대규모 개인정보 취급 기업·기관도 '망 분리' 규제 풀린다

개인정보위, 연말쯤 완화기준·보호조치 구체화

11일 서울 종로구 정부서울청사에서 열린 개인정보보호위원회 2024년 제15회 전체회의에서 고학수 위원장이 발언하고 있다./사진=뉴시스

대규모 개인정보를 처리하는 기업·기관 시스템을 대상으로 외부 인터넷 차단을 의무화한 '개인정보 망 분리 제도'가 도입 12년 만에 완화된다.

개인정보보호위원회는 지난 11일 전체회의에서 의결한 '개인정보처리시스템에 대한 인터넷망 차단조치 제도개선안'을 12일 공개했다.

2012년 8월 이래 전년도 말 일평균 이용자가 100만명 이상인 기업·기관 등 개인정보처리자는 개인정보를 다운로드·파기하거나 개인정보 접근권한을 설정할 수 있는 컴퓨터, 클라우드 기반 개인정보 처리시스템에 접속하는 컴퓨터를 외부 인터넷으로부터 분리해야 했다. 과거 대규모 개인정보 유출사태 등을 계기로 마련된 규제다.

하지만 개인정보위는 앞으로 기업·기관이 자체 위험분석을 거쳐 컴퓨터를 저위험·중위험·고위험 3단계로 구분하고, 인터넷 차단수준을 차등 적용할 수 있도록 허용할 계획이다.

저위험·중위험 컴퓨터의 경우 일정한 보호조치를 적용하면 인터넷에 접속할 수 있다고 개인정보위는 설명했다. 다만 개인정보 데이터베이스(DB)의 접근권한을 설정할 수 있는 담당자·책임자 등의 고위험 컴퓨터는 인터넷망 차단을 유지한다.

위험분석과 보호조치 기준은 개인정보위가 산업계 등 이해관계자들과의 협의를 거쳐 이르면 올 연말쯤 구체화할 계획이다. 유력한 보호조치는 가명·암호화 처리와 마스킹(가리기)·안심번호 등이 거론된다.

개인정보위는 기업·기관 스스로 보안대책을 갖추도록 유도하고, 주기적인 재평가·보완조치를 권고할 예정이다. 이를 위해 기술지원 전담반과 사전검토 등도 지원한다.


규제완화에 나선 배경에 대해 개인정보위는 "AI(인공지능)·클라우드 등 인터넷 기반 기술이 급격히 발전했고, 일률적 차단조치 때문에 혁신기술의 활용이 어렵다는 의견이 지속적으로 제기됐다"고 밝혔다.

고학수 개인정보보호위원장은 "현장에서 필요한 분석도구들을 안전하게 활용하는 것이 가능해질 것"이라며 "다만 개인정보 보호수준 저하로 연결되지 않도록 개별 개인정보처리자의 각별한 노력이 필요하다"고 말했다.