바뀌는 개인정보보호법 체크하기

바뀌는 개인정보보호법, 이것만은 반드시 체크해두자!

 

안철수연구소

 

지난 2010년 9월 30일, 개인정보보호법이 발의된 지 2년 만에 국회 법안심사소위원회(이하 법사위)를 통과했다. 현재 법 제정을 위한 작업이 진행되고 있으며, 2011년 내에는 개인정보보호법이 발효될 것으로 보인다. 이 글에서는 개인정보보호법이 담고 있는 주요 내용을 살펴보고, 향후 기업과 개인에 어떤 영향을 미칠지 조망해 보고자 한다.

Ⅰ개인정보보호법 주요사항

■법 적용 범위와 보호 범위의 확장
개인정보보호법이 기존의 개인정보관련 법령과 다른 가장 큰 차이는 적용 범위와 보호 범위가 거의 전 영역을 망라한다는 점이다. 이번에 개정된 개인정보보호법은 공공기관과 민간기업, 비영리단체 등 정보처리자의 범위에 제한을 두지 않으며, 개인정보의 유형도 전자적 처리뿐 아니라 손으로 작성한 문서까지 포함시켜 보호 대상의 범위를 확장하였다.

■정보주체의 권리 강화
개인정보는 기업의 자산이기보다는 국민의 권리보호라는 측면에서 여러 법령과 정책이 강구되고 있다. 새로운 법에서 두드러지는 점은 보호조치의 강화내용보다는 개인정보의 소유자 (이하‘정보주체’)의 권리를 강화하기 위한 조항이 늘어났다는 것이다.

■정부의 조직적 대응 강화
기업 입장에서 더욱 힘들어지는 건 행정안전부(이하 행안부)를 중심으로 정부기관이 공공기관과 민간기업을 아울러 개인정보보호 실태를 모니터링하고 시정조치를 하도록 명할 권한을 법으로 부여 받으며 구체적이고 지속적인 통제활동을 하게 될 것이라는 점이다. 

■개인정보보호 조치규정 강화
개인정보 보호조치 사항들도 보완되거나 강화된 조항들이 눈에 띈다.
개인정보보호에 대한 총괄 책임이 있는 개인정보책임자의 업무를 구체적으로 명시한 점이나 위탁업체 계약시 어떤 조항이 계약문서에 포함되어야 하는지 규정한 점 등은 개인정보보호 실무 과정에서 이슈가 되곤 하는 부분이 정리되었다.

II. 기업이 준비해두어야 할 개인정보보호 체크리스트

1. 책임자를 정하고 지속적인 보호활동을 추진하자
기업에서 개인정보보호를 위한 기업의 첫 시작은 법에서 규정하고 있는 개인정보관리 책임자를 정하는 일이다. 개인정보보호의 영역은 시스템 도입구축이나 서비스 기획개발부터 내부업무 절차개선, 고객대응에 이르기까지 광범위하므로 실무는 전담조직(권장사항) 또는 위원회 형식으로 운영하되 임원 또는 부서장급의 개인정보책임자가 경영진과 관련 부서들의 협력을 끌어낼 수 있도록 총괄 추진해야 한다.

2. 기업 내에 존재하는 개인정보와 취급자를 구체적으로 파악하자
개인정보보호를 위한 실무의 첫 단계는 기업이 보유한 개인정보의 종류(항목)와 양이 얼마나 있으며 누가 어떤 업무에서 어떤 방법으로 쓰고 있는지 구체적으로 파악하는 일이다.
정통망법이나 개인정보보호법이나, 통제하는 대상은 크게 개인정보 취급자와 개인정보처리 시스템으로 나뉜다. 때문에 이 두 가지 사항을 명확히 파악하지 않는다면 법에 기준한 보호 과정을 온전히 전개할 수가 없다.

3. 보유하고 있는 개인정보의 항목과 자료량을 최대한 줄이자
보유한 개인정보의 항목과 양을 최대한 줄이도록 하며 일회적인 목적이나 단순히 축적된 정보라면 과감히 없애자. 암호화가 의무화되어 있는 특별한 항목들은 가능하면 수집하지 말고 수집했더라도 장기간 저장하지 않는 것이 비용절감과 위험방지를 위한 우선과제이다.

