수집·이용·제공 엄격 통제…주요 정보 반드시 암호화해야
‘정보보호 종합계획’ 발표…올 하반기 ‘개인정보보호법’ 제정
또 주민번호, 은행계좌번호, ID와 패스워드 등 주요 정보는 반드시 암호화해 저장·유통하도록 의무화되며, 회원가입 또는 본인실명 확인 때는 주민번호 이외에 전자서명, 휴대전화 인증 등도 사용할 수 있게 된다.
정부는 22일 오전 한승수 주재로 열린 국무회의에서 행정안전부, 방송통신위원회, 지식경제부, 국가정보원이 합동으로 종합보고한 이같은 내용의 ‘정보보호 종합대책’을 확정, 발표했다.
범정부 차원에서 마련된 ‘정보보호 중기 종합계획’에는 개인정보보호법을 신설하는 것을 비롯해 잇따른 피해를 낳고 있는 해킹을 예방토록 정부와 공공기관 정보통신기반 시설에 대해 7000억원을 투입해 보안시스템을 구축한다는 내용을 담고 있다.
아울러,‘사이버방역센터’를 설치해 영세기업과 일반국민의 개인PC에 대한 해킹 및 바이러스 감염여부를 진단해 주고, 정보보호 관련사업을 육성하고 보안기술을 지속적으로 개발하겠다는 차원에서 ‘지식정보보안 산업육성법(가칭)’도 제정키로 했다.
정부는 행정안전부, 방송통신위원회, 지식경제부, 국가정보원 합동으로 ‘정보보호 종합대책’을 마련, 개인정보보호 강화에 적극 나선다는 계획이다.
정부는 이같은 법제정비와 국가 보안 인프라 투자, 산업 육성책 등을 통해 우리나라 보안 인프라 수준을 현재의 55%에서 90%까지 끌어올리는 한편, 현재 전세계 51위에 머물고 있는 국가 보안수준을 2012년까지 5위까지 끌어올린다는 계획이다.
개인정보 유출 엄격 통제…개인정보보호법 제정
정부는 올 하반기까지 공공, 민간부문을 포괄하는 개인정보보호법을 제정키로 했다.
새로 제정되는 ‘개인정보보호법’에는 ‘개인정보보호 OECD 8원칙’ 등 국제기준이 반영돼 개인정보 수집·이용·제공 등이 엄격히 통제된다. OECD 8원칙은 수집제한, 정보의 정확성, 목적 명확화, 이용제한, 안전성 확보, 개인참가, 책임의 원칙 등 개인정보 수입·이용·관리 원칙을 담고 있다.
이에 따라 ‘개인정보보호법’이 제정될 경우 사업자가 개인정보를 수집할 때 반드시 세법에 의한 세무조사 등 법령에 근거하거나 본인동의를 받아야 하고, 수집된 개인정보는 목적 외 다른 용도로 이용하거나 제공할 수 없게 된다.
또 외부 해킹이나 내부자에 의해 개인정보가 유출됐을 경우, 해당 개인에게 유출사실을 즉시 통보토록 하는 내용도 포함시킬 방침이다. 특히 주민번호, 은행계좌번호, 아이디(ID), 비밀번호는 의무적으로 암호화해서 저장 유통해야 한다.
아울러 공공기관과 통신업체 등만 적용됐던 개인정보보법 범위가 국회와 법원, 헌법기관, 비디오대여점, 학원까지 확대되며, 사단법인 등 비영리단체까지 법의 적용을 받도록 명시할 예정이다.
행정안전부 정남준 제2차관은 ‘개인정보보호법’ 제정 시기와 관련, “관계부처와 좀더 협의를 거쳐 빠른 시일 내에 입법화하고 공청회 등을 통해 시민단체, 일반국민의 목소리를 수렴한 뒤 늦어도 정기국회 때는 법안을 제출하도록 노력할 것”이라고 말했다.
한편, 정부는 정보통신기반보호법, 전자서명법, 전자정부법 등 정보보호 관련 법규정을 일원화해 ‘정보기반보호법(가칭)’으로 통합키로 했다.
정보보호 인프라 수준 향상
정부는 우선, 사이버공격에 취약한 16개 시도에 2009년까지 ‘사이버침해대응센터’를 설치하고 전기통신 에너지 등 국가 기간시설의 정보통시스템에도 국가안보에 준하는 정보보호 관리체계를 도입키로 했다.
또 현재 16%에 머물고 있는 공무원 개인 PC의 해킹차단시스템 설치율을 현재 16%에서 2012년 100%까지 끌어올리고, ‘정부통합전산센터’의 보안 인프라를 대폭 확충해 정부기관에 대한 사이버 공격을 근본적으로 차단할 수 있는 대응 체계를 마련한다는 계획이다.
중소기업과 대국민 정보보호 지원서비스도 강화된다. 한국정보보호진흥원은 ‘사이버방역센터’를 설치해 영세기업과 일반 국민들이 개인 PC에 대한 해킹과 바이러스 감염여부를 온라인으로 진단해주고, 백신 프로그램 설치 등 정보보호 서비스를 제공키로 했다.
