[시큐리티월드=행정자치부 개인정보보호과 조성환 과장] 정부는 개인정보 유출로 인한 문제 해결을 위해 개인정보보호를 위한 정책 제정, 교육·홍보 활동을 펼쳤으며, 2012년부터 현재까지 약 1천개가 넘는 기관을 대상으로 개인정보처리실태 현장점검을 실시했다.

그러나 개인정보보호법 적용을 받는 알려진 사업자만 380만개인 것을 고려한다면 아직까지 관리의 손길이 닿지 않은 사각지대는 존재한다. 특히 우리 생활 주변에서 흔히 볼 수 있는 의원, 미용실, 학원, 음식점, PC방 등 소규모 사업자들의 경우 개인정보보호법에 대한 이해가 부족하거나 관심이 없는 경우가 많으며, 대상 사업자 수도 많아 정부가 일일이 교육·점검하는데 한계가 있다.

정부가 개인정보보호 현장점검을 실시한 결과 소규모 사업자들은 홈페이지, 고객·매장 관리 전산 프로그램 등의 관련 시스템을 직접 개발·구축·운영하는 것보다 전적으로 수탁자에게 의지해 수행하는 것이 일반적이었다. 소규모 사업자뿐만 아니라 공공기관 및 민간 중대형 사업자도 다르지 않다.

\r\n

한국IT서비스산업협회가 2006년 실시한 국내 IT아웃소싱환경 조사 결과에 따르면 약 84%의 기관이 홈페이지 및 시스템 개발·운영을 외부전문 업체에 위탁하고 있는 것으로 파악됐다. 이는 개인정보 처리 사업자의 개인정보보호 수준이 관련 시스템을 개발·운영해주는 IT 수탁사의 개인정보보호 수준에 절대적인 영향을 받고 있다는 것이다.

지난해 IT 수탁사 약 2천여 곳 중 25개 수탁자를 대상으로 현장점검을 실시한 바 있다. 그 결과 1개 수탁사 당 평균 788개 위탁사의 시스템을 개발·관리하고 있어 단순히 개인정보처리자의 현장점검을 통한 효과보다 한 개의 수탁사에 대한 현장지도·점검만으로 약 788배의 개인정보실태개선 효과를 거둘 수 있었다.

현재 IT 수탁자에게 개인정보 처리업무를 위탁하고 있는 위탁자가 약 320만 개로 추정하는 것으로 볼 때 2천여 개의 수탁사의 개선의지에 따라 개인정보보호 수준 개선효과를 기대할 수 있다는 얘기다.

\r\n

이에 따라 정부에서는 IT 수탁사를 대상으로 대대적인 점검을 기획하고 있다. 각 업종별로 담당 부처별 합동점검반을 구성해 1차적으로 점검리스트를 배포하고 수탁사 스스로 자율점검을 할 수 있도록 유도하는 방법으로 말이다. 이러한 자정활동에 비협조적인 수탁사에 대해서는 현장점검으로 대응할 계획이다.

\r\n

\r\n\r\n\r\n

\r\n

또한 개인정보처리에 있어 수탁사의 역할이 더욱 중요해지는 만큼 수탁자의 책임과 의무를 강화하는 방향으로 제도를 개선할 계획이다. 이외에도 정부는 IT 수탁사에 소속된 개발자들의 개인정보보호 능력 제고를 위해 ‘시스템 개발자를 위한 개인정보보호 가이드라인’을 개발·보급해 이들의 개인정보보호 역량 강화에 적극 나설 것이다.

고대 그리스의 수학자인 아르키메데스는 지렛대의 원리를 이용한다면 우리가 살고 있는 지구도 들어 올릴 수 있다고 했다. 380만에 이르는 개인정보 처리 사업자의 실질적인 개인정보보호 수준 향상에는 IT 수탁사에 대한 개인정보보호 강화가 지렛대의 역할을 충분히 수행할 수 있을 것으로 기대된다.

\r\n

[글_행정자치부 개인정보보호과 조성환 과장(chosh3777@gmail.com)]

\r\n

[월간 시큐리티월드 통권 219호 (sw@infothe.com)]

\r\n

\r\n

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>