4. 기본적인 보안조치를 강화하자
개인정보도 업무처리나 시스템 관점에서 보면 데이터의 하나일 뿐이다. 기본적인 보안조치가 잘 되어 있다면 개인정보에 대한 위험도 낮아지는 것이 당연하다. 방통위가 고시한 ‘개인정보의 기술적 관리적 보호지침’에는 개인정보취급자PC의 백신설치와 주기적인 업데이트, 개인정보처리시스템에 대한 침입방지/탐지 시스템 운용, SSL과 같은 보안통신 적용 등 기술적 보안 조치를 요구하고 있다. 관리적 지침도 조직운영, 계획수립, 교육, 점검, 패스워드 설정 등 보안의 기본에 가까운 사항들을 기술하고 있다. 보안체계가 잘 수립되고 이행되고 있는 기업이라면 개인정보보호를 위해서 상대적으로 적은 노력만으로 대응이 가능할 것이다.

5. 비용대비 효과가 가장 큰 보호 활동은 교육과 반복 점검!
보안사고는 사람이 원인인 경우가 많다. 이 때문에 사람의 인식을 개선시키는 교육과, 사람이 개입된 보안의 유지상황을 점검하는 일은 기본적이고도 끝까지 유지가 되어야 할 필수 사항이다. 법령에서는 개인정보책임자와 취급자에 대해 연2회 의무적으로 교육을 하도록 규정하고 있지만 개인정보에 대한 보안인식은 전 직원이 갖고 있어야 한다.

 

III. 개인이 알아두어야 할 정보보호 체크리스트

개인정보보호를 위해 개인에게 권고할만한 수칙은 다음과 같이 요약해 볼 수 있다.

1.  동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것
동일한 계정을 여러 인터넷 사이트에서 사용하는 것은 피하는 것이 좋다. 동일한 계정을 사용하는 개인을 추적해 사생활을 까발리는 ‘신상털기’는 이미 ‘개*녀’ 사건 등으로 널리 알려진 바다. 아이디만 해도 그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할 나위가 없다. 또한 어떤 패스워드든지 최소 6개월에 한 번 바꿔주는 것은 기본이 되겠다.

2. 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자리 이상으로 설정할 것
해킹을 막기 위한 성공요소는 ‘해커를 얼마나 짜증나게 하느냐에 달려있다’라는 말도 있다.
패스워드를 설정할 때는 8자리 이상으로 설정하는 습관을 들이자. 

3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것
정통망법 22조는 정보통신서비스 제공자가 이용자로부터 개인정보를 수집할 때 다음 3가지
사항에 대해 별도 동의를 받도록 규정하고 있다. ‘개인정보보호법’은 기존 사항에 더하여
‘이용자의 거부권에 대한 명시’가 추가되어 있다.

[1] 개인정보의 수집ㆍ이용 목적
[2] 수집하는 개인정보의 항목
[3] 개인정보의 보유ㆍ이용 기간

온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경품 배송 시 연락처가 필요하다는
이유로 동의절차 없이 개인정보 입력을 요구하는 경우를 보곤 한다. 이런 경우엔 불법수집이므로
응하지 않는 것이 바람직하다. 표현 그대로 ‘법적 절차가 있는 경우’를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.

4. 개인정보를 제공할 때는 내가 필요한 목적 하에서 최소한의 정보만 제공할 것
정통망법 제23조는 서비스제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.’라고 밝히고 있다. 필수항목만 입력하고 웬만하면 선택항목은 넣지 말자. 만약 선택항목과 필수항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고 서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하게 권리를 요구하자.

5. 개인용 정보기기에 대해 적극적으로 보호할 것
집에 있는 컴퓨터나 노트북, 스마트폰 등 개인기기에 저장한 정보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주자. 분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있겠다. 귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다운받아 사용한 정보(문서, 메일 등)는 최대한 빨리 삭제하는 편이 안전하다.@

 

 

[Special Report] 개인정보보호법 시행, 무엇을 준비해야 하나 

안철수연구소

지난 2010년 9월 30일, 개인정보보호법이 발의된 지 2년 만에 국회 법안심사소위원회(이하 법사위)를 통과했다. 법사위는 심사된 13개의 법안 대신 행정안전위원회의 대안을 제안하기로 했고 지난 10월7일 ‘개인정보보호법안(대안)’이 발표되었다. 현재 법 제정을 위한 작업이 진행되고 있으며, 2011년 내에는 개인정보보호법이 발효될 것으로 보인다. 이 글에서는 개인정보보호법이 담고 있는 주요 내용을 살펴보고, 향후 기업과 개인에 어떤 영향을 미칠지 조망해 보고자 한다.

