현장의 목소리 수렴해 기관 특성에 맞는 개인정보보호 관리체계 수립·시행해야
[보안뉴스= 정환석 (개인)정보보호 전문가] 기업이나 공공기관에서 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계를 평가하여 정보보호 수준을 측정하는 정보보호 인증제도는 ISMS(정보보호 관리체계인증, 미래창조과학부), PIMS(개인정보보호 관리체계 인증, 방송통신위원회), PIPL(개인정보보호 인증, 행정자치부)이 있다.
이중 PIMS와 PIPL은 감사원의 감사결과(2014년 8월) 점검항목의 유사성, 정보보호 수준 측정의 동일성, 중복 운영에 따른 기업부담 가중 등의 문제로 통합 운영하도록 했다. 이때 ISMS와 PIMS에 대하여는 유사 중복항목에 대하여 상호 인정하는 것으로 마무리 되었으나, 2015년 8월 감사원은 두 지표 간 심사항목과 평가기준이 상호 유사하고, 연계 운영 필요성에 대한 검토 미흡부분 지적 및 중복운영에 따른 기업부담이 가중됨에 따라 통합 운영토록 통보 조치했다.
이는 개인정보보호 인증 취득과 유지를 위한 유사 중복 활동을 최소화하고, 기업의 부담감을 줄이면서 집중적인 개인정보보호 활동을 유도하는 선택과 집중을 위한 최선의 조치라고 판단된다.
공공기관 개인정보보호 활동상의 문제점
국민의 민감한 개인정보를 가장 많이 처리하고 있는 공공기관은 이런 인증제도와는 별개로 ‘공공기관개인정보보호 관리수준 진단’, ‘공공기관 개인정보보호 실태점검/현장점검/자가진단’ 등 국민의 소중한 개인정보를 보호하기 위하여 많은 준비와 노력을 기울이고 있다. 하지만 여기에도 유사 중복 운영에따른 기관 담당자의 부담감이 가중되고 있는 것이 현실이다.
‘범정부TF 개인정보보호 실태점검’과 ‘공공기관 개인정보보호 관리수준 진단’을 예로 들어보자. ‘공공기관 개인정보보호 관리수준 진단’은 공공기관의 개인정보보호법령 준수에 대한 객관적 평가를 통해 미비점을 보완하고 개선을 유도함으로써 개인정보보호 수준을 향상시키기 위해 2012년부터 시행되고 있다. 2015년 기준 3개 분야 11개 지표 23개 항목으로 738개 공공기관을 대상으로 시행되었다.
▲ 개인정보보호 실태점검과 관리수준진단 지표 연관성 분석표
‘범정부TF 개인정보보호 실태점검’은 2014년 초 카드사고 등 최악의 개인정보 유출사고로 인한 사전점검차원에서 전 공공기관과 민간기관을 대상으로 시행되었으며, 이후 현장점검 등 기관 실사 또는 IT 수탁자를 위한 개인정보보호 실태를 점검하는 지표로 활용하고 있다.
두 지표 모두 개인정보보호법에 근거하여 기관의 개인정보보호 실태 또는 관리수준을 평가하는 지표로 활용되고 있는 것이다. 관리수준진단은 매년 실시하고 있으며, 실태점검은 관리수준 미흡 기관이나 특별점검 대상기관에 대한 점검 시 활용되고 있다.
두 점검지표에 대하여 중복성을 분석한 결과 표와 같이 13개 항목이 공통지표로, 나머지 12개 항목은 개별항목으로 분석되었다. 관리수준과 실태점검은 개인정보보호법을 근거로 하여 개인정보보호 활동에 대해 기관을 진단하고 평가하는 지표로서, 상호 중복성을 제거하고 통합하여 공공기관에 대한 개인정보보호 활동지표로 활용한다면 그 효과성은 배가될 것이라 판단된다.
즉, 공공기관이 관리수준 진단 지표에 대한 점검활동만으로 개인정보보호를 위한 기관의 의무를 다했다고 볼 수 없고, 관리수준 진단점수가 높다고 해 개인정보보호 수준이 높다고도 단언할 수 없으며, PIMS나 PIPL 인증을 받을 만큼의 수준이라고 할 수도 없을 것이기 때문이다.
공공기관이 개인정보보호 수준을 제고하기 위하여 두 점검지표를 통합 또는 병행 시행하는 경우 담당조직(담당자)의 역할은 매우 중요하다. 하지만, 공공기관의 업무 특성상 순환보직에 의해 어느 기간이 지나면 담당자가 바뀌게 된다. 또한, 순환 보직된 담당자의 역량에 따라 기관의 개인정보보호 활동에도 많은 영향을 미치기 때문에 개인정보보호 관리체계가 정립되지 않은 기관의 새로운 담당자는 개인정보보호법에 대한 이해부터 새롭게 시작하게 된다.
