각 평가기관별 방법론, 전문인력 확보 등 평가능력 꼼꼼히 살펴야
[연재순서]
1. 공공기관이 선호하는 평가기관은?
2. 대상기관이 수행전 고려해야할 사항
3. 올해 영향평가제도 추진현황 살펴보니...
4. 영향평가기관 선정시, ‘○○○’에 주목하라~
5. 개인정보영향평가 분야 올해 시장규모는?
6. 제도 정착을 위한 최우선 선결과제
7. 결산좌담회
[보안뉴스 김정완] 개인정보보호법 시행 이후 공공기관에서는 한국환경공단이 최초로 개인정보 영향평가를 완료한 데 이어 다른 기관들도 사업발주도 속속 진행되고 있다. 이렇듯 올해 9월 30일까지 평가를 완료해야 하는 대상기관들이 영향평가 사업발주를 내면서 분주해지기 시작한 것.
실제 경찰청, 광명시, 서울시, 인천국제공항공사, 국방부, 한국장학재단, 지식경제부 등 의무대상 공공기관들이 현재 개인정보 영향평가를 진행 중이거나 사업발주를 낸 것으로 파악됐다.
하지만 문제는 영향평가 의무대상 여부를 스스로 파악해 평가를 진행해야 하는 만큼 많은 대상기관들이 영향평가를 받아야 하는지조차 잘 모르거나 알더라도 어떤 준비가 필요한지 제대로 알지 못하고 있는 상황이다.
특히, 대상기관 입장에서는 개인정보 영향평가기관으로 선정된 18개 기업에 대한 정보가 턱없이 부족하다보니 평가기관 선정 시 많은 어려움이 따른다는 지적이다.
이에 이번 연재를 통해 개인정보 영향평가기관들의 강점 및 차별점 등을 소개하도록 한다. 아울러 다음 표에 기재된 장점 및 차별점은 각 평가기관들이 제시한 것임을 밝힌다(평가기관명 가나다 순).
|
평 가 기 관 |
장점 및 차별점 |
|
롯데정보통신 |
-법제화 이전 사전 시범사업 성격의 개인정보 영향평가사업 수행
-독창적인 개인정보보호 컨설팅 방법론을 포함시켜 컨설팅 수행에 따른 경험과
노하우 축적.
-법무법인과의 사업연계 통한 보다 명확한 법적 해석(자문) 제공
-취약점 점검/모의해킹, 개인정보 노출점검 서비스 등과 연계한 평가 수행
-평가 수행 이후 이행점검 프로세스 방법론 가동 |
|
소만사 |
-국내 유일 데이터베이스, 서버와 스마트폰 포함한 엔드포인트 및 네트워크·출력물·
보조저장매체 등 3대 개인정보 유출통로에 이르기까지 개인정보 라이프사이클에
따른 보호 제공.
-전사적으로 개인정보를 검출하고 Flow Control을 수행할 수 있는 최적의 조건 구비
-DB내 개인정보, DB에서 PC로 이동하는 개인정보, PC내 개인정보, 외부 전송되는 개
인정보 현황을 모두 자동화해 분석할 수 있으므로 인력이 투입돼 분석하는 것보다
정확도 및 효율성 높음. |
|
시큐베이스 |
-개인정보 영향평가 특화 기업.
-국내 최초 개인정보 영향평가 방법론 개발 및 제도 정착 기여
-2005~2006년 이동통신 3사(SKT, KT, LGT) 대상 개인정보 영향평가 시범 수행 경험
-2010년 행안부, KISA 사업 통해 13개 중앙행정기관 대상 시스템에 대한 개인정보
영향평가 수행.
-2011년 서울시 7개 대상 시스템에 대한 사업 수행 경험 보유
-공공뿐만 아니라 민간 차원에서 손쉽게 접할 수 있도록 국내 최초의 개인정보 영향
평가 온라인 서비스 운영. |
|
시큐아이닷컴 |
-대기업 및 포털을 포함한 다수의 개인정보 영향평가 프로젝트 수행경험
-정확한 규모산정 및 인력 투입으로 비용 최소화
-윤리경영을 바탕으로 한 투명성 보장 |
|
씨에이에스 |
-IT 감리, 보안감사, 보안컨설팅 등 다양한 분야에 대한 경험과 실적
-개인정보보호 관련 컨설팅 경험과 자체 개발한 방법론(C.PAIM)을 접목한 최적화된
영향평가 수행
-잡코리아(2009), 나눔로또(2011), 한국환경공단(2012) 등 공공·민간기관 개인정보
영향평가 수행 |
|
안랩 |
-뛰어난 개인정보 영향평가 수행인력과 우수한 방법론
-수행기관으로써의 높은 기업 신뢰도
-다수의 정보보호 및 개인정보보호 관련 프로젝트 수행 경험
-정보보호 및 개인정보보호 등 다양한 분야에 대한 경험을 바탕으로 한 방법론
-다양한 보안 제품 및 서비스 업체로 단순 평가를 개선하기 위한 솔루션이나 서비스
에 대한 제대로된 제안, 필요시 구축 능력까지 겸비 |
|
LG CNS |
-공공·금융·의료·통신·제조·유통·물류 등 다양한 분야에서 SI 및 보안/개인정보보호 컨
설팅 수행.
