개인정보 취급 보안 PC도 인터넷망 접속 가능해진다

[이데일리 김범준 기자] 보안이 요구되는 업무 네트워크에서 일반 인터넷을 사용할 수 없도록 차단한 이른바 ‘망분리’ 정책이 개선된다. 위험도에 따라 제한 기준을 완화해 제한된 인터넷망 접속이 허용된다.

지난 11일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 제15회 전체회의에서 고학수 위원장이 안건을 의결하고 있다.(사진=개인정보보호위원회)

12일 개인정보보호위원회는 이와 같은 내용이 담긴 ‘개인정보처리시스템에 대한 인터넷망 차단조치 제도 개선안’을 발표했다. 앞으로는 개인정보처리시스템에서 데이터 가명화 및 암호화 등 개인정보 유출 방지와 불법 접근 차단을 위한 적절한 보호 조치를 적용한 경우 인공지능(AI)이나 클라우드 등 기술을 활용할 수 있다. 특히 마케팅 목적의 데이터 분석과 연구·개발을 위한 외부 분석 도구(SaaS 형태 등) 활용도 가능해진다.

현재까지는 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대해 의무적으로 인터넷망 차단조치를 해야 했다. 앞으로는 개인정보처리자가 내부 관리계획에 따른 위험 분석을 통해 인터넷망 차단 수준을 직접 설계할 수 있게 된다.

인터넷망 차단조치 제도는 과거 대규모 개인정보 유출 사태를 계기로 개인정보 보호 조치 방안 중 하나로 지난 2012년 도입됐다. 전년도 말 기준 일평균 이용자 수가 100만명 이상인 개인정보처리자를 대상으로 한다. 하지만 10여년이 지난 현재 AI·클라우드 등 인터넷 기반 기술이 급격히 발전하고, 일률적인 인터넷망 차단 조치로 인해 혁신 기술의 활용이 어려워 개선이 필요하다는 의견이 지속 제기돼 왔다.

이에 따라 개인정보위는 인터넷망 차단조치 관련 제도 개선을 위해 그동안 업계 전문가로 구성된 ‘인터넷망 차단조치 제도개선 연구반’을 구성하고 논의를 이어왔다. 그 결과 인터넷망을 완전히 차단하기보다는, 위협 요소를 최소화하고 인터넷을 활용해 업무 효율을 높일 수 있도록 위험도에 따른 △차단수준 차등 적용 △개인정보처리자의 책임 강화를 통한 보호수준 저하 방지 △개인정보처리자 지원 강화 등 3대 개선 방향을 제시했다.

개인정보취급자 컴퓨터에 인터넷망 차단 의무화 대신, 앞으로는 차단 대상 컴퓨터 등 위험 분석을 통해 취급자 컴퓨터 등을 3단계로 구분하고 차단 수준을 차등 적용할 예정이다. 인터넷망 차단조치 이 외에 상응하는 보호조치 하에서 제한된 인터넷망 접속도 허용하도록 완화할 방침이다.

개인정보위는 산업계 등 이해관계자들과 논의를 거쳐 위험수준(저·중·고) 기준과 상응하는 보호조치 등을 구체화해 필요한 부분을 ‘개인정보의 안전성 확보조치 기준’에 반영할 예정이다. 다만 개인정보 데이터베이스(DB)에 대한 접근 권한을 설정할 수 있는 고위험 컴퓨터 등은 기존과 같이 인터넷망 차단조치 의무를 유지한다.

아울러 인터넷망 차단조치 완화로 인해 개인정보 보호 수준이 저하되지 않도록, 개인정보위는 개인정보처리자 스스로 컴퓨터 등 취급자의 현황·위치·민감도 분석을 통해 적절한 보안 대책을 강구할 수 있도록 유도할 방침이다. 수립한 보안 대책이 제대로 운영되고 있는지 점검하고 주기적으로 재평가와 보완 조치를 하도록 권고해 나갈 계획이다.

이 밖에도 개인정보위는 개인정보처리자가 인터넷망 차단조치 완화에 따른 보안 조치를 효과적으로 적용할 수 있도록 입체적인 지원을 강화할 예정이다. 기술지원 전담반을 구성해 상응 보호조치 적용을 원하는 개인정보처리자에 대해 불확실성 제거를 위한 현황 진단 및 애로 상담 등 맞춤형 ‘원스톱 지원 서비스’를 제공할 계획이다.

고학수 개인정보위원장은 “이번 인터넷망 차단조치 제도 개선으로 인공지능·클라우드 등 현장에서 필요한 분석도구들을 안전하게 활용하는 것이 가능해질 것”이라며 “개인정보 보호수준 저하로 연결되지 않도록 철저한 위험분석을 하는 등 개별 개인정보처리자의 각별한 노력이 필요하다”고 강조했다.