유출사고 계기, 개인정보 제도를 진단하다
[보안뉴스= 윤여진 개인정보보호위원회 자율보호정책과장] 최근 이동통신사의 고객정보 유출 사고로 ‘개인정보’에 대한 관심이 어느 때보다 높다. 아마도 2014년 카드 3사 고객정보 유출 사고 이래 국민적 관심사가 가장 큰 사건일 것이다. 이는 해당 이동통신사의 가입자 수가 대한민국 국민의 40%가 넘는 등 특정 소수의 문제가 아니라 바로 ‘나’의 문제인 점, 휴대전화번호, 유심(USIM) 정보와 정보주체와의 밀접한 관계로 인해 해당 정보는 ‘개인정보’로서의 식별가능성이 높다는 점, 유심 복제(SIM Swapping)로 인한 2차 피해 가능성을 배제하기 어렵다는 점 등에 기인한다.
[자료: gettyimagesbank]
이미 사고는 일어났고, 이제 기업, 기관 그리고 정부가 어떻게, 무엇을 해야 할 것인가의 문제만 남았다. 먼저, 사고에 대한 철저한 조사와 엄정한 처분, 이와 함께 신속한 정보주체에 대한 피해 구제 및 혹시 모를 2차 피해를 위한 예방이 이루어져야 한다. 그리고 무엇보다 이와 유사한 사고가 재발하지 않도록 대책을 마련해야 할 것이다.
이에 개인정보 관련 현행 제도의 문제점과 한계를 살펴보고 개선 방안을 검토하고자 한다. 특히, 이번 사고가 개인정보 관리가 취약한 중소·영세기업이 아닌, 국내 최대 이동통신사에서 발생했다는 점을 고려하고자 한다. 아울러 개인정보 관련 3대 평가제와 인증제의 주요 내용을 소개하고, 문제점 및 개선 방안에 대해 필자의 사견을 밝힌다.
공공기관 개인정보 보호 수준 평가제
공공기관은 국민의 주민등록번호 등 고유식별정보를 다량으로 수집하고 있어 유출 등 사고 발생 시 그 위험성도 매우 크다. 공공기관 개인정보 보호 수준 평가제는 공공기관의 개인정보 관련 법령 준수 여부, 개인정보 관련 인력, 예산 등에 대한 투자 등 개인정보 보호를 위한 노력 여부 등 기관의 개인정보 관리체계 전반을 평가하는 것이다.
평가대상 기관이 1400~1500개에 달하고 정성평가의 비중이 높아, 기관이 제출한 서류를 검토하는 ‘서면’ 평가 중심으로 이루어지는 한계가 있다. 또한, 공공기관 경영평가와 연계된 공공기관 외에는 평가 결과가 기관이나 담당자에게 직접적으로 미치는 영향력이 적어, 일부 기초 지방자치단체나 소규모 공공기관이 평가 대응을 소홀히 하거나 전년도에 최하위 등급을 받았음에도 개인정보 관리 체계를 전혀 개선하지 않은 경우도 있다.
이에, 실제 개인정보처리시스템을 점검하는 현장평가를 강화하고, 평가 결과 미흡기관에 대한 개선권고 조항이 도입된 만큼 개선권고 대상을 대외 공표해 기관의 관심을 제고하는 방안이 검토될 수 있다.
개인정보 처리방침 평가제
개인정보 처리방침은 기업, 기관 등이 개인정보의 처리 및 보호에 관한 사항을 정하는 것이고, 개인정보 처리방침 평가는 처리방침이 법령에 부합하는 지(적합성), 정보주체가 이해하기 쉬운지(가독성), 처리방침을 쉽게 확인할 수 있는지(접근성) 등을 평가한다. 이는 기업이나 기관 스스로 개인정보 처리 흐름을 실질에 맞게 반영해 투명성과 책임성을 확보할 수 있도록 하는 제도이다.
다만, 전체 개인정보처리자 대비 극소수인 매출액, 정보주체 수가 큰 50여개사만을 대상으로 처리방침을 평가해, 그 외 개인정보처리자에게 처리방침의 투명성과 책임성을 확보하도록 유도하는 제도의 취지를 살리기 어려운 점, 공개된 처리방침 외관을 중심으로 서면평가하다 보니, 실제 개인정보 처리흐름과 처리방침이 일치하는지 확인하기 어려운 점 등 한계가 있다.
먼저, 기업의 개인정보 처리 흐름을 확인할 수 있도록 현장평가를 병행하거나, 자료제출요구권을 도입하는 등 보완이 필요하다. 장기적으로는 평가대상을 확대하거나 개선이 필요한 항목 중심으로 간이평가 및 개선권고, 평가대상 기업의 규모, 성격 등에 따라 평가항목을 차등화, 신청수요를 받아 상시 평가하는 방안 등 다양한 방안을 검토해 볼 수 있다.
