정책과 법뿐 아니라 개인의 관심까지 모두 참여해야만 실현돼

[보안뉴스 문가용] 2015년의 절반이 딱 끝나는 6월 30일, 라이프사이클이라는 키워드를 가지고 올해 5년차가 된 개인정보보호 페어 & CPO 워크숍 2015가 열렸다. ‘생애 주기’라는 뜻의 라이프사이클이 어떻게 개인정보와 맞물렸을까?

1. 정보의 라이프사이클, 보호의 라이프사이클

하루 동안 진행되는 이번 행사의 첫 문을 연 한국인터넷진흥원 김호성 팀장은 외국과 한국에서의 손해배상의 정서 차이가 크다는 걸 다양한 통계자료와 지난 사건들을 통해 보여주며 한국은 아태지역에서 호주, 중국, 뉴질랜드에 이어 4위라며 “큰 사건이 많이 발생하는 건 아니지만 그렇다고 아주 잘 한다고 말하기도 힘든 상태”라고 진단했다.

그러면서 “사건의 원인은 대부분 외부인의 공격, 즉 해킹과 내부인의 공격, 즉 부주의와 실수 및 악의적인 의도에서 비롯된 정보유출로 이루어진다”며 이에 대한 해결책 몇 가지를 제시했다. “회사는 직원들의 권한을 관리하고 끊임 없는 교육을 통해 인식제고를 이루어야 합니다. 또한 내부 업무 절차와 정책을 강화해서 부주의함에서 오는 실수를 최소화하고, 외주업체와의 계약 강화를 통해 책임 소재를 분명히 해야 합니다.”

이렇게 하려면 “적정 예산의 투자가 이루어져야 하며, 전사적인 참여가 바탕이 되어야 하고 주기적으로 이행하는 문화가 만들어져야 한다”며 “정보의 라이프사이클은 수집, 저장, 제공, 폐기이지만 보호의 라이프사이클은 정책과 법률, 문화, 개개인의 참여를 모두 요하는 종합적인 개념”이라고 말을 맺었다.

2. 외부 점검, 내부 점검의 사이클

이어서 단상에 오른 한국정보화진흥원 김두현 부장은 개인정보의 처리 실태 점검 유형과 대응 방안에 대해 설명했다. “현재 개인정보보호법은 개정 중에 있다”며 그 내용을 소개했는데, 특히 앞서 김호성 팀장이 서두에 짚은 ‘손해배상’과 관련된 내용들이 어떻게 바뀔 예정인지 설명했다.

특히 외부감사 및 점검과 관련이 있는 제도들을 소개한 김두현 부장은 “그러나 조직별로 자체점검을 실행하는 것도 중요하다”고 강조했다. 그 이유로는 “개인정보를 우리도 모르게 사용하고 있고, 그것을 별 위기 의식 없이 누리고 있고, 그런 기회가 점점 많아지면서 또한 각종 리스크도 발생하는 등, 개인정보보호의 환경이 복잡해지고 있기 때문”이라고 했다.

자체 점검을 하려고 했을 때 어떤 점에 주의해야 할까? “자체 점검을 하려면 점검단을 구성할 때 객관적인 평가를 할 수 있는 사람들만을 뽑아야 합니다. 회사 보안팀에게 ‘우리 회사 보안 상태를 점검하라’고 하면 ‘너희의 실적을 알아서 보고해’라고 말하는 것과 다름이 없습니다. 또한 점검은 일회성이 아니라 지속성을 가지고 행해야 하죠. 하지만 제일 중요한 건 이행증적이라고 생각합니다.”

3. 환경에 따른 법의 업데이트가 ‘생명’

정책과 제도의 측면을 다뤘다면 법률을 말하지 않을 수 없다. 세 번째 키노트를 맡은 법무법인 민후의 김경환 대표변호사는 개인정보 라이프사이클에 따른 최근 법적 이슈 및 대응 방안을 수집, 저장, 제공(이용), 관리, 폐기라는 절차에 따라 설명했는데, 마침 보안업계에서 정확히 알아야 할 새로운 판례들을 다수 소개했다. 또한 이미 업계에는 잘 알려져 있긴 하지만 ‘주민번호 암호화’ 제도가 내년부터 시행된다는 걸 강조하면서 “바이오 정보와 민감한 정보는 인증목적으로만 수집, 사용할 수 있다”고 말했다.

김경환 변호사는 특히 요즘 들어 한국뿐 아니라 해외에서도 큰 문제가 되고 있는 외주업체 관련 보안, 즉 수탁사 위탁사 관계에서의 정보 관리도 법률적으로 짚어내는 걸 잊지 않았다. 핵심은 ‘문서가 가장 큰 법적 효력을 갖는 것’으로 “그 밖에 관리 개정 고시와 관련된 주요 내용들과 개인정보 유효기관 및 미파기 법칙이 많이 바뀌었으니 업무 수행 시 이를 꼭 참고해야 불필요한 손해를 보지 않는다”고 강조했다.

4. 라이프 스타일에 따른 라이프사이클

마지막 키노트 세션을 장식한 행자부의 장한 과장은 우리가 일상생활에서 계속해서 활용하고 있는 개인정보의 예를 들며 “이것이 이미 우리 세대의 라이프 스타일”이라며 ‘라이프사이클’과 관련이 있는 비슷한 용어를 청중에게로 끌어냈다. 개개인의 라이프 스타일이 국가에겐 모두 중요한 사안이라며 “그러므로 개인정보는 국가의 중요한 자산 및 보호대상”이라고 강조했다.

또한 이러한 라이프 스타일의 복잡화 현상 때문에 개인정보 보호 관련 법령에도 변화가 있다고 했지만 “현대의 정보 유통 상태로 봤을 때 정책과 법만으로 모두를 보호할 수가 없는 환경이다”라며 “정책 위주의 개인정보보호는 이제 민간 주도 및 자율화로의 방향 전환이 필수가 됐다”고 말했다.

개인정보가 어디론가 생성되었다가 아무도 모르게 스러지는 무엇이 아니라 태어나고 발휘되고 사용되며 죽기까지 하는 어엿한 ‘가치’로 존재감을 드러내기 시작했다. 이제 그 가치를 보호하는 데에, 마치 한 아이가 태어나 어른이 되어 죽기까지 자연의 규칙과 국가의 법과 가정의 문화의 보호를 받듯, 법부터 정책, 개개인의 관심까지 통째로 소요된다는 걸 보안업계와 관련 기관들이 깨닫기 시작했다. PIS FAIR 2015는 청년이 부모가 되듯 업계를 한 단계 더 성숙시키는 폭넓은 시야를 제공하면서 시작되었다

[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>