그 동안 많은 시민과 정보보호 전문가들이 모든 공공기관과 민간부분을 포괄하는 일원화된 개인정보보호법의 필요를 공감했지만 그 절차와 제도화가 어려워 수년간 지연돼 왔는데 이제는 그 일차적인 성과인 법제도화를 눈앞에 두고 있다.

그 동안 국민의 프라이버시 및 개인정보보호에 대한 인식이 급격히 변화했고 정보보호 제도의 개선에 대한 요구도 높아지고 있다. 개인정보보호 수준을 높이고 정부와 기업에 대한 국민의 신뢰 수준을 높이기 위한 제도적 조처가 필요함은 다시 강조할 필요가 없다.

이러한 사회적 요구를 반영하는 정보보호 관련된 제도 및 정책의 준비가 정부 및 기업 차원에서도 차근차근 이뤄지고 있는데 그 중에 눈에 띌만한 사건으로는 위에서 언급한 개인정보보호법 제정의 가시화와 정부에서 추진하고 있는 ‘개인정보보호관리체계(Personal Information Management Systems, PIMS) 인증제도’의 준비를 들 수 있다.

방송통신위원회에서는 지난 몇 년 동안 개인정보보호관리체계 인증제도를 마련하기 위해 개인정보보호관리체계 심사항목을 개발했다. 이의 완성도를 높이기 위해 대표적인 몇몇 사업자를 선정하고 선정된 업체를 대상으로 모의 인증을 수행했다. 금년 8월에는 개인정보보호관리체계 인증제도 검토를 위한 공청회를 개최하고 다양한 매체를 통해 내용을 발표하는 등 이 인증제도를 소개하기 위한 많은 노력을 기울이고 있다.

기존의 법과 정부의 정책이 사후적 처방이나 조치에 많은 무게를 두고 있다면 개인정보보호관리체계 인증제도는 사전적이고 예방적인 수준의 특성이 강하며 자율 규제를 통해 정보보호를 위한 전사적인 접근 방식을 지향하고 있다.

개인정보보호관리체계 인증제도, 왜 필요한가?

우선 개인정보보호관리체계 인증제도의 필요성에 대해 살펴보자. 기업에서는 급격한 IT환경의 변화와 국민의 프라이버시 관련된 인식 수준이 높아진 것을 반영하는 기업내부 정보보호 정책 및 제도가 절실히 필요하다. 그런데 과연 어떤 내용에 대한 보호 정책을, 어떻게 수립하고 운영해야 하는 가에 대한 포괄적이고 체계적인 지침을 접하기가 쉽지 않다.

현재 발생하는 개인정보 유출 및 관련된 피해의 사례가 워낙 다양하고 또한 개개인의 프라이버시에 대한 성향과 관점이 다를 수 있다는 점이 이러한 정책의 수립과 운영을 더욱 어렵게 하기도 한다. 이러한 필요를 반영하고 구체화해 개인정보보호 전략, 정책 수립의 이행 지침 및 나침반 역할을 할 수 있는 제도로 최근에 소개되고 있는 것이 ‘개인정보보호관리체계 인증제도’다.

이러한 제도를 추진하게 된 배경은 여러 가지 이유가 있지만 몇 가지만 소개하면 다음과 같다. 첫째, 전사적인 개인정보보호 활동의 필요성이 부각되었다. 기업에서 개인 정보의 수집 및 활용은 기업 내 한 부서에서 이뤄지는 경우도 있지만 대기업의 경우에 여러 부서에서 다양한 방법으로 관련 정보를 수집하고 관리하고 있으며 개인정보의 활용도 여러 개 부서에서 일어날 수 있다. 실제로 기업 감사나 컨설팅을 하다 보면 다양한 부서의 컴퓨터에서 다양한 개인정보가 저장돼 있는 것을 확인할 수 있었다.

또한 개인에게 사전에 동의를 받고 협약에 따라 다른 회사로 고객정보를 전달해 관리하거나 이용하기도 한다. 이렇게 개인의 정보가 기업 내에서 수평적으로 이동하고 관련된 업체로 이동이 빈번하게 일어날 때에 보안담당부서나 IT 조직을 위주로 한 기존의 보안 체계나 정책으로는 개인정보의 체계적인 보호가 쉽지 않다. 즉 과거에 사례위주로 개발된 여러 가지 개인정보보호 정책 및 활동은 전사적 차원으로 정보보호 활동을 추진되는데 많은 제약이 있었다.

둘째, 사전적 보호 활동이 강조된다. 개인정보의 불법적 유출에 따른 문제를 해결하기 위한 제도도 중요하지만 개인정보가 유출됐을 때 그 피해가 발생 가능한 기간이 기존의 다른 물리적인 피해가 발생한 경우와 다르게 아주 오랜 시간에 걸쳐 영향을 미칠 수 있다. 또한 그 피해가 일회성이 아니라 여러 번에 걸쳐 발생할 수도 있다. 이런 이유로 관련 법규나 제도에 따라 피해가 발생하지 않도록 미리 보호하는 활동이 강조된다.

셋째, 예방적 보호 활동 또한 필요하다. 단순히 보호하는 수준에서 나아가 사고가 발생하지 않도록 적극적인 조치의 강구도 또한 기업과 사회가 원하는 바다. 새로운 제도의 도입과 운영에 앞서 여러 가지 의견의 검토와 성공적인 운영을 위한 사업의 소개와 이해에 기초한 적절한 추진 전략의 수립이 필요하기에 이에 대한 의견과 검토 내용을 소개한다.

