이준호 이사, “PIMS, ‘공인’의 메리트 존재하지만 그것만으론 부족해”

[보안뉴스 김정완] PIMS 인증제도가 도입되면 이를 도입해야 하는 여부를 판단해야 하는 기업의 입장에서는 학계나 정부·기관 등의 입장과는 차이가 있을 수밖에 없다.

 

이에 이준호 NHN 이사는 “PIMS 인증은 기업이 소중한 고객의 개인정보를 ‘검증된 관리체계’에 의거해 ‘안전하게 보호하고 있다’는 메시지를 전할 수 있는 가장 좋은 수단”이며 “현 ISO 27001과 같은 정보보호관리체계에 대한 인증을 많은 기업에서 획득·유지·관리하고 있는 점은 이러한 메시지 전달을 통한 기업의 정보보호 노력의 홍보 뿐아니라 기업의 정보보호 수준을 한 단계 성숙시키려는 의지가 담긴 것으로 해석된다”고 밝혔다.

또한 이준호 이사는 “제도의 도입 및 시행 과정에서는 언제나 개선의 여지가 있기 때문에 PIMS 도입 전에 고려해야 할 점을 집어 보는 것은 의미 있는 작업이 될 수 있다”며 △유사 인증제도간 상호 보안 △통제항목의 현실화 △인증 기업에 대한 혜택 등이 필요하다고 제안했다.

우선 이준호 이사는 “방통위와 KISA에서 운용하고 있는 ISMS는 실상 PIMS와 비교해 전자는 정보보호, 후자는 개인정보보호라는 영역에 대한 차이만 존재할 뿐, 실제 두 인증제도의 운영방식, 보호대책 등은 대동소이하다”고 지적하며 “특히 사업영ㅇ역의 해외 확장 등을 고려해 보았을 때, ISO 27001 등의 국제인증과 비교해 기업에 실질적인 이익이 있는 인증을 선택하는 경향이 나타나 PIMS 인증제도의 활성화에도 부담이 될 수밖에 없을 것”으로 생각했다.

따라서 “PIMS 및 ISMS를 통합 인증하는 방안에 대해 고려해 볼 필요가 있다”며 “두 가지 인증의 유효기관 동안 안전진단 면제 등의 조치를 명문화할 경우 기업 업무 부담 해소 및 인증제도 활성화에 큰 도움이 될 것”이란 게 이준호 이사의 의견이다.

또한 이준호 이사는 “PIMS가 실질적으로 중소기업을 포함한 많은 사업자들이 그 혜택을 누릴 수 있게 하기 위해서는 무료 컨설팅 지원 등과 같은 활성화 방안도 운영되어야 하겠지만, 실질적으로 많은 기업들이 스스로 기업 프로세스를 PIMS의 통제항목에 비교해 볼 수 있도록 그 통제항목을 간소화할 필요가 있다”며 통제항목의  현실화가 필요하다고 강조했다.

이와 관련 이준호 이사는 “ISO 27001과 같은 제도가 대기업 위주로 많이 채택되고 있는 이유 중 하나가 비용이나 실효성 등의 이수도 있지만 실제 처음 해당 인증을 사업에 적용하기 위해서는 복잡다단한 통제항목을 중소업체 수준에서 직접 적용하기 어렵다”며 “통제항목을 일부 조정해 그 개수를 조정하거나, 필수·권고항목을 분류해 일정 규모 이하의 사업체에 대해서는 권고항목에 대한 미준수를 이유로 인증 배제하는 경우가 없어야 할 것”이라고 제안했다.

마지막으로 기업을 대표한 입장에서 이준호 이사는 인증 기업에 대한 혜택에 대해서도 언급했다. “PIMS 제도 자체로서 기업의 개인정보보호 관리체계에 대한 ‘공인’의 메리트가 존재하지만, 그로써는 충분하지는 않을 것”이라며 “PIMS 인증 취득 기업에 특화된 혜택 등을 적극적으로 고려해 줘야 할 것”이란 것이 그의 의견이었다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>