정기적인 정보감사 통해 개인정보보호 체계 다져나가야

[보안뉴스=전홍규 더존정보보호서비스 포렌식사업부장] 최근 정보감사라는 용어가 이슈가 되고 있다. 산업기밀보호를 비롯하여 개인정보보호법이 발효된 이후 조직 내에서 정보자산의 중요성이 부각되면서 대기업을 중심으로 정보감사 제도를 도입하기 시작했다. 최근에는 외부전문가에게 의뢰하여 정보감사를 받는 기업도 증가하고 있다. 정보감사에는 기존의 다양한 보안기술과 더불어 수사기관에서 주로 사용하던 디지털 포렌식 기술이 광범위하게 활용되고 있다.

2011년 9월 발효되어 약 6개월간의 계도기간을 거쳐 2012년 3월 30일부터 본격적인 시행에 들어간 개인정보보호법은 개인정보 침해로 인한 국민의 피해 구제를 강화하여 사생활의 비밀을 보호하고 개인정보에 대한 국민의 권리와 이익을 일반법으로 보장하고자 제정됐다.

행정안전부 등 정부 자료에 의하면, 2011년 한해 동안 유출된 개인정보는 약 6,000만 건으로 알려졌다. 대한민국 국민 전체에 해당하는 개인정보가 유출된 셈이다. 이렇게 유출되는 개인정보는 스팸 문자 및 대출 안내와 같은 형태로 생활 속의 스트레스를 유발시키기도 하지만 금융사기와 같은 다양한 범죄에 활용되기도 한다.

하지만 이러한 법 제정에도 불구하고 아직도 우리의 개인정보는 꾸준히 유출되고 동의하지 않은 제3자의 손에 넘겨지고 있다. 심지어 국경을 넘어서 중국에서 한국인의 주민번호가 거래되고 있는 현실이니 개인정보보호가 얼마나 중요하고 심각한 사안인지 다시 한번 환기시킬 필요가 있다.

오랜 계도기간과 홍보에도 불구하고 아직도 사람들의 인식에는 개인정보보호법은 주민번호나 계좌번호 정도를 잘 보호하라는 법으로 여겨지고 있는 모양이다. 처벌규정을 강화하고 벌금 액수를 높였지만 실상 개인정보를 취급하고 있는 많은 공공기관과 기업에서는 아직도 이러한 개인정보보호에 대한 인식이 부족한 경우가 많다. 또한 마케팅 목적으로 획득한 개인정보를 거리낌 없이 사용하는 행태도 여전하다.

사회의 이러한 낮은 인식 아래에서도 보안 솔루션 업계에서는 개인정보보호와 관련한 많은 솔루션들을 앞 다투어 출시하고 있다. 다양한 솔루션이 제안되고 소개되면서 기업이나 공공기관의 개인정보보호 담당자들은 해당 솔루션의 도입을 검토하고 있거나 이미 도입을 완료한 곳도 상당수에 이르고 있다.

다만, 개인정보보호 솔루션의 효용성을 논하기에 앞서 정보보안의 차원에서 원론적인 고민을 해 볼 필요가 있다. 기본적으로 개인정보보호는 개인정보의 수집과 이용, 제공 등의 행위에 대한 정보보호 방안을 갖추라는 것이다. 정보로써의 개인정보가 포함된 문서나 자료의 라이프사이클을 관리하고 이것들이 이용되고 파기되는 전체의 과정을 관리해야 한다.

단순히 우리 조직 내에 몇 개의 주민번호가 있는지 어떤 부서에서 몇 개의 계좌번호를 보유하고 있는지 파악하는 것이 중요한 것이 아니라 전체적인 업무 시스템과 정보유통의 흐름을 진단하여 전체적인 정보 라이프사이클을 재설계해야 함을 의미한다. 물론 비용과 인력 업무효율성을 고려했을 때 현실에서의 적용은 결코 쉽지 않다.

개인정보보호 솔루션의 도입·활용시 문제점

대부분의 개인정보보호 솔루션은 특정한 사용자의 업무용 PC에 개인정보를 포함한 몇 개의 정보를 가지고 있는가를 추출해주는 형태의 분석도구와 에이전트 방식으로 설치되어 중앙의 관리서버에 개인이 취급하는 정보의 통계를 통보해주는 방식의 두 가지가 주를 이룬다.

개인조사용 분석도구는 사내 개인정보보호 규정에 대한 준용 여부를 감독관과 개인이 1:1로 검토하기 때문에 그 효용성은 비교적 높을 수 있으나 조직의 규모가 크거나 다루는 정보의 양이 많은 경우 전체 조직의 개인정보보호 수준을 개선시키기에는 분명 한계가 있다. 에이전트 방식이라고 해도 크게 다르지 않다.

각 부서별 개인별 민감정보의 취급사유와 목적 등이 다르고 심지어는 한 개인이 생성 관리하는 파일 하나하나 개별적인 해석이 가능하다. 중앙에서의 정책을 통해 개인의 업무 성향과 업무 특성을 통제할 수 없기에 단순 솔루션의 도입만으로는 법에서 요구하는 수준의 관리는 원칙적으로 불가능한 것이다.

일례로 신용정보를 취급하는 A사의 신용정보 조회내역을 취급하는 업무를 담당하는 B라는 직원의 PC에는 수백만 건의 민감 정보들이 저장되어 있다. 이러한 경우 B직원이 취급하는 민감 정보에 대한 초기 정보수집과 이용, 제공, 파기까지의 전 과정에서의 업무특성에 맞는 개인정보 취급절차와 대안을 제시해 주어야 한다. 단순히 정보통계를 수집하고 데이터베이스를 암호화하며, DLP를 통해서 복사와 유출을 차단하고 문서 DRM을 통해 접근을 통제한다고 해서 완벽한 개인정보 보안체계가 구축되는 것이 아니다.

