이날 간담회는 6월 30일 서울 삼성동 코엑스 그랜드볼룸에서 개최된 ‘2015 개인정보보호 페어&CPO워크숍’의 동시개최 행사로 진행됐다. 간담회 참석자들은 개인정보보호 관련 인증제도와 개인정보보호 관련법 개정, 빅데이터 활용방안, 개인정보 처리 위수탁 관계, 그리고 개인정보보호산업 활성화 방안과 개선점 등에 관한 심도있는 논의를 진행했다.

이번 간담회에서 정부·유관기관 담당자는 행정자치부 개인정보보호정책과 장 한 과장, 개인정보보호위원회 조사과 박원환 과장, 한국인터넷진흥원(KISA) 개인정보안전단 심원태 단장과 박정섭 팀장, 한국정보화진흥원(NIA) 개인정보보호사업부 김두현 부장 등이 참석했다. 또한, 개인정보보호 및 보안전문 기업 업체 대표 및 임원들도 대거 참석해 개인정보보호 산업 발전을 위한 다양한 의견을 피력했다.

이날 행정자치부 개인정보보호정책과 장 한 과장은 “우리나라의 개인정보보호 역사는 짧다. 지난 2011년 개인정보보호법 제정 이후 체계는 갖췄지만 아직 성장기에 있어 할 일이 많다”면서 “개인정보보호 관련 컨설팅 수요가 많은 것 같다. 현재 관련 시장도 만족할만한 수준은 아니지만 장기적으로 보면 성장가능성이 높다. 정부 및 유관기관과 산업계가 다 같이 노력하면 개인정보보호관련 산업도 발전할 것으로 본다”고 말했다.

KISA 심원태 단장은 “KISA에서는 개인정보보호법 발전방향과 이 법이 관련 산업 분야에 미치는 영향에 대한 많은 고민을 하고 있다. 또한 관련 산업과 개인정보 활용을 위한 솔루션에도 관심을 갖고 있다”고 말했다.

이에 KISA 박정섭 팀장은 “특히 정부의 주민번호 일제 정비 및 처리와 관련된 부분을 지원할 예정이며, 제도 개선과 이에 필요한 개인정보 환경을 만드는데 노력할 것”이라고 언급했다.

개인정보보호위원회 박원환 과장은 “최근 개인정보보호 분야에서 빅데이터가 매우 중요한 이슈가 되고 있다. 관련 업계에서는 개인정보보호 규제 완화를 요구하고 있고, 보안 분야에서는 보안 강화 목소리가 높다”면서 “이와 관련해서 개인정보가 포함된 빅데이터 활용을 위해서는 비식별화가 무엇보다 중요하다. 특히, 데이터 손상을 줄이면서 비식별화해야 하는 부분이 이슈가 되고 있다. 예를 들면 위치정보 등을 비식별처리해야 비즈니스에서 활용이 가능하다”고 말했다.

이어서 그는 “이러한 정보들을 국가 차원이나 비즈니스에 활용하기 위해서는 표준화가 필요하다. 개인정보보호법에서는 통계 또는 연구목적으로 사용하기 위해서는 비식별화 제공이 가능하도록 하고 있다. 하지만 정통망법에는 이러한 규정이 없어 이에 대한 논의가 필요하다. 이 외에도 IoT, 클라우드 컴퓨팅 등에서도 개인정보 보호가 이슈가 되고 있다”고 설명했다.

안랩 이장우 이사는 “개인정보보호 컨설팅 업무를 하다보면 같은 기업에서도 서울소재 기업 및 본사와 지방소재 기업 및 지사와의 개인정보보호 편차가 크다. 특히 서울의 본사는 잘 되어 있는 반면, 지사에는 개인정보보호 관련 기술적 지원이나 인프라가 약하다”면서 한 기업에서도 서울·수도권 본사와 지방지사 간의 개인정보보호 관련 기술 도입이나 지원 편차가 커서 보안 구멍이 발생할 수 있기 때문에 이 차이를 줄여야 한다고 말했다.

또한, 그는 “최근 언론보도를 보면 PIMS나 PIPL 인증을 받는 기업이나 기관이 적다는 지적이 있다. 그 이유는 인증대상 기업들이 이 두 인증제도가 통합된다는 소식이 있어 이를 미루고 있는 상황이기 때문이다. 조속한 통합이나 표준화가 마련되어야 한다고 생각한다”고 당부했다.  

이와 관련 장 한 과장은 “현재 공공기관의 개인정보 영향평가가 5년간 유예되었는데, 내년 하반기 유예기간이 끝나면 본격 시행이 예정되어 있다. 이를 통해 공공기관의 개인정보 처리과정에서의 보안성 등을 평가할 수 있게 된다”면서 “현재 방통위와 행자부로 나누어져 있는 PIMS와 PIPL 인증제도의 통합을 추진하고 있는데 통합을 조속히 마무리해서 현장에서 혼선이 없도록 진행할 것”이라고 말했다.