이러한 이유로 방송통신위원회와 행정자치부(舊 행정안전부) 등 관계기관 합동으로 정보보호 전담인력의 확보와 전문성 강화 대책을 마련하고 시행하였다(2010년 12월 17일). 하지만, 감사원 감사결과(2016년 3월) 증원된 인력이 미충원 되거나, 전담업무를 수행하지 않고 다른 업무와 병행하여 업무를 수행하거나, 비전문 인력으로 증원된 경우가 있어 이를 시정 조치한 것으로 드러났다. 전담조직과 전문 인력에 의한 체계적인 관리가 시급한 상황인 것이다.
꾸준한 교육 통해 공공기관의 개인정보보호 업무 이해도 높여야
법 시행 이후 공공기관은 개인정보보호 전담조직의 구성 및 활동 강화와 관리수준진단 시행에 따른 보호 활동으로 개인정보보호에 대한 인식수준은 많이 제고되었다고 할 수 있다. 하지만 개인정보에 대한 오남용 사례와 유출사고는 끊임없이 발생되고 있다. 2015년 9월 발표된 자료에 따르면 2011년부터 2015년 6월까지 4년 동안 1억3천만 명의 개인정보가 유출된 것으로 집계됐다(국정감사 보도자료, 2015.9.12, 국회의원 노웅래).
특히, 해킹(3,027만 명)에 의한 유출보다 내부관리 소홀에 의한 개인정보 유출이 3배나 높다. 그 중 개인정보를 처리하는 담당직원의 사적열람이나 무단제공 등 오남용 사건이 전체의 약 80%를 차지한다고 하니, 개인정보보호에 대한 임직원들의 이해도가 낮은 수준이라 할 수 있지 않을까? 공공기관의 개인정보보호에 대한 이해도를 증진시키기 위해서는 징계와 같은 제재수준보다는 교육을 통한 인식전환이 효과가 높을 것이다. 이를 위한 지표가 관리수준 진단 내에 포함되어 있다. 또한, 오프라인 강좌를 통해 실효성 있는 교육이 되도록 각 지역의 개인정보보호 전문가를 강사로 위촉하여 공공기관에서 활용토록 홈페이지(www.privacy.go.kr)에 게시하고 있다.
하지만, 관리수준진단 지표는 계획수립과 이행 확인에 국한되어 있고, 교육 방법과 수준에 대하여는 차별화하지 않고 있다. 즉, 온라인교육이나 오프라인 교육 모두에 대해 동등한 수준의 교육확인 점수를 부여함에 따라 교육수준을 확인할 수 없다는 것이 가장 큰 문제라고 생각한다.
온라인 교육은 편리성이 높은 반면 획일적인 교육으로 인해 다양한 분야에 대한 필요 내용 전달에 어려움이 있다. 오프라인 교육은 공인된 전문가의 교육을 통하여 다양한 개인정보처리 분야에 대해 차등교육이 가능하며, 개인정보처리 위탁업무와 같이 다양한 분야에 대해 전문적 교육이 필요한 곳에 적용하면 그 효과가 높을 것이나 예산 반영 등에 한계가 있는 것이 현실이다. 그렇다고 교육예산을 많이 반영할 수도 없을 것이고, 분야별 담당자, 취급자, 수탁자 교육을 다양하게 실시할 수 있는 공공기관도 많지 않은 것이다.
이런 공공기관의 어려움을 틈타 전문 강사로 위장하여 검증되지 않은 무료교육을 해주면서 기업 광고 등을 하는 업체도 생겨나고 있다. 관리수준 진단에 있어 심도 있는 점검과 전문 강사를 통한 다양하고 전문성 있는 교육을 통해 공공기관의 개인정보보호에 대한 이해도를 높여 업무에 적용하는 것이 무엇보다 절실한 상황이다.
공공기관이 개인정보보호법령 준수에 대한 객관적인 평가와 미비점 보완 및 개선을 위해 실시하고 있는 개인정보보호 관리수준 진단과 실태점검, 개인정보보호 전담조직(담당자) 구성 및 운영, 개인정보보호 전문 강사 운영을 통한 임직원 인식제고 노력 등 공공기관은 국민의 소중한 정보를 안전하게 처리하고자 많은 노력을 기울이고 있는 것은 사실이다. 하지만, 아직 미흡한 사항이 많고 형식적인 활동에 그치는 경우가 많으므로 현장의 목소리와 전문가들의 의견들을 수렴하여 기관의 특성에 맞는 개인정보보호 관리체계를 수립하고 시행함으로써 국민의 소중한 개인정보를 관리하는 노력이 필요할 것이다.
