최근 발생한 네이트·싸이월드의 3,500만 명 개인정보 유출사태와 개인정보보호법 제정에 따라 주목받고 있는 것 중 하나는 공공부문에 의무 실시될 예정인 개인정보 영향평가 제도이다. 개인정보 영향평가란 개인정보보호법 시행령에 따라 일정 사항에 해당하는 개인정보파일의 운용에 있어 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인을 분석하고, 개선사항을 도출하기 위한 평가를 말한다. 이에 여기서는 개인정보보호법 시행을 앞두고 있는 시점에서 개인정보 영향평가제도의 내용을 소개하고, 공공기관 못지않게 많은 개인정보를 보유·활용하고 있는 민간 기업들이 개인정보 영향평가를 준비하기 위해 알아야 할 사항들과 올바른 도입방향을 모색하고자 한다.

개인정보보호법 통과에 따라 영향평가 의무 대상 공공기관이 새롭게 개인정보를 활용하는 정보 시스템을 도입하거나 기존 개인정보 시스템에 중대한 변경이 이뤄지는 경우에는 반드시 개인정보 영향평가를 수행해야 한다. 따라서 약 800개 공공기관이 개인정보 영향평가를 반드시 수행해야 할 것으로 전망된다. 민간기업도 자율적인 개인정보 영향평가 도입을 통해 해당기업이 합리적인 수준의 개인정보보호 조치의무를 다하고 있음을 증명할 수 있다. 따라서 향후에는 기업들의 인식 향상으로 인해 영향평가 수요가 더욱 확대될 것으로 전망된다. 대량의 개인정보를 수집하여 서비스를 제공하거나 마케팅 등에 활용하는 많은 기업들이 자발적으로 이 평가 제도를 도입한다면 개인정보보호 수준을 한층 더 향상시키고 고객들의 신뢰를 강화시킬 수 있을 것으로 기대된다.

개인정보 영향평가제도란?

개인정보 영향평가는 개인정보처리자가 처리하는 개인정보의 수, 제3자 제공여부, 정보주체의 권리침해 가능성 및 그 위험정도 등을 고려하여 위험요인을 분석하고 개선사항을 도출하는 일련의 평가절차로 정의할 수 있다. 점점 빠르게 진화하고 있는 정보의 대량수집능력, 빠르고 정밀한 분석 및 가공능력으로 인한 개인정보 오남용 침해에 대한 심각한 우려 때문에 최근에는 이 제도의 필요성이 더욱 높아지고 있다.

이제 기업들은 고객이 직접 자신의 취향에 대해 일일이 알려주지 않아도 웹사이트에서 행하는 그들의 구매행위, 친교행위 등에 대한 정보를 분석하여 더욱 상세한 성향을 알아낼 수 있게 되었다. 이로 인해 기업이 대량의 개인정보 수집, 가공을 통해 새로운 고객별 요구사항을 분석해내고 맞춤정보를 제공하는 개인화 서비스를 제공하는데 있어 발생 가능한 개인정보 침해위험을 파악하고 예방하는 것이 그 어느 때보다 중요해지고 있다.

개인정보파일을 대량으로 운용하는 정보 시스템이나 처리량은 적으나 민감도가 큰 개인정보를 처리하는 정보 시스템의 경우에 시스템 개발이나 활용 이전에 서비스 운용에 따른 개인정보 침해의 잠재적 영향을 확인하고 그 피해를 줄일 수 있는지가 사전에 검토되어야 한다. 이처럼 개인정보 침해를 사전에 예방하고 정보주체의 프라이버시 권리를 보호하고자 하는 취지에서 제정된 것이 바로 개인정보 영향평가 제도이다.

이 제도는 개인정보 유출이나 오남용으로 인한 사회적 파급효과가 큰 공공기관 뿐만 아니라 기업에서 개인정보가 수집·활용되는 기존 또는 신규 사업 추진 시 개인정보의 오남용으로 인한 프라이버시 침해 여부를 조사·예측·검토하여 개선하는 제도라 할 수 있다. 즉, 개인정보파일이 운용되는 정보 시스템의 구축 이전의 평가과정과 후속조치를 통해 지속적인 정보시스템 보완을 보장함으로써 개인정보 침해 가능성을 최소화할 수 있다. 또한, 해당 기업은 기업 내 관련 시스템에 대한 지속적 평가과정을 거치면서 기업전반의 개인정보 수집을 최소화하고, 불필요한 정보공유나 제3자 제공 등과 같은 위험요소를 차단하는 등의 개인정보보호를 위한 올바른 정책방향을 수립해 갈 수 있게 된다.

