| 개인정보보호 법적규제, 기업의 고민타파법 셋! | 2012.08.06 |
법적규제에 늘어만 가는 개인정보보호 담당자의 고민
데이터 수집과 처리 자동화해야만 개인정보보호 업무 원활히 추진
숫자로만 보자면 우리나라 국민 모두가 한 번 이상 개인정보 유출 피해를 입은 것이다. 여기에서는 최근 이슈가 되고 있는 개인정보보호 관련 법 규정과 이에 따라 각 기업이 준비해야 할 사항에 대해 짚어보고자 한다. 각종 사고로 사회의 관심이 높아진 탓인지 관계법령은 점점 강화되고 있다. 지난 2012년 2월 공포된 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안은 이용자의 주민등록번호 수집을 금지(법 23조의2)함은 물론, 일정 기간 이용하지 않은 개인정보는 주기적으로 파기해야 하며(29조2항) 입법 예고된 시행령에서 개인정보 취급자의 PC는 인터넷망 접속 차단 조치를 의무화(15조2항)하는 등 초강수의 통제를 요구하고 있다. 개인정보 취급자란 입사 지원자·내부 직원·퇴직자·방문객·업체 담당자·고객·홈페이지 회원 등을 모두 포함하며, 이들에 관한 정보를 입력·수정·조회·출력·삭제 등의 업무에 관여하는 사람 모두가 포함된다. 강화되는 법제뿐 아니라 높아진 사회의 인식도 개인정보보호 담당자에게는 큰 부담이다. 과거의 업무 관행으로 수집한 개인정보에 대해서 ‘수집 및 이용동의’를 받지 않았다는 사실과 형사처벌이 따르는 범죄임을 지적하며 금전적 합의를 종용하는 고객들이 늘어나고 있다. 담당자야 그게 그리 잘못인지 법정에서 따져보고 싶겠지만, 기업 입장에선 법정으로 가는 게 탐탁지 않다 보니 울며 겨자 먹기로 합의하는 일도 많다. 또한, 개인정보보호법 통과 이후 개인정보보호 관리감독 책임을 나눠 맡게 된 기관들은 계도기간이 끝난 4월부터 실태 점검을 통해 산하기관 또는 기업의 법령 준수 현황을 점검하고 있다. 감독기관의 실태 점검은 계도나 과태료 부과에서 끝나는 것이 아니라 고발해서 형사처벌까지 가능함을 감안하면 개인정보보호 담당자의 부담은 더욱 커질 수밖에 없다. 사회 전반의 상황이 이러한데도 개인정보보호를 추진하는 담당자들의 업무 현실은 녹록치 않다. 개인정보보호를 위한 투자비용을 보고하면 돌아오는 건 경영진의 질책이요, 법령을 이행하기 위한 통제지침을 현업에 전달하면 동료들로부터 업무 훼방자라는 딱지가 붙기 십상이다. 이런 상황을 타개해 갈 방법 중 반드시 짚고 넘어가야 할 것은 ‘도구’이다. 즉, 개인정보보호를 위한 컴플라이언스의 핵심은 ‘현업의 자발적이고 적극적인 협조’인데 그 협조를 끌어내기 위한 자연스런 수순은 직원들이 쉽고 편하게 지침을 이행할 수 있게끔 적절한 도구를 제공하는 것이다. 사실 이 도구들은 있으면 좋은 수준이 아니라 없으면 매우 난감한 문제가 생기기 때문에, 다음에서 더욱 자세히 다뤄보자. 개인정보보호를 추진할 때 없으면 난감한 도구들 개인정보보호의 기본 전제는 경영진과 직원들의 바른 인식과 의지이지만, 직원들의 의지만으로는 해결되지 않는 일이 있다. 현업 직원 입장에서는 ‘개인정보 파일 완전 삭제’와 ‘개인정보 파일 검색’이 대표적인 일이고, 개인정보보호를 총괄하는 담당자가 각 부서에서 보유한 ‘개인정보 관리 현황을 파악하는 일’이 큰 문제다.