-보안 및 개인정보보호 컨설팅 분야 고급 및 특급 인력 다수 보유
-SI 사업 및 SI 개발 프로세스에 대한 경험과 노하우
-개인정보 영향평가 수행은 물론 대상기업으로서의 풍부한 경험
-차별화된 개인정보 영향평가 방법론
-효과적이고 상세한 업무 분석 및 개인정보 흐름 분석
-실행 가능한 수준의 실질적인 개선방안 제시
-대기업으로서 체계화된 컨설팅 프로세스 및 내부 기준에 따른 높은 품질 수준의 산
출물 제공 |
|
이글루시큐리티 |
-통합보안관리 솔루션 및 서비스에 대한 경험과 노하우 보유
-자사의 경험과 노하우를 통한 보다 거시적인 관점에서의 보안정책과 보안 시스템에
대한 포괄적인 전략 제공, 이를 어떻게 성공적으로 수행할 수 있는지에 대한 가이드
라인 제공
-보안 1세대 주자로서 그간 주요 공공기관 및 기업의 보안을 관리하며 축적한 고객
의 굳건한 신뢰는 타사가 단시간에 따라 잡을 수 없는 자사만의 최대 강점 |
|
인포섹 |
-우수한 개인정보 영향평가 수행인력 규모 및 높은 퀄리티
-우수하고 다양한 대형 공공기관, 금융기관, 기업 개인정보보호 컨설팅, 개인정보 영
향평가 경험과 노하우
-자사 고유 솔루션인 개인정보 검색 솔루션 활용해 우수한 개인정보 보유현황 및 실
태조사를 반영하는 개인정보영향평가 방법론 |
|
케이씨에이 |
-정보보호 관련 전문자격 보유 및 공공/민간 정보화사업에 대한 전문성과 자격을 보
유한 전문인력 확보
-공공, 금융, 포털 등의 정보시스템 특성에 대한 이해를 바탕으로 정보보호컨설팅, 정
보시스템감리 및 정보보호안전진단 실적 확보 |
|
한국IT감리컨설팅 |
-감리와 컨설팅을 겸하고 있는 만큼 많은 경험 보유
-감리의 시정조치와 유사하게 영향평가 후 사후점검 서비스 제공 가능
-개선계획 수립기법과 이행점검 등이 포함된 토탈 방법론(Kita@PIA) |
|
한국정보기술단 |
-1998년 창사 이래 총 870여건의 감리 및 컨설팅 수행
-2012년 국토해양부, 한국교육과정평가원, 청원군청, 인천국제공항공사 등 개인정보
영향평가 수행 완료 및 진행 중 |
현재 행정안전부가 지정한 개인정보 영향평가기관은 18개 업체로, 각 사업자의 홈페이지를 통해 보다 자세한 사항을 확인할 수 있다(기업명 가나다순).
- 금융결제원(대표 송창헌, http://www.kftc.or.kr/)
- 롯데정보통신(대표 오경수, http://www.ldcc.co.kr/)
- 소만사(대표 김대환, http://www.somansa.com/)
- 시큐베이스(대표 이경호, http://www.secubase.com/)
- 시큐아이닷컴(대표 배호경, http://www.secui.com/)
- 싸이버원(대표 육동현, http://www.cyberone.kr/)
- 씨에이에스(대표 전영하, http://www.casit.co.kr/)
- 안랩(대표 김홍선, http://www.ahnlab.com/)
- 에스티지시큐리티(대표 도익상, http://www.stgsecurity.com/)
- 에이쓰리시큐리티(대표 한재호, http://www.a3security.com/)
- 엘지 씨엔에스(대표 김대훈, http://www.lgcns.co.kr/)
- 이글루시큐리티(대표 이득춘, http://www.igloosec.co.kr/)
- 인포섹(대표 신수정, http://www.skinfosec.co.kr/)
- 케이씨에이(대표 문대원, http://www.kca21.com/)
- 키삭(대표 최금영, http://www.kisac.co.kr/)
- 한국IBM(대표 이휘성, www.ibm.com/kr)
- 한국IT감리컨설팅(대표 최지윤, http://www.itall.net/)
- 한국정보기술단(대표 이우용, http://www.audit.co.kr/)
[김정완 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
