실질적 예산 반영 및 평가품질 향상 위한 실효성 확보 대책 미흡  

규제보다 적극적인 지원 통한 제도 활성화 방안 필요  

관련 전문가들은 이번 개인정보 영향평가제도의 성공적 정착을 위한 최우선 고려사항으로 △평가대상과 범위를 구체화하는 실시대상 설정기준 확립 △평가의 실질성 담보 방안 수립 △평가결과의 수용 및 감독방안 마련 등을 제시한 바 있다. 그러나 이러한 최우선 고려사항이 시행초기부터 삐걱거리고 있는 셈이다.  

평가대상 범위만 정하고 기관 스스로 진행하도록 해 혼선 가중      

우선 평가대상 범위와 관련해서 개인정보보호법 시행령 제35조에서 대상기준을 규정하고는 있다(본지 [개인정보영향평가-2] 기사 참조). 하지만 문제는 평가대상 여부를 공공기관 스스로 파악하고 영향평가를 진행해 그 결과를 행안부에 제출하도록 하고 있는 등 적극적 지원 없이 사실상 규제 성격만 띠고 있다는 점이다.   

이와 관련 행안부 관계자는 “올해 대상기관이 어느 정도 되고, 향후 5년 내에 몇 개 대상기관이 평가를 받아야 한다는 결과치는 명확하지 않지만 향후 수요조사를 해 나가면서 체크해 나갈 예정”이라면서 “대략 200~300여 기관 정도가 올해 9월 30일까지 영향평가를 진행해야 할 것으로 예상하고 있다”고 말했다. 하지만 본지가 개인정보 영향평가기관들을 대상으로 조사한 바에 따르면, 이들 평가기관들은 대상기관을 대부분 100개 미만으로 예상하고 있었다.

이렇듯 대상기관이 구체화되지 않은 것보다 더 큰 문제는 평가가 실효성 있게 진행될 수 있도록 하는 실질성 담보 방안이 수립되지 않았다는 점이다.

평가품질 높일 수 있는 실질적 예산 확보 미흡

실제 개인정보보호법 시행 이후 공공기관에서 처음 수행한 개인정보 영향평가 사업은 2달 반의 기간 동안 총 3천만원의 예산으로 진행됐다. 이로 인해 다른 대상기관들 역시 영향평가사업을 추진하는데 있어 시스템 규모나 형태에 대한 고려 없이 3천만원 수준이거나 이에 못 미치는 예산으로 진행하고 있는 상황이다.

이와 함께 가장 큰 문제로 지적되고 있는 것은 개인정보 영향평가 사업이 독립적인 프로젝트로 발주되는 것이 아니라 SI사업에 포함되거나 타 사업과 병행돼 발주가 이루어진다는 점이다.  

최근 한 공공기관은 총사업비 3억 6천만원 규모로 ‘개인정보영향평가 및 공인인증 취득 사업’을 발주했다. 이 공공기관의 웹사이트 수는 대국민 웹사이트 및 내부 업무 사이트 등 총 35개에 이르는데, 이 전체 정보 시스템을 대상으로 해서 영향평가 사업을 일괄추진하고 있는 것이다. 

이에 대해 업계에서는 실제 시스템 형태와 규모면에서 3억 6천만원의 사업비는 턱없이 부족하다고 말한다. 사이트별로 차이는 있겠지만 한 사이트당 적정사업비가 3천만원 정도로 예상된다는 것. 

특히, 이 공공기관은 개인정보 영향평가만을 수행하기에도 턱없이 부족한 예산으로 개인정보보호관리체계(PIMS)와 전자정부 정보보호관리체계(G-ISMS) 인증 취득 지원을 포함해 이번 사업을 발주했다.

이번 사업에 참여의사가 있었던 한 평가기관의 관계자는 “애초에 이번 사업을 영향평가 사업으로 알고 나섰지만 이후 인증사업이 추가되면서 여러 요구사항이 많아진 반면, 사업비는 턱없이 부족하다는 판단 하에 사업입찰을 포기하게 됐다”고 토로했다.

덧붙여 그는 “가장 먼저 고려해야 할 것은 서비스 품질인데, 대상기관들은 시스템의 형태와 규모와는 상관없이 사업수에 따라 예산을 책정하고 있어 문제”라며, “특히, 독립적인 프로젝트가 아니라 여타 사업과 병행해 발주되다 보니 평가의 객관성이 보장되지 못하는 상황이 벌어질 수 있다”고 지적했다.

이제 막 첫 걸음마를 띠기 시작한 개인정보 영향평가제도가 올바르게 정착되기 위해서는 주무부처, 대상기관, 평가기관 등 각 주체들의 다각적인 노력이 필요하다. 특히, 제도 시행초기인 현 단계에서는 정부의 역할이 무엇보다 중요하다. 이 제도가 연착륙하기 위해 행안부의 실효성 있는 정책적 뒷받침과 과감한 지원대책이 요구되는 이유다.  

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>