국내외 추진현황 및 진행사례

우리나라 

국내의 경우 이미 2000년대 초반부터 인권시민단체들에 의해 개인정보 영향평가제도의 필요성이 언급되기 시작했다. 2001년 국가교육정보 시스템 구축과 관련된 프라이버시 침해논란을 겪으면서 개인정보 영향평가에 대한 논의가 본격화되었고, 공공기관의 개인정보보호에 관한 법률 개정 과정에 영향평가의 법제화와 관련된 논의가 시작됐다.

2005년에는 민간부문 도입을 활성화하기 위해 기업의 자율적인 개인정보 영향평가 수행을 위한 지침과 평가방법론을 개발했고, 고객명, 주민등록번호, 주소, 과금정보 등과 같은 민감한 개인정보를 취급·관리하는 대표적 민간기업인 이동통신3사(당시 SK텔레콤, KTF, LGT)에 대해 시범적으로 개인정보 영향평가를 실시했다. 또한, 2009년에는 공공기관에 적합한 영향평가 항목과 위험평가 방법 등이 개발되고 시범 적용된 바 있다.

일부 국회의원들의 개인정보보호법(안)에 공공기관의 영향평가 의무화 조항이 포함되면서 입법화 논의가 재개되었지만, 개인정보보호법 통과 좌절로 5년간 현실화되지 못하다가 지난 6월 개인정보보호법이 드디어 통과되면서 영향평가 제도가 전격적으로 실시될 예정이다.

올 9월 시행될 개인정보보호법에서는 공공기관에 개인정보 영향평가 수행을 의무화한 반면, 개인정보를 취급하는 민간기업은 자율적으로 수행하도록 했다. 민간부문의 의무화까지는 성사되지 않았으나 행정안전부가 개인정보 영향평가의 자율적인 수행을 지원하는 프로그램을 개발하는 등 기업에도 적용할 수 있도록 힘쓰고 있는 상황이다.

해외 

개인정보 영향평가 제도는 이미 전 세계적으로 1990년대 중반부터 논의가 있어왔고, 2000년대 초반부터 적지 않은 국가에서 제도화하여 시행되고 있다. 미국은 연방정부의 기능에 한정된 영향평가 제도를 도입한 상황인데, 현재 가장 활발히 운영되고 있다. 미국은 국세청(IRS)의 대규모 프로젝트에서 프라이버시 영향평가를 요구하기 시작한 것을 시발점으로 1996년 프라이버시 영향평가 지침이 제정됐고, 전자정부법 제정을 통해 프라이버시 영향평가가 추진되었다. 미국은 같은 해 전자정부법 제208조에 전자정부 구현 시 프라이버시 영향평가를 의무적으로 시행할 것을 명문화하여 2003년 4월 발효됐다. 영향평가 개념과 방법론을 가장 먼저 개발한 캐나다는 2002년 5월 관련 정책을 발표하고 같은 해 8월 구체적인 영향평가 지침을 고시하여 의료부문의 의무화와 나머지 부문에 대한 자율적인 시행을 권고했다. 평가대상에 있어서는 미국이 연방정부기관을 대상 수행기관으로 정하고 있는 반면 캐나다는 연방정부기관을 포함한 일부 지방정부를 대상범위로 한다. 미국과 캐나다는 각각 관리예산처(OMB)와 프라이버시감독국이 영향평가의 감독을 담당하고 있는데, 영향평가 결과를 제출받아 심의하는 역할을 수행한다. 검토결과는 웹사이트나 관보 혹은 다른 수단을 통해 공개하고 있다. 엄격한 프라이버시 보호법을 갖고 있는 뉴질랜드의 경우 1997년 이후 운전면허, 의료정보, 교육 등 공공·민간의 다양한 분야에서 자발적인 프라이버시 영향평가가 시행 중이다.