개인정보보호법은 정보통신망법을 비롯해 의료법, 교육법, 신용정보법 등 현행 38개 개별법이 있음에도 불구하고 문제 해결이 어렵다고 지적받아 온 개인정보보호 관련 법적 사각지대를 해소시킬 수 있는 민간과 공공, 온•오프라인을 포괄하는 기본법이다.  즉, 우리 사회 전반에서 다뤄지는 일관된 개인정보 처리 원칙과 실질적인 보호, 국민의 사후 권리 구제 강화를 위한 제도적 장치가 되는 것이다.

Ⅰ개인정보보호법 주요사항

 

■ 보안 제품의 구성 제약 및 적용 범위

개인정보보호법이 기존의 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 ’정통망법‘)이나 '공공기관의 개인정보보호에 관한 법' 등 개인정보관련 법령과 다른 가장 큰 차이는 적용 범위와 보호 범위가 거의 전 영역을 망라한다는 점이다. 기존 법은 정보처리자의 유형이나 처리 유형에 따라 제한적으로 적용되었기 때문에 법의 사각지대가 존재하여 문제가 되었다. 하지만 이번 개인정보보호법은 공공기관과 민간기업, 비영리단체 등 정보처리자의 범위에 제한을 두지 않으며, 개인정보의 유형도 전자적 처리뿐 아니라 손으로 작성한 문서까지 포함시킴으로써 보호 대상의 범위를 확장하였다.

■ 정보주체의 권리 강화
개인정보는 기업의 자산이기보다는 국민의 권리보호라는 측면에서 여러 법령과 정책이 강구되고 있다. 새로운 법에서 두드러지는 점은 보호조치의 강화내용보다는 개인정보의 소유자(이하‘정보주체’)의 권리를 강화하기 위한 조항이 늘어났다는 것이다.

 

[알아두어야 할 ‘정보주체의 권리 강화’ 관련 조항]

 
◇  개인정보유출통지제도의 도입(34조)

(1)개인정보처리자는 개인정보 유출 사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지하고, 일정 규모 이상의 개인정보가 유출된 때에는 전문기관에 신고하도록 하는 한편, 피해의 최소화를 위해 필요한 조치를 하도록 함.

(2) 개인정보 유출로 인한 피해의 확산 방지를 위한 신속한 조치 및 정보주체의 효과적 권리 구제 등에 기여할 수 있을 것으로 기대됨.                     

◇  단체소송의 도입(51조~57조)

 (1) 개인정보처리자로 하여금 개인정보의 수집·이용·제공 등에 대한 준법정신과 경각심을 높이고, 동일·유사 개인정보 소송에 따른 사회적 비용을 절감하기 위해 개인정보단체소송제도를 도입함.

  (2) 다만, 단체소송이 남발되는 것을 막기 위해 단체소송 전에 반드시 집단분쟁조정제도를 거치도록 하고 단체소송의 대상을 권리침해행위의 중단·정지 청구소송으로 제한함.

◇  개인정보처리자의 입증 책임 명시(16조, 22조)

◇  정보주체 이외의 수집출처 고지(20조)

◇  동의절차 시 거부권 관련 동의항목 추가(15조, 17조, 18조)

◇  민감 정보의 별도 동의 절차 요구(23조)

 

특히 ‘동의거부권 및 불이익 명시’에 대한 항목을 개인정보 수집이용 동의 절차와 제3자 제공 동의절차 시 필수동의 항목으로 추가하였다. 또한 수집된 개인정보가 '최소한으로 설정되었으며 필수적인 것이다'라는 사실을 개인정보처리자가 입증하도록 규정한 것은 가벼운 수준의 강화조치에 속한다. 반면 34조 ‘개인정보 유출통지제도’는 실 적용 시 기업에 미치는 영향이 매우 클 것으로 보인다. 동일한 제도를 앞서 도입한 외국사례를 보면, 개인정보 유출통지를 위한 통지비용이 이용자 한 건당 20 달러(3년 평균) 정도 소요되었다는데 100만 명 회원정보가 유출되었다면 통지비용만 2000만 달러 (환율1000원일 때, 200억 원)가 드는 것이다. 게다가 유출통지를 받은 이용자의 30%이상이 회원탈퇴를 요구했다고 하니 온라인서비스 업체에게 개인정보유출 사고란 회사가 망할 수도 있는 재앙인 셈이다.

