'개인정보 유출사고' 신고·조사 따로…KISA, 법 개정 추진

KISA, 개인정보 유출사고 신고·상담 권한 있지만 조사권 범위 모호
초동수사 어려워…정보통신망법에 명시하도록 법 개정 추진

인터넷진흥원 나주 신청사 전경

[아시아경제 한진주 기자] 인터넷진흥원(KISA)이 개인정보 유출 사고에 대해 직접 조사를 나갈 수 있도록 법 개정에 나선다. 개인정보 유출 사고가 발생했을 때 인터넷진흥원이 신고·상담을 받지만 사고에 대한 조사권한이 불명확한 실정이어서다.

27일 인터넷진흥원에 따르면 현행 정보통신망법 시행령에서만 인터넷진흥원이 신고를 받은 후 조사를 진행할 수 있다고 명시돼있다. 그러나 시행령에 포함된 내용으로 조사를 진행하기가 쉽지 않아 상위법에 근거를 명확히 할 수 있도록 법안을 개정해달라고 요청하고 있다.

인터넷진흥원 관계자는 "개인정보 유출과 관련해 우리가 초동조사 할 수 있는 부분을 정보통신망법에 담아달라고 요구하고 있다"며 "개인정보가 대량으로 유출된다던지 정보통신망에 심각한 위해를 가할 경우, 민관합동조사단을 꾸려서 조사할 수 있지만 현행법이 대형 사고에 초점을 맞추고 있어서 조사권을 판단하기 쉽지않은 경우가 있다"고 설명했다.

인터넷진흥원은 대형사고가 아닌 개인정보유출에 대한 초동 조사가 어렵다는 것이 문제라고 보고 있다. 사고 조사에 대한 부분을 명확하게 만들 필요가 있다는 지적이다. 민관합동조사단은 과학기술정보통신부와 방송통신위원회, 경찰, 인터넷진흥원으로 구성된다.

현행 정보통신망법에서 정보통신서비스제공자는 1건 이상의 개인정보가 유출되면 24시간 이내에 신고하도록 명시돼있다. 개인정보보호법의 경우, 개인정보처리자가 1만명 이상의 개인정보를 유출할 경우 5일 이내에 신고하도록 하고 있다.

인터넷진흥원이 접수받은 개인정보 유출신고 건수는 ▲2014년 140건 ▲2015년 25건 ▲2016년 40건으로 집계됐다. 개인정보 유출이란 기업이 보유하고 있던 이용자 데이터가 유출되는 사고를 의미한다.

또한 지난 3년간 발생한 개인정보 유출사고 10건 중 6건은 외부공격(해킹)에 의한 것으로 조사됐다. 인터넷진흥원에 따르면 2014년부터 2016년에 국내에서 발생한 개인정보 유출사고 원인은 외부공격(59%)이 가장 많았다. 그 다음은 내부직원 고의 유출(7.8%), 관리자 부주의(6.8%), 시스템오류(5.9%) 순이다.

개인정보를 온·오프라인에서 수집, 저장, 보관하면서 유출 위험도 점점 커지고 있다. 개인정보를 수집·이용하는 주체는 공공기관, 오프라인 사업자, 통신사업자, 인터넷사업자, 비영리기관 등이 있다. 최근에 발생한 유출사고로는 지난 3월 여기어때의 개인정보 유출 사고, 지난 6월 빗썸의 이용자 정보 유출 사고 등이 있다.

인터넷진흥원은 정보주체(이용자)가 개인정보 처리내역을 열람하고 정정삭제나 처리정지(파기) 등의 요구권을 행사할 수 있도록 지원을 강화하는 방안도 추진중이다. e프라이버시 서비스를 통해 '본인확인 내역 조회'나 '웹사이트 회원 탈퇴'를 제공한 것에서 한 발 나아간 것이다. 개인정보 정정이나 삭제를 요구한 이후에도 지속적인 피해가 발생할 경우 처리내역을 확인하고, 신고 등의 절차를 안내할 수 있게 만들겠다는 취지다.

이밖에도 인터넷진흥원은 개인정보 침해사고 예방을 위한 기획점검, 개인정보 관리범위 확대를 위한 서면점검, 유출사고 2차 피해 최소화를 위한 특별점검 등을 진행하고 있다.

인터넷진흥원은 "기업이나 개인 모두가 개인정보를 최소한으로 수집하고 목적을 달성할 경우 정보를 파기한 후 주기적으로 문서나 홈페이지 등을 확인하는 노력이 필요하다"고 말했다.

한진주 기자 truepearl@asiae.co.kr