법안에 담긴 개인정보 영향평가제도의 주요 내용

개인정보보호법안에 따르면 법적 의무대상인 공공부문에 있어서 영향평가의 대상은 5만 명 이상의 개인정보파일을 신규로 구축하거나 50만 명 이상의 개인정보파일을 내외부와 연계 혹은 연동하는 경우 또는 연평균 100만 명 이상의 개인정보가 포함되는 개인정보파일의 경우로 규정하고 있다. 반면, 민간기업의 경우에는 자율 시행을 원칙으로 하고 있으나, 공공부문의 평가대상 선정의 취지에 따라 대량의 개인정보를 포함하거나 그 민감도가 큰 개인정보를 처리하는 정보 시스템의 연계 혹은 연동이 이루어져 개인정보파일 간 결합으로 개인정보파일이 대량화되거나 개인의 식별가능성이 커지는 경우에 해당한다면 기업이라도 영향평가를 실시하는 것이 바람직하다.

영향평가는 개인정보 처리기준의 적합성, 개인정보의 안전성 확보조치의 적절성 등을 기준으로 실시하게 된다. 전자는 대상기관이 영향평가 대상사업을 위하여 수집 및 처리하는 개인정보가 일련의 개인정보 처리단계에서 법률 제3조에 적합하게 구성되는지를 평가하는 것을 목적으로 하며, 후자는 개인정보 흐름에 따른 개인정보 침해 위험요소를 관리하기 위하여 적절한 관리체계를 수립하고 법률 제29조에 따른 기술적·관리적·물리적 안전조치를 마련하는지를 평가하기 위함이다. 영향평가는 대상기관의 개인정보보호관리체계, 대상사업의 개인정보보호관리체계, 개인정보 처리단계별 보호, 특정 IT 기술 활용 시 개인정보보호에 대한 평가영역들로 구성되며, 평가절차는 사전분석, 개인정보 관리현황 분석, 영향평가 결과정리 단계로 진행해야 한다.

행정안전부는 지난 6월 2일 ‘개인정보보호법 시행령·시행규칙 제정안’ 공청회에서 개인정보영향평가 내용을 포함한 시행령과 시행규칙을 발표한데 이어, 7월 11일 ‘개인정보 영향평가에 관한 고시 제정’ 공청회를 통해 개인정보 영향평가 수행기관의 자격기준과 지정절차, 평가기준 등을 담은 고시 제정안을 공개했다. 발표된 시행령 및 시행규칙과 고시안을 통해 개인정보 영향평가 제도의 범위와 기준에 대한 윤곽을 살펴보도록 하겠다. 국내 영향평가 제도화를 규정하고 있는 개인정보보호법률 제33조에는 영향평가의 평가대상과 평가주체, 평가절차와 기준을 정하도록 명시되어 있다. 영향평가의 주체는 공공과 민간의 정보화사업 구축기관이 담당하며, 행정안전부가 지정하는 자격기준에 적합한 영향평가기관을 선정, 위탁하여 수행할 수 있다. 대상기관은 사전에 계획서를 행정안전부와 개인정보보호위원회에 제출하여 의견을 수렴하고 영향평가를 수행한 후 결과를 행정안전부에 제출하고 개인정보보호위원회의 심의를 받게 된다. 이 결과를 바탕으로 행정안전부가 의견을 제시할 수 있으며, 해당 기관은 이 의견에 대한 필요한 조치를 취해야 한다. 마지막으로 평가 결과는 해당 개인정보파일 등록 시 함께 첨부하여 공개하도록 체계화하고 있다.

특히, 개인정보 영향평가를 수행할 평가기관은 일정 수준 이상의 자격요건을 갖출 것이 요구된다. 고시안에 따르면 연 매출 1억원 이상 개인정보 관련 컨설팅을 최근 5년간 2회 이상 수행한 실적을 보유한 기관이 평가기관으로 신청할 수 있다. 평가기관은 정보보호전문가(SIS), 개인정보관리사(CPPG), 정보시스템감리원(ISA), 공인정보시스템감사사(CISA), 공인정보시스템보호전문가(CISSP) 등 관련 자격증 보유자와 관련 분야 경력자 10인 이상의 상근인력을 보유해야 하며, 신원확인, 출입통제, 업무수행 및 지원 등에 필요한 최소한의 설비를 갖춰야 한다. 평가기관 지정은 공고를 통해 신청 접수한 후, 자격심사위원회를 통해 서류심사와 현장실사, 심사결과 검증, 신원검증 등을 거쳐 지정업체를 확정하는 절차를 밟게 된다.

