보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
개인정보보호처리자 처분 규제 완화에 대한 필요성
2020.08.04
15,433
1. 개요
‘데이터 경제’가 차세대 경제 패러다임으로 떠오른 현재, 유럽을 포함한 세계 각국은 빅데이터, 인공지능 (AI) 등 관련 기술 활용에 대한 경쟁우위를 점하기 위해 각종 법·제도 마련에 주력하고 있고, 한국 역시 데이터3법 개정안이 국회 본회의를 통과하여 2020년 8월 5일 시행을 앞두고 있다.
한편 이러한 데이터 경제 시대에 상응하는 개인정보보호 규제체계 전환이 대두되고 있는 가운데 한국의 개인정보보호법과 정보통신망법에만 전세계 어디에도 없는 보안담당자 형사처분 조항이 들어 있어 문제가 있다는 지적이 지속되고 있다.
이번 호에서는 현행 국내 개인정보보호 관련 법 중 담당자 처분규제에 대한 문제점과 어떠한 방향으로 개선되어야 할지에 대해 알아보고자 한다.
02. 국내 현행 제도의 문제점
1) 공공과 민간 규제의 불평등
2020년 7월 9일 국회에서 열린 '데이터 경제 활성화를 위한 개인정보보호법 제도 개선 방안' 토론회에서는 최근 개정된 개인정보보호법이 공공에 비해 상대적으로 민간 부문에만 엄격한 규제를 적용하고 있어 개선이 필요하다는 의견이 나왔다..
원래 정보통신망법에 존재하던 정보통신서비스 제공자에 대한 규제 조항이 ‘데이터 3법’ 개정 과정에서 제대로 개선되지 않은 채 개정 개인정보보호법 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)으로 이관되어, 데이터3법 개정에도 불구하고 국내 대부분의 기업은 홈페이지를 보유하고 있어 법률상 정보통신서비스제공자에 해당하기 때문에 불필요한 규제 대상이 되고 있다는 것이다.
법적 의무 위반에 따른 처벌 규정에서도 공공부문은 민간부문보다 완화된 규제를 적용 받고 있다.
예를 들어 민간에서는 개인정보보호법을 위반할 시 민형사상의 책임과 행정상의 제재를 받게 되지만 공공은 시정권고나 징계권고를 받는 것에 그치는 수준이다.
[표 1] 개인정보처리자 유형별 행정제재 및 형사처벌 적용 여부 (출처 : 대법원 사법연감 자료)
개인정보보호 규제에 대한 공공부문과 민간부문의 불평등을 야기하는 또 다른 문제점은 정보보호최고 책임자(CISO)의 지정 의무화에 대한 이슈이다.
정부는 지난해 6월 13일부터 자본금 1억원 이하 소기업 등을 제외한 기업으로 CISO 지정·신고 의무 적용 대상을 정하고, 자산총액 5조원 이상 또는 정보보호 관리체계 인증 의무가 있는 정보통신서비스 제공자에 대해서는 CISO에 대해 겸직 금지 의무를 부여했다.
정부에서는 규모가 큰 민간 기업에 대해 정보보호 투자를 강화할 수 있도록 하는 조치였겠으나, 민간에서는 더 많은 개인정보를 지닌 정부가 민간에만 CISO 지정을 의무화하는 것에 대해 비판적인 시각이 있는 것도 사실이다.
공공기관에 CISO가 지정되지 않을 경우, 개인정보 유출 시 총 책임자가 존재하지 않게 되기 때문에 주요정보통신기반시설과 같은 특정 분야 외의 공공기관 역시 정보보호최고책임자 지정을 의무화해야 한다는 주장이다.
[그림 1] CISO 지정신고 대상
2) 개인정보처리 업무 회피
국내 개인정보보호 책임자(CPO)들은 현행 개인정보보호 책임자 형사처분 조항은 CPO에게 권한을 넘어 과도한 책임을 부과하고 있으며, 이런 상황에서 CPO는 형사처분만 면하려고 하지 실제로 조직의 비즈니스에 맞는 개인정보보호 노력을 할 수 없게 되기 때문에 실질적 효과가 없다고 주장하고 있다. 그리고 개인정보보호는 CPO 혼자 하는 것이 아니라 CIO, CISO 업무와 협업이 필요한 부분이 상당히 많고 최종적으로 CEO가 예산이나 조직 구축 등 업무 환경에 승인을 해줘야만 가능한 업무임에도 불구하고 CPO 혼자 모든 법적 책임을 지라는 것은 말이 안 된다는 입장이다.
