최근 발생한 SK텔레콤 사이버 침해 사고로 이용자 불편이 심화하는 가운데 개인정보 유출 기업과 기관의 사후 책임을 강화하는 법안이 국회에서 발의됐다. 정보 유출 당사자인 개인정보처리기관이 실질적인 피해자 보호 조치를 행하도록 명시한 것이 핵심이다. 이와 더불어 유심정보 암호화를 의무화하는 내용도 입법화해 ‘제2의 SK텔레콤 해킹’ 사고를 예방해야 한다는 목소리도 나온다.
6일 국회 의안정보시스템에 따르면 이정문 더불어민주당 의원은 지난 1일 개인정보처리자의 정보보호 책임을 강화한 ‘개인정보보호법’ 일부개정법률안을 대표발의했다. 개정안에는 일정 규모 이상의 개인정보가 유출됐을 때 기업의 사후 모니터링 및 보고 의무 등 추가적인 책임을 부과하는 내용이 담겼다.
구체적으로는 1000명 이상의 정보 주체에 관한 개인정보나 민감·고유식별정보가 유출된 경우, 정보기기에 대한 불법적인 접근으로 개인정보가 유출된 경우 개인정보처리기관이 2년간 유출된 정보의 불법 유통 여부를 모니터링하고, 그 결과를 개인정보보호위원회에 보고하도록 명시했다.
이 의원은 지속해서 발생하는 개인정보 유출 사고가 금융 범죄로도 이어지며 국민 개인의 일상과 재산권에 심각한 영향을 미치고 있다고 밝혔다. 그러면서 “현행법에는 유출된 개인정보의 유통 현황을 추적하고 피해 확산을 방지하는 등 사후 조치에 대한 의무가 없어 기관들의 대응이 미흡하다”고 지적했다.
개인정보처리기관의 사후 책임을 강화하는 것과 더불어 개인정보 유출을 예방할 수 있도록 유심정보 암호화를 의무화하는 내용의 입법도 필요하다는 의견도 있다. 앞서 류정환 SK텔레콤 부사장은 지난달 30일 국회 과학기술정보방송통신위원회(과방위)에 출석해 사내 시스템에 악성코드가 침투할 당시 유심정보가 암호화돼 있지 않았다고 밝혔다.
현행법상 유심칩에 담긴 가입자 식별번호(IMSI), 가입자 인증키 등은 의무 암호화 대상이 아니다. 개인정보보호위원회 고시 ‘개인정보의 안전성 확보조치 기준’에 따르면 개인정보처리자가 암호화해 보관해야 할 정보로는 주민등록번호·여권번호·운전면허번호·외국인등록번호·신용카드번호·계좌번호·생체인식정보 등 7가지다.
염흥열 순천향대 정보보호학과 교수는 “네트워크 단에서의 실시간 처리가 중요해 유심정보 암호화가 어려운 측면도 있지만 요즘은 컴퓨팅 성능이 높아져 암호화·복구화 속도가 빨라 일정 부분 적용이 가능할 것 같다”고 말했다.
나경연 기자 contest@kmib.co.kr