개인정보의 보호를 위한 전략은 관리체계 수립 또는 보호시스템의 구축, 관리시스템의 운용 등 다양한 방법으로 전개할 수 있다. 이와 같은 보호전략을 수립하기 위해 필요한 가장 기초적인 작업은 무엇보다 우리 회사 또는 우리 기관에서 수집하는 개인정보가 어떤 유형이 있으며 누가 수집하고 누가 이용하며 관리주체는 누구이고 누구한테 제공되고 있는지와 같은 일련의 활동을 면밀히 분석하는 일이 가장 우선이 돼야 한다. 이와 같은 일들을 필자는 ‘개인정보 활용 현황 분석’이라 한다.

2008년 봄, 해킹에 의한 최대 규모의 개인정보 유출 사건이 발생했다. 인터넷 오픈마켓인 옥션의 회원 1,800만명 중 1,080만여명의 개인정보가 유출된 사건으로 그 피해 규모로 인한 사회적 파장이 굉장히 컸다.

또 오래되지 않아 인터넷서비스 업체인 하나포스(현 SK브로드밴드)에서 협력업체의 마케팅용으로 가입회원의 정보가 무단 이용되는 사건이 사회적 이슈가 되었었다. 이 두 사건은 일반인들에게 개인정보의 관리가 얼마나 중요한가를 인식하게 한 사건으로 이 후 자신의 개인정보 관리에 상당한 관심을 갖게 된 계기로 보인다. 물론 상당수의 일반인들은 아직도 개인정보 문제에 대한 심각성을 자각하지 못하는 경우를 종종 보게 된다.

이러한 일반인들의 개인정보에 대한 시각 변화는 고객, 사용자, 회원 등의 명목으로 개인정보를 수집, 활용, 관리하고 있는 금융, 유통, 포털, 서비스, 공공기관 등 다양한 사업주체에게 보다 철저하고 안전하게 그리고 법적 준거성을 확보할 수 있도록 개인정보에 대한 보호전략을 수립, 운영하는 것이 필요하게 되었다.

개인정보의 보호를 위한 전략은 관리체계 수립 또는 보호시스템의 구축, 관리시스템의 운용 등 다양한 방법으로 전개할 수 있는데 이와 같은 보호전략을 수립하기 위해 필요한 가장 기초적인 작업은 무엇일까?

아마도 우리 회사 또는 우리 기관에서 수집하는 개인정보가 어떤 유형이 있으며 누가 수집하고 누가 이용하며 관리주체는 누구이고 누구한테 제공되고 있는지와 같은 일련의 활동을 면밀히 분석하는 일이 가장 우선이 되지 않을까 싶다.(공식적인 용어는 없지만, 이와 같은 일을 ‘개인정보 활용 현황 분석’이라고 부를 수 있다.)

개인정보 흐름 관리에 대한 인지 없어

개인정보보호를 실천하는데 있어 가장 기초라 할 수 있는 개인정보의 흐름 관리에 대해 실제적으로(또는 놀랍게도) 각 사업주체 등에 몸담고 있는 보안담당자나 개인정보보호담당자는 이를 명확히 인지하지 못하는 경우가 많다. 즉 개인정보보호 업무를 주관해야 하는 주체가 무엇을 보호하고 어떻게 보호해야 하는지를 명확히 인지하지 못한 채 단순하게 보호시스템만 도입한다든지, 아주 일반적인 절차, 가이드만을 적용하는 등의 단편적인 전략만 적용할 개연성이 많다. 이러한 현상은 개인정보의 특성 상 취급 주체가 너무나 다양한데 기인하고 있는데 예를 들어 경영정보나 기술정보 등은 핵심 관련자 또는 업무 관련자만 접근, 취급할 수 있지만, 개인정보는 영업, 마케팅, 이벤트, 경영전략 등 다양한 업무에서 활용되고 있기 때문에 정보에 대한 접근, 취급 주체가 너무 많다.

이러한 맥락에서 내 조직에서 취급, 활용하고 있는 개인정보에 대해 면밀하게 분석하는 것은 매우 중요하다고 할 수 있는데 이 글에서는 짧게나마 개인정보 활용 현황 분석에 대한 방법과 분석 결과에 대한 활용 부분을 기술하도록 한다.

분석 방법

개인정보 활용 현황에 대한 분석에 있어서 특정하고 있는 방법론은 별도로 없다고 할 수 있으며 일반적으로 보안컨설팅을 수행할 때 적용하고 있는 현황분석 방법을 그대로 적용 또는 응용하여 수행할 수 있다. 여러 번의 컨설팅 수행 경험으로 비추어 봤을 때 대체적으로 개인정보에 대한 활용 현황 분석은 조직 업무에 대한 개괄적인 조사에서 시작하여 체크리스트 배포 및 회수, 관련자 인터뷰 및 실사, 분석수행의 흐름(그림 1 참조)으로 진행된다.

앞서 수행한 몇 건의 개인정보 분석 프로젝트에서는 그림 1의 절차대로 진행했다.

●조직 업무 사전 조사 단계

조직 업무 사전 조사 단계는 해당 기업 또는 기관에서 수집, 활용하는 개인정보 유형(이름, 아이디, 주민등록번호, 연락처 등등)이 무엇이며 분석 대상(개인정보 활용 관련 부서 또는 팀)은 누구인지 등을 사전에 수행한다. 사전 조사 결과는 체크리스트 수립, 배포 시 기초자료로 활용된다.