[글_ 정환석 (개인)정보보호 전문가(xpertstone@hanmail.net)]
[보안뉴스= 정환석 (개인)정보보호 전문가] 기업이나 공공기관에서 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계를 평가하여 정보보호 수준을 측정하는 정보보호 인증제도는 ISMS(정보보호 관리체계인증, 미래창조과학부), PIMS(개인정보보호 관리체계 인증, 방송통신위원회), PIPL(개인정보보호 인증, 행정자치부)이 있다.
이중 PIMS와 PIPL은 감사원의 감사결과(2014년 8월) 점검항목의 유사성, 정보보호 수준 측정의 동일성, 중복 운영에 따른 기업부담 가중 등의 문제로 통합 운영하도록 했다. 이때 ISMS와 PIMS에 대하여는 유사 중복항목에 대하여 상호 인정하는 것으로 마무리 되었으나, 2015년 8월 감사원은 두 지표 간 심사항목과 평가기준이 상호 유사하고, 연계 운영 필요성에 대한 검토 미흡부분 지적 및 중복운영에 따른 기업부담이 가중됨에 따라 통합 운영토록 통보 조치했다.
이는 개인정보보호 인증 취득과 유지를 위한 유사 중복 활동을 최소화하고, 기업의 부담감을 줄이면서 집중적인 개인정보보호 활동을 유도하는 선택과 집중을 위한 최선의 조치라고 판단된다.
공공기관 개인정보보호 활동상의 문제점
국민의 민감한 개인정보를 가장 많이 처리하고 있는 공공기관은 이런 인증제도와는 별개로 ‘공공기관개인정보보호 관리수준 진단’, ‘공공기관 개인정보보호 실태점검/현장점검/자가진단’ 등 국민의 소중한 개인정보를 보호하기 위하여 많은 준비와 노력을 기울이고 있다. 하지만 여기에도 유사 중복 운영에따른 기관 담당자의 부담감이 가중되고 있는 것이 현실이다.
‘범정부TF 개인정보보호 실태점검’과 ‘공공기관 개인정보보호 관리수준 진단’을 예로 들어보자. ‘공공기관 개인정보보호 관리수준 진단’은 공공기관의 개인정보보호법령 준수에 대한 객관적 평가를 통해 미비점을 보완하고 개선을 유도함으로써 개인정보보호 수준을 향상시키기 위해 2012년부터 시행되고 있다. 2015년 기준 3개 분야 11개 지표 23개 항목으로 738개 공공기관을 대상으로 시행되었다.
▲ 개인정보보호 실태점검과 관리수준진단 지표 연관성 분석표
‘범정부TF 개인정보보호 실태점검’은 2014년 초 카드사고 등 최악의 개인정보 유출사고로 인한 사전점검차원에서 전 공공기관과 민간기관을 대상으로 시행되었으며, 이후 현장점검 등 기관 실사 또는 IT 수탁자를 위한 개인정보보호 실태를 점검하는 지표로 활용하고 있다.
두 지표 모두 개인정보보호법에 근거하여 기관의 개인정보보호 실태 또는 관리수준을 평가하는 지표로 활용되고 있는 것이다. 관리수준진단은 매년 실시하고 있으며, 실태점검은 관리수준 미흡 기관이나 특별점검 대상기관에 대한 점검 시 활용되고 있다.
두 점검지표에 대하여 중복성을 분석한 결과 표와 같이 13개 항목이 공통지표로, 나머지 12개 항목은 개별항목으로 분석되었다. 관리수준과 실태점검은 개인정보보호법을 근거로 하여 개인정보보호 활동에 대해 기관을 진단하고 평가하는 지표로서, 상호 중복성을 제거하고 통합하여 공공기관에 대한 개인정보보호 활동지표로 활용한다면 그 효과성은 배가될 것이라 판단된다.
즉, 공공기관이 관리수준 진단 지표에 대한 점검활동만으로 개인정보보호를 위한 기관의 의무를 다했다고 볼 수 없고, 관리수준 진단점수가 높다고 해 개인정보보호 수준이 높다고도 단언할 수 없으며, PIMS나 PIPL 인증을 받을 만큼의 수준이라고 할 수도 없을 것이기 때문이다.
공공기관이 개인정보보호 수준을 제고하기 위하여 두 점검지표를 통합 또는 병행 시행하는 경우 담당조직(담당자)의 역할은 매우 중요하다. 하지만, 공공기관의 업무 특성상 순환보직에 의해 어느 기간이 지나면 담당자가 바뀌게 된다. 또한, 순환 보직된 담당자의 역량에 따라 기관의 개인정보보호 활동에도 많은 영향을 미치기 때문에 개인정보보호 관리체계가 정립되지 않은 기관의 새로운 담당자는 개인정보보호법에 대한 이해부터 새롭게 시작하게 된다.