디지털과 아날로그 업무자료가 생성 활용되는 환경에서 전체적인 개인정보관리를 고려한 업무 재설계가 이루어져야 한다. 그러므로 개인정보보호법을 준수하기 위한 1차적인 대안으로 그 조직 내의 개개인의 책임과 역할이 매우 중요한 이슈로 부각되고 있다. 개인이 1차적으로 개인정보를 이용하고 보호, 파기할 수 있도록 교육하고 적절한 솔루션을 보급해주는 것으로부터 개인정보보호가 시작된다고 할 수 있다.

과거와 달리 법에서 요구하는 보호조치나 권고조치를 아무리 잘 준수했다고 해도 정보유출로 인한 사고가 발생했을 때 그 책임을 면할 수는 없다. 더불어 고유식별정보로 분류되는 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호와 민감 정보로 분류되는 사상, 신념, 노동조합, 정당가입, 건강정보, 유전정보, 범죄경력 정보 등 그 보호의 대상도 광범위하게 늘어났다. 병원을 예로 들면 병원에서 취급하는 모든 정보가 개인정보보호법의 영향을 받게 된다.

보험사, 마케팅대행사 등도 사내의 모든 정보가 그 법의 관리대상이 되었다. 병원이나 보험사의 입장에서는 전사적으로 보안 솔루션을 도입해야 할까? 문서암호화 솔루션, 팩스암호화  솔루션, 정보유출방지 솔루션, 데이터베이스 암호화 솔루션을 도입하면 효과적인 정보보호가 이루어질 수 있을까? 고민하고 있는 것이다.

기업 정보자산의 중요성에 따른 정보감사

보안과 업무효율성은 반비례 관계라고들 한다. 또한 보안을 강화하면 업무효율성은 떨어진다고 믿는 것이 일반적이다. 실제 기업 내부의 과도한 보안정책은 업무 효율성과 빠른 의사결정을 방해하는 요인으로 지적하는 사례가 많으며, 고객이나 협력사에게 복잡하고 어려운 보안절차를 마구잡이로 강요할 수도 없다.

그럼 어떻게 할 것인가? 타이어가 터질까 두려워 쇠로 된 바퀴를 달수 없는 것처럼 조직의 운영 효율과 역동성을 희생한 채 통제 일색의 정책을 도입하기란 쉽지 않다. 개인정보보호법의 정착여부가 문제가 아니라 개인정보보호는 법과 무관하게 기업이나 기관에서 반드시 해야 하는 의무로 인식해야 한다. 은행에 맡긴 고객의 금융자산만이 보호대상이 아니다. 고도화된 현대 사회에서는 개인의 정보 그 자체가 고객의 자산이고 우리가 보호해야 할 또 하나의 아이템인 것이다.

최근 정보감사라는 용어가 이슈가 되고 있다. 회계감사란 용어는 낯설지 않다. 전통적으로 기업의 가치를 측정하고 판단하기 위한 가장 객관적으로 수치화 가능한 지표인 회계자료를 이용하는 것으로 건강한 기업을 유지하기 위해 공익법인을 포함한 주식회사의 경우 정기적으로 외부 회계감사를 받아야 할 의무를 세법으로 의무화하고 있다. 정보감사 역시 회계감사와 마찬가지로 기업의 핵심 자산이 전자적인 형태로 저장된 경우에 이에 대한 관리가 적합하게 이루어지고 보호되는지 지표화하는 것이다.

산업기밀보호를 비롯하여 개인정보보호법이 발효된 이후 조직 내에서 정보자산의 중요성이 부각되면서 대기업을 중심으로 정보감사 제도를 도입하기 시작했다. 최근에는 외부전문가에게 의뢰하여 정보감사를 받는 기업도 증가하고 있다. 이러한 정보감사에는 기존의 다양한 보안기술과 더불어 수사기관에서 주로 사용하던 디지털포렌식 기술이 광범위하게 활용되고 있다. 개인정보감사 및 일반적인 정보감사를 목적으로 하는 다양한 도구도 출시되고 있다.

개인정보보호법을 준수하는 것은 기업의 효율성 및 생산성을 중시하는 무한경쟁사회에서는 생각만큼 쉬운 일이 아니다. 특히, 조직 내에서 개인정보와 민감 정보의 흐름을 업무저하 없이 효율적이고 안전하게 통제하는 일은 결코 쉽지 않다. 조직의 구성원 전체가 정보를 취급하는 보안의식도 제고해야 하며 문제해결을 위한 기술적 대안도 마련해야 한다. 무작정 보안을 강화하거나 솔루션을 도입하는 것이 능사가 아니다. 개인정보의 관리주체는 개인은 물론 부서, 본부 등 조직 전체가 돼야 한다.

개인이 1차적인 개인정보나 민감정보에 대한 보호정책을 수립 및 운영하고 이를 부서로 확장해야 한다. 또한, 본부 규모에서 모니터링하고 최종단계에서 조직전체의 현황을 파악하고 큰 틀의 정책을 조정하고 최적화를 반복해야 한다. 무엇보다 이러한 체계가 잘 구축되어 운용되는지 정기적인 정보감사를 시행해야 보다 완벽한 개인정보보호 체계의 구축이 가능할 것으로 본다.

[글_전 홍 규 더존정보보호서비스 포렌식사업부장(jhong@duzon.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>