정보통신 서비스 제공자는 내년 1월까지 주민등록번호 등 주요 개인정보를 암호화해야 한다.
논란이 됐던 금융기관(정보통신 서비스를 제공하는)도 금융실명제법상의 별도 규정이 마련되지 않는 한 이 규정을 따라야 한다. 하지만 당초 5년으로 추진됐던 기간통신사업자 접속기록 보관기간은 2년으로 규정했다.
방송통신위원회는 개인정보 보호조치를 강화하는 내용으로 정보통신망법 하위 고시인 ‘개인정보의 기술적·관리적 보호조치 기준’을 개정했다고 10일 밝혔다.
이에 따르면 정보통신 서비스 제공자는 이용자의 주민등록번호·신용카드번호 및 계좌번호에 대해서는 암호화해 저장해야 한다. 이는 해킹 등으로 인한 정보 유출 피해를 방지하기 위한 것으로 방통위는 준비기간을 고려해 내년 1월까지 암호화 조치를 취하도록 했다.
정보통신 서비스 제공자란 정보통신을 이용해 고객에게 서비스하는 모든 사업자를 포괄한다. 따라서 일부 논란이 됐던 금융기관도 이 규정에 따라 암호화를 추진해야 한다. 그러나 일반법인 정보통신망법보다 특별법인 금융실명제법이 우선하기 때문에 만약 금융실명제법 상에 개인정보 암호화 규정이 신설되면 금융기관은 금융실명제법이 정하는 규정을 따르면 된다.
이번 개정 고시에는 또 개인정보 취급자의 접속기록을 기간통신사업자는 2년 이상, 그 외 사업자는 6개월 이상 보관해야 한다는 규정이 추가됐다. 기존 고시에는 개인정보 취급자가 개인정보 관리시스템에 접속한 기록을 보관하도록 하고 있으나 보관기관에 대한 명확한 규정이 없었다.
방통위 측은 “개인정보 취급자의 접속기록은 해킹 등 침해사고의 발생 여부를 확인할 수 있고 이를 보존토록 하면 사업자의 고객정보 오남용을 방지할 수 있다”며 “처음에는 기간통신사업자의 접속기록 보관 기간을 5년으로 규정하려 했으나 규제심사 과정에서 규제개혁위원회가 보관기간을 2년으로 권고해 수정했다”고 설명했다.
심규호·정진욱기자 khsim@etnews.co.kr