이러한 이유로 방송통신위원회와 행정자치부(舊 행정안전부) 등 관계기관 합동으로 정보보호 전담인력의 확보와 전문성 강화 대책을 마련하고 시행하였다(2010년 12월 17일). 하지만, 감사원 감사결과(2016년 3월) 증원된 인력이 미충원 되거나, 전담업무를 수행하지 않고 다른 업무와 병행하여 업무를 수행하거나, 비전문 인력으로 증원된 경우가 있어 이를 시정 조치한 것으로 드러났다. 전담조직과 전문 인력에 의한 체계적인 관리가 시급한 상황인 것이다.
꾸준한 교육 통해 공공기관의 개인정보보호 업무 이해도 높여야
법 시행 이후 공공기관은 개인정보보호 전담조직의 구성 및 활동 강화와 관리수준진단 시행에 따른 보호 활동으로 개인정보보호에 대한 인식수준은 많이 제고되었다고 할 수 있다. 하지만 개인정보에 대한 오남용 사례와 유출사고는 끊임없이 발생되고 있다. 2015년 9월 발표된 자료에 따르면 2011년부터 2015년 6월까지 4년 동안 1억3천만 명의 개인정보가 유출된 것으로 집계됐다(국정감사 보도자료, 2015.9.12, 국회의원 노웅래).
특히, 해킹(3,027만 명)에 의한 유출보다 내부관리 소홀에 의한 개인정보 유출이 3배나 높다. 그 중 개인정보를 처리하는 담당직원의 사적열람이나 무단제공 등 오남용 사건이 전체의 약 80%를 차지한다고 하니, 개인정보보호에 대한 임직원들의 이해도가 낮은 수준이라 할 수 있지 않을까? 공공기관의 개인정보보호에 대한 이해도를 증진시키기 위해서는 징계와 같은 제재수준보다는 교육을 통한 인식전환이 효과가 높을 것이다. 이를 위한 지표가 관리수준 진단 내에 포함되어 있다. 또한, 오프라인 강좌를 통해 실효성 있는 교육이 되도록 각 지역의 개인정보보호 전문가를 강사로 위촉하여 공공기관에서 활용토록 홈페이지(www.privacy.go.kr)에 게시하고 있다.
하지만, 관리수준진단 지표는 계획수립과 이행 확인에 국한되어 있고, 교육 방법과 수준에 대하여는 차별화하지 않고 있다. 즉, 온라인교육이나 오프라인 교육 모두에 대해 동등한 수준의 교육확인 점수를 부여함에 따라 교육수준을 확인할 수 없다는 것이 가장 큰 문제라고 생각한다.
온라인 교육은 편리성이 높은 반면 획일적인 교육으로 인해 다양한 분야에 대한 필요 내용 전달에 어려움이 있다. 오프라인 교육은 공인된 전문가의 교육을 통하여 다양한 개인정보처리 분야에 대해 차등교육이 가능하며, 개인정보처리 위탁업무와 같이 다양한 분야에 대해 전문적 교육이 필요한 곳에 적용하면 그 효과가 높을 것이나 예산 반영 등에 한계가 있는 것이 현실이다. 그렇다고 교육예산을 많이 반영할 수도 없을 것이고, 분야별 담당자, 취급자, 수탁자 교육을 다양하게 실시할 수 있는 공공기관도 많지 않은 것이다.
이런 공공기관의 어려움을 틈타 전문 강사로 위장하여 검증되지 않은 무료교육을 해주면서 기업 광고 등을 하는 업체도 생겨나고 있다. 관리수준 진단에 있어 심도 있는 점검과 전문 강사를 통한 다양하고 전문성 있는 교육을 통해 공공기관의 개인정보보호에 대한 이해도를 높여 업무에 적용하는 것이 무엇보다 절실한 상황이다.
공공기관이 개인정보보호법령 준수에 대한 객관적인 평가와 미비점 보완 및 개선을 위해 실시하고 있는 개인정보보호 관리수준 진단과 실태점검, 개인정보보호 전담조직(담당자) 구성 및 운영, 개인정보보호 전문 강사 운영을 통한 임직원 인식제고 노력 등 공공기관은 국민의 소중한 정보를 안전하게 처리하고자 많은 노력을 기울이고 있는 것은 사실이다. 하지만, 아직 미흡한 사항이 많고 형식적인 활동에 그치는 경우가 많으므로 현장의 목소리와 전문가들의 의견들을 수렴하여 기관의 특성에 맞는 개인정보보호 관리체계를 수립하고 시행함으로써 국민의 소중한 개인정보를 관리하는 노력이 필요할 것이다.
[글_ 정환석 (개인)정보보호 전문가(xpertstone@hanmail.net)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
