개인정보보호 지침 및 가이드 문서화와 이행사항 자료화가 핵심

[보안뉴스= 김홍석 김·장 법률사무소 전문위원] 끝없이 발생하는 해킹과 정보유출 사고 소식을 접하면서 일반인들은 ‘저 기업은 왜 보안 조치가 저렇게 부실했을까?’라고 생각하기 쉽다. 하지만 시스템을 개발하거나 관리한 직원이나 보안담당자가 예방 방법을 알면서도 게을러서 그런 사고가 발생한 경우는 지극히 적을 것이다.


끊임없이 새로운 공격 아이디어를 연구하고 방법을 공유하는 공격자들은 먹잇감이 되는 회사의 조그마한 허점이라도 찾아내어 집요하게 공격을 하기 때문에 방어자는 잠시도 긴장을 늦출 수 없다.

해커보다 훨씬 더 많이 알아야 해킹을 막을 수 있는데 많은 경우 다른 회사의 해킹 사고 원인이 밝혀진 이후에야 우리 회사의 시스템을 보강하는 것이 현실이다. 회사의 IT 보안을 책임지고 있는 팀에서 일한다면, 우리 회사의 시스템을 노리는 해킹 공격이 언젠가는 성공할 수 있다는 것을 인정하고 최악의 상황에 대응할 준비를 해야 한다.

그런 점에서 개인정보 유출사고가 바로 오늘 밤에라도 우리 회사에서 터질 수 있다는 전제하에 몇 가지 평소 준비할 조치들을 간략하게나마 공유하고자 한다.

개인정보보호 지침 및 가이드 문서화
개인정보보호 관련한 일을 하고 있다면 자사의 내부관리계획을 잘 알고 있을 것이다. 회사에 따라 명칭은 개인정보 보호지침일 수도 있고 정보보호 가이드일 수도 있다. 대기업의 경우 서버 운영 지침, 네트워크 운영 지침, PC/단말기 운영 지침과 같이 세분화하기도 한다.

법에서 정한 바에 따라 개인정보를 다루는 모든 사업자는(소상공인이 아닌 이상) 개인정보의 안전성 확보에 필요한 조치를 모두 담아 문서화해야 할 의무가 있다. 그런데 이러한 관리계획을 작성하거나 개정할 때 항상 주의할 것은 실현 가능한 수준으로 목표를 설정해야 한다는 점이다.

내부관리계획은 대개 ‘~해야 한다’와 같이 조직 내 임직원들이 지켜야 할 의무사항들을 나열한 것인데 현재의 기술 수준이나 우리 조직의 환경, 보안 투자비용, 직원의 보안 인식 등을 고려해서 정해야 한다.

또한, 항목별 준수 여부를 파악할 방법도 갖추어야 한다. 예를 들어 ‘업무와 관련 있는 웹사이트에만 접속해야 한다’고 정할 경우, 업무와 무관한 사이트 접속은 어떻게 빠짐없이 차단할 것인지, 솔루션을 구매할 것인지, 구매한다면 관리는 누 가 어떻게 할 것인지, 전체 임직원을 주기적으로 교육하고 안내할 것인지까지도 계획할 필요가 있다.

도저히 통제할 방법이 없다고 생각하면 혹시 모를 훗날을 대비해 아예 그런 항목은 넣지 않는 편이 좋을 수도 있다. 정보유출 사고가 발생해 행정 조치나 민사 소송으로 이어지면 내부관리계획을 제출하게 되는 것이 일반적이기 때문에, 만일 스스로 정한 의무 사항이 존재하고 있는데도 임직원들이 이를 지키지 않는 경우가 다반사였고 이것이 정보유출 사고의 원인이 되는 경우를 상상한다면, 외부에서 보기에 이 회사는 해당 위험을 인지했으면서도 아무 노력도 하지 않은 회사가 되고 만다.

내부관리계획을 주기적으로 개정해 나가면서 법에서 정한 수준보다 지나치게 앞서서 까다로운 규칙을 정함으로써 스스로 옭아매는 경우는 없는지, 전임자들이 의욕에 넘쳐서 현실적으로 실현하기 어려운 목표를 정해둔 경우는 없는지 살펴볼 일이다.

개인정보 보호조치 이행사항 자료화
정보보호 담당자라면 개인정보의 안전성 확보 조치(개인정보보호법 관련)나 개인정보의 기술적·관리적 보호조치 기준(정보통신망 이용촉진 및 정보보호 등에 관한 법률 관련)에 대해서는 잘 알고 있을 것이다.

각 고시의 본문은 워낙 간단한 편인데, 이를 자의적으로 해석하지 말고 행정자치부, 방송통신위원회, 한국인터넷진흥원(KISA) 사이트를 통해 해설서를 다운로드해 반드시 정독하고 이해해야 한다.

소송에서는 당사자마다 고시 문구는 물론 해설서 문구 하나하나까지도 해석의 의견이 엇갈리는 정도이다. 해설서를 통해서도 해결되지 않는 의문은 해당 부처나 KISA에 공문으로 질의해서 공식적인 답변을 받아두는 것도 바람직하다. 뿐만 아니라, 고시가 개정될 때마다 달라진 점을 파악해야 하는 것도 당연히 놓치지 말아야 한다.

개인정보의 안전성 확보 조치나 개인정보의 기술적·관리적 보호조치 기준에 따라 보안 조치를 빠짐없이 이행해야 하는 것은 당연한 의무 사항이고, 이에 더해 각 항목별로 이러저러한 방법으로 충실히 준수했음을 보이는 자료도 빠짐없이 축적해 두어야 한다.

개인정보처리 시스템에 대한 접근 권한 부여 내역과 같이 어떤 기록을 최소 몇 년간 보관해야 하는지 명확한 경우도 있으나, 준수 여부를 입증할 방법이 다소 모호한 경우도 상당히 많다. ‘연 1회 이상 취약점을 점검해야 한다’는 항목이라면 모의해킹 수행 업체와의 계약서, 취약점 점검 결과 보고서, 보고서에 대한 결재 문서, 관련한 사내 메일 등이 입증 자료가 될 수 있을 것이다.

‘업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 해야 한다’는 항목의 경우에는 관련한 서버 시스템 설정을 열어서 화면을 캡처한 파일, 조치 도입 계획 내부 메일, 직원들에 대한 메일 안내나 게시판 공지, 조치가 적용된 모바일 기기의 단계별 화면 캡처 등 상식적으로 생각할 수 있는 방법들을 동원하면 된다.

이렇게 항목별로 준수 여부를 꾸준히 모아두면 그 자체로 내부 지침에 대한 감사 자료로 활용할 수도 있고 최악의 경우가 발생했을 때 회사에 긴요한 도움이 되는 증빙 자료가 될 수도 있다. 기업에는 고객의 개인정보뿐만 아니라 직원의 개인정보를 다루는 시스템도 상당히 많다. 이에 대해서도 임직원의 악의적인 유출을 포함해 언제 무슨 상황이 발생할지 모른다는 가정 하에, 다양한 의무 조치별 증빙 자료를 취합하는 담당자를 지정함으로써 아무도 신경 쓰지 않은 채로 놓치는 항목이 없도록 하는 것이 바람직하다.
[글_ 김홍석 김·장 법률사무소 전문위원]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>