개인정보 파일 수집 및 이용에서 제일 중요한 원칙은 ‘최소한으로 수집 보유하라’는 것이고, 그 다음은 ‘보유한 정보는 안전하게 관리하라’는 것이다. 이 원칙은 직원들이 사용하는 개인용 컴퓨터에 저장된 파일에 대해서도 동일하게 적용된다. 직원들이 법에 따르려면 자신이 보유한 파일 중에 개인정보 파일이 무엇인지 알아야 한다. 파일을 열어보면 알 거 아니냐고 쉽게 말할 수 있겠지만, 실제 업무 현장에 가보면 말처럼 쉽지 않다. 특히, 국민정보를 다루는 공공기관의 직원들은 개인정보가 담긴 파일을 수천 건에서 수만 건씩 보유하고 있는 일이 흔하다. 따라서 업무상 꼭 필요한 정보인지 아닌지 판단하기 위해 컴퓨터에서 개인정보가 있는 파일을 찾아주는 솔루션은 필수적이다. 이미 여러 업체에서 이런 개인정보 검색 솔루션을 내놓았는데, 파일 검색 성능과 시스템 부하를 꼼꼼히 따져 솔루션을 선택해야 한다. 일부 제품은 검색하는 동안 컴퓨터가 극도로 느려져서 다른 일을 못하게 만들어 현업 직원들의 엄청난 원성을 살 위험이 있다. 개인정보보호 담당자를 위한 조언 개인정보를 검색한 다음에 직원들이 수행해야 할 일은 다음과 같다. 1. 개인정보 파일에 담긴 개인정보의 내용을 보고 그 파일이 현재 업무상 반드시 보유하고 있어야 하는지 판단한다. 2. 반드시 필요한 파일이 아니라면 삭제한다(이 때 삭제는 복구가 불가능한 완전 삭제여야 한다). 3. 부득이하게 보유하고 있어야 하는 파일이라면 패스워드 설정 등을 통해 암호화한다. 여기서 부딪히는 마지막 관문이 파일의 암호화이다. 개인정보 안전성 확보조치 기준에는 애플리케이션에 내장된 패스워드 설정 기능을 이용해도 된다고 하지만, 이런 파일이 앞의 공공기관 예처럼 수백 건, 수천 건이 되면 얘기가 다르다. 수천 개의 파일에 걸린 패스워드를 파일 하나하나 열어서 설정하고 주기적으로 변경하는 일이 현실적으로 가능할까? 여기서 한 번 더 IT 부서나 개인정보 주관 부서의 적극적인 지원이 필요하다. 업무 지장을 최소화하는 범위에서 빠른 속도로 개인정보 보유 파일에 패스워드를 설정하고 관리할 수 있게끔 지원함으로써 직원들의 편의성을 도모할 때 한층 적극적인 협력을 끌어내기가 쉬울 것이다. 이런 조치들을 모두 시행하고 나면, 개인정보 주관 부서 담당자에게 남은 큰 숙제는 이 모든 상황을 모니터링하고 통제하는 것이다. 부서와 직원들이 대응하는 수준이나 속도가 분명히 똑같지 않을 것이고 각별히 위험한 영역에 대해서는 빠른 조치를 취해야 하는 것이 개인정보보호 담당자의 임무이다. 이런 데이터의 취합과 수정, 피드백을 과거처럼 종이문서나 전자우편 등을 통한 파일의 전달 등을 통해서만 처리한다면, 실시간성을 확보하기가 어려운 건 물론이고 데이터 취합 과정만 몇 주에서 몇 달을 넘기는 경우도 많다. 필자가 아는 한 기업도 3년 전 처음 개인정보 현황을 파악할 때, 3개월 넘게 취합했는데 완료 즈음 대규모 조직 개편이 되어 기존 작업을 모두 다시 해야 할 상황이 되고 말았다. 결국 그 업무 부하를 견디다 못한 담당자는 퇴사해 버렸다. 개인정보보호 상황을 통제하려면 현황이 눈에 보여야 한다. 스스로 하던 솔루션을 도입하던 가급적이면 데이터 수집과 처리를 자동화해야만 개인정보보호 업무를 원활히 추진할 수 있다. 다시 한 번 요약해보자. 개인정보보호 업무를 추진할 때 없으면 난감한 솔루션은? 첫째, 직원들의 PC에서 개인정보를 검색해 주는 툴이 필요하다. 직원마다 하나씩 줄 필요는 없을지라도 필요하면 언제든지 쉽게 구동할 수 있어야 한다. 둘째, 개인정보 파일을 완전 삭제하고 한꺼번에 패스워드를 설정해 주는 솔루션이 필요하다. 셋째, 부서별 또는 직원별 개인정보 관리 현황을 집계하고 통제할 수 있는 관리 솔루션이 필요하다. 수작업으로 관리해서는 실 상황을 반영하기 어려울 것이다. [글 _ 이 장 우 안랩 이사(jwl@ahnlab.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스=이장우 안랩 이사] 2011년 2월 개인정보보호법이 통과된 이후 우연인지 필연인지, 개인정보 관련 대형 사고가 유독 많이 발생했다. 2011년 4월에 일어난 사고부터 유출된 개인정보 건수를 따져보니 대략 5,000만건이 넘는다. 얼마 전에도 초대형 개인정보유출사건이 발생해 전 국민에게 큰 충격을 안겨줬다.