따라서 법인이나 대표가 사고에 대한 책임을 지는 것이 합당하고, 책임자는 회사 내규에 따르면 되는 일이기 때문에 이 조항은 개인정보유출 방지에 실효성이 없다며 개정을 요구하고 있다. 현행법에는 기술적 안전성 확보에 필요한 조치가 미흡해 개인정보가 유출되었을 경우 개인정보보호 담당자를 형사처분까지 할 수 있도록 규정하고 있다. 하지만 해커들은 제로데이 공격 등 고도화된 사이버공격을 감행하고 있으며, ‘제로데이 공격’의 경우 보안담당자는 속수무책으로 당할 수밖에 없다.
CPO는 이러한 해킹 등에 대응하기 위해 정보시스템에 방화벽을 구축하는 등 개인정보 유출 방지를 위한 기술적 안전성 확보조치를 취하고 있지만, 기술적으로 진보해 가는 해커에 의한 사이버 공격을 막지 못해 개인정보보호 업무 담당직원이 기소되는 사례가 발생하고 있다.
대법원 사법연감 자료에 따르면 개인정보보호법 위반에 따른 형사사건 판결 중 무죄율은 8% 내외이며, 개인정보보호법 위반으로 기소될 경우 어떤 방식으로든 90% 이상이 유죄 판결을 받게 되는 것이 현실이다.
[표 2] 개인정보보호법 위반 형사사건 제1심 판결건수(2016~2018년) (출처 : 대법원 사법연감 자료)
이로 인해 우수한 정보보호 인력이 개인정보보호 업무를 회피하는 결과가 초래되고 있으며, 이는 장기적으로 국가적인 개인정보 보호수준 하락으로 이어질 것으로 예상된다. 실제로 기업에서는 개인정보 보호의 중요성은 커지고 있는 반면, 개인정보보호 업무의 경우 형사처벌 위험성이 크다는 이유로 경험 있고 우수한 인재를 확보하기 어려워 인력 부족에 시달리고 있다는 주장이다.
유럽의 GDPR과 주요 국가에서는 중대한 고의적인 침해행위에 대해서는 형사처분을 규정하고 있지만, 개인정보보호에 대한 기술적·관리적·물리적 안전성 확보 조치를 취하지 않아 개인정보가 유출되었을 경우에는 과징금을 부과하고 있다. 특히 고의성이 없는 단순한 기술적·관리적·물리적 안전성 확보 조치 위반의 경우 고의적인 침해행위에 비해 가벌성이 낮고, 기술적·관리적 조치의 경우 기업 차원에서의 대비가 필요한 측면이 크다.
국내에서도 공공 업무방해나, 영리 등을 목적으로 하지 않은 개인정보보호법 위반 행위는 형사처벌이 아니라 시정명령을 통해 기업이 자발적으로 개선 할 기회를 주어야 한다.
03. 관련 법률 개정
1) 개정법률안 발의
개인정보보호 책임자(CPO) 형벌 조항은 정부에서 그간 여러 차례 지적되어온 사안으로써, 기존에 방통위에서도 입법 권고를 한 내용이다. 이에 20대 국회 때 더불어민주당 김병관 전 의원은 2019년 10월 15일 ‘개인정보보호법 일부개정 법률안’을 대표 발의하였다.
김병관 전 의원은 개정안 발의 취지에 대해 “안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우에 적용하는 형사처분의 벌칙은 삭제하고 법인에게 과징금을 부과해 CPO와 실무자에 대한 법적 보호조치를 마련하고 기업의 책임을 강화하기 위해 개정안을 발의하게 됐다”고 밝혔다.
개정 법안 주요 내용은 벌칙 규정인 개인정보보법 제73조제1호를 삭제하고, 안전성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우에는 해당 법인의 대표자나 법인에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다는 내용을 신설하자는 것이다.
[표 3] 신·구조문 대비표(개인정보 보호법 일부개정법률안)
2) 법률개정 진행 경과
하지만 이 법안은 2019년 10월 16일 행정안전위원회 심사를 끝으로 계류하다가, 21대 국회 회기가 시작되면서 자동 폐기되었다.