■ 정부의 조직적 대응 강화
기업 입장에서 더욱 힘들어지는 건 행정안전부(이하 행안부)를 중심으로 정부기관이 공공기관과 민간기업을 아울러 개인정보보호 실태를 모니터링하고 시정조치를 하도록 명할 권한을 법으로 부여받으며 구체적이고 지속적인 통제활동을 하게 될 것이라는 점이다. 

 

[알아두어야 할 ‘정부 주도의 관리 강화’ 관련 조항]

 

◇  개인정보보호위원회의 설치(7조, 8조)

(1) 개인정보 보호 기본계획, 법령 및 제도 개선 등 개인정보에 관한 주요 사항을 심의·의결하기 위하여 대통령 소속으로 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하는 개인정보 보호위원회를 두고, 개인정보 보호위원회에 사무국을 설치함.

(2) 개인정보 보호와 관련한 중요 사항에 대하여 의사결정의 신중성ㆍ전문성ㆍ객관성을 확보할 것으로 기대됨

◇  분쟁조정위원회 설치 및 집단분쟁조정제도 도입(40조~50조)

(1) 개인정보에 관한 분쟁조정 업무를 신속하고 공정하게 처리하기 위하여 개인정보 분쟁조정위원회를 두고, 개인정보 분쟁조정위원회의 조정결정에 대해 수락한 경우 재판상 화해의 효력을 부여하며, 개인정보 피해가 대부분 대량･소액 사건인 점을 고려하여 집단분쟁조정제도를 도입함.

(2) 개인정보 관련 분쟁의 공정하고 조속한 해결 및 개인정보처리자의 불법, 오･남용으로 인한 피해의 신속한 구제를 통해 정보주체의 권익 보호에 기여할 것으로 기대됨.

◇  행안부의 조사 및 시정조치 권한 강화 (61조~66조)

◇  개인정보침해신고센터의 운영(62조)

(1) 개인정보처리자로부터 권리 또는 이익을 침해 받은 자는 행정안전부 장관에게 그 침해사실을 신고할 수 있으며, 행정안전부 장관은 신고 접수 및 업무처리 지원을 위해 개인정보 침해신고센터를 설치ㆍ운영함.

(2) 개인정보 침해사실을 신고하고 상담할 수 있는 창구를 마련하여 정보주체의 신속한 권리구제와 고충처리에 기여할 것으로 기대됨.

 

행안부는 2010년에도 3월부터 100개 업체의 현장점검, 10,000개 업체에 대한 서면점검으로 개인정보 관리실태 특별점검을 실시한 바 있다. 이 과정에서 많은 기업담당자들이 상당한 부담을 느낀 것으로 알고 있다. 게다가 단체소송의 도입(51조~57조)으로 소비자보호단체와 같은 개인정보보호 단체들이 설립되어 감시활동을 하게 된다면 기업의 압박감은 가중될 수밖에 없다.

■ 개인정보보호 조치규정 강화
개인정보 보호조치 사항들도 보완되거나 강화된 조항들이 눈에 띈다.
개인정보보호에 대한 총괄 책임이 있는 개인정보책임자의 업무를 구체적으로 명시한 점이나 위탁업체 계약시 어떤 조항이 계약문서에 포함되어야 하는지 규정한 점 등은 개인정보보호 실무 과정에서 이슈가 되곤 하는 부분이 정리되었다.

 

[알아두어야 할 ‘개인정보보호 조치 강화’ 관련 조항]

 

◇  개인정보책임자의 업무명시(30조)

◇  공공기관 개인정보영향평가제 의무화(33조)

(1) 개인정보처리자는 개인정보파일의 구축ㆍ확대 등이 개인정보 보호에 영향을 미칠 우려가 크다고 판단될 경우 자율적으로 영향평가를 수행할 수 있도록 하되, 공공기관은 정보주체의 권리침해 우려가 큰 일정한 사유에 해당될 때에는 영향평가 수행을 의무화함.

