• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전 세계 골칫거리 ‘개인정보 유출’로 국제표준 ‘손질’ 2014.08.21

국제표준, 프라이버시 및 개인정보 영향평가 개발 등 움직임 활발
기업, 법·제도적·비즈니스 요구사항 고려한 정보시스템 설계 필요


[보안뉴스 김경애] 최근 206개의 병원을 운영하고 미국의 커뮤니티 헬스 시스템의 개인정보 유출사고를 비롯해 러시아 해커조직이 작정하고 42만여 개의 웹 사이트를 해킹하는 등 전 세계 곳곳에서 개인정보 유출 및 보안사고가 터지고 있다.


이러한 흐름에 국제표준 분야에서도 개인정보보호를 위한 다양한 움직임을 나타내고 있다. 이에 본지는 국제표준 에디터로 참여한 순천향대학교 염흥열 교수와의 인터뷰를 통해 기관의 프라이버시 역량을 평가하기 위한 방법론 등 개인정보보호와 관련된 국제표준 동향을 살펴보고자 한다.


Q. ISO/IEC JTC 1/SC 27에서 개인정보보호를 전담하는 작업그룹(WG5)에 대해 설명 부탁드립니다.

원래는 WG1에서 정보보호관리체계를 위한 일체의 표준 집합(27000 시리즈 표준)을 개발해 왔으며, 최근 에너지 부문과 클라우드 컴퓨팅 부문 등을 포함하는 통제에 대한 실무지침 등의 국제표준을 개발해 왔습니다.


그러나 전 세계적으로 개인정보 유출사건의 빈번한 발생과 기업의 개인정보 오남용 증가, 프라이버시에 대한 법 준수 요구사항이 커짐에 따라 프라이버시 보호와 관련해 국제표준 개발의 필요성이 증가하게 되었습니다.


이에 WG 5는 2006년 4월 스페인 마드리드 SC 27 회의부터 WG 1에서 분리돼 활동을 시작하게 되었습니다. WG 5의 경우 프라이버시 보호 표준, 아이덴티티 관리 표준, 그리고 바이오인증 관련 표준을 개발을 담당하고 있습니다.


현재 개인정보보호 관련 표준의 경우 ISO/IEC 29151과 ISO/IEC 29134 외에 ‘프라이버시 역량평가 모델(ISO/IC 29190)’ 등의 국제표준이 개발 중에 있습니다. 이미 채택된 국제표준의 경우 △프라이버시 프레임워크(ISO/IEC 29100, 2011년) △부분 익명/부분 비연결 인증 요구사항(ISO/IEC 29191, 2012) △공개 클라우드 환경에서 개인정보보호 통제 실무 지(ISO/IEC 27018, 2014) △프라이버시 구조 프레임워크(ISO/IEC 29101, 2013) 등의 국제표준을 채택한 바 있습니다.


Q. 이 가운데 위험관리 단계에서 개인정보 영향평가(PIA)를 수행하기 위한 방법론인 ISO/IEC 29134에 대해 설명을 부탁드립니다.

개인정보영향평가(ISO/IEC 29134) 표준은 개인정보 영향평가를 위한 프로세스와 영향평가 결과보고서의 목차 및 내용을 정의하고 있습니다. 프로세스는 준비 단계, 반복 단계, 사후관리 단계로 구성되는데요. 또한, 반복 단계는 개인정보호 흐름 분석, 프라이버시 리스크 식별, 프라이버시 영향 분석, 프라이버시 영향 평가, 리스크 대응 프로세스 등의 서브 프로세스로 구성됩니다.


개인정보 영향평가 보고서의 내용은 범위 정의, 평가 대상 비즈니스 프로세스, 리스크 기준, 프라이버시 요구사항, 리스크 분석, 리스크 평가, 리스크 대응 등을 포함하도록 규정하고 있습니다.


개인정보 영향평가는 초기 시스템 설계 시 시스템 및 프로그램의 커다란 변경과 함께 반복 시행을 요구하고 있습니다. 이와 관련 필자가 독일 전문가(에디터)와 함께 이 표준의 코에디터 역할을 수행하고 있습니다.


Q. 국제표준에서 프라이버시 프레임워크에 따른 개인정보보호 요구사항은 무엇인가요?

ISO/IEC 29100(프라이버시 프레임워크)에서는 프라이버시 프레임워크의 정보주체, 개인정보처리자, 개인정보제어자, 제3의 기관 등의 주요 실체와 각 실체 간의 상호작용을 정의하고 있습니다. 프라이버시 보호 원칙으로는 보호 요구사항과 보호대책, 동의 및 선택, 프라이버시 법 준수 등으로 구성된 보호 원칙을 규정하고 있습니다.


프라이버시 보호 요구사항의 경우 법제도적인 측면, 계약 행위적 측면, 비즈니스 측면의 요구사항 등으로 구분될 수 있다고 규정하고 있습니다. 또한 프라이버시 리스크 평가 및 대응 과정에서 식별된 다양한 개인정보보호 요구사항을 만족할 수 보호대책을 구현하도록 요구하고 있습니다.


이를 기반으로 프라이버시 프레임워크 ISO/IEC 29191에서는 ISO/IEC 29100보다 구체적인 사항으로 개인정보 주체의 역할, 책임 등에 대한 활동들을 요구하고 있습니다.


 ▲ 순천향대학교 염흥열 교수

Q. 국내 기업이 개인정보보호를 위한 국제 표준화 흐름에 맞춰 유의해야 할 사항은 무엇인가요?

국내 많은 기업이 글로벌 시장으로 진출했거나 진출을 도모하고 있습니다. 각 국가별로 차이가 있는 개인정보보호 관련 요구사항은 비즈니스 설계 단계부터 고려돼야 비지니스 연속성과 시장 확장성을 확보할 수 있습니다.


따라서 개인정보를 처리하는 정보 시스템이나 프로그램의 설계 단계부터 개인정보영향평가를 통한 개인정보보호 요구사항이 반영돼야 하며, 개인정보보호 실무지침에 대한 국제 표준에 근거한 관리체계 구축이 필요한 실정입니다. 이를 통해 기업 서비스나 프로그램의 이미지 제고는 물론 고객 서비스와 비즈니스의 신뢰를 확보할 수 있습니다.


앞으로는 개인정보보호를 소홀히 하면 기업의 생존을 보장할 수 없으므로 법·제도적 요구사항, 계약적 요구사항 그리고 비즈니스 요구사항을 고려한 정보시스템과 프로그램 그리고 제품의 설계와 구축이 절대적으로 필요한 실정이라고 생각합니다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>