Home > 전체기사
개인정보 보호 거버넌스와 개인정보보호 전문가
  |  입력 : 2018-08-02 18:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보 유출사고로 인한 개인정보보호 문제의식 대두
EU GDPR 등 자국을 위한 이기심 극에 달해...국가적 해결책 시급


[보안뉴스= 이성권 한국CISSP협회 회장, 조희준 한국CISSP협회 이사] 최근에 유럽연합의 통합적이고 강력한 개인정보보호법인 GDPR(General Data Protection Regulation, 개인정보보호규약)의 영향으로 대한민국의 국가 입장에서는 정치, 무역, 여행 등에 지대한 영향을 받게 되었다. 또한 대형카드 3사에서 1억 건 이상의 고객정보 유출사건의 경우, 협력업체 직원이 금전적 목적을 갖고 의도적으로 유출한 사건으로 금융권의 개인정보보호 및 정보보호에 대한 문제의식이 사회적으로 큰 혼란으로 대두되었다.

[이미지=iclickart]


GDPR이든 금융권 정보유출 사건이든 그 피해의 몫은 고스란히 정보주체에게 돌아가는 것이 현실이다. 이렇듯 개인정보에 적절한 보호조치 없이는 국가차원에서는 선진국의 경쟁력을 갖출 수 없으며, 민간 기업에서는 비즈니스 수익의 원천이라고 할 수 있는 고객정보(=개인정보)에 심각한 문제가 발생하여 경영수익에 지장을 초래하고 이해관계자들에게 해명책임성에 대한 책임을 다하지 못하게 된다. 정보주체인 개인에게는 치명적인 정신적·물질적 피해를 가져오게 된다.

개인정보에 대한 보호조치, 이제는 국가, 기업 및 개인의 책임
시대를 거듭나면서 각 국가들의 자국적 이기심은 극에 달해 있는 상태이다. 자국의 이익을 위해서는 어떠한 국가차원의 행동이든 과감하게 정치적, 경제적 힘을 동원하고 이행하고 있다. 개인정보에 대한 이러한 국가적 행동의 한 예가 2018년 5월에 국제사회에 적용되는 유럽연합의 GDPR이다.

유럽연합은 연합내의 국가끼리 개인정보에 대한 보호조치 수준을 상대적으로 높이고 이를 EU연합국가에서 통용되는 개인정보보호법(GDPR)으로 정하였다. 그리고 GDPR에 준하는 보호조치 강화를 하지 않는 다른 나라와는 개인정보에 대한 이전, 즉 교류를 인정하지 않겠다는 강력한 제재조치를 주장하고 있다. EU 외의 국가적인 해결책이 시급한 상황이다.

민간기업의 입장에서는 개인정보 유출사고에 대한 대응에 난항을 겪고 있다. 단순한 고객정보(개인정보)의 유출사고에 그치는 것이 아니고, 정보주체에게 직·간접적으로 피해가 생기는 것을 최소화하고 대책을 마련해야 하는 등 대응조치가 매우 복잡하고 힘든 것이 돼버렸다. 또한 일정 숫자 이상의 개인정보 유출의 경우에는 행정안전부 혹은 감독기구에 신고까지 해야 하는 부담과 함께, 이를 언론 등에 노출시킴으로써 대외적인 이미지와 경영수익의 피해규모가 날로 증가하고 있다.

개인의 입장에서는 자신의 개인정보가 유출되므로 인해 피해를 직접 입는 당사자임에는 틀림없다. 이는 헌법에서 인정하는 ‘개인정보자기결정권’에 대한 침해를 의미하기도 한다. 헌법 제17조에 의하여 보호받고 있는 사생활의 비밀과 자유를 근거규정으로 개인정보자기결정권이 기본권으로 보장되고 있다. 개인정보자기결정권이란 정보주체 자신에 관한 개인정보가 언제 누구에게 어느 범위까지 수집되거나 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로서 정보주체가 개인정보의 공개와 이용에 관하여 스스로 통제·결정할 수 있는 권리를 말한다.