기업의 자발적인 제도 시행 필요성과 향후 대응방안    

그렇다면 자율적으로 영향평가를 수행해야 할 민간기업들은 개인정보 영향평가제도를 어떻게 활용할 수 있고, 이를 위해 어떠한 대응을 해야 할까? 개인정보보호법이 발효되면 국내 모든 기업들은 개인정보를 둘러싼 분쟁이나 사고발생 시 그동안 사업목적 달성을 위한 최소범위로 고객의 개인정보를 수집했으며, 적절한 관리방법을 통해 안전하게 조치해 왔다는 사실을 스스로 입증해야 한다. 그리고 선량한 관리자의 감독의무를 준수했음을 인정받을 때 비로소 책임을 경감 받게 된다. 그러나 아직까지 많은 기업들이 고민하듯이 입증방법이나 기준이 명확하지 않다. 이러한 입증책임 때문에 개인정보 영향평가는 기업이 고려해야 할 중요한 대상 중의 하나이다.

기업은 해당 조직이 개인정보를 안전하게 관리할 수 있도록 하는 개인정보관리체계를 수립하고 조직의 정책을 반영하도록 시스템화해야 한다. 그리고 중대한 개인정보처리 변경이나 새로운 시스템 구축 시에는 그 체계를 바탕으로 하면서 새로운 영향을 초래하는지를 검토함으로써 조직 전반의 개인정보 관리수준을 유지해 나가야 한다. 해당 조직에 이러한 체계와 관리절차가 갖추어져 있음을 증명해주는 것이 개인정보 영향평가이므로, 기업들은 의무사항은 아니지만 자발적으로 개인정보 영향평가 수행을 통한 개선활동의 적정성을 보증 받음으로써 잠재적인 개인정보관련 사고와 소송에 능동적으로 대비할 수 있을 것이다. 따라서 기업들은 기업위험관리 차원에서 개인정보관리체계와 개인정보 영향평가를 자발적으로 수행하기 위해 노력해야 하며, 개인정보 영향평가 결과와 의견들이 적시에 적절히 조치되기 위한 절차와 인력, 그리고 개인정보보호팀의 독립성과 개인정보보호책임자(CPO)의 권한을 포함한 기업의 개인정보보호 거버넌스를 확립하기 위해 노력해야 한다.

개인정보 영향평가제도의 올바른 정착을 위한 제언

개인정보보호법의 통과로 개인정보 영향평가제도는 현실화되었지만, 이제 우리에게는 영향평가제도의 실효성을 확보하기 위한 과제가 던져졌다. 이미 오랜 경험을 가지고 있는 미국의 경우도 최근 연방정부기관 각각의 영향평가 수행방법이나 수준이 너무 상이하고 형식적인 보고에 그친다는 지적에 따라 실질적인 영향평가가 되기 위한 노력을 기울이고 있는 상황이다. 따라서 이제는 어떻게 영향평가를 잘 수행할 것인가 혹은 어떻게 잘 수행할 수 있도록 제도를 효과적으로 만들 것인가에 관심과 노력을 기울여야 한다.

개인정보 영향평가제도를 보다 실효성 있는 제도로 국내에 정착시키기 위해서는 몇 가지 보완해야 할 과제가 있다. 특히, 전문인력 확보 차원의 자격제도 도입이나 각 기관의 정보화사업 구축과정에 영향평가 결과가 반영될 수 있도록 하는 제도 개선 노력, 그리고 대상기관이나 평가기관 인력의 영향평가에 대한 인식제고 노력 등이 시급하게 요구된다.

영향평가 수행할 전문인력 확보 

첫째, 영향평가를 수행할 수 있는 전문인력이 확보되어야 한다. 고시(안)에 따르면 영향평가 수행을 위해 지정 가능한 전문업체나 전문인력은 주로 정보보호에 관한 경험과 경력을 기본적으로 보유하면서 일부 개인정보관련 컨설팅 경험이나 감리 실적을 가진 업체 혹은 인력일 것으로 예상된다. 영향평가의 원활한 수행을 위해서는 정보보호에 대한 근본적 이해는 물론 개인정보처리 흐름과 그에 따른 침해위험, 그리고 보호요건에 관한 깊은 이해가 필수적으로 요구된다. 하지만 당장 800여개 공공기관에 대한 평가를 수행해야 하는 현실적인 요구를 고려할 때 현존하는 정보보호전문가 및 감리인력 모두를 가용인력으로 보더라도 전문인력은 매우 부족한 상황이다. 특히, 개인정보 유·노출이나 훼손 등 개인정보 침해 시 그 사회적 파급효과가 큰 공공기관의 영향평가의 경우 전문인력 선정이 매우 중요하다. 따라서 영향평가를 수행할 전문인력 양성 교육을 확대하고 공공기관 평가를 담당할 만큼 충분한 윤리적·전문적 자격을 가지고 있음을 인증하는 전문인력 자격제도가 필요하다.

