개인정보도 정보의 일종...기밀성, 무결성, 가용성 위한 보안 측면의 보호조치 필요

[보안뉴스= 염흥열 개인정보보호표준포럼 의장] 개인정보 관리체계(PIMS: Personal Information Management System)는 조직(예, 기업 및 공공기관)이 개인정보를 안전하게 관리하기 위해 필요한 관리적·기술적 차원의 보호조치를 체계적으로 수립하고 지속적으로 운영하는 체계이다. 개인정보 관리체계의 인증은 개인정보 보호 기준에 부합해 적정한 수준으로 개인정보 관리체계를 운영하는지를 심사해 인증해 주는 제도이다.


우리나라는 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법’에 근거해 방송통신위원회와 행정안전부가 관련 인증 정책을 소관하며, 한국인터넷진흥원이 제도를 운영하고 있다. 호환성 있는 개인정보관리체계 수립을 위해 최소로 요구되는 표준은 인증 체계의 프로세스/요구사항을 다루는 표준과 개인정보 측면의 위험을 치료하기 위한 보호 조치를 다루는 표준이다.

국제표준(ITU-T X.1058|ISO/IEC 29151)은 양대 공적 표준화 기구인 ITU-T와 ISO/IEC JTC 1에서 협력해 개발한 공동 표준(Common Text)이고, 제목은 ‘개인정보 보호를 위한 실무 준칙(Code of practice for Personally Identifiable Information Protection)’이다. 한국(방송통신위원회)은 지난 2011년에 양대 공적 표준화 기구(ITU-T, ISO/IEC JTC 1)에 개인정보 관리체계 관련 국제표준의 개발 필요성을 제안해 반영했고, 그 후 약 5년 6개월 동안의 개인정보보호 준칙에 대한 국제표준을 주도적으로 개발해 왔으며, 2017년 3월과 4월에 양 공적 표준화 기구에서 채택케 했다.

국제표준 추진 경과
한국(방송통신위원회)은 2011년 9월 ITU-T SG17 회의에서 신규워크 아이템(X.gpim, 한국에디터 : 순천향대 염흥열)을 제안해 채택했다. 이후 5년 6개월간의 개발기간을 거쳐서 2016년 9월 ITU-T SG17 회의는 해당 국제표준이 개인정보 관련 규제와 연관되므로 전통채택과정(TAP)으로 사전채택(Determination)했다.

TAP 절차에 따라 4개월간의 국가 의견수렴과정(TAP consultation)을 거쳐 러시아가 기술적 코멘트를 제출했다. 2017년 3월 ITU-T SG17 회의에서 러시아 코멘트를 해결해 ITU-T X.1058로 국제표준으로 채택되었다.

한국(방송통신위원회)은 2011년 10월 나이로비 SC27 회의에 개인정보 관리체계 관련 국제표준 개발 타당성을 연구하기 위해 연구회기(Study Period, 한국 라포처 : 순천향대 염흥열)를 제안해 반영했다. 연구회기 동안 주요 논쟁사항은 정보보호관리체계와 개인정보 관리체계의 차별성과 개인정보 관리체계를 위한 국제표준의 필요성 여부였다. 개인정보 관리체계는 정보보호관리체계와 긴밀히 연관되며, 개인 정보보호 측면의 추가적인 보호조치를 위한 국제표준 개발이 필요하다고 합의했다.

한국은 1년간의 연구회기 결과를 바탕으로 2012년 10월 로마 SC27 회의에서는 신규 워크아이템 제안(NWIP)을 통해 ISO/IEC 29151(한국 에디터 : 순천향대 염흥열)로 채택했다. 이후 NWIP 투표 후 2013년 4월 SC27 회의에서 한국제안은 신규아이템(ISO/IEC 29151)으로 채택되었다.

2016년 10월 아부다비 회의에서 ISO/IEC 29151은 FDIS(Final Draft International Standard)로 진행하기로 합의했다. 8주간의 FDIS 투표 후 2017년 4월 해밀턴 SC27 회의에서 FDIS 투표 결과가 발표되어 최종 국제표준(IS, international standard)으로 채택되었다. 2014년 4월 홍콩 SC27 회의에서 ITU-T SG17 Q3/17과 ISO/IEC JTC 1/SC 27/WG 5 전문가들은 이 국제표준의 중요성을 인식해 양 기구의 공동 표준으로 개발할 것을 합의했다.

