개인정보경영 분야의 글로벌 표준인 BS10012는 조직의 개인정보보호 법적 요구사항에 대한 컴플라이언스 준수는 물론 내부 성과의 향상을 위해 개인정보경영시스템(PIMS, Personal Information Management System)을 수립하고 운영 체제를 규정한 국제규격이다. 엔씨소프트는 지난 2009년 12월 2일 이 국제표준인증(BS10012)을 획득했다.

엔씨소프트(대표 김택진 www.ncsoft.com)는 개인정보관리와 보호를 중점적으로 다루는 국제규격이 지난해 5월 공표된 이래 처음으로 국제표준인증(BS10012)을 획득했다. BS10012는 개인정보의 관리체계 수립, 이행과 운영, 개인정보 관리 활동에 대한 감사 및 경영 검토 등 개인정보관리보호 분야의 총 6개 세부 항목들을 검토해 영국표준협회(BSI: British Standards Institution)가 부여하는 세계적 권위의 국제표준인증이다.

이번 인증 획득을 통해 개인정보 수집에서 파기까지 전 단계 관리 및 점검을 강화하고 선진 관리체계에 기반한 개인정보보호 시스템 및 장비 강화, 사내외 교육곂ズ만?통한 개인정보보호 인식을 제고, 글로벌 기업으로서 국내뿐 아니라 해외 지사의 개인정보관리 및 보호를 위한 글로벌 개인정보 관리체계를 구축하게 된다.

엔씨소프트측은 이번 인증 획득과 관련해 “고객 가치 실현 측면에서 개인정보는 중요하게 다뤄져야 하며 앞으로도 개인정보를 보호하고자 하는 노력을 세계 속에서 지속해 나가려고 한다”고 밝혔다. 이와 관련 엔씨소프트는 개인정보보호 차원에서 전화 인증 서비스와 PC 등록 서비스 등 계정 보안 솔루션을 도입하고 개인정보보호와 안전한 게임문화 형성을 위한 ‘plaync,개인정보보호 캠페인’을 실시해 왔다. 이번 국제표준인증 획득을 총괄한 김창오 엔씨소프트 정보보안팀 팀장을 만나 이번 ‘BS10012’획득을 위한 준비와 절차 등에 들어봤다.

[Interview]

김창오 엔씨소프트 운영보안팀 팀장

"개인정보보호에 관심은 많으십니까?"

국제표준인증 ‘BS10012’는 무엇인가?

BSI는 지난 2009년 5월에 이를 발표했고 6월에 세미나를 통해 알게 됐다. 이는 ‘Data Protection Act:1998’에 기반해 탄생한 것으로 현재까지 10년 이상 지나온 후 그 실체가 나온 것이다. 한국에서 이 인증의 정식 명칭은 ‘개인정보경영시스템’이고 개인정보관리체계 또는 시스템이라는 명칭으로 PIMS에 기반해서 명명했던 것이다. 한마디로 말하면 개인정보에 대한 체계적인 관리 절차로 개인정보보호 관리조직, 계획, 시행 활동, 감사관리감독, 지속적인 유지를 위한 유지보수, 유지이행 계획 등을 종합적으로 판단하는 것이라 말할 수 있다.

이번 인증 획득의 의미와 중요성은?

최소한의 고객정보에 대해서는 회사에서 적절한 조치와 이행을 고객과 약속한다는 것으로 그동안 고객 개인정보를 수집하면서 고객들에게 개인정보를 수집한다는 것만 알려주고 어떻게 관리되는지 그 실체는 보여주지 않았는데 이번 인증으로 인해 고객정보가 어떻게 관리되는지를 공인받게 된 것으로 이를 실천하게 됐다는 것에서 그 의미가 크다. 즉 관리되어야 하는 개인정보에 대해 기술적 보호조치를 한다는 약속과 같다. 그 체계를 시행하고 있는지를 인증해주는 것이라고 할 수 있다.

인증 절차는 어떻게 되는가?

절차는 기본적으로 정보보안 규정이 있는 기반에 개인정보에 대한 절차가 포함된다. 개인정보보안에 절차를 확립하고 실제 현업에서 발생되는 업무분석을 인터뷰 실사를 통해 분석하고 그 차이를 확인하는 절차를 거친 다음에 부족한 부분을 위한 재설계를 한다. 그리고 재설게된 부분을 조직에 적용하고 조직 인식을 제고시킨 다음에 제대로 반영되는지 감사활동을 하게 된다. 이러한 부분이 모두 심사에 포함된다.

이번 인증 획득에 소요되는 시간과 비용은?

자체 준비기간만 6개월 정도 소요됐다. BS10012가 발표되기 전 지난 해 6월까지는 국내법에 기준하여 개인정보 관리체계를 준비 했었고 7월 이후 3개월 동안은 자체 심사 준비를 했으며 10월부터 2개월간 외부 컨설팅을 통해 사전 심사 준비를 한 후 1개월간의 심사를 통해 인증을 획득하게 되었다.

인증심사비용은 기본적으로 3,500만원이 소요되고 내부적 컨설팅이나 인력비용이 추가된다. 그리고 시스템을 별도로 구축하거나 조직을 새로 구성한다면 더 많은 비용이 추가된다고 보면 된다.

향후 이를 유지하고 보수하는 방법은?

지금까지는 기반을 마련했고 유지 보수가 숙제인데 기업 분석 초기 평가 점수가 50점이었는데 인증을 통과한 것을 볼때 80점 수준을 확보한 것으로 평가한다. 100점을 목표라고 했을 때 아직 20점의 차이를 메우기 위한 노력이 지속되어야 한다.

6개월 단위로 인증 재심사가 이루어지는데 이때에는 부족한 부분에 대한 평가를 한다. 현재 2개월 정도 지났는데 지속적으로 노력해야 한다. 또 3년 주기로 전체적인 심사를 받아야 한다. 개인정보보호를 위해서는 전반적으로 모두 심사에 들어가야 하기 때문에 부족한 부분에 대한 보완이 필요하다.

한편, 개인정보분야에서 제일 중요한 것이 관심이다. 개인정보에 대한 의식, 즉 전 직원들이 개인정보에 대한 관심이 높아졌다는 것이 우리의 가장 큰 성과다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>