• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안칼럼] “개인정보보호, 기업의 성패(成敗) 좌우할 수도” 2011.07.12

오는 9월 30일부터 국내의 모든 기업과 단체들은 새로운 환경에서 사업을 하게 된다. 7년 가까운 우여곡절 끝에 지난 3월 개인정보보호법이 제정·공포됐기 때문이다.

물론 이전부터 꾸준히 고객, 즉 ‘개인’의 정보보호 등을 위해 ‘정보보호 마인드’를 갖고 사내 교육과 투자를 해온 기업들은 몇 가지 사항을 추가해 시스템을 보완하면 되지만 그렇지 않은 기업들은 대체 어디서부터 어떻게 시작해야 할지를 놓고 고민하지 않을 수 없게 됐다.


개인정보의 무분별한 수집·거래 막아야

새로 제정된 ‘개인정보보호법’은 그 입법목적을 ‘개인정보의 수집·유출·오-남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 나아가 개인의 존엄과 가치를 구현하기 위하여’라고 분명히 밝히고 있다.


솔직하게 그동안 국내 기업들은 고객정보의 수집 및 활용에 있어 상당한 자유(?)를 누려온 게 사실이다. 자유민주주의 국가에서 경제활동의 자유와 이익의 창출이 매우 중요한 가치이긴 하지만 통상적인 개인식별정보(PII)뿐만 아니라 개인의 정치성향과 범죄기록, 과거의 병력(病歷) 등 ‘민감정보’까지도 상업적 목적으로 무분별하게 수집·거래되는 관행을 그대로 두고만 볼 수 없는 것도 현실이다.

최근 급증한 정보 침해 및 개인정보 유출 사건은 이 같은 상황의 반증이자 우리 국민들의 정보보호·보안 의식의 현주소이기도 하다. 더욱 우려할 만한 사실은 개인의 신용 및 재산을 관리하는 은행마저도 소중한 고객정보를 속수무책으로 ‘해킹’ 당했다는 사실이다. 전산망 마비라는 사상초유의 사태를 경험한 농협은 그동안 쌓아온 기업 신뢰를 한순간에 잿더미로 만드는 결과를 초래했다. 이후에 미칠 2차 피해 및 사회경제적 파장은 가늠하기조차 힘들어 보인다.

또한 스마트시대로 접어들면서 이른바 소셜네트워크서비스(SNS) 관련 기업인 구글, 애플, 페이스북 등은-사안은 각기 다르지만-개인정보 불법수집 혐의로 검·경이 수사중이거나 소송절차가 진행되고 있다. 더욱이 유출된 개인정보 등이 범죄에 악용돼 구체적인 피해까지 발생한다면 사회에 미치는 파장은 이전의 유출사건들과는 차원을 달리하게 될 것이다.

이제 개인정보를 취급하는 모든 기업은 적극적인 마케팅 활동을 위한 다양한 개인정보의 수집·이용·보관·폐기에 대해 이전보다는 보다 체계적인 방침을 가지고 접근해야 하고 개인정보최고책임자(CPO)는 이 방침이 기업활동 전반에 전파돼 그에 알맞게 적절한 조치들이 이뤄질 수 있도록 해야 한다.


기업, 성공하려면 개인정보보호 강화해야

‘개인정보보호법’은 ‘개인정보처리자’(민간사업자와 공공기관을 포괄)가 “안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다”고 규정하고 있다. 또 (개인정보처리자가) “이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상 책임을 감경받을 수 있다”고 하여 사고발생 전후의 성실한 의무준수 여부를 중요시하고 있다.

이제 기업이 사업하기 좋은 환경은 ‘자유로운 경쟁이 무한정 보장되는 시장’이 아니라 ‘고객인 소비자가 신뢰하고 찾을 수 있는 시장’을 조성하는 일이며 기업은 그러한 시장 환경을 만들어 나가려는 노력도 함께 해야 할 것이다. 개인정보 침해·유출 사고가 빈번하면 할수록 소비자들의 불안감은 커질 것이고 이는 급속도로 성장한 전자적 상거래의 시장기반 뿐만 아니라 어렵게 달성한 기업 이미지를 한 순간에 잃게 될 수도 있다.

심한 경우는 갑작스런(?) 도산상황도 초래할 수 있다는 게 이 분야 전문가들의 진단이다. 특히 개인정보보호법상 개인정보 유출시 통지·신고제도, 집단분쟁조정제도, 권리침해의 중지를 구하는 단체소송의 도입 등으로 인해 법적 의무 준수를 게을리 한 기업은 상당한 피해를 감수해야 한다.

21세기 지식정보사회에서 ‘정보주체’(국민 개개인)의 자기결정권은 어떠한 경우에도 보장받아야 하고 기업은 달라진 환경에 적응, 개인정보보호를 위한 사회적 책임을 다할 때 자유로운 경제활동을 지속해 나갈 수 있다는 뜻이다.


정보보호 위한 자발적 노력 지속해야

우리 협의회는 개인정보보호를 위한 민간의 자율규제활동을 통해 ‘정보안심사회’를 구현해 나가는 것을 궁극 목표로 삼고 있다. (공공부문은 몰라도)민간 영역에 대한 정부의 타율적 규제는 어떤 명분으로도 바람직하지 않다고 볼 때 기업들은 기술적·관리적·물리적 조치 등 법적 의무 준수뿐만 아니라 정보보호를 위한 자발적 노력을 지속적으로 기울여 나갈 필요가 있다고 본다.


아울러 기업과 단체 등 350만 ‘사업자’들은 개인정보보호 분야에서 ‘정부와 민간의 가교’역을 자임하는 우리 협의회를 최대한 활용할 것을 권하고 싶다. 첫째, 리스크 관리(RM) 차원에서, 둘째, 사회적 책임(SR) 차원에서, 그리고 셋째로는 국제 비즈니스를 위한 글로벌 규범 준수(GS) 차원에서 (사)한국개인정보보호협의회와 같은 공신력 있는 민간단체를 활용하는 일은 ‘투자 對 효과’ 측면에서도 기업에 상당한 유익을 가져다 줄 것으로 확신한다.
[글 _ 김종구 (사)한국개인정보보호협의회 상근부회장(human7100@paran.com)]

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>