정부부처·공공기관에서는 안내서 등 적극 활용 필요
기업에서는 ISMS·PIMS 인증기준 활용해 내부관리해야

[보안뉴스= 김형구 현대백화점 IT실 차장] 고객의 개인정보는 기업의 비즈니스 수행에 있어서 핵심적인 정보임과 동시에 반드시 보호해야 할 정보이다. 기업에서 개인정보보호 강화를 위해 고려해야 할 사항으로 조직, 인식 전환, 정량적 수준 진단이라는 3가지 항목으로 기업의 정책방향을 제시하고자 한다.

개인정보보호 정책 동향
2011년 개인정보보호법 시행 이후 정부에서는 다양한 보안강화 정책을 제시하고 있다. 최근의 법 개정 진행사항을 보면, 개인정보보호와 관련된 정책이 매우 강화되고 있음을 볼 수 있다.


기업의 개인정보보호 담당자는 정부 규제가 변경될 때마다 그 변경사항을 확인하고 적용을 하기에 쉽지 않은 상황이다. 특히, 전담조직이 없는 기업의 경우에는 어려움이 더 크다. 또한, 지난 2014년 카드사 정보 유출에 대한 최근 판결을 보면 기업 보안에 대한 관리적 측면에서도 그 중요성이 증가하고 있다고 볼 수 있다.

즉, 해당 사건 판결을 보면 협력업체와 수탁자 관리도 잘해야 한다는 것을 대변하고 있으며, 이 사건으로 인해 CEO가 사퇴하는 등 개인정보 유출사고에 따른 최고경영자도 책임질 수 있음을 단적으로 보여주고 있다.


마지막으로, 최근에 발표한 행정자치부의 2016년 개인정보보호정책 방안을 보면, 기업에서 주시해야할 사항들이 많다.


기업의 개인정보보호 강화를 위한 방안
이제 보안은 기업의 이미지에 매우 중대한 영향을 미치고 있으며, 때로는 기업의 존폐에도 영향을 줄 수 있을 만큼 그 영향력이 크다고 볼 수 있다. 법적 손해배상제도를 생각해보면 300만 원 이하의 범위에서 배상하게 될 수도 있으며, 징벌적 손해배상제도는 손해액의 3배까지 배상하게 될 수도 있다. 이러한 환경에서 기업의 개인정보보호 강화를 위한 방안에 대해 3가지 측면에서 제시하고자 한다. 일반론적인 내용일 수 있으나, 보안은 기초가 가장 중요하다는 측면에서 반드시 고려해야 할 사항이다.

첫 번째로 조직 측면이다
기업의 개인정보보호를 강화하기 위해서는 기본적으로 조직과 인력이 갖추어져야 한다. 최근 개정 예정인 개인정보의 안정성 확보조치 기준(안)에 기업 규모별 개인정보보호 조직 구성에 대한 기준을 제시한다는 측면에서 매우 고무적이라고 생각된다. 물론 기업의 입장에서 이러한 규제가 기업 고유의 인사관리 측면까지 적용된다고 볼 수 있으나, 보안의 관점에서는 명확한 ROI를 측정할 수 없는 입장에서 볼 때, 기본적인 가이드라인 제시는 되었다고 본다.

기업에서 개인정보보호에 대한 조직 체계 수립 시 CIO와 CISO를 겸직하고 있는 기업이 많은 상황에서실제 수행하는 정보보호 조직까지 별도의 조직으로 구성한다는 것은 쉽지 않다. 다만, IT와 정보보호인력 체계를 구분할 필요가 있으며, 명확히 구분이 어려운 경우에는 최소한 독립적인 활동을 보장할 수 있어야 한다. 인력 측면에서는 K-ICT 전략 등을 통해 정부에서는 보안인력 양성을 위해 특성화 대학 확대 등의 정책을 강화할 예정에 있으나, 정보보호는 단순히 정보보호만이 아닌 기본적인 IT 지식기반을 바탕으로 커뮤니케이션 스킬이 매우 중요한 직무라고 할 수 있다.