아울러 ‘정보보호 119’ 서비스를 도입해 각종 사이버 공격에 대한 신고와 공격에 대한 보호조치 요청시 즉시 지원할 수 있는 체계도 갖추기로 했다. 이를 통해 민간 정보보호 수준을 현재 63%에서 2012년 80% 수준까지 제고하기로 했다.
최근 중국 해커에 의해 발생한 ‘옥션’ 해킹사고와 같이 외국에서 국내 사이트를 해킹하는 사례가 급증함에 따라 정부는 중국, 일본, 미국 등 트래픽 교류가 활발한 국가와 1:1 협약을 체결하는 등 국제 공동협력체계도 강화해 나갈 계획이다.
정보보호 기술기반 확충
정부는 공공 및 민간의 정보보호 수준을 향상시킨다는 계획이다.
이를 위해 행정기관의 정보보호 투자를 확대해 정보보호시스템 도입률을 2007년 55.4%에서 2012년 90%까지 확충하고 행정기관의 정보보호 전담조직 설치와 함께 전문인력을 보강키로 했다.
또 방화벽 용량을 늘리고 재해복구시스템을 구축하는 정부통합전산센터의 정보보호 인프라를 확충해 전자정부의 안전성을 높이고, 정보시스템에 대한 접근권한 통제, 정보유출 모니터링 등을 통해 내부자 정보유출를 막는다는 계획이다.
이와 함께 중요 또는 민감정보를 대량 보유한 기관에 대해서는 정보보호 전담조직과 인력을 보강토록 하고 사이버침해사고대응팀(CERT) 구축해 대응토록 할 계획이다.
아울러 이들 기관들은 개인정보에 대한 영향평가 수행, 개인정보 이용내역에 대한 기록, 정보유출 시 정보주체에게 통지 의무화 등을 준수토록 하고, 만약 이를 이행하지 않을 경우에는 5년 이하 징역, 5000만원 이하의 과태료 또는 1억원 이하의 이행강제금을 부과키로 했다.
2012년 보안산업 ‘20조 규모로’
정보보호산업 지원책도 대대적으로 시행된다.
지식경제부는 연내에 ‘지식정보보안 산업육성법(가칭)’을 제정해 기존 IT 보안뿐 아니라 IT 물리보안, IT 융합산업보안 등 보안산업 3대 핵심분야의 신기술 개발과 사업화를 촉진하기로 했다. 이를 통해 보안시장 규모를 오는 2018년까지 20조원 규모로 육성한다는 계획이다.
보안 산업육성과 관련 법률이 단독 추진되기는 이번이 처음으로, 이는 해킹과 악성코드 등 사이버 공격기술이 점차 지능화, 첨단화되고 있지만 대부분의 보안업체들이 영세해 기술개발 투자에 한계가 있다는 지적에 따른 것으로, 보안산업 활성화에 적잖은 도움이 될 전망이다.
‘지식정보보안 산업육성법’에는 지식정보보안 업체의 창업지원, 전문인력 육성, 기술개발 및 표준화, 세제지원, 자격제도 활성화, 제품·서비스 품질인증제 도입 등이 포함될 예정이다.
또한 정부는 업계 숙원이던 보안제품 분리발주를 확대하는 동시에 유지보수요율을 현실화하는 등을 내용을 담은 ‘지식정보보안산업 발전전략’을 이달까지 수립한다는 계획이다.
아울러 정보보호 전문가 양성을 위해 산업체와 대학 간 정보보호인력 수요·공급망을 구축하고 대학의 정보호 교육 프로그램을 확대 개설하는 등 맞춤형 인력양성을 추진키로 했다. 또 정보보호 국가기술자격 제도 도입, 윤리적 해커 양성 지원 등도 추진된다.
법령 근거하지 않으면 주민번호 수집 못해
정부는 주민번호, 운전면허번호 등 개인을 식별할 수 있는 고유정보는 법령에서 허용된 경우 이외에는 수집·저장·유통할 수 없도록 할 방침이다.
또 웹사이트 등에서 회원가입 또는 본인실명을 확인하고자 할 때에는 주민번호 이외에 전자서명, I-PIN, 휴대전화 인증 등도 사용할 수 있게 해 공공·민간의 웹사이트 상의 주민번호 수집률이 현재 69%에서 2012년에는 30% 이내로 낮춘다는 계획이다.
아울러 정보가 유출됐을 때 피해가 큰 주민번호, 은행계좌번호, ID와 패스워드 등 주요정보는 반드시 암호화해 저장·유통하도록 의무화되며, 정보의 주체자(해당 개인)는 공공기관의 자기정보 열람·제공 내역을 언제든지 확인할 수 있게 해 개인정보의 자기통제권을 강화하도록 할 계획이다.
정남준 행정안전부 2차관은 “정보화가 발전하면 할수록 정보화 역기능에 의한 피해도 급속히 증가할 수밖에 없기 때문에 이러한 문제를 해결하기 위해서는 정부만의 노력으로는 한계가 있으므로 국민들 스스로 자기 정보를 지키는 노력이 필요하다”면서 국민들의 적극적인 협조를 부탁했다.