개인정보보호위원회(개인정보위)가 대규모 개인정보처리자의 업무용 기기에 대해 의무적으로 적용되던 인터넷망 차단 조치를 완화하기로 했다. 인공지능(AI), 클라우드 등 데이터 활용 환경이 빠르게 변화하는 점을 반영해, 개인정보 처리환경에 따라 자율적으로 보안 조치를 설계할 수 있도록 규제를 개선한 것이다.

개인정보위원회는 21일부터 '개인정보의 안전성 확보 조치 기준' 고시 개정안을 행정예고에 들어갔다고 밝혔다. 행정예고 기간은 8월 9일까지다.

이번 개정안은 개인정보처리자(처리자)가 처리하는 개인정보의 규모, 유형, 목적, 정보 주체에 미치는 영향 등을 고려해 적정한 보호조치를 선택할 수 있도록 구성됐다. 핵심은 '일괄 차단'에서 ‘위험 기반 차등 적용’으로의 전환이다.

기존에는 하루 평균 100만명 이상의 이용자 개인정보를 처리하는 대규모 처리자의 경우, 개인정보를 내려받거나 파기할 수 있는 취급자 기기에 대해 인터넷망을 전면 차단해야 했다. 그러나 앞으로는 사전에 위험 분석을 실시하고, 위험이 낮다고 판단되거나 보완 조치를 취한 경우에 한해 인터넷 접속을 허용할 수 있게 된다.

이는 개인정보를 안전하게 보호하는 원칙을 유지하면서도 유연한 정보처리 환경을 가능하게 하려는 취지다.

접근 통제 대상도 기존의 '취급자'에서 '정당한 접근 권한을 가진 자'로 확대된다. 오픈마켓 입점 판매자처럼 시스템에 접근할 수 있는 다양한 주체까지 관리 범위에 포함되며, 이들에 대한 접근권한 통제와 접속기록 관리 의무가 새롭게 부여된다.

이와 함께 처리자는 접속기록에 대해 보다 강력한 인증수단을 적용해야 하며, 시스템 접근 이력 등도 보관·관리해야 한다.

그동안 처리자는 월 1회 이상 개인정보 처리시스템 접속기록을 점검해야 했지만, 개정안은 이 주기를 자율적으로 설정할 수 있도록 했다.

개인정보의 보유 규모와 유형 등 개별 처리환경을 반영해 내부 관리계획에 점검 주기와 방법, 사후 조치 절차 등을 정할 수 있게 된다.

양청삼 개인정보정책국장은 "대규모 처리자가 개인정보의 처리 목적․방법․맥락 등을 종합적으로 고려하고 위험 분석을 통해 인터넷망 차단 여부를 스스로 결정하도록 했다"며 "행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획"이라고 말했다.

이번 개정안은 개인정보위 누리집에서 확인할 수 있으며, 관련 의견은 오는 8월 9일까지 전자우편 또는 일반우편을 통해 제출할 수 있다.

mine124@news1.kr