개인정보보호전문강사협회 주최 ‘제1회 개인정보보호 전문강사 포럼’에서 나온 말말말
개인정보보호 전문강사와 교육신청 기업 매칭 미흡, 한 눈에 파악 가능한 예약 시스템 필요
개인정보보호 전문강사들, 수료증 발급 등 교육 현장 목소리 전할 소통 창구 필요성 제기

[보안뉴스 김경애 기자] 개인정보 유출사고는 쉴 새 없이 터지는데 사고 예방을 위한 개인정보보호 교육은 제대로 이뤄지지 않고 있다. 이에 개인정보보호위원회에서 지정한 개인정보보호 전문강사진들을 보다 효과적으로 활용할 필요가 있다는 의견이 제기됐다. 이러한 가운데 지난 3월 31일 개인정보보호전문강사협회가 주최하고 보안뉴스가 후원한 ‘제1회 개인정보보호 전문강사 포럼’이 SECON & eGISEC 2023의 동시개최 행사로 일산 킨텍스에서 진행됐다. 이날 포럼에서는 실질적인 개인정보보호 교육 활성화를 위한 방안 마련과 시스템 개선의 필요성, 개인정보보호 전문강사의 활용 및 소통 개선에 대한 논의의 장이 마련됐다.


이번 포럼 개최 취지와 관련해 개인정보보호전문강사협회 고문인 동의대학교 정재원 교수는 △개인정보보호 전문 영역의 민간 전문가 참여 토대 마련 △공인 개인정보보호 전문강사의 위상 고취 노력 △전문강사의 경험 공유 및 정책에 반영 △전문강사의 역량 강화를 위한 시스템 개발 △개인정보보호최고책임자(CPO) 워크숍을 통한 교육기회 연계 △한국CISO협의회 등 관련 협단체들과의 교류를 통한 전문강사 입지 제고 등을 제시하며 전문강사들과 의견을 교류했다.


1. 실질적인 개인정보보호 교육 위한 시스템 개선 ‘필요’
특히, 이날 포럼에선 공인 개인정보보호 전문강사들의 활용이 미흡하다는 점과 함께 전문강사의 현장 피드백 공유 및 반영이 더욱 필요하다는 의견에 힘이 실렸다. 다음은 포럼에서 언급된 개인정보보호 전문강사들의 의견이다.

개인정보보호전문강사협회 이성훈 전문위원 개인정보보호 교육생 입장에서는 최근 화두인 챗GPT, AI, 메타버스 등 신기술과 관련한 개인정보 관련 이슈와 주제를 바탕으로 한 실질적인 커리큘럼과 교육이 제공돼야 한다. 그러나 현 시스템은 개인정보보호 교육이 의무교육의 일부일 뿐 세부적인 맞춤형 교육 시스템이 아니다 보니 형식적인 교육에 그치는 경우가 많다.

씨에이에스 이상영 수석 개인정보관리수준 진단지표를 보면 개인정보보호 교육 시 온라인 강의도 인정된다. 그러나 교육생들이 잘 모르는 경우가 비일비재하다. 오프라인 교육생들도 마찬가지다. 의무교육의 실효성이 제기되는 대목이다. 개인정보보호 교육은 연 1회 이상 1년에 한 번만 받으면 된다. 그러다 보니 현장에서는 개인정보보호법, 위수탁 계약 등 표준 내용 위주로 교육이 진행된다. 물론 법 개정 사항을 다루고 있으나, 교육 이수자 입장에서는 실질적으로 와닿지 않는다는 의견이 많다. 매년 같은 내용의 교육이란 말이 나오는 이유다.

교육의 질을 높이기 위해서는 1년에 한 번 교육에 그치는 것이 아니라 역할별로 어떤 교육을 어떻게 해야 하는지 가이드가 필요하고, 일반 취급자, 중간관리자 등 교육대상에 맞게 세분화, 맞춤화된 교육이 요구된다. 이를 철저히 준수할 수 있도록 개인정보보호 전문강사진에 의한 실무교육 이수자의 경우 인센티브 가점을 부여하는 방안도 검토할 만하다. 교육 지표에 반영해 실효성이 입증될 수 있도록 해야 한다는 얘기다. 또한, 개인정보보호법 위반과 관련 공공기관에 과징금, 과태료를 부과할 경우 기관장 경고, 경영평가 영향, 인사상 불이익 등 실질적인 징계절차가 확립돼야 민간영역으로 확대될 수 있다.

한국에스지에스 강윤철 선임심사원 법정 교육시간이 1~2시간이다 보니 법 개정사항이나 일반적인 사항 중심으로 교육이 진행돼 깊이 있는 교육엔 한계가 있다. 국가직무능력표준(NCS) 개인정보보호 직종 안에 커리큘럼이 들어 있다. NCS를 보다 적극적으로 활용한다면 협회에서는 표준 개정에 기여할 수 있고, 현장에선 개인정보 단순 취급자, 담당자, 책임자 등으로 구분해 차별화된 교육을 할 수 있다.

