[뉴스레터_지식재산권_제13호_개정법령 시행]

주민등록번호 암호화 의무

이지선 변호사

주민등록번호를 내부에 보관하는 경우에도 암호화하여 보관하도록 의무화한 개인정보보호법 규정이 2016년 1월 1일부터 시행된다. 2015년 7월 24일 법률 제13423호로 공포된 개인정보보호법의 시행일은 바로 공포된 날이었지만, 주민등록번호 암호와 등 의무는 2016년 1월 1일로 시행이 유예되었던 것이다. 어느새 2016년 1월 1일이 다가오고 있다.

주민등록번호 수집은 법령에서 정해진 경우를 제외하고는 2014년 8월 7일부터 금지되었다. 그리고, 이미 가지고 있었던 주민등록번호도 2015년 8월 7일까지 파기하여야 한다고 규정했다. 주민등록번호를 파기하지 않으면, 위법하게 주민번호를 수집한 것과 같이 본다는 규정도 두었다.

그리고, 주민번호를 수집하거나 처리할 수 있는 경우라고 해도, 2016년 1월 1일부터는 그 주민등록번호에 대해 암호화 등 안전성확보조치를 하여야 한다는 의무가 법으로 부여된다. 그리고 암호화 조치를 취하지 않으면 3천만원 이하의 과태료가 부과된다. 다만 입법예고된 시행령에 따르면 100만명 미만의 주민등록번호를 보관하고 있는 경우에는 2017년 1월 1일, 100만명 이상의 주민등록번호를 보관하는 경우에는 2018년 1월 1일부터 적용되는 것으로 되어 있으나, 이 부분은 확정된 것이 아니다.

행정자치부 고시인 ‘개인정보의 안전성 확보조치 기준’에 따르면, 고유식별정보인 주민번호를 암호화할 때는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 하도록 하고 있다. 고유식별정보를 처리하는 경우 고유식별정보가 유출∙변조∙훼손되지 않도록 연 1회 이상 취약점을 점검할 의무도 부여한다.

한편, 암호화 외에도 개인정보에 대한 일반적 안전성 확보조치는 당연히 필요하다. 접근권한의 관리, 접근통제, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리적 접근 방지, 개인정보 파기 등이 안전성 확보에 필요한 조치이다. 구체적인 내용은 아래와 같다.

•       접근권한의 관리 - 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여, 인사 이동시 지체없이 권한 변경, 권한 변경 등에 대한 기록을 최소 3년간 보관, 사용자별 계정, 안전한 비밀번호

•       접근통제 - IP주소 등 통제, 외부에서 정보처리시스템에 접근하는 경우 VPN이나 전용선 등 안전한 접속수단 사용, 열람권한 없는 자에게 노출되지 않도록 조치, 업무용 모바일 기기의 경우 비밀번호 설정 등 보호조치

•       접속기록 보관 및 점검 - 반기별로 1회 이상 점검, 안전하게 보관

•       악성프로그램 등 방지 - 보안프로그램의 자동 업데이트 또는 매일 1회 이상 실시, 악성프로그램 경보가 발령되거나 보안 업데이트 공지가 있는 경우 업데이트 실시

•       물리적 접근 방지 - 출입통제, 안전한 장소에 보관, 보조저장매체의 반출∙입 통제를 위한 보안대책

•       개인정보의 파기 - 개인정보 파기시 개인정보가 복원되지 않는 방법으로 하여야 함