한편, 개인정보 관리체계 요구사항과 연관되는 국제표준은 2016년 4월 탬퍼 SC27 회의에서 ISO/IEC 27552(한국에디터: 순천향대 염흥열)의 신규 워크 아이템을 채택했고, 이 원고 작성 시점(2017.05.30.)에 두 번째 WD(Working Draft) 상태에 있다.

필자는 한국이 양 국제기구에 개인정보 보호 준칙 국제표준의 신규 아이템을 제안해 국제표준으로 채택될 때까지 양 기구의 공동 에디터로 활동했으며, 매 회의마다 한국의 입장을 반영한 기고서를 제출했다.

국제 표준 구조 및 주요 내용
이 국제표준은 공공기관과 민간기업 등 모든 개인정보 처리자(PII controller)가 준수해야 할 개인정보보호 측면의 보호조치에 대한 준칙을 제시하고 있다.

이 국제표준은 개인정보도 정보의 일종이므로 정보의 기밀성, 무결성, 가용성을 제공하기 위한 보안 측면의 보호조치가 필요하다고 전제하고 있다. 이 국제표준은 크게 두 파트로 구성된다. 첫 파트는 자산관리, 접근통제, 암호, 운영 보안, 통신 보안, 그리고 공급자 보안 등 정보보안 측면 보호조치에 대해 추가적인 구현 가이던스를 기술하고 있다. 예를 들어, 개인정보보호를 위한 암호 알고리즘은 국제적으로 안전성이 입증된 암호 알고리즘을 이용해야 한다고 요청하고 있다.

두 번째 파트는 정규적 부록에 포함되어 있으며, 개인정보보호 정책, 동의 및 선택, 목적 합법성, 데이터 최소화, 이용/보유/공유 최소화, 정확성 및 질, 투명성, 정보주체 참여, 책임성, 정보보안, 법 준수 측면에서 새로운 개인정보보호에 특화된 보호조치를 제시하고 있다. 구체적으로 국제표준에 근거해 개인정보 영향평가를 통한 위험 평가를 수행할 것을 요구하고 있고 개인정보 수탁 기관에 적정한 수준의 개인정보보호 조치를 구현하도록 명시하고 있다.

이 국제 표준에는 현재 국내에서 운영 중인 개인정보 관리체계 인증 기준이 반영되어 있다. 특히 국가 식별정보는 법 준수 요구사항에 따라 국제적으로 승인된 안전한 암호 알고리즘으로 조치를 취하도록 반영했다.

의미와 향후 활동
이번 양대 국제 표준화 기구에서 개인정보 보호 준칙에 대한 국제표준 채택은 한국이 주도적으로 양대 공적 표준화 기구에서 세계 각국 개인정보보호 전문가와 함께 합의한 개인정보 보호 준칙이다. 이를 통해 글로벌 차원의 호환이 가능한 개인정보 관리체계 구축과 운영을 위해 요구되는 기반을 마련했다고 볼 수 있다.

또한, 이 보호 준칙을 구현하는 조직의 개인정보보호 수준을 높이는 데 크게 기여할 것으로 판단한다. 나아가 이 국제표준에서 제시된 보호 준칙을 이용하면 글로벌 호환성을 갖는 개인정보관리체계인증 서비스를 활성화하고, 국가 간 개인정보 이전 문제의 원활한 해결과 관련 인증 서비스 산업 활성화에도 기여할 수 있을 것으로 기대된다.

향후에는 현재 개발이 진행 중인 개인정보 관리체계 프로세스/요구사항(ISO/IEC 27552)에 대한 국제표준의 개발에도 적극 참여해 국내 체계 요구사항을 반영할 필요가 있다.

필자는 2011년 초 국내 개인정보 관리체계 인증 기준의 국제표준화 추진이라는 정부의 시책에 부응해 양대 표준화 기구에서 연구회기, 신규워크아이템 채택 등 모든 표준화 과정에서 연구회기 라포처, 두 공적 표준화기구 에디터, 한국 기고자 등의 역할을 통해 이 국제 표준을 채택하게 공헌해 크게 보람을 느끼며 캐나다, 영국, 독일, 일본 등 개인정보보호 전문가의 협조에서도 감사한다.
[글_ 염흥열 개인정보보호표준포럼 의장·순천향대학교 정보보호학과 교수]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>