개인정보보호를 위한 기술적, 관리적 보호조치에서 가장 먼저 해야 할 일이 무엇일까?

개인정보에 대한 인식이 높아지고 조직 차원에서 관리해야 할 중요한 이슈로 부상하면서 개인정보보호를 위한 활동들이 늘어나고 있지만 몇몇 개인정보 관련 실무자를 만나서 이야기를 나누다 보면 느끼는 부분 중에 하나가 어디서부터 시작해야 하는지 몰라 답답해 하는 부분들이 있다는 것이다.

규모가 비교적 큰 기업들의 경우 보안 전문업체를 통해 다양한 컨설팅을 진행할 수 있겠지만 중·소 기업들의 경우 전문인력 확보도 어렵고 비용적인 측면에서 전문업체를 통한 컨설팅이 쉽지 않은 현실에서 개인정보보호를 위한 업무가 배정되었다면 아래 3가지를 우선적으로 진행할 필요가 있을 것이다.

가장 기본적인 부분이지만 놓치기 쉬운 부분으로 ‘우리 조직에 개인정보가 어떤 것들이 있는가?’에 대한 명확한 확인 단계가 필요하다. 우리 조직이 온라인과 오프라인을 통해 수집하거나 저장·이용·제공, 폐기하는 단계에서 가지고 있거나 활용되고 있는 개인정보가 어떤 것들이 있는지 식별이 되어야 그 다음 단계로의 진행이 가능할 것이다. 다양한 경로와 항목들에 대해 누락되지 않도록 식별하는 것이 중요하며 이에 대한 변경이 이루어질 경우 변경된 내용에 대한 추적이 이루어져야 식별된 개인정보가 의미 있는 정보가 될 수 있다.

개인정보가 식별되었다면 그 개인정보를 처리하는 시스템들에 대한 식별이 필요하다. 확인된 개인정보가 어느 시스템들에서 또는 어느 조직에서 ‘처리’되고 있는지를 확인해서 해당 시스템들을 개인정보처리시스템으로 구분하고 각각의 보호조치 기준에 따라 적절한 대책을 적용하는 단계가 필요하다.

이와 함께 중요한 부분이 개인정보취급자를 식별하는 일이다. 개인정보취급자는 ‘이용자의 개인정보를 수집, 보관, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자’로 정의하고 있는 만큼 이와 관련된 인원은 관련 의무사항들을 적용시킬 수 있는 노력이 필요하다.

또한 개인정보처리시스템에 대한 접근권한을 개인정보책임자와 개인정보취급자로만 제한하고 있기 때문에 앞서 정의된 개인정보처리시스템에 접속할 수 있는 사용자들을 명확히 확인하고 개인정보와 관련된 업무 연관성을 파악, 개인정보취급자로서의 준수해야 할 사항들을 적용할 필요가 있다.

이렇듯, 가장 먼저 해야 할 일은 조직이 가지고 있는 개인정보가 무엇인지 확인 하고 개인정보가 ‘처리’되고 있는 시스템들을 파악한다. 그리고 그 시스템에 접근하는 사용자와 개인정보를 처리하는 사용자를 개인정보취급자로 구분하는 일이다. 이 3가지 기본적인 것이 확인·완료되었다면 이를 기초로 관련된 보호 대책들을 적용하는 단계가 필요할 것이다.

이러한 부분들에 대해 관계 기관에서도 지속적으로 교육과 해설서 등을 보급하고 있지만 중·소기업들에 대한 실질적인 도움이 될 수 있는 다양한 교육 과정의 개설과 내용들을 보강하고 참여할 수 있는 기회도 늘릴 필요가 있어 보인다.

[글 _ 박나룡 보안전략연구소장(isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>