(2) 개인정보 침해로 인한 피해는 원상회복 등 사후 권리구제가 어려우므로 영향평가의 실시로 미리 위험요인을 분석하고 이를 조기에 제거하여 개인정보 유출 및 오ㆍ남용 등의 피해를 효과적으로 예방할 수 있을 것으로 기대됨.

 

◇  고유식별번호 처리 제한(24조) 

(1) 주민등록번호 등 법령에 의하여 개인을 고유하게 구별하기 위해 부여된 고유식별정보는 원칙적으로 처리를 금지하고, 별도의 동의를 얻거나 법령에 의한 경우 등에 한하여 제한적으로 예외를 인정하는 한편, 대통령령으로 정하는 개인정보처리자는 홈페이지 회원가입 등 일정한 경우 주민등록번호 외의 방법을 반드시 제공하도록 의무화함.

(2) 주민등록번호의 광범위한 사용 관행을 제한함으로써 주민등록번호 오ㆍ남용을 방지하는 한편, 고유식별정보에 대한 보호가 한층 강화될 것으로 기대됨.

◇  영상정보처리기기의 설치 제한(25조)

(1) 영상정보처리기기 운영자는 일반적으로 공개된 장소에 범죄예방 등 특정 목적으로만 영상정보처리기기를 설치할 수 있도록 함.

(2) 영상정보처리기기의 설치ㆍ운영 근거를 구체화함으로써, 폐쇄회로 텔레비전 등 영상정보처리기기의 무분별한 설치를 방지하여 개인영상정보 보호를 강화할 수 있을 것으로 기대됨.

◇  업무위탁 시 규정 강화(26조)

 

개인정보영향평가제는 그간 공공기관 대상으로 권고 실행되어 왔으나 새로운 법령에서는 의무화 되었다. 민간기업은 권고만 되어 있지만 개인정보의 관리보호 비용과 사고 시 미치는 영향이 막대한 점을 감안한다면 서비스와 시스템 기획단계에서 개인정보 관련 영향도를 미리 검토하는 것이 현명한 일일 것이다.

II. 기업이 준비해두어야 할 개인정보보호 체크리스트

 

■ 책임자를 정하고 지속적인 보호활동을 추진하자
기업에서 개인정보보호를 위한 기업의 첫 걸음은 법에서 규정하고 있는 개인정보관리 책임자를 정하는 일이다. (‘개인정보보호법’에서는 ‘개인정보보호책임자’로 용어가 바뀜) 개인정보보호의 영역은 시스템 도입구축이나 서비스 기획개발부터 내부업무 절차개선, 고객대응에 이르기까지 광범위하므로 실무는 전담조직(권장사항), 또는 위원회 형식으로 운영하되 임원 또는 부서장급의 개인정보책임자가 경영진과 관련 부서들의 협력을 끌어낼 수 있도록 총괄 추진해야 한다.

■ 기업 내에 존재하는 개인정보와 취급자를 구체적으로 파악하자
개인정보보호를 위한 실무의 첫 단계는 기업이 보유한 개인정보의 종류(항목)와 양이 얼마나 있으며 누가 어떤 업무에서 어떤 방법으로 쓰고 있는지 구체적으로 파악하는 일이다.
비유를 하자면, 고객으로부터 개인정보라는 쌀을 얻어다가 서비스라는 밥을 지었다면 그 밥을 어떻게 짓고(절차) 어떤 그릇(시스템)에 담아 누가(취급자) 먹는지 정확히 파악해둬야 한다는 뜻이다. 정통망법이나 개인정보보호법이나, 통제하는 대상은 크게 개인정보 취급자와 개인정보처리 시스템으로 나뉜다. 때문에 이 두 가지 사항을 명확히 파악하지 않는다면 법에 기준한 보호 과정을 온전히 전개할 수가 없다.

