| 개인정보보호 선진화 모색과 대안 | 2008.11.19 |
예산 편성 강화와 법·제도적 정비 시급
국내 정보보호 산업은 지난 10년간의 짧은 역사에도 불구하고 양적·질적으로 많은 성장을 거듭해 왔다. 국내 정보보호 산업관련 공식 통계가 시작된 지난 2000년 국내 정보보호 산업의 총 규모는 1600억원 규모였으나 지난해에는 7400억원으로 4.6배 성장했다. 수출도 44억원에서 530억원으로 12배 성장했으며 기술인력도 2500명에서 4900명으로 약 2배 증가하는 등 외형적인 면에서는 괄목할만한 성장을 해왔다. 하지만 아직도 정보보호 산업의 현주소는 산업분야의 특수성 때문에 항상 투자 우선순위에서도 밀리고 보안사고가 발생할 때만 반짝 관심을 받는 것이 고작이다. 최근 일련의 보안사고로 인해 정보자산 보호에 대한 중요성이 부각되면서 정보보호에 관심과 인식이 높아지고는 있지만 근본적으로 해결될 것이라는 낙관적인 전망을 예측하기에는 다소 시간이 걸릴 것으로 예상된다. 정부의 추진방향과 그 한계 21세기 정보화 사회에서 꼭 필요한 사이버 공간은 꼭 필요한 공간이면서도 날로 확산되는 스팸메일, 해킹, 사이버 폭력, 개인정보유출 등이 심각한 사회적 병폐 로 떠오르고 있다. 이에 정부는 개인정보보호 장치를 강화하여 정보화의 역기능을 해소해 나갈 계획이다. 개인정보보호 장치를 강화해 정보화 역 기능 해소에도 나설 방침인데 우선 본인 의사와 상관없이 인터넷에 떠도는 개인 정보를 탐지·삭제해 추가 피해를 예방 하는 개인정보 유·노출 대응체계를 신규 구축할 예정이다. 또한 악성코드 분석·관리체계, 정보보호 예보체계도 새롭게 마련하고 불법스팸 필터링, 전송자 추적 등 해킹바이러스 대응도 강화된다. 특히 범정부 정보보호 기반을 성숙단계로 유도하기 위해 공공기관 정보시스템 개발 전 단계에 걸쳐 보안성 강화를 위한 시범사업 추진, 정보보호 기반시설 지정확대 및 보호 수준강화, 행정기관 도입 정보기술 보안성 검증체계 구축, 통합센터 재해복구시스템 연차지원 등도 실시한다. 이 외에 주민번호, 운전면허번호 등 개인을 식별할 수 있는 고유정보는 법령에서 허용된 경우 외에는 수집·저장·유통을 방지한다. 웹 사이트 등에서 회원가입 또는 본인실명을 확인하고자 할 때 에는 주민번호 대신 전자서명 아이핀(i-PIN), 휴대전화 인증 등을 사용할 수 있도록 범정부 정보보호기반 조성사업을 확대·지원한다는 계획이다. 이를 위해 정부는 내년에 27억5000만원 규모의 예산 을 투입하는 2009년 예산·기금안을 국무회의에 보고 한 바 있다. 예산·기금안에 따르면 개인정보 유·누출 점검 및 삭제 관리에 8억9000만원, 개인정보 실시간 모니터링시스템 구축에 18억6000만원이 각각 지원될 예정이다. 하지만 정부의 개인정보보호 관련 지원방안 이 실효성을 담보하기 위해서는 아직도 많은 부분에서의 법적·제도적 보완이 선행되어야 한다. 