정보화사업 예산 반영 등 실효성 확보 노력

둘째, 정보화사업 예산에 반영하는 등 실효성을 확보하기 위한 제도가 확보되어야 한다. 미국은 관리예산처의 심의과정에 영향평가의 수행결과가 반영되어 해당 정보화사업의 예산집행 여부를 결정하는 체제를 갖추고 있다. 즉, 영향평가 수행기관은 관리예산처에 프라이버시 이행보고를 하고 예산승인 과정을 밟는 ‘프라이버시 이행보고 및 예산승인 단계’를 통해 심사 및 승인결과를 연간보고서의 한 항목으로 포함하여 제출하고 지속적인 의견과 협의를 거쳐 최종안을 의회에 보고한다. 그리고 보고내용을 토대로 예산편성을 심의하게 된다. 때문에 그 어떤 국가보다도 제도의 실효성을 거둔다는 평가를 받아왔다. 이처럼 미국의 경우 영향평가 결과가 전자정부 정보화사업 예산편성 과정에 영향을 주기 때문에 실효성을 보장받을 수 있었다.

국내의 영향평가제도도 실효성 있는 제도로 정착되기 위해서는 영향평가가 전자정부 정보화사업 구축과정에서 필수적으로 거쳐야만 하는 선행단계로 추진될 필요가 있다. 마치 IT 감리를 통해 정보화사업 공정을 확인하는 것처럼 구축단계에서 개인정보 침해에 대한 잠재가능성이나 영향을 파악하고 보호조치가 이루어지도록 제도화한다면 실질적인 효과를 거둘 수 있을 것이다.

대상기관의 인식제고 필요 

마지막으로, 영향평가를 수행하는 대상기관의 영향평가에 대한 인식제고가 요구된다. 영향평가는 외부 평가기관의 전문인력이 가장 잘 수행할 것이라고 오해하기 쉽지만, 이러한 방식은 외부 평가기관에 대한 의존도가 높아지고 비용이나 시간 등 여러 요인들로 인하여 오히려 정확한 평가를 어렵게 만들 수도 있다. 해외 전문가들이 말하는 것처럼 개인정보 영향평가는 외부 평가기관이 아닌 정보화사업에 대한 이해가 가장 깊은 대상기관 스스로 수행할 때 가장 효과적일 수 있다. 해당 개인정보파일의 목적과 활용에 대한 이해, 그리고 활용에 따른 구조적·기술적 위험 등을 가장 잘 파악하고 있기 때문이다. 따라서 각 대상기관은 CPO 도입 및 권한 강화와 개인정보보호 전문부서 독립 및 전문인력 확충 등 개인정보보호 거버넌스 구축을 통해 영향평가를 자체 수행하기 위한 기반 마련에 최선을 다해야 한다.

개인정보 영향평가는 특정기관의 개별사업이나 특정 시스템 구축 시 개인정보 침해가능성을 낮추기 위한 단순한 평가제도가 아니라 대상기관이 소중한 국민 혹은 고객들의 개인정보를 다루는 문화와 체질을 바꾸기 위한 의미 있는 작업이자, 개인정보침해위험 최소화를 통해 집단소송을 포함한 기업의 다양한 위험을 감소시킬 수 있는 핵심적인 위험관리 장치라고 할 수 있다. 따라서 기업들의 자발적인 개인정보 영향평가 도입이 확산되고 개인정보 영향평가제도가 조기에 올바르게 정착될 수 있도록 각 주체들이 위의 과제들을 포함한 다각적 개선활동을 벌인다면 국내에도 보다 빨리 개인정보보호 문화가 정착되고 그 수준도 향상될 수 있을 것이다.

<글 : 심 미 나 | 고려대학교 교수(mnshim@korea.ac.kr)>

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>