개인정보 영향평가제
개인정보 영향평가는 개인정보처리시스템을 도입하거나 변경하기 전에 개인정보 침해 위험 요인을 분석하고, 개선 방안을 도출해 안전한 개인정보 처리 과정의 설계를 유도하는 제도다. 개인정보보호법은 대규모 개인정보 파일을 운영하는 공공기관에게 영향평가 의무를 부여하고 있다.
현재의 영향평가는 사전에 위험을 예방하기 위한 제도지만, GDPR과 달리 공공기관에만 의무화하고 있어 민간기업의 영향평가가 활성화되지 않고 있다. 또한, 현재의 영향평가는 개선사항을 발굴하기보다는 개인정보보호법 등 관련 법령 준수 등의 개별 항목의 이행여부를 점검하는 방식으로 이루어져 AI 기술의 발달·확산에 따른 다양한 위험을 식별하고 개선 방안을 도출하는 데 한계가 있다.
민간기업이 서비스 개시 전에 영향평가를 활성화하기 위해 과징금 감경 제도를 두고 있고, 사전 적정성 검토제를 도입해 제도를 일부 보완하고 있다. 그러나, 대규모 개인정보를 처리하는 민간기업은 개인정보 처리의 중요성 측면에서 공공기관의 경우와 다를 바 없다는 점에서 영향평가를 의무화하는 등 활성화를 위한 대안이 필요하다. 그 외 AI 기술 확산을 고려할 때, 단기적으로는 관련된 AI 영향평가 항목을 신설하고, 장기적으로는 항목별 이행·미이행 점검이 아닌 위험을 식별하고 경감하는 프로세스로 개선돼야 할 것이다.
정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)
인증제도는 ‘해당 서비스’가 ①관리체계 수립 및 운영 ②보호대책 요구사항 ③개인정보 처리단계별 요구사항 등 인증기준에 적합함을 증명하는 제도이다. 정보보호 관리체계 인증(ISMS)은 일정 규모 이상의 기업에 대해 의무를 부여했으나, 추가적 요구사항(③개인정보 처리단계별 요구사항)을 충족해야 하는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)은 재량사항이다.
이동통신사는 ISMS 의무대상자로 전년도에 심사를 받았음에도 유출사고가 발생했다. 이는 인증대상이 광범위해 샘플링 방식으로 점검하고, 최초 심사나 갱신심사 외 매년 실시하는 사후심사를 서면으로 수행하는 점 등에서 인증심사의 한계가 있기 때문이다. 그밖에 ISMS-P는 재량으로 ‘개인정보 처리단계별 요구사항’에 대한 심사가 활성화되지 않은 문제 등도 제기될 수 있다.
이에 인증심사시 현장심사를 강화하거나, 이동통신사와 같이 국민과 밀접한 서비스를 하는 주요 서비스에 대해서는 심사기준을 강화하는 등 기업 규모, 유형에 따라 심사기준을 차등화하는 방안도 제시할 수 있다.
또한, 영향평가와 마찬가지로 AI 기술 확산에 따라 AI 심사항목을 추가함과 함께 심사기준과 심사방법을 유연화해야 할 것이다.
맺으며 : 개인정보보호는 ‘예방’이 최선이다
개인정보처리자와 개인정보처리시스템은 그 수와 유형이 방대해, 아무리 완벽한 제도라 하더라도 모든 취약점을 사전에 점검하고 평가하는 데는 본질적인 한계가 존재한다. 그럼에도 불구하고, 각 기업과 기관 입장에서는 단 한 차례의 개인정보 유출 사고로 인해 과징금, 피해 구제 등 직접적 비용은 물론, 기업의 신뢰도 하락이라는 심각한 사회적 손실을 볼 수 있다.
따라서 기업과 기관은 스스로 개인정보 관리 체계를 마련하고, 지속적으로 점검·개선해 개인정보 관련사고를 예방하는 프로세스를 구축해야 한다. 이를 위해 무엇보다 최고경영자(CEO)의 관심과 의지가 필요하며, 개인정보 보호를 단순한 비용이 아닌 미래를 위한 ‘투자’로 받아들이는 인식의 전환이 요구된다. 이번 사고를 계기로, 개인정보보호 부서가 조직 내 ‘불편한 존재’가 아닌, 기업을 위기로부터 지키고 조직의 미래 가치를 창출하는 ‘전략적 동반자’로 재인식되기를 기대한다. 소 잃고 외양간 고치기보다는 철저한 사전 예방이야말로 개인정보 보호의 최선임을 다시 한번 강조하고 싶다.