또한, 정부는 지방과 서울, 수도권의 개인정보보호 지원 및 기술 격차를 줄여나가는 노력이 필요하다는데 공감하고 지방에 있는 관련 기관 및 교육거점을 통해 지역소재 기업 및 주민들을 대상으로 하는 개인정보보호 교육을 확대해 나간다는 방침이다.

PIMS와 PIPL 인증제도 통합과 관련해 개인정보보호위원회 박원환 과장은 “최근 국회 본회의 통과를 기다리고 있는 개인정보보호법 개정안에서 위원회의 권한을 강화해 정책·제도 개선권고권이나 법률 개정시 사전 조율할 수 있는 권한이 주어지는데, 이렇게 되면 개인정보보호 관련 인증제도 문제를 좀더 빨리 해결하거나 개선할 수 있을 것으로 본다”고 덧붙였다. 

이어 한국정보화진흥원 김두현 부장은 “기업에서 개인정보보호 인증제도의 활용도를 높여야 한다고 생각한다. 특히, 대기업에서 이러한 인증제도를 잘 활용해야 하고 인증기관에서는 인증받은 기업에 대한 혜택을 확대할 필요가 있다”면서 “현재 PIMS와 PIPL 인증제도의 통합문제가 이슈인데, 통합 시까지 인증을 미룰 것이 아니라 오히려 이때 잘 준비를 해서 인증을 취득해 놓는 것이 이득이 될 수 있을 것”이라고 말했다.

또한, 그는 “이 두 가지 인증 중에서 하나는 받아야 한다. 나중에 인증제도가 통합되더라도 먼저 인증을 받아두는 것이 유리하게 작용할 것으로 보인다. 그리고 개인정보영향평가 부분은 영향평가 대상 자체를 공공 이외에 보다 큰 영역으로 확대하는 방안을 고려해야 할 것으로 보인다”고 말했다. 

위수탁사 개인정보보호 문제도 이슈로 제기됐다. 이와 관련 컴트루테크놀로지 박노현 대표는 “최근 고객사들 중에 위탁사와 수탁사 관계에 대한 문의사항이 많다. 수탁사의 경우 위탁사가 정해주면 따라한다고 하고 위탁사는 수탁사가 자체 보호해야 한다고 서로 미루고 있다. 이러한 부분에서 좀더 명확한 가이드 있어야 한다”고 말했다.

이에 대해 장 한 과장은 “위·수탁사와 관련해서 올해 집중적으로 점검하고 있다. 특히, 수탁사의 경우 단일 기업과 계약하거나 동종업종 200~300개 업체의 개인정보들을 관리하고 있다. 이러한 업체들을 점검하다보니 현장에서 위탁자와 수탁자간에 분쟁이 많다. 그 이유는 계약서 상의 책임소재가 명확하지 않아 사고발생 시 애매한 경우가 많기 때문인데, 향후 정부에서도 표준계약서에 대한 고민을 하고 있다”고 설명했다.

덧붙여 심원태 단장은 “수탁사와 관련된 문제의 심각성을 인식하고 중점점검을 하고 있다. 지난해 연말 수탁사 관리 교육 및 조항을 추가하고 위수탁 관계 의무사항을 마련했다. 향후 개선방향과 관련한 논의를 통해 좀더 실질적인 정책을 마련할 방침”이라고 덧붙였다.

마크애니의 유창훈 부문장은 “수탁사 일시 점검시 지적사항을 받으면 이에 대한 조치나 책임은 어떻게 되는지 정확히 제시할 필요가 있다. 영세업체의 경우 개인정보관리가 허술하다. 이에 개인정보보호 솔루션을 도입하려고 해도 비용부담으로 인해 추진을 못하고 있다”면서 “개인정보보호법에 수탁자는 위탁자의 직원으로 간주한다고 하는 법 조항이 있다. 수탁자도 책임이 있지만 위탁자가 더 큰 책임이 있다고 본다”고 말했다.

이와 관련 장 한 과장은 “위탁사가 개인정보관리 책임을 수탁사에 주었다고 하더라도 위탁사에게 어느 정도 책임이 있지만, 무엇보다 계약서상 내용이 명확해야 사고발생시 책임 소재가 명확해진다”고 답했다.

박원환 과장은 “수탁자 중에서는 영세하지 않은 기업도 많다. 이런 기업들은 개인정보보호 보호를 위한 관리적·기술적 조치를 취해야 한다”고 강조했다.

이외에 엔소프테크놀러지 정군채 부사장은 “지자체, 병원 등 각 분야별로 고객이 다양한데, 무엇보다 중요한 것은 해당 분야의 정책수립 단계에서 개인정보보호가 반영되어야 한다고 점”이라고 말했다.

KISA 박정섭 팀장은 “개인정보의 범위는 이름, 건강기록, 위치정보 등 여러 가지가 있는데, 이렇듯 다양한 개인정보들의 활용 측면은 관련 법 규제로 인해 너무 위축돼 있는 건 아닌지 이에 대한 고민도 필요한 것 같다”고 말했다.

한편, 이날 간담회에서는 이 외에도 CC인증 개선방안과 CEO 대상으로 한 개인정보보호 교육 필요성 등에 관한 다양한 의견을 교환하며 향후 개선방향을 논의했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>