개인정보보호법 준수를 위한 진행상황
국가적 차원에서의 개인정보 보호를 위한 노력은 개인정보에 대한 법제화가 대표적이라 할 수 있다. 제·개정된 법규들을 활성화하기 위한 계도와 시행제도의 실시와 점검, 지원 등을 들 수 있다. 개인정보보호법을 실시한지 만 6년을 넘어가면서 대한민국만의 개인정보보호를 넘어, 국제수준에 준하는 개인정보보호의 수준을 제고하기 위한 구체적이고 가시적인 노력이 현실화되고 있다.

개인정보보호법 제정 및 시행(2011.09.30), 주민등록번호 보관 시 암호화 조치 의무화(2004.03.24), 주민번호 수집 법정주의 도입(2014.08.07), 법정·징벌적 손해배상제 도입, 개인정보보호위원회 기능강화(2015.07.24), 개인정보 수집 출처 고지 의무화, 주민등록번호 수집 법정주의 강화(2016.09.30) 등이 대표적인 예이다.

민간기업의 차원에서도 고객, 즉 정보주체의 개인정보보호를 위한 구체적인 노력이 경주되어 왔다. 개인정보보호법의 하위 고시인 ‘표준 개인정보 보호지침(행정자치부 고시 제2017-1호, 2017.7.26.)’ 제29조(개인정보 유출 사고 대응 매뉴얼 등)에 따라, (기관)기업이 유출 사고 발생 시 피해 발생을 최소화하기 위해 마련해야 하는 ‘개인정보 유출 사고 대응 매뉴얼’에 대한 최소한의 사항을 계획수립부터 이행, 점검, 검토 등이 이루어지고 있다.

또한 2016년부터 ‘개인정보보호 자율규제단체 시범 지정·운영’이 실시되면서 모든 산업분야의 개인정보 활용으로 개인정보 유출 위험과 기업의 개인정보 관리 부담이 늘어났다. 이를 바탕으로 개인정보 보호를 위한 자율규제단체를 지정하여 기업의 자율적인 개인정보 보호 활동을 촉진하고자 하는 자발적인 움직임이 시작되어 개인정보보호 자율규제단체 지정·육성이 시행되고 있다(개인정보 보호법 제5조제3항, 제13조제2호, 제4호 및 제5호와 같은 법 시행령 제14조에 근거).

정보주체 측면에서는 개인정보 침해사고 수가 꾸준히 증가하면서 정보주체의 자기결정권을 발휘하고 있으며, 개인정보보호법에 의거하여 열람 청구권, 정정삭제권, 처리정지권 등을 적극적으로 행사하는 사례가 늘어나고 있다.

개인정보 보호 거버넌스의 필요성
아직까지 개인정보보호법에 대한 컴플라이언스의 성숙도가 높아지고 안정되었다고 하기에는 이른 상태로 볼 수 있다. 상대적으로 다른 개인정보보호 선진국에 비해 국가적 차원의 개인정보보호법의 제정과 시행이 몇 년 되지 않으며, 정부주도 및 법에 의한 강제 및 규제사항 등이 주축을 이루고 있다. 민간기업의 경우에도 개인정보보호에 대한 기업의 사회적 책임 측면이나, 경영진의 상당한 주의와 감독 등이 아직은 적극적이고 능동적이지 않을 수 있다.

정보주체의 경우, 자신의 개인정보에 대한 마땅한 권리를 주장하는 기본권마저 관심이 없는 경우가 많다고 할 수 있다. 이에 개인정보보호 거버넌스(Privacy Information Security Governance)의 필요성을 제안하면서 앞으로의 방향이 총체적이고 전체적인 접근방법으로 정주행되어야 할 것이다.

국가 및 정부, 민간기업, 정보주체가 개인정보보호에 대해 서로의 권익을 위해 협치(協治 = Governance)만이 향후 국제사회의 복잡한 이해관계에 대처할 수 있으며, 자국으로서는 국민의 안전한 정보사회가 이루어지리라고 본다.

개인정보보호의 선진국이라는 목표를 달성하기 위해 정부, 민간, 정보주체가 활발하게 협치하면서 의사소통하고, 서로 견제하며, 감시할 수 있도록 법과 제도의 개선과 이에 대한 민간기업의 적극적인 대처와 정보주체인 국민의 적극적 권리행사가 이루어지는 것이 필자가 제안하는 개인정보보호 거버넌스의 구현이라 하겠다.