한국교육과정평가원 최기근 전문강사 개인정보 유출 사고를 보면 수탁업체 관리가 매우 중요하다는 걸 알 수 있다. 이에 수탁업체 대상 개인정보보호 교육은 전문강사진들로 구성된 협회에서 할 수 있는 부분이 많고, 이를 통한 선순환 구조가 정착된다면 공공기관에도 큰 도움이 될 것으로 본다.

제이시큐어플랫폼 정세웅 대표 의료, 금융 등 전문 영역별로 차별화된 교육이 진행되고 별도 교재가 제공돼야 교육의 효과성을 높일 수 있다. 법 개정시 관련 교육도 신속하게 이뤄져야 한다. 이렇듯 깊이 있는 교육을 제공할 수 있는 전문강사 매칭 시스템도 개선돼야 하며, 교육 수료시 현장에서 안내할 수 있는 공식 수료증 발급 시스템도 필요하다.


2. 개인정보보호 전문강사진, 교육 현장에서의 소통 창구 ‘절실’
개인정보보호전문강사협회 황선호 회장 개인정보보호전문강사협회는 개인정보보호위원회에서 인정받은 개인정보보호 전문가로 구성된 단체다. 개인정보보호 전문강사가 개인정보보호 교육 현장에서 체감하는 현 문제점과 의견을 직접 전달해 이를 개선할 수 있도록 하는 시스템이 마련돼야 한다.

최기근 전문강사 개인정보보호위원회의 위상이 좀더 올라갈 수 있으면 하는 바람이다. 그런 측면에서 기업 및 기관의 경영공시 교육시 개인정보보호 전문강사 교육이 개인정보보호 관리지표에 배점으로 반영됐으면 좋겠다는 생각이다. 또한, 개인정보보호 전문강사로 기여하거나 활동하고 싶어도 소통 채널이 없다는 점이 아쉽다. 전문강사들과 기업 간의 가교 역할과 소통 채널이 필요하며, 포럼이 앞으로 이러한 역할을 수행했으면 좋겠다.

미래정보기술원 박윤재 수석 개인정보보호 전문강사들과 개인정보보호위원회가 서로 윈윈할 수 있었으면 좋겠다. 전문강사들이 현장 피드백을 위원회에 전달해 소통할 수 있는 긴밀한 채널 운영이 필요하다.

개인정보보호전문강사협회 임창빈 이사 개인정보보호전문강사협회에서는 주기적으로 포럼을 개최해 특정 주제에 논의하고 패널 및 참석자들의 의견이 반영될 수 있도록 보다 적극적인 역할을 수행해야 한다. 특히, 의료기관과 노인요양기관 등에 설치된 CCTV와 관련해서는 어떤 방향성을 갖고 어떤 내용으로 교육할지 토론 및 의견 교류의 자리가 필요하다고 본다.

3. 개인정보보호 전문강사, 활용 ‘미흡’
이성훈 전문위원 일부 교육현장에서는 개인정보보호위원회에서 인정한 전문강사들을 활용하지 않는다. 전문강사들이 보다 적극적으로 활동할 수 있도록 전문적인 교육 제공의 기회가 마련돼야 한다.

임창빈 이사 개인정보보호 교육이 보다 전문화되고 활성화되기 위해서는 개인정보보호 전문강사들을 통해 교육을 받은 이수자만 교육을 인정해주는 시스템으로 개선될 필요가 있다.

에스원 정보보안사업그룹 권솔 책임 개인정보보호 교육신청 기업과 전문강사 간의 매칭이 미흡한 실정이다. 현 시스템은 120명의 전문강사 이름(가나다순)을 보고 교육신청 기업에서 전화해 교육일정을 확인하는 등 비효율적으로 운영되고 있다. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)의 경우 심사받고자 하는 기업에서 신청하면 심사기관이 심사원 매칭, 심사원 교육 등의 전반을 체계적으로 운영한다. 개인정보보호 전문강사들도 신청기업과 효율적이고 합리적으로 매칭될 수 있도록 시스템이 개선돼야 한다. 이를 위해 교육일정, 강사진 섭외 현황 등을 한 눈에 볼 수 있도록 예약 시스템 도입이 필요하다.

포럼에서 제기된 의견과 관련해 보안뉴스 권준 편집국장은 “개인정보보호 전문강사들을 통한 교육의 전문성 확충이 무엇보다 중요한 과제”라면서 “전문강사들이 교육 콘텐츠 개발에 더욱 신경쓸 수 있도록 전문강사들의 권익 향상과 대외협력을 지원하는데 최선을 다할 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>