[인터뷰] 한국정보화진흥원 개인정보보호단 선원진 책임연구원
정보보안과 함께 정보주체에 대한 권리보장 필요성 인식해야

외부적으로는 APT 공격유형의 진화가 가장 큰 위협요소라고 생각한다. 특히, 이미 유출된 개인정보가 APT 공격에 활용되는 경우 한수원 직원정보 유출사고처럼 국가보안과 직결된 치명적인 사고로 이어질 가능성이 크다. 사회공학적 접근을 시도하는 APT 공격의 특성상 개인정보를 활용할 경우 특정 집단을 타깃으로 한 공격의 성공 가능성이 상대적으로 높을 수밖에 없다. 이러한 맥락에서 생각해보면 기술 의존적인 보안정책이 오히려 내부적인 보안위협으로 작용할 수 있다고 본다. 기술 의존적인 보안정책과 예산 투자에 비해 내부 구성원들의 보안의식 함양과 실천 유도를 위한 노력은 형식적으로 이루어지는 경우가 많기 때문이다. 최근 인적보안에 대한 중요성이 부각되고 있는 이유도 여기에 있다고 할 수 있다.

Q. 개인정보보호 측면에서 보안취약점과 피해 예방을 위한 조언은?

바로 인적보안이다. 특히 퇴직자, 휴직자 등 시스템 접근권한을 관리해야 하는 직원에 대한 권한 삭제 또는 제한이 이루어지지 않거나 업무 필요성에 의해 아이디, 패스워드를 공유해서 사용하는 경우가 있다. 이렇듯 업무범위에 비해 불필요하게 과도한 권한을 부여한 경우가 대표적인 문제다. 이 때문에 개인정보를 저장하거나 이용하는 시스템에 대해서는 사용자 권한 부여 현황을 주기적으로 점검해서 불필요한 권한 부여로 인한 개인정보 오남용을 사전에 차단하는 조치가 필요하다. 이와 함께 아이디와 패스워드를 공유해서 사용할 경우 발생할 수 있는 보안취약점을 내부적으로 공유하는 등의 적극적인 교육과 인식개선 활동이 필요하다.

또한, 수탁사 관리·감독이 제대로 이루어지지 않는다는 점이다. 특히, 수탁사의 대리점 규모가 크고, 전국적으로 영업활동이 활발한 경우는 관리·감독과 즉각적인 대응 점검이 더욱 어렵다. 그런 측면에서 행자부의 대형 수탁사 실태점검은 개인정보보호를 위해 좋은 아이디어였다고 생각한다. 

Q. 개인정보보호를 강화하기 위해 가장 중요한 것은?

다양한 기관의 실무자들과 대화를 나눠보면, 대다수의 경우 예산, 인력, 조직 내부의 협조를 가장 시급한 과제로 꼽는다. 기관이 관리하는 개인정보 규모와 민감도에 상응하는 자원의 투자와 함께 내부 보안지침 전파 및 이행이 담보될 수 있는 내부 참여가 매우 중요하다. 이러한 과제를 즉각적이고 효과적으로 해결하기 위한 최선의 방법은 CEO의 관심과 의지다.

Q. 기업의 개인정보보호 업무에 있어 개선되지 않는 가장 큰 문제점은?

아직까지 많은 기업이 정보보안 관점에서 개인정보보호 문제를 해결하려는 생각에 머물러 있다. 개인정보보호는 정보보안과 함께 정보주체에 대한 권리 보장의 필요성을 인식하고 실천할 때 근본적인 보호조치가 이루어질 수 있다. 단순히 법적 기준을 충족하려는 노력만으로는 개인정보 처리의 부적절한 관행을 개선하기 어렵다. 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현한다는 개인정보보호법의 목적을 다시금 되새길 필요가 있다.

Q. 개인정보 유출 또는 해킹사고를 당한 기업의 공통적인 원인은?

공공·민간 부문의 개인정보 취급자를 대상으로 실시한 2014년 개인정보보호 실태조사 결과에 따르면, 개인정보 유출사고의 원인중 ‘개인정보의 불필요한 과다수집’이 56% 이상의 응답률을 보여 첫 번째 원인으로 지적됐다. 업무목적과 동떨어진 공공기관의 개인정보 수집과 영업활동의 수단으로서 개인정보를 바라보는 민간기업의 시각이 쉽게 변화되지 않고 있기 때문이 아닌가 싶다. 구글링과 파로스(Paros)로 인해 보험회사, 이동통신사의 개인정보가 유출된 사례가 보여주듯 외부 해킹에 의한 개인정보 유출의 경우에는 기본적인 보안조치 미흡이 원인으로 밝혀진 경우가 많다. 따라서 시스템 취약성에 대한 지속적인 점검과 개선활동은 보안 시스템의 도입만큼 중요하다.