[글_ 윤여진 개인정보보호위원회 자율보호정책과장]
[보안뉴스= 윤여진 개인정보보호위원회 자율보호정책과장] 최근 이동통신사의 고객정보 유출 사고로 ‘개인정보’에 대한 관심이 어느 때보다 높다. 아마도 2014년 카드 3사 고객정보 유출 사고 이래 국민적 관심사가 가장 큰 사건일 것이다. 이는 해당 이동통신사의 가입자 수가 대한민국 국민의 40%가 넘는 등 특정 소수의 문제가 아니라 바로 ‘나’의 문제인 점, 휴대전화번호, 유심(USIM) 정보와 정보주체와의 밀접한 관계로 인해 해당 정보는 ‘개인정보’로서의 식별가능성이 높다는 점, 유심 복제(SIM Swapping)로 인한 2차 피해 가능성을 배제하기 어렵다는 점 등에 기인한다.
[자료: gettyimagesbank]
이미 사고는 일어났고, 이제 기업, 기관 그리고 정부가 어떻게, 무엇을 해야 할 것인가의 문제만 남았다. 먼저, 사고에 대한 철저한 조사와 엄정한 처분, 이와 함께 신속한 정보주체에 대한 피해 구제 및 혹시 모를 2차 피해를 위한 예방이 이루어져야 한다. 그리고 무엇보다 이와 유사한 사고가 재발하지 않도록 대책을 마련해야 할 것이다.
이에 개인정보 관련 현행 제도의 문제점과 한계를 살펴보고 개선 방안을 검토하고자 한다. 특히, 이번 사고가 개인정보 관리가 취약한 중소·영세기업이 아닌, 국내 최대 이동통신사에서 발생했다는 점을 고려하고자 한다. 아울러 개인정보 관련 3대 평가제와 인증제의 주요 내용을 소개하고, 문제점 및 개선 방안에 대해 필자의 사견을 밝힌다.
공공기관 개인정보 보호 수준 평가제
공공기관은 국민의 주민등록번호 등 고유식별정보를 다량으로 수집하고 있어 유출 등 사고 발생 시 그 위험성도 매우 크다. 공공기관 개인정보 보호 수준 평가제는 공공기관의 개인정보 관련 법령 준수 여부, 개인정보 관련 인력, 예산 등에 대한 투자 등 개인정보 보호를 위한 노력 여부 등 기관의 개인정보 관리체계 전반을 평가하는 것이다.
평가대상 기관이 1400~1500개에 달하고 정성평가의 비중이 높아, 기관이 제출한 서류를 검토하는 ‘서면’ 평가 중심으로 이루어지는 한계가 있다. 또한, 공공기관 경영평가와 연계된 공공기관 외에는 평가 결과가 기관이나 담당자에게 직접적으로 미치는 영향력이 적어, 일부 기초 지방자치단체나 소규모 공공기관이 평가 대응을 소홀히 하거나 전년도에 최하위 등급을 받았음에도 개인정보 관리 체계를 전혀 개선하지 않은 경우도 있다.
이에, 실제 개인정보처리시스템을 점검하는 현장평가를 강화하고, 평가 결과 미흡기관에 대한 개선권고 조항이 도입된 만큼 개선권고 대상을 대외 공표해 기관의 관심을 제고하는 방안이 검토될 수 있다.
개인정보 처리방침 평가제
개인정보 처리방침은 기업, 기관 등이 개인정보의 처리 및 보호에 관한 사항을 정하는 것이고, 개인정보 처리방침 평가는 처리방침이 법령에 부합하는 지(적합성), 정보주체가 이해하기 쉬운지(가독성), 처리방침을 쉽게 확인할 수 있는지(접근성) 등을 평가한다. 이는 기업이나 기관 스스로 개인정보 처리 흐름을 실질에 맞게 반영해 투명성과 책임성을 확보할 수 있도록 하는 제도이다.
다만, 전체 개인정보처리자 대비 극소수인 매출액, 정보주체 수가 큰 50여개사만을 대상으로 처리방침을 평가해, 그 외 개인정보처리자에게 처리방침의 투명성과 책임성을 확보하도록 유도하는 제도의 취지를 살리기 어려운 점, 공개된 처리방침 외관을 중심으로 서면평가하다 보니, 실제 개인정보 처리흐름과 처리방침이 일치하는지 확인하기 어려운 점 등 한계가 있다.
먼저, 기업의 개인정보 처리 흐름을 확인할 수 있도록 현장평가를 병행하거나, 자료제출요구권을 도입하는 등 보완이 필요하다. 장기적으로는 평가대상을 확대하거나 개선이 필요한 항목 중심으로 간이평가 및 개선권고, 평가대상 기업의 규모, 성격 등에 따라 평가항목을 차등화, 신청수요를 받아 상시 평가하는 방안 등 다양한 방안을 검토해 볼 수 있다.