따라서 조직을 갖추었다 하더라도 보안만 하는 인력이 아닌 IT 기술과 커뮤니케이션 스킬을 두루 가지고 있는 인력 양성이 필요하다. 추가적으로 제안한다면, 최소한 보안인력에 대해서는 범죄이력 확인 등 추가적인 검증도 필요하리라 본다.


두 번째로 인식 전환, 즉 교육 측면이다
많은 보안사고와 계속적으로 변화하는 정부정책에 대한 전달 등 보안교육을 해야 할 내용들은 많이 발생하고 있지만, 법적으로 의무화되어 있기 때문에 보안교육을 형식적으로 수행하는 경우가 있다. 인식 전환을 위한 교육에 있어서는 해당 기업에 적합한 사례를 발굴하여 사례 위주의 교육을 수행하고, 교육 후 평가를 통한 교육 내용을 숙지할 수 있는 프로세스 정립이 필요하다.

필자의 경험을 이야기하자면, 교육 수행→시험 평가→기준점수 이하자 재교육 또는 온라인 교육→재평가→완료와 같은 단계로 교육 프로세스를 정립하여 수행했다. 물론 C레벨의 적극적인 지원과 교육교재를 만드는 매번 갱신해야 하는 수고스러움, 집체 교육을 위해 여러 곳을 방문하고 반복 교육을 해야 하는 어려움이 있으나, 적어도 전달하고자 하는 사항은 잘 전달될 수 있다고 본다. 이러한 보안과 관련된 인식은 사업부와 보안부서간의 마찰을 최소화할 수 있는 기반이 될 수 있다.

셋째로 정량적 수준 진단 측면이다
기업의 개인정보보호 강화를 위해 기본적인 조직, 인력, 교육 등이 갖추어져 있다면 이를 바탕으로 관리적·기술적 보안이 필요하다. 이를 진단하기 위해 정부에서는 일정규모 이상의 기업에 대해 정보보호관리체계(ISMS) 인증을 의무화하고 있으며, 개인정보보호관리체계(PIMS) 제도 또한 운영하고 있다.

이러한 인증제도는 기본적으로 기업의 보안 수준을 평균 이상으로 올릴 수 있다는 점에서 바람직한 제도라고 보며, 인증을 위한 항목 또한 법적 기준과 기본적으로 필요한 사항에 대해 정의하고 있다는 점에서 기업이 정보보호 강화를 위한 가이드라인으로 인증기준을 활용할 수 있다. 다만, 인증은 결함으로만 갈음되고 있어 이를 정량화하여 내부 진단을 한다면 진단 수준 향상을 위한 활동을 지속적으로 수행할 수 있다. 이에 대한 예로써 정보보호교육 측면에 대해 정보보호 준비도 평가 기준과 정보보호관리등급 기준을 정보보호관리체계(ISMS) 인증 기준과 비교하여 점수 체계를 수립하면 다음과 같다.

이러한 정량적 점수화를 통해 대기업에 있어서는 계열사별, 기업 내부에서는 사업부별 등 다양한 점수제 활용이 가능하다. 이를 통해 매년 수준 진단을 한다면 정부에서 제시한 기준에 따른 정보보호 강화가 실질적으로 이루어질 수 있다.

최근의 개인정보보호 정책은 명확한 방법을 제시하기보다는 기본적인 사항을 제시하고, 이를 적용·운영하는 것은 기업의 책임을 강조하고 있다. 기업의 입장에서 정부의 규제가 불만이 되기도 하지만, 명확한 규제가 없다면 보안담당자 입장에서는 관련 사항을 추진하기가 어렵게 되기도 하며, 모든 책임이 고스란히 보안담당자에게 전가되기도 한다. 즉, 어느 정도 수준까지를 법적으로 인정받아야 할지가 고민이 된다는 것이다.

이에 따라 정부에서는 안내서 등을 적극 활용할 필요가 있으며, 기업 입장에서는 관리적·기술적 표준을 제시하고 있는 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증기준을 활용하여 내부관리를 하는 것이 바람직하다.


[글_ 김형구 현대그린푸드(현대백화점그룹 IT실) 차장(tetisnmepis@naver.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>