■ 보유하고 있는 개인정보의 항목과 자료량을 최대한 줄이자
개인정보에 대한 현황이 파악되었다면 다음에 집중할 사항은 보유한 개인정보의 항목과 양을 최대한 줄이는 일이다. 모든 개인정보는 일단 보유하고 있으면 관리 비용이 발생하고 유출사고가 발생했을 때 기업에 큰 피해를 끼칠 수 있다. 사업에 절대적으로 필요한 정보도 아닌데 잠재적인 위험이 있는 개인정보를 축적하는 일은, 관리비용을 들여가며 자기 집에 시한폭탄을 두고 사는 일과 같다. 일회적인 목적이나 단순히 축적된 정보라면 과감히 없애자. 암호화가 의무화되어 있는 특별한 항목들은 가능하면 수집하지 말고 수집했더라도 장기간 저장하지 않는 것이 비용절감과 위험방지를 위한 우선과제이다.

■ 기본적인 보안조치를 강화하자
개인정보도 업무처리나 시스템 관점에서 보면 데이터의 하나일 따름이다. 기본적인 보안조치가 잘 되어 있다면 개인정보에 대한 위험도 낮아지는 것이 당연하다. 방통위가 고시한 ‘개인정보의 기술적 관리적 보호지침’에는 개인정보취급자PC의 백신설치와 주기적인 업데이트, 개인정보처리시스템에 대한 침입방지/탐지 시스템 운용, SSL과 같은 보안통신 적용 등 기술적 보안 조치를 요구하고 있다. 관리적 지침도 조직운영, 계획수립, 교육, 점검, 패스워드 설정 등 보안의 기본에 가까운 사항들을 기술하고 있다. 보안체계가 잘 수립되고 이행되고 있는 기업이라면 개인정보보호를 위해서 상대적으로 적은 노력만으로 대응이 가능할 것이다.

 

■ 비용대비 효과가 가장 큰 보호 활동은 교육과 반복 점검!
보안사고는 사람이 원인인 경우가 많다. 아무리 좋은 보안시스템을 갖고 있어도 그것을 사용하는 사람의 의식과 행동은 완벽히 통제할 수 없다. 이 때문에 사람의 인식을 개선시키는 교육과, 사람이 개입된 보안의 유지상황을 점검하는 일은 기본적이고도 끝까지 유지가 되어야 할 필수 사항이다. 법령에서는 개인정보책임자와 취급자에 대해 연 2회 의무적으로 교육을 하도록 규정하고 있지만 개인정보에 대한 보안인식은 전 직원이 갖고 있어야 한다.

III. 개인이 알아두어야 할 정보보호 체크리스트

개인정보보호를 위해 개인에게 권고할만한 수칙은 다음과 같이 요약해 볼 수 있다.

1. 동일한 사용자 계정과 패스워드를 여러 사이트에서 사용하지 말 것
2. 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자리 이상으로 설정할 것
3. 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하거나 오픈하지 말 것
4. 개인정보를 제공할 때는 서비스 이용에 필요한 목적 내 최소한의 정보만 제공할 것
5. 개인용 정보기기에 대해 적극적으로 보호할 것

 

■   동일한 사용자 계정과 패스워드를 여러 사이트에서 이용하지 말 것
동일한 계정을 여러 인터넷 사이트에서 사용하면 본인의 정체성을 갖는 데는 좋겠지만 보안 관점에선 좋지 않다. 동일한 계정을 사용하는 개인을 추적해 사생활을 까발리는 ‘신상털기’는 이미 ‘개*녀’ 사건 등으로 널리 알려진 바다. 실제 그 사건의 당사자는 홈페이지는 물론 학교까지 알려져 곤경에 처했다. 아이디만 해도 그런 위험이 있을진대 패스워드까지 동일하다면 그 위험은 말할 나위가 없다. 4자릿수 정도 되는 패스워드를 사용하고 있다면 그런 패스워드는 해커에겐 없는 것이나 마찬가지다. 4자리 숫자는 1초, 영문자랑 섞어 사용한다고 해도 몇 십 분이면 해독이 가능하기 때문이다. 그러니 백 번 양보해서 아이디는 동일하게 쓴다 해도 패스워드만큼은 철저히 다르게 쓰자. 정 다르게 쓰는 게 어렵다면 ‘사이트이름+숫자+내가 쓰는 패스워드’ 이렇게 지정해 쓰는 것도 한 가지 방법이다. 어떤 패스워드든지 최소 6개월에 한 번 바꿔주는 것은 기본이 되겠다.