개인정보보호 선진화를 위한 모색과 대안 먼저 개인정보보호의 예산을 실태에 맞도록 재조정해야 한다. 최근 행정안전부가 발표한 ‘정보보호 중기 종합계획’ 보고서에 따르면 우리나라의 정보보호 예산규 모가 선진국의 1/3 수준인 4.3%로 2008년의 1천4백 억원으로 매우 저조한 상황임을 알 수 있다. 이에 반해 미국의 경우 2008년에 관련 예산 비율이 우리나라 보다 2배 이상 높은 9.2%로, 금액기준으로는 약 60억 달러(한화 6조원) 수준이다. 이처럼 매년 책정되는 정보화분야 관련 예산에서 개인 정보보호가 차지하는 비중은 4% 내외에 불과한 상황 에서 정부의 개인정보보호 정책이 실효성을 거두기 위해서는 예산의 증액은 필수불가결한 것이다. 특히 민간 부문의 경우 공공부문 보다도 정보보호에 대한 투자가 매우 열악한 상황이다. 민간 정보보호 투자가 전혀 없는 경우가 절반(50.8%)이 넘었고 1% 이내가 27.5%였다. 따라서 개인정보보호 선진화를 위해서는 글로벌 스탠더드에 부합하는 예산이 필요하며 효율성 있는 집행 이 병행되어야 할 것이다. 둘째, 정보보호를 담당하는 조직 및 전문인력의 충원 이 필요하다. 지난해 국가사이버안전센터에서 접수·처리한 침해사고 분석 결과에 따르면 공공기관에서 발생 하는 사이버침해사고 건수는 총 7588건으로 전년도의 4286건에 비해 약 77% 늘어났다. 특히 지난해 지방자치단체에서 발생한 사이버 침해사고 건수는 총 3,827건으로 2006년의 1,470건에 비해 3 배 가까이 늘었고 교육기관도 1,464건에서 2,148건으 로 약 50% 증가했다. 반면 올해 5월 현재 공공기관 개인정보보호에 관한 법률의 적용을 받는 공공기관은 총 2만4천여개로 중앙행정기관과 소속기관이 포함된 국가 행정기관 529개, 광역자치와 기초자치를 합친 자치단체 2,011개, 교육청과 각급학교를 포함한 교육행정기관 2만974개, 그 밖의 공공기관이 1,136개 등이다. 이러한 상황에서 정부의 경우 정보보호 전담조직을 설치한 기관은 22%에 불과하며 운영 중인 전문인력도 1~2명 수준이다. 민간의 경우엔 문제가 더욱 심각해, 전담조직을 설치한 기업은 1.4%, 전문인력을 보유한 기 업 15.8%에 불과하다. 이처럼 매년 증가하고 있는 사이버침해사고 현황을 고려할 때 현재와 같은 인력구조로 는 실효성 있는 정책의 추진이 불가능하다. 따라서 실태에 입각한 인력과 예산구조의 비례적 증액이 우선적으로 요구된다. 셋째, 현행 i-PIN 제도의 법적·제도적 보완을 통해 실질적인 주민번호 대체수단으로 확대되고 활용되어야 한다. 아이핀(Internet Personal Identification Number, i-PIN)이란 인터넷상에서 주민등록번호 사용에 따른 부작용(각종 범죄에 악용)을 해결하기 위 한 서비스로 (구)정보통신부와 한국정보보호진흥원 (KISA)이 개발한 사이버 신원 확인번호로, 일종의 인터넷 가상 주민등록번호이다.
