개인정보위, 대규모 개인정보처리자 '인터넷망 차단' 규제 완화

ⓒ개인정보보호위원회

개인정보보호위원회(이하 개인정보위)가 대규모 개인정보처리자의 업무용 기기에 대해 의무적으로 적용되던 인터넷망 차단 조치를 완화한다.

인공지능(AI), 클라우드 등 기술의 빠른 발전과 데이터 중심 보호 체계로의 전환에 맞춰 개인정보처리자(이하 처리자)의 처리 환경에 맞는 보안 조치를 설계할 수 있도록 규제를 개선한다.

개인정보위는 이같은 내용을 담은 '개인정보의 안전성 확보조치 기준' 고시 개정안을 오는 8월 9일까지 행정 예고한다고 21일 밝혔다.

우선, 대규모 개인정보처리자에게 적용되는 인터넷 접속 차단 조치를 개선한다. 대규모 처리자는 전년 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자를 말한다.

기존 대규모처리자는 개인정보처리시스템(이하 처리시스템)에서 개인정보를 내려받거나 파기할 수 있는 개인정보 취급자(이하 취급자)의 모든 기기에 대한 인터넷망을 차단해야 했다.

하지만 이번 개정으로 대규모 처리자가 위험 분석 후 위험 수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 선별적으로 취급자의 기기에 대한 인터넷망 접속이 가능하다.

이와 함께 처리자의 처리 시스템 접속 인가 범위를 확대한다.

이번 개정으로 ▲처리자가 처리시스템에 대한 접근권한을 부여·통제하는 대상과 ▲처리자가

처리시스템에 대한 접속기록을 보관·관리해야할 대상 범위가 변경됐다. 이에 따라 처리시스템 접속 시 처리자가 안전한 인증수단을 적용해야만 하는 대상이 확대되는 등 안전한 개인정보 처리를 위한 처리자의 의무를 강화했다.

또, 처리자에게 인가받지 못한 자의 처리시스템에 대한 접근을 막고 처리시스템에 보관된 접속 기록 등을 통해 개인정보 유출 발생 시 책임성이 강화될 전망이다.

처리자가 개인정보 처리환경에 맞게 처리시스템에 대한 접속 기록 점검 주기를 설정할 수 있도록 했다.

기존에는 처리자가 처리시스템에 대해 월 1회 이상 접속기록을 점검해야 했다. 앞으로는 보유한 개인정보의 규모·유형 등의 처리환경을 고려해 처리시스템의 접속기록 점검 주기 등을 내부 관리계획에 반영해 운영할 수 있다.

양청삼 개인정보위 개인정보정책국장은 "인공지능과 데이터 활용의 중요성이 커진 현시점에서 대규모처리자가 개인정보의 처리 목적·방법·맥락 등을 종합적으로 고려하고 위험 분석을 통해 인터넷망 차단 여부를 스스로 결정하도록 했다"며 "행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획"이라고 말했다.