의무화 할 것인가, 자발적 참여를 유도할 것인가

이러한 제도를 의무화해 모든 기업에서 따르도록 하는 것이 바람직한지, 아니면 자발적 참여를 유도하는 방식으로 하는 것이 좋은 가에 대한 의견이 있다. 즉 일부에서는 개인정보 보호 수준을 높이기 위해서 이러한 제도를 만들었으면 의무화해 모든 기업이 지키도록 해야 한다는 주장을 한다. 의무화의 주장 배경에는 이러한 제도가 효과적으로 운영되면 우리나라 개인정보보호 수준을 일괄적으로 높일 수 있는 좋은 계기가 될 수 있다는 판단에 근거하고 있다.

하나의 제도를 의무화하려면 이 인증 제도가 모든 기업의 규모, 현황 등에 비춰 어떠한 기업에서라도 적절해야 하고 효과가 있어야 한다. 또한 기업 간 차이가 일부 있더라도 개인정보의 보호에 관하여서는 이러한 기업의 차이보다는 정보보호를 위한 제도 및 운영 방법에서 일관성 있게 실현해야 하고 또 그 효과가 기대돼야 한다. 그런데 이러한 가정과 전제조건을 이 제도는 충족하고 있다고 보기 어렵다.

또한 정부에서는 이 제도가 모든 기업에서 의무적으로 따라야 하는 제도로 추진하지 않고 있다. 그 이유는 첫째, 이 인증제도가 모든 규모의 기업에 적합한 정보보호 요구 사항을 담고 있지 않다. 즉 이 인증심사에서 관심을 두고 검토할 통제사항 및 세부 점검항목을 만들 때 기업의 규모 및 거버넌스 구조를 어느 정도 규모의 경제를 이룬 중대형 기업으로 가정하고 있다. 따라서 전사적이고 포괄적인 정보보호 방안을 중소기업에 바로 적용하기 쉽지 않다.

둘째, 다양한 심사 항목들이 법에서 요구하는 보호를 위한 조치와 항목을 포함하고 있으며 법에서 요구하는 사항보다 더욱 높은 수준의 보호 조치를 또한 요구하고 있다. 기업이 자발적으로 인증제도의 점검항목에서 요구하는 내용과 이 보다 높은 수준의 보호를 스스로 할 때 진정한 자율규제의 역할과 효과가 발휘된다. 자율적 추진 속에서 자연스러운 경쟁과 차별화가 발생하고 이러한 경쟁과 차별화가 더 우수한 형태의 정보보호 정책을 낳을 수 있다.

셋째, 궁극적으로 자율적 정보보호 활동 추진을 장려하고 지원하고 있는 정부의 입장에서는 법에서 요구하는 보호수준의 이상의 사항을 민간 기업에서 운영하는 제도를 통해 의무화한다고 하면 이러한 민간의무제도가 실질적으로 그 집행력을 발휘하는 것은 기대하기 어렵다.

넷째, 실질적으로 참여하는 주체인 기업에서도 의무화 또는 법제화 등을 통한 직접적인 규제보다 기업 간에 차별화가 가능한 자율적 규제 및 제도를 선호한다.

민간과 공공기간의 적극적인 협력 필요

자율적 참여에 바탕을 둔 개인정보보호관리체계 인증제도라는 새로운 제도가 널리 보급되고 활성화되는 데는 상당한 시간과 노력이 필요하다. 이러한 인증제도가 빨리 뿌리내릴 수 있도록 민간과 공공기관이 적극적으로 협력해야 한다. 다행히 주요 기업들은 이러한 제도를 반기고 있는 것으로 보인다.

더불어 관련 제도를 이해하고 심사 인증에 필요한 전문가를 양성하고 전문가가 제 역할을 객관성을 가지고 수행할 수 있도록 사회적 경제적 기반을 만들어 줘야 한다. 앞으로 기업 환경의 변화 및 사회적 공감대 형성의 변화를 반영하기 위한 관리체계의 점진적이고 지속적인 개선이 요구될 것이다.

또한 이 인증심사에 참여하는 기업의 기대효과와 국민이 이를 통하여 느낄 수 있는 성과 등을 알리는 활동이 병행돼야 하고 여러 가지 매체를 통해 적극적이고 효과적으로 전달돼야 한다. 새로운 제도를 만들다 보면 완성시점에 모든 것이 끝났다고 생각하기 쉬운데 어떻게 보면 이 제도의 확산 및 보급의 성패는 이러한 제도 수립 이후에 투여된 노력의 효과에 달려있다고 보아도 과언이 아니다.

궁극적으로 이러한 제도의 활성화와 성공적인 운영은 우리나라 및 국제적인 정보보호 수준을 높일 수 있다. 또한 국민이 믿고 개인정보를 사회 생활을 위해 제공하는 신뢰사회 마련에 큰 걸음을 내디디는 중요한 정책적 행보다. 개인정보의 보호를 위한 정부의 입장이 직접 규제에서 자율적 규제로 정책 모드를 승화시키는데 한 발짝 다가갈 수 있는 좋은 기회다. 이러한 제도가 성공적으로 운영되고 국제적인 제도로 안착되기를 기대한다.

<글 : 김범수 연세대학교 정보대학원 교수(beomsoo@yonsei.ac.kr)>

[월간 정보보호21c 통권 제123호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>