 

 

[표] 일반적인 패스워드 전수조사 소요 예상시간   출처: 한국인터넷진흥원 월간정보보호뉴스

■ 패스워드는 영문소문자, 대문자, 숫자, 특수문자 등을 조합하여 8자리 이상으로 설정할 것
패스워드 자리 수에 대한 언급은 이미 앞 절에서 했지만 자료에 나온 것처럼 영문대문자, 소문자, 숫자를 섞어 쓰는 경우라도 7자리와 8자리 패스워드의 차이는 엄청나다. 해킹을 막기 위한 성공요소는 ‘해커를 얼마나 짜증나게 하느냐에 달려있다’라는 말도 있다. 해킹은 수많은 시도를 하면서 될 때까지 기다림의 연속인데 25일을 기다릴 수 있는 해커는 있어도 4년6개월을 기다리는 순정파 해커는 만나기 힘들 것이다. 그러니 패스워드를 설정할 때는 한 자리 더 써서 8자리 이상으로 설정하는 습관을 들이자. 1자리 더 써 넣어서 내 정보의 보안수준이 65배(4.5년/25일) 높아진다면 할 만하지 않은가.

■ 법적인 절차를 따르는 경우를 제외하고는 개인정보를 제공하지 말 것
여기서 ‘법적인 절차’란 정통망법 22조에 명시된 ‘수집 및 이용에 대한 동의’ 절차를 뜻한다. 정통망법 22조는 정보통신서비스 제공자가 이용자로부터 개인정보를 수집할 때 다음 3가지 사항에 대해 별도 동의를 받도록 규정하고 있다. ‘개인정보보호법’은 기존 사항에 더하여 ‘이용자의 거부권에 대한 명시’가 추가되어 있다.
[1] 개인정보의 수집ㆍ이용 목적
[2] 수집하는 개인정보의 항목
[3] 개인정보의 보유ㆍ이용 기간

온라인 사이트에서 경품이벤트 등을 할 때 회원이 아닌데도 경품 배송 시 연락처가 필요하다는 이유로 동의절차 없이 개인정보 입력을 요구하는 경우를 보곤 한다. 이런 경우엔 불법수집이므로 응하지 않는 것이 바람직하다. 또한 게시판 등에 스스로 본인 정보를 기재하는 일도 기업의 보호조치나 법적 보호를 받기 어려운 측면이 있으므로 삼가는 편이 낫다. 표현 그대로 ‘법적 절차가 있는 경우’를 제외하고는 개인정보를 제공하지 않는 것이 최선인 것이다.

■ 개인정보를 제공할 때는 내가 필요한 목적 하에서 최소한의 정보만 제공할 것
정통망법 제23조는 서비스제공을 위하여 필요한 최소한의 정보를 수집하여야 하며 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다.’라고 밝히고 있다. 기업들은 마케팅을 위해 최대한 많은 정보를 얻기를 원하므로 회원가입 시 많은 항목을 입력하도록 만들지만 그런 요구에 일일이 장단을 맞출 이유는 없다.
필수항목만 입력하고 웬만하면 선택항목은 넣지 말자. 만약 선택항목과 필수항목의 구분을 해놓지 않았거나 선택항목을 입력하지 않았다고 서비스 제공을 거부한다면 그 업체는 법을 위반한 것이니 당당하게 권리를 요구하자.

 

■ 개인용 정보기기에 대해 적극적으로 보호할 것
기업에 제공한 개인정보의 보호 책임은 기업이 노력할 몫이지만 집에 있는 컴퓨터나 노트북, 스마트폰 등 개인기기에 저장한 정보의 보안은 본인이 책임져야 할 부분이다. PC에 백신을 설치하고 중요한 자료는 패스워드를 걸어서 보관하는 정도는 꼭 지켜주자. 분실의 우려가 높은 스마트폰이라면 더욱 신경 쓸 필요가 있겠다. 귀찮더라도 패스워드를 설정하여 사용하고 스마트폰에 다운받아 사용한 정보(문서, 메일 등)는 최대한 빨리 삭제하는 편이 안전하다.