개인정보의 안전성 확보조치 중 기술적 조치사항 적용 대상 구분해야

[보안뉴스=진우석 법무부 사무관] 개인정보의 오·남용 등 개인정보 침해 사고를 예방하고 국민의 권리를 적극적으로 보장하고자 ‘개인 정보보호법’이 시행(’11. 9. 30)되었으나, 대규모 개인정보 유출사고가 끊이지 않고 발생하고 있고, 법규를 준수하기도 쉽지 않은 측면도 있어 이에 대한 제도 개선방안을 제시하고자 한다.

최근에 발생한 대규모 개인정보 유출사고에 대한 근본적인 원인은 대부분 정보시스템 관리자의 감독 소홀, 담당자의 전문성 부족, 일반 직원들의 부주의 등으로 인해 발생한 것으로 볼 수 있다.

정보시스템 관리자의 감독이 부실한 이유는 무엇일까? 관리자의 업무태만일 수도 있고, 전문성이 부족하여 실질적으로 관리가 안 되는 경우도 있을 것이며, 업무과중으로 인한 불가항력일 수도 있다.

‘개인정보보호법’에서는 개인정보처리자는 조직 규모에 따라 일정 직급 이상의 개인정보보호 책임자를 지정하여 기술적·관리적·물리적 안전조치를 취하도록 하고 있고, 이를 위반하여 개인정보를 분실· 도난·유출 당했을 때에는 2년 이하의 징역 또는 1천만원 이하의 벌금을 부과하고 있다. 이러한 문제 를 개선하기 위한 가장 큰 과제는 전문성 및 적정 인원 확보라고 볼 수 있다.

그 다음 담당자의 전문성 부족의 원인은 어디서 찾아야 할까? 첫 번째 이유는 관련 법규에서 개인정보 처리시스템 운영 실무자 또는 관리자의 자격요건을 정하고 있지 않기 때문이라고 할 수 있다. 개인정보보호책임자 지정 시에도 직급으로만 규정을 하고 있지, 경력·학력 또는 관련 자격증 보유여부 등 전문성에 대한 자격기준을 규정하고 있지는 않다.

두 번째 이유로는 고위 관리자의 보안에 대한 인식 부족이나 전문성이 요구되는 직위임에도 불구하고 조직의 운영경비 절감 차원에서 비전문가가 보안업무를 담당하는 경우가 있다. 일반직원들의 부주의로 인한 주요 원인은 무엇일까? 중간 관리자의 인식부족이 가장 큰 이유이고, 형식적인 교육과 교육결과를 평가하지 않는 것이 그 다음이라고 할 수 있다.

보안은 직위와 관계없이 모든 조직원들이 필요성을 인식하고 적당한 역할을 수행해야 하는데, 중간 관리자 이상을 대상으로 교육 하는 경우보다 실무자 위주로만 교육을 하고 있는 경우가 많다. 또한, 효과적인 교육방법을 고민하지 않고 규정상 의무적으로만 수행하고 교육결과에 대해서도 평가하지 않음으로써 향후 교육방식의 개선 가능성이 낮을 수밖에 없다.

무엇보다 ‘개인정보보호법’에서는 안전성 확보를 위해 세부기준을 행정자치부 고시(개인정보의 안전성 확보조치 기준)로 규정하고 있는데, 접근권한 관리, 접근통제, 고유식별번호 등 암호화, 접속기록 관리 등 대부분 적지 않은 비용이 수반되는 기술적 조치사항들이다.

그런데 이런 조치사항들은 개인정보의 보유건수 또는 중요성과 무관하게 모든 개인정보처리자가 준수해야 한다. 소규모 개인정보처리 시스템 또는 중요하지 않은 개인정보를 처리할 경우에는 최소한의 기술적인 조치만 취하도록 하고 관리적인 조치를 통해 안전성을 확보하도록 할 필요가 있다.

해킹 공격 또는 내·외부 관계인 등에 의한 개인정보 유출사고를 효과적으로 예방하고 합리적인 수준으로 통제하기 위해 다음과 같은 내용들이 ‘개인정보보호법’ 개정 시 검토됐으면 한다.

-일정기준 이상 개인정보처리시스템 운영시 적정 인원 및 자격을 갖춘 인력을 고용하도록 의무화

-‘개인정보의 안전성 확보조치 기준’ 중 기술적 조치사항은 적용이 필요한 대상을 구분하여 적용

[글 _ 진 우 석 법무부 사무관(wschin@korea.or)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>