● 체크리스트 작성/배포/회수 단계

체크리스트 작성/배포/회수 단계는 개인정보 활용 현황 분석을 위한 기초자료를 수집하기 위한 단계로써 전체 단계 수행 중 가장 중요한 단계라고 할 수 있다. 작성된 체크리스트의 정확성에 따라 전체 분석 결과의 정확성이 결정될 수 있는 만큼 체크리스트의 작성은 앞서 수행된 ‘조직업무 사전 조사’ 결과를 면밀하게 적용하여 작성해야 한다.

일반적으로 정보는 일정한 Life-Cycle(생성-저장-유통-사용-폐기)에 의해 관리되고 있는데 개인정보도 이와 무관하지 않다. 다만 개인정보는 그 원천이 일반 개인한테 있기 때문에 Life-Cycle 단계가 통상적인 정보의 Life-Cycle과 조금 다르다. 개인정보의 Life-Cycle은 ‘수집/저장-조회-수정-제공-폐기’의 흐름으로 활용, 관리되고 있다고 할 수 있는데 분석 체크리스트는 이와 같은 Life-Cycle을 바탕으로 각 Life-Cycle별 Task, 개인정보항목, R&R(Role & Responsibility), 사용도구(시스템, Application, 기타 등등) 등을 파악할 수 있도록 구성한다.

그림 2는 개인정보 활용 현황 분석을 위한 체크리스트 구성으로 실제 적용 시에는 각 항목에 대해 보다 상세하게 체크하도록 구성하는데 예를 들어, TASK에서는 카테고리와 SUB-TASK로 상세화할 수 있으며 R&R에서는 주체와 객체 등으로 보다 더 상세화시킬 수 있다. 이렇게 작성된 체크리스트는 앞서 ‘조직 업무 사전 조사’ 단계에서 파악된 분석 대상들에게 배포하고 답변을 회수하게 된다.

● 인터뷰/실사 단계

인터뷰/실사 단계는 회수된 체크리스트를 바탕으로 각 분석 대상이 작성한 체크리스트 내용이 맞는지, 또는 추가적인 확인 내용이 없는지 등을 파악하는 단계로써 체크리스트 작성 담당자 및 관련자 등을 대상으로 인터뷰를 수행하며 필요시 문서, 시스템 운영 등에 대한 실사를 수행한다. 보통 비즈니스 관점 즉, 업무흐름 관점에서 체크리스트가 작성되며 그에 따라 인터뷰가 진행되지만 프로젝트 성격이 기술적인 측면을 강조하면 비즈니스 관점 외에 기술적인 관점에서도 해당 분야 담당자와 인터뷰를 진행한다. 이때도 참고가 되는 것은 회수된 체크리스트다. 어쨌든 인터뷰/실사 단계에서 개인정보 활용 현황 분석을 위한 자료 수집이 완성된다고 볼 수 있다.

● 활용 현황 분석 단계

활용 현황 분석 단계에서는 회수된 체크리스트 및 인터뷰/실사 결과를 토대로 해당 사업체 또는 기관에서의 개인정보를 활용하고 있는 상태 및 활용하는데 있어서의 문제점 여부 등을 분석하게 된다. 통상 분석 결과로써 비즈니스 관점에서의 개인정보 흐름도와 기술적 관점에서의 개인정보 인프라 흐름도 및 각각의 흐름도에 대한 상세한 정보 분석 결과가 산출될 수 있으며 기술적인 취약점 문제 및 법적 준거성 확보 문제 등을 분석할 수 있다.

분석 결과의 활용

조직의 개인정보 활용 현황에 대한 분석 결과는 다양한 방법으로 활용할 수 있는데 결과적으로는 개인정보보호를 위한 전략 또는 방안 수립을 위한 기초자료로써 활용된다고 볼 수 있다.

예를 들어 비즈니즈 측면에서 작성된 개인정보 흐름도와 법적 준거성 문제 분석 결과는 조직 구성원들에 대한 개인정보 활용에 대한 가이드 또는 지침, 절차 등의 체계를 수립하는데 활용될 수 있으며 인프라 관점의 개인정보 흐름도 및 기술적 취약점 분석 결과는 보호시스템 구축이나 관리시스템 구축 시 기초자료로써 활용할 수 있다. 또한 이상의 산출 결과를 토대로 관리적, 기술적 측면에서의 종합적인 개인정보보호체계를 수립, 구축할 수 있다.

개인정보 활용 현황 분석에 대한 상세한 내용을 다 기술하지는 못하였지만 개인정보 분석 컨설팅 수행 경험을 토대로 개괄적인 내용을 기술하였다.

이러한 글을 통해 중요한 것은 개인정보 보호 전략 또는 체계 등을 수립하려는 보안담당부서나 개인정보보호 담당 부서 등이 개인정보 활용 현황 분석과 같은 기초 작업을 선행하여 내 조직에서의 개인정보 활용 상태를 명확히 파악하고 보호하고자 하는 개인정보 대상이나 법적 준거사항을 정확히 인지할 필요가 있는 것이다.

<글 : 김동옥 시큐아이닷컴 컨설팅팀 차장(dooggy.kim@samsung.com)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>