개인정보보호 거버넌스의 구현을 위한 구체적인 체계수립에는 개인정보보호를 공공/기업 거버넌스의 일부로서 기관장이나 고위 경영진의 책임으로 보는 개인정보 보호 거버넌스가 수립되어 운영되고 모니터링 되어야 한다.

개인정보보호를 위한 거버넌스는 다음과 같은 원칙을 가져야 한다.
첫째, 기획부분과 이니셔티브(initiative)에 고위 경영진의 책임으로 개인정보보호를 주제로 포함시킨다.
둘째, 개인정보보호 체계의 수립과 운영을 위해서는 오너십을 가진 개인정보 최고책임자(CPO: Chief Privacy Officer)의 책임/권한/해명책임성을 확보한다.
셋째, 개인정보보호 체계의 모니터링을 위해서는 개인정보에 관한 감사기능을 강화한다.
[참고: 개인정보 보안 매뉴얼, 2017]

개인정보보호 전문가의 역량
개인정보 보호 거버넌스의 구현을 위한 역할과 책임을 다할 개인정보보호 전문가의 필요성은 4차 산업혁명 등 지능정보화 시대의 필수적인 해법으로 보아야 한다. 개인정보보호 전문가가 갖추어야 할 것, 즉 역량(Capability)적 측면에서 다음과 같은 노력과 연구가 더욱더 필요하다고 할 수 있다.

1) 지식적 측면 : 전문가가 반드시 학습해 자기 내재화해야 한다. 개인정보보호 분야에서는 특히 법이 기본이므로, ‘개인정보보호법’을 기본 지식으로 해야 한다. 또한 정보보호에 대한 관리적·기술적·물리적 보호조치에 대한 지식이 꼭 필요하다고 하겠다. 향후 개인정보보호를 위한 공공기관의 별도 직제 설립, 개인정보보호 전문가를 증명하는 증빙제도와 자격제도 등에 대한 실질적인 고민이 필요하다고 본다.

2) 실무적 측면 : 역량을 갖추는 것에 순서가 있다면 먼저 위에서 얘기한 지식을 내재화하고 그 다음으로는 실무적 측면이다. ‘개인정보보호법’을 준수한다는 것은 개인정보처리자의 조직에서 개인정보 취급자로서의 실무를 해야 할 때다. 조직의 업무가 개인정보를 직·간접적으로 취급하고 있다면 지식의 측면을 갖추고 나서 지식을 적용하는 실무에 전문가적이어야 한다.

3) 문화/윤리적 측면 : 지식과 실무적 측면은 조직문화의 모습에 따라, 그 조직의 윤리적 형태에 따라 개인정보보호에 대한 지식이나 실무가 잘 적용되기도 하고, 혹은 전혀 효력이 없을 수도 있다. 그러므로 경영진의 의지 및 지원, 흔히 ‘Tone at the top’라 할 수 있는 전략, 정책, 절차 및 성과측정 등이 문화적 측면을 좌우한다고 할 수 있다. 개인정보보호를 위한 Tone at the Top을 구체화할 필요가 있으며, 법의 제·개정에 따라 이를 지속적으로 유지 개선할 필요가 있다. 윤리는 조직원들이 공동으로 믿는 신념적인 것으로 ‘옳은 것과 그렇지 않은 것’에 대한 합의이다. 개인정보보호에 대한 사회적 책임, 개인적 책임을 얼마나 절실하게 느끼고 이를 실천하는 것에 따라 윤리적인 측면의 면모가 달라진다고 할 수 있다.

윤리적 바탕으로 개인정보보호에 대한 조직원들의 신념이 조직적 신념으로 현실화 될 필요성이 절실하며, 이를 위한 명확한 윤리정책과 객관적 측정을 통한 상벌이 있어야 할 것이다.
[참고: 개인정보 보안 매뉴얼, 2017]
[글_이성권 한국CISSP협회 회장, 조희준 한국CISSP협회 이사]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)