당시 심사소위에서 행정안전부 윤종인 차관은 “고의로 안전성 확보 조치를 하지 않은 자에 대해서까지 형사처분을 배제할지 그 부분에 관한 판단이 지금 정부로서는 좀 검토가 되어야 한다는 입장”이라며 “종합적으로 지금 갖고 있는 형사처분에 관한 이런 조항들을 장기적으로 미세조정을 해서 과징금으로 바꿔 나가야 된다는 측면에 있어서는 공감을 하면서도, 지금 형벌을 일거에 다 없애서 과징금으로 바꿀 수 있는지에 대해서는 정부로서 조금 더 신중한 검토와 연구가 필요하다”고 개정안에 대한 반대의사를 표했다.
이후 2020년 1월 9일 국회 본회의에서 통과된 개인정보 보호법(시행 2020. 8. 5) 역시 김병관 의원이 제안한 개인정보 유출시 벌칙조항은 제외되었다.
04. 결론 및 시사점
앞서 살펴본 법률상의 개인정보보호처리자 처분 규제에 대한 두 가지 문제점은 크게 개인정보보호법에 대한 개정 검토 미흡으로 인해 발생한 민간부문(정보통신사업자)에 대한 과도한 규제 적용과 개인정보보호 책임자/실무자의 고의 또는 업무방임과 무관하게 발생한 보안사고까지 개인에게 강력한 처벌을 내려지기 때문에 업무자체를 회피하려는 사회적 분위기가 형성되고 있다는 것이다.
먼저 공공부문과 민간부문의 불평등 문제의 경우, 앞으로의 개인정보보호법 개정을 통해 공공은 처분규제를 보다 강화하고, 민간은 규제 완화를 통해 개인정보처리에 대한 자율성을 개선하고 데이터 활용을 통한 가치창출에 도움이 되는 방향으로 국가 정책이 변화해 가는 것이 바람직할 것이다.
그리고 국내의 개인정보보호 책임자/실무자에게 부과되는 과다한 책임 역시 머지않아 해외의 개인정보보호 선진사례를 참고하여 개선되어 질 것으로 기대한다.
지난해 10월 발행된 '유럽의 개인정보 안전성 확보 강화' 보고서에 따르면 "개인정보 유출이 있었더라도 담당자 형사처벌보다 기업에 과징금을 부과하되 실효성을 높이기 위해 유럽 법제와 같이 상당한 금액의 과징금을 부과” 하도록 하고 있다.
또한 일본은 부정한 목적으로 개인정보를 침해한 경우를 제외하고는 시정명령부터 내리고, 이를 이행하지 않을 경우 형사처벌하도록 규정하고 있으며, 유럽과 미국도 대부분 개인정보 침해 사건에 대해 형사처벌 대신 과징금 등 행정적 강제수단을 택하고 있다.
그간 비식별 개인정보의 활용, 금융사 직원의 원격접속에 대한 한시적 허용(망분리 예외허용 조치), 공공기관에서의 민간 클라우드 이용 허용 등과 같이 보안성 강화를 목적으로 정부에서 규제방안을 마련하였으나, 현장에서 실효성 논란이 지속되어온 사안들의 경우 적용기준이 완화되거나 예외 처리된 사례가 존재한다. 따라서 국내에서 앞으로 개인정보보호 유출사고가 발생할 경우, 법인 또는 대표에 처벌이 강화되는 대신 개인정보보호처리자에 대한 부당한 처분은 점차 완화되는 방향으로 관련 규제가 개선되기를 기대한다.
05. 참고자료
[1] [보도자료] 김병관 의원, 개인정보 유출시 기업책임 강화 법안(2019.10.16.)
[2] "개인정보 침해, 형사처벌 기준 완화해야“, http://m.inews24.com/v/1280492
[3] ‘데이터경제 활성화·개인정보보호’…두 마리 토끼 다 잡으려면?, http://www.kidd.co.kr/news/217299
[4] "개인정보보호법, 공공과 민간 형평성 잃어“, https://zdnet.co.kr/view/?no=20200709123302
[5] 폐기된 보안업계 숙원 법안, 21대 국회선 살아날까, https://zdnet.co.kr/view/?no=20200531164259