개인정보 유출사고는 정보주체 뿐 아니라 기업 신뢰도 하락과 집단 손해배상 소송으로 이어져 경제적으로도 큰 피해를 입을 수 있으므로 정부와 기업은 개인정보보호를 위해 보다 적극적으로 나설 필요가 있다. 최근 국민의 사생활과 개인정보보호를 위해 개인정보보호법이 제정되었는데, 정부는 법 항목 해석의 명확화를 위해 세부 시행령, 해설서 등을 시급히 마련하여 법 시행시 기업의 혼란을 최소화해야 한다. 아울러, 기업에서는 서비스 이용자 뿐 아니라 직원의 개인정보에 대한 보호조치를 시행해야 하고, 개인정보 유출시 정보주체에게 유출 경위 및 피해 최소화 방법 등을 통지하기 위한 프로세스 등을 마련해야 한다. 또한, 개인정보는 반드시 암호화하여 저장하고, 패스워드는 복호화가 불가능하도록 일방향 암호화를 적용해 해킹되더라도 2차적인 피해가 없도록 해야 한다. 개인정보 시스템에 대한 모니터링 체계도 강화하여 이상 징후 발생 시 초기에 긴급 대응할 수 있어야 한다.

그러나 법 제도와 기술적 보호조치만으로는 모든 문제를 해결할 수 없으며 한계가 있다. 기업은 기본적으로 법적 규제를 준수함과 동시에 적극적으로 개인정보에 대한 자율 규제를 강화해 필요 이상의 개인정보 수집과 이용을 최소화해야 한다. 또한, 개인정보 취급자의 개인정보보호 인식제고를 위해 주기적으로 교육을 시행하고 개인정보 취급 시스템에 대한 철저한 권한관리로 내부적 유출사고를 사전에 방지하기 위해 노력해야 한다. 아울러 개인정보 취급위탁사에 대한 관리 감독도 철저히 하여 개인정보보호 규정을 위반하지 않도록 해야 하며, 기업은 자신의 정보와 같이 개인정보 보호를 위해 노력해야 함은 물론 개인정보 유출사고가 발생하더라도 정보주체의 피해 최소화를 위한 후속조치에 최선을 다해야 한다.

<글 : 김 경 수 KT 정보보호기획팀 차장(kskim70@kt.com)>

[월간 시큐리티월드 통권 제172호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>