국제표준, 개인정보보호 관련 리스크 식별·분석·대응 방법론 등 이슈
[인터뷰] 순천향대 염흥열 교수, 개인정보관련 국제표준 에디터 참여

[보안뉴스 김경애] 본지가 지난 5월21일 보도한 미국 온라인 경매 사이트 이베이(eBay) 해킹 소식에 이어 지난 2일에는 록 밴드 린킨파크(Linkin Park) 페이스북 계정이 해킹당했다. 이번엔 전 세계 40개소에서 운영 중인 유명 레스토랑 체인 P.F. 챙스(P.F. Chang’s, 이하 챙스)에서 고객 신용카드 정보가 유출된 사실이 지난 11일 드러났다.

이처럼 전 세계적으로 잇따른 개인정보 유출사고로 각국마다 골머리를 앓고 있다. 이에 국제표준화기구에서도 개인정보보호와 관련해 다양한 움직임이 일고 있다. 이와 관련 본지는 국제표준에서 에디터로 참여하고 있는 순천향대학교 염흥열 교수와의 인터뷰를 통해 개인정보보호와 관련한 국제표준 동향을 들어봤다.   

Q. 전 세계적으로 개인정보보호와 관련한 국제표준 동향에서 어떤 이슈가 있는지?

기업에 의해 수집·관리되고 있는 개인정보가 유출되는 사고가 빈번히 발생하고 있지만, 개인정보보호를 위한 보호대책과 영향평가와 관련된 국제표준은 없는 실정이다. ISO/IEC JTC 1/SC 27/WG 5(아이덴터티 관리 및 프라이버시) 작업반에서는 개인정보관리체계를 위한 요구사항 표준으로 ISO/IEC 27001 (정보보호관리체계 요구사항) 표준을 이용하기로 2012년 4월 스톡홀름 SC 27 회의에서 합의한 바 있다.

현재 주요 이슈는 (1)개인정보를 처리하는 정보시스템과 프로그램에서 프라이버시 리스크를 식별·분석하고 대응하기 위한 방법론은 어떤 것을 이용해야 하는지 (2)개인정보보호관리체계를 구축하기 위해 필요한 통제실무 지침은 무엇인지 (3)기존 표준과 새로 개발될 국제표준을 어떻게 결합해 개인정보보호관리체계를 운영할 수 있는지 (4)기관의 프라이버시 역량을 평가하기 위한 방법론은 무엇인지 (5)클라우드 환경에서 개인정보를 보호하기 위한 실무지침은 무엇인지 등이다.

Q. 현재 ISO/IEC JTC1/SC27(정보보호기술위원회)에서 국내 개인정보보호 관리체계(PIMS) 또는 개인정보보호 인증제(PIPL)의 인증기준에 대응하는 통제의 실무지침을 국제표준인 ISO/IEC 29151로 제정 중인 것으로 알고 있다. 구체적으로 설명한다면?

일반적으로 통제는 정보보안 요구사항을 만족하기 위한 보안 통제와 개인정보보호 요구사항을 만족하기 위한 프라이버시 통제로 구분되고 있다. ISO/IEC 29151 표준에서는 개인정보도 정보의 일종이므로, 기존 ISO/IEC 27002에서 제시된 통제에 대해 개인정보보호 측면을 고려한 각 통제에 대한 추가적인 구현 가이던스 등을 개발하고, ISO/IEC 29134와 같은 프라이버시 리스크 등 개인정보보호에 특화된 신규 프라이버시 통제를 개발하고 있다.

세부적으로는 ISO/IEC 27002의 14개의 통제 범주(정보보호정책 수립·법 준수)에 대한 개인정보보호를 고려한 구현 가이드라인을 추가로 정의하고 있다. 11개의 프라이버시 보호 원칙(동의 및 선택, 법적 근거와 명세, 프라이버시 법 준수 등)을 만족할 수 있는 다양한 신규 프라이버시 통제를 개발하고 있다.

이 문서의 상태는 현재 3번째 워킹드래프트(WD) 상태이며 오는 10월 멕시코 SC 27 회의에서 첫 번째 커미티드래프트(CD)로 추진키로 했다. 본인은 영국의 보안전문가와 함께 이 표준의 에디터를 맡고 있다.

Q. ISO/IEC 27002에서 프라이버시와 개인정보보호를 위한 법규·규제의 통제항목 내용은?

ISO/IEC 27002(정보보호 통제 실무지침)의 18절(법 준수)에 ‘개인정보는 개인정보보호 관련 법 및 제도에서 요구한 대로 보호되어야 한다’라는 통제가 존재한다.

이에 대한 구체적인 실행 가이던스로 ‘기업은 개인정보보호관련 정책을 개발해 적용해야 하고, 개인정보보호 책임자를 임명해야 하며, 적절한 기술적 보호대책을 구현해야 한다’라고 분명하게 규정하고 있다. 또한 다른 통제로 ‘개인정보보호를 포함한 법제도의 요구사항과 요구사항을 만족하는 보호대책이 식별되고 문서화되며 지속적으로 업데이트 되어야 한다’라고 규정하고 있다.

그러나 이 표준에서는 개인정보의 수집, 이용, 제공 파기 과정 동안에 요구되는 개인정보보호 원칙을 위반하는 리스크를 대응할 수 있는 보호대책 및 통제는 규정하고 있지 않고 있다.

Q. 개인정보관련 국제표준이 국내보다 늦게 반영된 이유는 무엇인지?

일본과 영국은 이미 각각 2000년 초와 2009년도에 개인정보관리체계에 대한 국가표준을 개발, 이에 근거해 인증제도를 시행해 오고 있으나, 이들 국가는 2012년까지 국제 표준화를 추진하지 않았다.

이에 반해 한국은 2010년부터 국내 인증 기준에 근거해 개인정보보호관리체계 인증 제도를 방송통신위원회에서 운영하기 시작했으나, 정보보호관리체계 등과 중복  인증 등의 문제가 제기되어 국제 표준화를 강력히 추진하게 된 것이다.

이에 따라 한국 주도로 개인정보관리체계 국제표준화가 2011년부터 시작됐다. 한국은 개인정보관리체계 국제 표준을 개발하기 위해 2011년 10월 케냐의 나이로비 SC 27 회의에서 연구회기를 제안했다.

그 후 1년간의 연구회기를 거쳐서 2012년 10월 로마 회의에서는 ‘27001 표준의 이용-요구사항(ISO/IEC 27009)’과 ‘개인정보보호 실무지침(ISO/IEC 29151)’ 표준의 2가지 신규 워크아이템에 합의했고, 2013년 4월 프랑스 앤티폴리스 SC 27 회의에서 신규워크 아이템으로 승인되어 오늘에 이르게 됐다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>