불과한 국가정보화 예산 대비 정보보호 예산을 2010년까지 선진국 수준인 9%로 단계적으로 확충, 개인정보보호인프라를 강화해 나갈 계획이다.
행정안전부의 이번 종합대책 발표로 개인정보보호 솔루션 등 관련 시장이 크게 성장할 것으로 전망된다. 개인정보보호법은 지난 몇 년간 보안 시장을 성장시킬 호재로 업계의 관심을 끌어온 부문. 또한 보안 시장에서 공공기관 수요가 차지하는 비중이 높다는 점을 감안하면, 정보보호 예산 확대는 국내 보안 시장을 단숨에 성장시킬 호재로 지목된다.
특히 행정안전부가 개인정보유출 사전 차단 필터링 시스템 도입률을 현재의 62%에서 2009년에는 80% 확대되도록 할 방침을 밝혀 개인정보유출방지 솔루션 시장의 성장이 기대된다. 개인정보유출방지 솔루션이란, 웹 사이트 게시판에 업로드되는 게시글이나 첨부파일을 점검, 개인정보 포함 시 등록되지 않도록 하거나, ** 등으로 보이도록 스크린함으로써 개인정보유출을 방지하는 것으로 엑스퍼넷, 컴트루테크놀로지, 글로벌다윈 등이 경쟁을 벌이고 있다.
행정안전부는 개인정보보호 단일법의 연내 입법화를 목표로 제시하면서, 그동안 의원입법, 시민단체 등에서 꾸준히 논의되었던 주요 이슈에 대해 충분한 연구와 공론화 과정을 거쳐 제정할 예정이라고 밝혔다. 또한 그동안 법 적용에서 배제되었던 국회·법원 등 헌법기관과 오프라인 사업장까지 적용 범위를 확대하고, 개인정보의 수집에서 파기에 이르는 개인정보처리원칙을 국제 기준에 맞게 규정할 계획이다.
다른 한편으로는 민간부문에 비해 상대적으로 낮았던 공공부문의 개인정보침해에 대한 처벌 수위를 대폭 높임과 동시에 개인정보 무단 조회·열람을 방지하고자 개인정보 이용내역에 대한 로그기록 보관 의무화 등을 적극 도입할 예정이다. 또한 행정안전부는 민간부문 CCTV 설치 및 개인영상정보관리의 법적 근거도 마련할 계획이다.
종합대책의 분야별 주요 추진 과제는 ▲개인정보 수집부터 파기까지의 전단계 관리·점검 강화 ▲기술·시스템 기반에 의한 개인정보보호 장치 강화 ▲교육·홍보를 통한 개인정보보호 인식 제고 ▲선제적 법·제도 기반 확충 등이다.
먼저 개인정보 수집·관리의 관리·점검 강화를 위해 행정안전부는 공공기관 개인정보보호 실태조사를 내·외부 상시점검체계로 전환할 계획. 또한 감사원 등과 협력, 취약기관에 대한 별도 기획감사를 실시하고, 결과를 언론 등에 적극 공개해 각급 기관이 개인정보보호에 적극적으로 동참하도록 유도할 방침이다.
더불어 개인정보보호수준을 체계적으로 진단·평가할 수 있는 수준진단 프로그램도 마련해 중앙부처는 물론 지방자치단체 등 공공기관에 보급할 계획도 있다. 개인정보보호지수를 도출해 한눈에 개인정보보호 실태를 파악하게 하는 수준진단은 1년 단위의 사이클을 적용해 개인정보보호 수준 향상을 도모하게 된다.
행정안전부 장광수 정보보호정책관은 “프로그램을 통해 각 기관이 자율진단을 수행하고, 취약점을 분석해 자체 개선하도록 함으로써 일회성 이벤트가 아닌 상시점검 체계가 마련되고 획기적인 정보보호 수준향상이 이뤄질 것으로 기대한다”고 밝혔다.
더불어 현재 행정안전부와 KISA로 이원화(공공기관의 침해 신고 : 행정안전부, 민간기업의 침해신고 : KISA)된 개인정보침해신고접수 창구를 단일화해 권리 침해에 따른 대응력을 강화하고 국민 편의를 증진할 예정이다. 또한, 웹사이트 개인정보 노출 근절과 취약점 개선을 위하여 집중점검 대상 사이트를 올해 지속적으로 확대한다는 방침이다.
기술·시스템적 기반에 의한 개인정보보호 장치 강화를 위해서는 주민번호대체수단인 G-PIN 사용을 적극 권고, 주민번호 오·남용과 도용을 근절하기로 했다. 행정안전부의 계획에 따르면, 2010년에는 전 공공기관의 웹 사이트에서는 G-PIN이 사용된다. 또 공공기관 개인정보취급자의 접근권한을 보안성이 뛰어난 행정전자서명(GPKI) 방식으로 강화하고, 권한의 임의 양도·대여를 금지함으로써 정보 무단유출을 차단하고, 책임소재를 명확히 할 예정이다.
개인정보보호 인식 제고는 교육 및 홍보 강화를 통해 추진된다. 먼저 각급 기관의 개인정보관리책임자(CPO), 개인정보보호 담당자에 대한 연간 교육이수를 의무화(연간 20시간)해 이들을 허울뿐인 담당자가 아닌 실질적으로 개인정보보호 전문 인력이 되도록 육성할 예정이다. 또 중앙공무원교육원, 지방행정연구원 등 각급 교육기관에 ‘개인정보보호과정’을 편성해 전 공무원에게 개인정보보호 교육기회를 제공하고, 이러닝 컨텐츠 개발 등으로 자체 교육도 적극 지원할 예정이다.
공공·민간을 포괄하는 단일한 ‘개인정보보호법’의 연내 제정과 더불어 행정안전부는 공공기관에서 대규모 민감정보파일 구축시 개인정보 침해위험성과 보호대책을 사전 평가하는 예방적 ‘사전영향평가제도’를 신설, 법제화에 포함시킬 방침도 내놨다.
향후, 행정안전부는 금번 종합대책이 실효성 있게 이행될 수 있도록, 금번 대책을 지침화해 각급 기관에 시달하고, 각급 기관은 자체 실정에 맞는 자체 대책을 수립하도록 요구하는 한편, 종합대책에 대한 전국 권역별 순회교육을 오는 4월부터 실시하고, 각급 기관의 대책 이행 여부를 연중 상시 점검해 나갈 예정이다. <오현식 기자>