Q. 개인정보보호 관련 인증 취득을 준비하는 기업에게 많이 받는 질문은?

인증 취득을 위한 준비방법과 준비기간에 대한 질문을 가장 많이 받는다. 인증 취득을 준비하는 기관은 외부의 전문컨설팅을 통해 개인정보보호 체계를 개선한 후 인증을 신청하거나 내부 인력만으로 구성된 전담조직을 구성해 인증심사를 준비하는 경우 두 가지로 나눌 수 있다.

외부의 전문 컨설팅을 받는 경우는 준비기간이 짧고, 내부의 업무 부담이 줄어드는 장점이 있지만 개인정보보호에 필요한 내부 역량 강화에는 한계가 있을 수밖에 없다. 반면, 자체적으로 준비하는 경우에는 준비기간이 길고 업무 부담이 많아지지만 소속직원의 역량 강화로 개인정보보호체계의 지속적인 운영 가능성이 높아지는 장점이 있다. 준비하는 기관 특성에 따라 적절한 방법을 선택해야겠지만 외부 컨설팅을 통해 준비하는 기관의 경우에는 내부 직원이 컨설팅 과정에 깊숙이 참여하고 보호체계의 지속적인 운영이 가능하도록 진행하는 것이 바람직하다.

기술적 측면에서는 취약점 점검과 관련해서 어떤 기준으로 추진계획을 세워야 인증 취득에 부합하느냐는 질문을 많이 받는다. 하지만 이 부분은 심사전에 명확한 업무 프로세스 파악이 어렵기 때문에 답변이 쉽지 않다. 기업환경이나 비즈니스 프로세스가 각기 다르기 때문이다. 우선 객관성을 띠고 있는 국정원 보안지침 등에 부합하는 것이 바람직하다. 또한, 개인정보보호 분야는 일반 정보보호와는 특화된 부분이 있기 때문에 기업환경에 맞는 위험도 분석을 바탕으로 취약점 점검기준이 마련되어야 한다. 실제 점검에서 개선사항이 나오면 꾸준히 이행할 수 있는 환경이 만들어졌는지 먼저 살펴보는 게 필요하다.

Q. 기업에서 인증심사를 받을 때 주의해야 할 점은?

개인정보보호 인증은 정보보안 영역의 심사항목도 많지만, 개인정보의 처리기준과 정보주체에 대한 권리보장 역시 중요한 영역으로 심사가 진행된다. 특히, 관련 부서들의 협조 없이는 원활한 인증 심사 진행이 어렵다. 따라서 투입된 많은 예산과 노력이 단순히 인증 취득을 위해서만이 아니라 기업의 개인정보보호 수준을 향상시키는 계기가 되도록 전사적인 참여가 필요하다.

기술적 측면에서는 로그관리 부분에서 저장은 잘 하나, 로그분석에서 문제가 되곤 한다. 로그분석 시스템이 없는 경우, 수작업으로 봐야 하고, 세부적인 불법행위를 정기적으로 점검하는 부분에서 힘들어 하는 경우가 많다. 또한, 자산에 대한 위험분석식별의 경우 작성된 문서나 업무용 PC를 자산으로 분석해서 위험도를 측정하는데 기존 심사대로 준비하면 누락되는 경우가 있어 이 점을 주의해야 한다.

개인정보와 관련된 법령 등 제도적 개선이 현실을 따라가 주지 못하는 점에서 많은 어려움을 느끼고 있다고 본다. 특히, 주민번호 처리에 대한 법률적 근거가 명확하지 않아 기존의 업무처리 절차를 쉽게 바꾸지 못하고 있는 경우가 많다.

특히, 관련 지침에 대한 유권해석이 다르거나 명확하지 않은 부분도 있어 조율이 필요하다는 지적이다. 이를 위해 업종별 관련 법령의 개정 등을 포함해 개인정보처리에 관한 기업 의견을 상시적으로 수렴하는 창구 마련 등 개선조치가 필요하다고 본다.  

Q. 개인정보보호 업무를 맡은 이후로 가장 보람되는 때는?

인증심사 후 제도적 개선사항이 도출되어 심사를 받은 기관 뿐 아니라 동일 업종의 기업 또는 기관의 전반적인 개선이 이루어지는 경우, 개인정보보호 조치가 오히려 업무절차를 간소화시켜 직원들의 업무 부담이 경감된 경우에는 큰 보람을 느낀다. 개인정보보호를 위한 노력이 귀찮고 번거로운 절차로만 인식되는 것이 아니라 잘못된 업무 관행을 되돌아보고 보다 효율적인 대안을 모색하는 계기가 됐으면 하는 바람이다.

Q. 앞으로의 계획은?  

대기업이나 대형 공공기관만이 아니라 규모에 관계없이 개인정보를 다루는 모든 사업자가 PIPL 인증을 취득해 고객의 신뢰를 받도록 하는 것이 PIPL의 목적이라고 할 수 있다. 따라서 앞으로도 개인정보보호에 대한 사회적 신뢰가 향상되는데 PIPL이 제몫을 할 수 있도록 최선을 다할 계획이다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>