백화점, 학원, 병원, 부동산중개업 등 정보통신망법상 준용사업자들은 앞으로 개인정보 수집·이용·파기 등 단계별 보호조치와 개인정보취급자에 대한 교육 등이 포함된 내부관리계획을 수립해야 한다. 또 개인정보시스템에 불법 접근을 차단하기 위해 침입차단시스템을 설치해야 한다.
행정안전부는 29일 이 같은 내용을 담은 정보통신망법상 준용사업자가 개인정보 취급 시 반드시 준수해야 할 세부적인 보호조치 기준을 고시했다.
이 기준은 올해 잇따라 발생한 고객정보유출사고를 계기로 우선 정유사, 백화점 등 24개 업종 35만여개 사업자를 대상으로 적용된다.
개인정보 보호조치 기준은 사업자가 개인정보 보호를 위해 암호화, 보안 프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함하여 총 10개 항목으로 구성돼 있다.
고시안에는 개인정보관리책임자의 의무와 책임을 명시한 내부지침을 마련하며, 연간 1회 이상 정기적인 자체 감사를 실시해야 하는 내용이 담겼다. 또 주민등록번호 등 민감한 개인정보에 대해서는 반드시 암호화해 저장하도록 규정했다.
고시된 개인정보 보호조치 기준을 위반할 경우 관계법에 따라 최고 3000만원의 과태료가 부과되며, 기준을 준수하지 않아 이용자의 개인정보를 분실·도난·유출·변경한 경우 2년 이하의 징역 또는 1000만원 이하의 벌금이 부과될 수 있다.
장지영기자 jyajang@etnews.co.kr