개인정보보호에 대한 접근 방법은 크게 아래 4가지 관점으로 바라볼 수 있을 것 같다. 어떤 시각을 중요한 판단기준으로 바라보느냐에 따라 대책 수립도 달라질 수 있고 그 결과도 달라질 수 있다.

첫 번째는 법률적 관점이다. 이는 가장 기본적인 내용으로 법률로 제정된 요구사항을 준수하기 위해 대책을 수립하는 접근 방법이라고 볼 수 있다. 대표적으로 정보통신망법과 공공기관의 개인정보보호에 관한 법률, 통신비밀보호법, 전자상거래 등에서의 소비자보호에 관한 법률 등이 있고 각 해당 조직에 적용되는 개별 법들에서 일부 개인정보와 관련된 내용들을 담고 있다. 현실적으로 법률준수를 위한 노력을 기울이는 것 조차 쉽지 않을 때가 있지만 법률 준수도 되고 있지 않다면 가장 위험한 대응이라고 볼 수 있을 것이다.

두 번째 시각은 컴플라이언스 대응 측면이다. 법률과 달리 강제성은 약하지만 조직의 비즈니스 측면에서 상위조직이나 동종업계에서 요구하는 보안 요구사항을 적용 해야 할 필요가 있는 내용들이다. 대표적으로 PCI-DSS와 같은 내용이 있으며 ISMS인증을 받은 조직의 경우 인증에서 요구하는 심사 기준이 이에 포함된다고 볼 수 있다.

이는 사회적 의무사항이라기 보다 조직의 이익을 위한 대응으로 적절한 대응을 통해 조직이 원하는 비즈니스에 효과적으로 도움이 될 수 있는 역할을 수행하는 방식이다. 이 단계 정도면 도의적인 책임을 제외하고는 나름대로 대응을 하고 있다고 볼 수 있을 것이다.

세 번째는 내부적인 리스크 매니지먼트 관점이다. 조직의 리스크는 다양한 형태로 나타날 수 있는데 그 중에 개인정보 보호를 적절하게 이행하지 못해서 고객과 이해관계자 등에게 신뢰와 가치를 잃게 되는 사태를 예방하기 위한 대응 방법이라고 할 수 있겠다. 이는 법률이나 컴플라이언스 요구사항에서는 명시되어 있지 않을 수 있지만 조직의 특수성과 환경을 고려했을 때 내부적인 리스크라고 판단된 이슈에 대해 취해야 할 조치들이 포함된다고 볼 수 있다.

네 번째는 지속 가능성(sustainability management) 관점에서 접근하는 시각이 있을 수 있다. 이는 앞서 얘기한 3가지보다 포괄적 관점에서 개인정보보호활동을 이행하는 방식으로 비즈니스 관점에 사회적 책임이라는 개념을 추가해서 대응하는 방식이라고 볼 수 있다. 법률요구사항과 조직의 비즈니스, 리스크 관리 측면을 넘어 사회적 기업으로서 이해관계자를 위해 책임 있는 역할을 이행하고자 노력하는 자세로 윤리적이고 도덕적 측면까지 검토하여 최대한의 노력을 기울이는 대응 방식이라고 할 수 있겠다.

요즘 이슈가 되고 있는 SNS 서비스에서의 개인정보보호에 대한 책임을 이용자에게 많은 부분 부담하도록 하는 것이 적절한 방법인지? 관련 서비스를 제공하거나 애플리케이션을 제공하는 회사에서 이용자의 부담과 우려를 덜어 줄 수 있는 추가적인 방법을 어디까지 제공해야하 하는지? 등에 대해 사회적 관점에서 바라본다면 그 조직은 지속가능성 관점에서 개인정보보호 역할을 수행하고 있다고 볼 수 있을 것이다.

아직까지 법률적 시각과 비즈니스, 리스크 관리 측면에서 개인정보보호 활동이 이루어지고 있다면 앞으로는 지속가능성의 한 축으로서 사회적 책임을 고려하여 다양한 이슈들에 대해 고객의 입장 또는 다양한 이해관계자들의 입장에서 적절한 보호대책을 수립하려는 노력이 필요하다.
[글 _ 박나룡 보안전략연구소 소장(isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>