개인정보 영향평가제
개인정보 영향평가는 개인정보처리시스템을 도입하거나 변경하기 전에 개인정보 침해 위험 요인을 분석하고, 개선 방안을 도출해 안전한 개인정보 처리 과정의 설계를 유도하는 제도다. 개인정보보호법은 대규모 개인정보 파일을 운영하는 공공기관에게 영향평가 의무를 부여하고 있다.
현재의 영향평가는 사전에 위험을 예방하기 위한 제도지만, GDPR과 달리 공공기관에만 의무화하고 있어 민간기업의 영향평가가 활성화되지 않고 있다. 또한, 현재의 영향평가는 개선사항을 발굴하기보다는 개인정보보호법 등 관련 법령 준수 등의 개별 항목의 이행여부를 점검하는 방식으로 이루어져 AI 기술의 발달·확산에 따른 다양한 위험을 식별하고 개선 방안을 도출하는 데 한계가 있다.
민간기업이 서비스 개시 전에 영향평가를 활성화하기 위해 과징금 감경 제도를 두고 있고, 사전 적정성 검토제를 도입해 제도를 일부 보완하고 있다. 그러나, 대규모 개인정보를 처리하는 민간기업은 개인정보 처리의 중요성 측면에서 공공기관의 경우와 다를 바 없다는 점에서 영향평가를 의무화하는 등 활성화를 위한 대안이 필요하다. 그 외 AI 기술 확산을 고려할 때, 단기적으로는 관련된 AI 영향평가 항목을 신설하고, 장기적으로는 항목별 이행·미이행 점검이 아닌 위험을 식별하고 경감하는 프로세스로 개선돼야 할 것이다.
정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)
인증제도는 ‘해당 서비스’가 ①관리체계 수립 및 운영 ②보호대책 요구사항 ③개인정보 처리단계별 요구사항 등 인증기준에 적합함을 증명하는 제도이다. 정보보호 관리체계 인증(ISMS)은 일정 규모 이상의 기업에 대해 의무를 부여했으나, 추가적 요구사항(③개인정보 처리단계별 요구사항)을 충족해야 하는 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)은 재량사항이다.
이동통신사는 ISMS 의무대상자로 전년도에 심사를 받았음에도 유출사고가 발생했다. 이는 인증대상이 광범위해 샘플링 방식으로 점검하고, 최초 심사나 갱신심사 외 매년 실시하는 사후심사를 서면으로 수행하는 점 등에서 인증심사의 한계가 있기 때문이다. 그밖에 ISMS-P는 재량으로 ‘개인정보 처리단계별 요구사항’에 대한 심사가 활성화되지 않은 문제 등도 제기될 수 있다.
이에 인증심사시 현장심사를 강화하거나, 이동통신사와 같이 국민과 밀접한 서비스를 하는 주요 서비스에 대해서는 심사기준을 강화하는 등 기업 규모, 유형에 따라 심사기준을 차등화하는 방안도 제시할 수 있다.
또한, 영향평가와 마찬가지로 AI 기술 확산에 따라 AI 심사항목을 추가함과 함께 심사기준과 심사방법을 유연화해야 할 것이다.
맺으며 : 개인정보보호는 ‘예방’이 최선이다
개인정보처리자와 개인정보처리시스템은 그 수와 유형이 방대해, 아무리 완벽한 제도라 하더라도 모든 취약점을 사전에 점검하고 평가하는 데는 본질적인 한계가 존재한다. 그럼에도 불구하고, 각 기업과 기관 입장에서는 단 한 차례의 개인정보 유출 사고로 인해 과징금, 피해 구제 등 직접적 비용은 물론, 기업의 신뢰도 하락이라는 심각한 사회적 손실을 볼 수 있다.
따라서 기업과 기관은 스스로 개인정보 관리 체계를 마련하고, 지속적으로 점검·개선해 개인정보 관련사고를 예방하는 프로세스를 구축해야 한다. 이를 위해 무엇보다 최고경영자(CEO)의 관심과 의지가 필요하며, 개인정보 보호를 단순한 비용이 아닌 미래를 위한 ‘투자’로 받아들이는 인식의 전환이 요구된다. 이번 사고를 계기로, 개인정보보호 부서가 조직 내 ‘불편한 존재’가 아닌, 기업을 위기로부터 지키고 조직의 미래 가치를 창출하는 ‘전략적 동반자’로 재인식되기를 기대한다. 소 잃고 외양간 고치기보다는 철저한 사전 예방이야말로 개인정보 보호의 최선임을 다시 한번 강조하고 싶다.
[글_ 윤여진 개인정보보호위원회 자율보호정책과장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