하지만 최근에는 개인정보를 보호하기 위해 정부가 주민번호 대체수단으로 의무화한 i-Pin을 사용해도 개인 정보가 노출되고 있다. 따라서 종합적인 보완이 필요한데 우선 법적개선으로는 아직도 전자상거래시에는 주민등록번호를 요구하는 경우가 많아 정보유출 방지의 입법목적을 달성하지 못하고 있다. 현행 전자상거래법에서는 결제시 대금결제 및 재화 등의 공금에 대한 기록을 5년간 보존해야 되기 때문에 전자상거래 업체는 고객의 주민등록번호를 요구하는 상황이다. 이에 법적으로 상충되는 모순점을 개선해야 하며 i-Pin의 발급과정이 복잡하기 때문에 사용자가 매우 적다. 실제로 지난 2월 확인된 i-Pin 사용 가입 사이트는 40개에 불과하며 가입자도 약 11만4000여명에 불과하다. 이러한 원인에는 쇼핑몰 운영자들은 결제시스템에 서 주민등록상의 기록이 있어야 한다는 이유로 대부분 거부하고 있기 때문이다. 또한 i-Pin 가입 자체를 타인 이 도용할 수 있다는 문제점도 있다. i-Pin 인증법은 공인인증서, 신용카드, 휴대전화인증, 직접 대면방법 등 총 4가지인데 주민등록번호와 이름, 그리고 신용카드나 휴대전화가 있으면 타인이 대신 발급 받는 것도 가능하 다. 따라서 이러한 법적·제도적 문제점의 총체적인 보완이 시급하다. 마지막으로 정보통신시설 및 개인정보보호에 관한 법제를 정비하는 것이 무엇보다 시급하다. 특히 정보통신시 설·서비스 보호 등에 대한 규정이 여러 법에 산재해 있 어 이에 대한 손질이 있어야 하며 공공·민간을 규율하는 기본법적 성격의 개인정보보호법의 부재가 근본적인 문제이다. 따라서 금번 18대 첫 정기국회에서 반드시 이를 보완할 수 있는 법적근거가 마련되어야 할 것이다. 또한 이를 시행하는 기관도 현재는 여러 기관에 중첩되고 있는 상황이므로 개인정보보호를 전담하여 처리할 수 있는 조직으로의 정비도 필요하다. 이 외에도 정보보호 수준을 제고할 인증(Certification) 제도가 확대되어야 한다. ISMS(정보보호관리체계), 안전진단 등 일부 제도가 운영 중에 있지만, 의무사항이 아니며 안전진단 대상도 정보통신 매출 100억원 이상 기업으로 한정되어 있기 때문에 개선이 요구된다. 아울러 정보보호 안전장치 부실기업에 대한 처벌규정이 미 약한 것도 보안에 대한 투자를 꺼리는 이유가 되고 있다. 특히 민간기업은 정보보호 투자에 필요한 재정부담이 크기 때문에 3천만원 수준의 과태료 등의 처벌을 수용하는 입장을 취하고 있다. 이에 처벌규정의 강화도 함께 요구된다. 실질적인 법·제도·정책 지원 필요 정보보호 산업은 다른 분야 산업에 비해 역사도 짧고 규모도 작지만 국가와 사회의 보안을 책임진다는 점에 서 어느 분야보다 중요한 산업이며 향후 10년 뒤에는 산업의 중요성이 더욱 커질 것이다. 그렇기 때문에 국 내 정보보호 산업의 성장을 위해서 업체들은 글로벌 경쟁환경에서 보다 높은 기술 및 제품 경쟁력을 확보하기 위해 보다 많은 노력이 필요할 것으로 판단된다. 이러한 노력이 헛수고가 되지 않기 위해서는 무엇보다 주무부처 및 유관기관들로부터 산업 육성을 위한 실질 적이고 다양한 법적·제도적·정책적 지원이 함께 수반 되어야 한다. 그렇게 될 때만이 비로소 개인정보보호 선진화를 위한 초석을 다질 수 있을 것이다. <글 : 양용석 국회 과학기술정보통신위원회 정책비서관, 정보통신연구진흥원 집필위원(yongseok.yang@assembly.go.kr)> [월간 정보보호21c 통권 제99호 (info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지> |
|
 |
이와 같이 개인정보가 유출되는 사건들 이 재발되지 않고 개인정보 유출이라는 불법행위가 근절되기 위해서는 개인정보보호 예산 편성 강화와 인터넷상 주민번호를 대체할 식별번호(i-PIN)의 도입을 통한 제도적, 기술적 보완을 강구해야 한다. 특히 정보통신 시설 및 개인 정보보호에 관한 법제를 정비하는 것이 시급하다. 
