한 재 호 │ 에이쓰리시큐리티 대표이사(http://www.a3security.com/)

개인정보보호와 개인정보보호법

개인정보보호법 제2조에 의하면 ‘개인정보라 함은 살아있는 개인에 대한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다’고 되어 있다.

개인정보의 개념과 범위는 사회 환경, 기술의 발전에 따라 지속적으로 확대되고 있다. 기존 개인정보의 개념이 단순히 생존하는 개인에 관한 정보였다면 인격권과 재산권이 혼재된 개념으로 범위가 확대되고 있다.

이러한 개인정보의 활용범위로 날로 확대되어 공공, 금융 기관뿐 아니라 주택관리업, 쇼핑센터, 결혼중개업, 학원, 영화관, 여행업 등 다양한 서비스에서 활용되고 있다.

개인정보가 제대로 관리되지 않으면 개인의 프라이버시 측면의 인격권과 재산권에 막대한 피해를 입힐 수 있다는 것을 최근의 여러 사고 사례에서 볼 수 있었다. 유비쿼터스 정보기술의 발달에 따른 개인정보 유출 위험이 확산됨과 동시에, 예전과 달리 정보사회의 핵심자원으로서의 개인정보 자체의 자산 가치에 대한 인식이 강화되고 있고 개인은 자기정보에 대한 관심이 증대되고 있으며 정부는 공공의 신뢰를 위한 필수 조건으로서 개인정보보호 강화를 강조하고 있다.

개인정보 침해신고 또한 증가하고 있는 추세이며 침해 양상도 내부 직원 유출, 사업자의 무단 이용과 더불어 관리 부주의, 해킹, 웜/바이러스 등 외부공격에 의한 유출로 매우 다양하다. 또한, 이에 대한 집단 손해배상 소송도 활발하게 진행되고 있는데, 개인정보보호법 통과로 인해 향후 공공기관에 대해서도 소송 발생 가능성이 매우 커지고 있다.

이러한 사회 현실을 반영하여 개인정보보호법이 제정되었다. 개인정보보호법은 과거에는 교육부문, 의료부문, 금융/신용부문, 정보통신부문, 공공행정부문의 각 개별 법에서 적용되던 개인정보보호 관련 규제를 하나로 통합함으로써 법 적용 사각지대를 없애고, 혼선 없이 일관된 정책추진을 가능하게 하는데 의의가 있다. 참고로, 과거 10년간 개인정보 침해신고건수(총 54,832건) 중 법적용이 제외된 사업자가 약 73.74%(40,431건)였던 사각지대가 있었던 것을 자료에서 참고할 수 있다.

이러한 개인정보보호법에서 눈에 띄는 한 가지는 공공기관에서부터 의무화되는 개인정보 영향평가의 의무화 제도이다. 개인정보영향평가는 우선적으로 공공기관에 한해 의무화 시행이지만 향후에 민간으로까지 적극적으로 확대하고자 하는 의지를 가지고 추진하고 있다.

개인정보 영향평가란?

개인정보영향평가(PIA, Privacy Impact Assessment)란 사업자가 사업을 추진, 수행 할 때 발생할 수 있는 개인정보 침해나 유출로 인한 문제점을 사전에 측정·분석해 사후에 지속적으로 관리·지원함으로써, 회사에서 서비스 제공을 위해 이용하는 개인정보에 대한 안전성 확보를 목적으로 시행하는 개인정보 보호를 위한 개선 절차를 말한다.

기존의 마케팅 중심의 사고로 볼 때는 우선 사업을 추진해 성과를 극대화하는데 전력을 다하고, 만약의 경우 개인정보와 관련한 보안 사고가 발생할 경우 수익을 손해배상 비용으로 지출한다는 사후 대응 개념이었다면, 개인정보영향평가는 사전 예방으로 사후 비용을 절감한다는 보다 적극적인 예방중심의 활동이라고 볼 수 있다.이러한 개인정보영향평가 활동을 통하여 정보의 주체인 개인 이용자들의 불만 등 외부 개입 이전에 내부적으로 문제를 파악하여 처리함으로써 기업에 대한 신뢰를 증진시킬 수 있다.

공공기관의 개인정보영향평가 제도

개인정보보호법 상의 개인정보영향평가를 우선적으로 공공기관을 대상으로 하며 그 내용은 다음과 같다.

공공기관의 영향평가는 다음 그림에서 볼 수 있듯이 개인정보보호법 기반 하에 개인정보보호위원회의 심의의결을 통하여 지정된 자격이 인정된 평가기관에 의하여 수행된 후 행정안전부에 최종 결과를 보고하는 프로세스로 진행된다.

민간기업의 개인정보영향평가 도입 사례

하지만, 공공기관 외의 준용사업체 및 일반 민간기업들도 영향평가에 대해 소홀히 할 수는 없다. 현재 국가적으로 민간으로 의무화 시행을 확대하고자 하는 의지가 있으며, 단기적으로도 영향평가를 성실하게 수행한 민간기업들에게 혜택을 고려되기도 한다.

특히, 대형 통신사, 포털, 금융사를 중심으로 공공기관보다 앞서서 적극적으로 영향평가제도를 내부에 정착시킨 사례를 찾아볼 수 있다. 민간기업의 영향평가는 2006년 KISA에서 제공한 민간기업의 영향평가를 위한 가이드라인을 기반으로 국내 대표 S통신사에서부터 선도적으로 구축했다.

S통신사는 수작업으로 진행하던 영향평가를 시스템으로 구축한 후, 선진적으로 발전시켜 여러 번의 기업내부 현실에 맞는 시스템으로 고도화하여 현재 5년 이상의 영향평가 수행 사례를 데이터베이스로 구축하고 있다. 이는 많은 개인정보보호 책임자와 기업의 경영진들에게 자극이 되어주어 이후, 포털, 통신사뿐 아니라 금융사로까지 개인정보영향평가 체계를 도입할 수 있도록 하는데 도움을 주었다.

다음은 S사에서 수행하는 개인정보영향평가 프로세스로써 전형적인 민간기업의 개인정보영향평가 프로세스이다. S사는 기존 보안팀에서 보안을 총괄할 뿐만 아니라 개인정보영향평가까지 주관하는 형태로 업무를 시작하였으나, 현재는 고객가치경영(CV) 주관부서와 협업하여 보다 고객의 개인정보를 중요시하는 관점에서 체계적으로 수행할 수 있도록 발전시키고 있다.

이러한 예상되는 어려움을 모두 고려해서 조직 내부에서는 적용 가능한 프로세스와 조직을 정립하고, 기준을 정하며 지속적으로 지식을 데이터베이스화하며 수준을 모니터링 할 수 있도록 해야 한다.

이런 모든 사항들은 조직의 경영진 내지는 대표가 의지를 가지고 있을 때, 가능한 일이다. “대부분의 개혁은 아래에서 위로 이루어진다. 하지만, 보안은 반드시 위로부터의 개혁이 먼저 이루어져야 한다”라는 말을 명심해야 한다.

마지막으로 개인정보영향평가를 위해서 조직 차원에서 해야 할 것과 하지 말아야 할 것을 이야기하며 마무리하겠다.

<글 : 시큐리티월드 sw@infothe.comsw@infothe.com)>

[월간 시큐리티월드 통권 제182호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>