Home > 전체기사
디지털 비즈니스 환경에서의 개인정보보호와 GRC
  |  입력 : 2016-07-04 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호는 비즈니스 이슈, 전사적 업무로 다루어져야

[보안뉴스= 김정덕 중앙대학교 산업보안학과 교수] 클라우드, 빅데이터, 모바일, 사물인터넷 등 파괴적 기술이 초래하는 사업 기회를 활용함으로써 비즈니스 가치를 창출하고자 하는 디지털 비즈니스 환경에서 개인정보보호는 단순히 IT 문제에 머무르지 않는다.


최근 발생한 상당수 주요 개인정보 유출사례에서도 교훈을 얻을 수 있었던 것처럼 사고의 영향은 고객으로부터 쌓은 신뢰를 크게 해칠 수 있으며 브랜드 이미지에 회복 불가능할 정도의 타격을 줄 수 있을 뿐 아니라, 최고경영층의 형사처벌도 가능하다.

즉, 개인정보보호는 더 이상 IT 이슈가 아닌 비즈니스 이슈로 보아야 하고, 보안부서나 IT 부서의 업무에 그치지 않고 전사적 업무로 다루어져야 한다. 즉 개인정보보호를 위한 기존의 접근방법이 변화해야 한다는 점을 인식해야 한다.

디지털 비즈니스와 개인정보보호 접근방법의 변화 필요성
디지털 비즈니스의 등장으로 물리적 세상과 디지털 세상의 경계가 허물어지고 있으며, 현재의 인간과 업무 중심의 비즈니스 모델에서 사물이라는 주체가 융합되어 새로운 수입, 가치, 시장, 고객을 창출할 수 있는 새로운 비즈니스 모델로 변화하고 있다. 이러한 경영환경 변화 속에는 전통적인 개인정보보호 관련 거버넌스 및 통제의 양상도 변화되어야 한다.

새로운 디지털 기술 적용에 대한 비즈니스의 자율성 요구에 따른 중앙집중적인 IT 조직의 권한 감소, 관리대상(시스템, 단말기, 사물, 데이터, 동적 관계 등)의 급속한 증가에 대처하기 위해서는 전통적인 기술적 보안대책(Perimeter 보안 중심)에는 한계가 있으며 또한 소셜미디어, 스마트의료, 스마트그리드 등 개인정보의 활용과 보호라는 두 마리 토끼를 잡기 위해서는 현재의 개인정보보호 프로그램을 변화시킬 필요가 있다.

새로운 개인정보보호 비전과 원칙
새로운 디지털 비즈니스 환경에서 조직에서 개인정보보호를 위한 비전과 목표는 신뢰와 레질리언스(Trust & Resilience)가 되어야 할 것이다. 개인정보보호가 정보 주체의 프라이버시 보호와 개인정보의 기밀성 보호라는 보편적 관점도 중요하지만 조직 관점에서는 개인정보의 활용과 보호를 통한 비즈니스 가치를 창출하기 위해서는 고객과의 신뢰구축이 중요하며 이를 위해서는 개인정보보호 프로그램의 레질리언스를 실현해야 한다.

신뢰 구축의 중요성은 더 이상 언급할 필요는 없을 정도 중요한 비즈니스적 목표이며, 이와 더불어 레질리언스 개념이 요구된다. 즉, 초연결사회에서는 위험이 도처에 존재하며 상호 관련성이 높으므로 이제는 개인정보 사고가 발생하지 않도록 예방하는 노력도 중요하지만, 개인정보 위협 또는 사고가 발생할 것이라는 사실을 기정사실화하고 이를 신속히 탐지하고 복구할 수 있는 역량을 구현해야 한다.

즉, 개인정보보호를 위한 주된 노력을 예방에서 탐지 및 복구 측면에 보다 집중할 필요가 있다는 점이다. 이렇게 개인정보보호 활동을 ‘신뢰성과 레질리언스’ 구현이라는 비즈니스적 관점에서의 목적 달성을 위해 다음과 같은 원칙들을 수행해야 할 것이다.

△ 체크박스 컴플라이언스가 아닌 위험 기반의 개인정보보호 활동
△ 비즈니스와 개인정보보호의 균형을 위한 조력자로서의 역할 변화
△ 개인정보를 통제하려고 노력하지 말고 개인정보가 어떻게 활용되어야 하는지 결정
△ 기술의 한계를 수용하고 인간 중심의 보호조치 적용
△ 완벽한 예방이 아닌 신속한 탐지 및 대응을 위한 투자

즉, 법에서 요구하는 최소한의 보호조치를 지키기 위한 수동적인 보호조치 수행에 만족하지 않고, 위험의 크기에 따른 우선순위에 기초해 개인정보보호조치에 대한 투자와 활동을 수행해야 한다. 또한, 디지털 비즈니스에 가치를 제공하기 위해서는 지금까지의 수세적인 방어자(Defender) 입장이 아니라 비즈니스 이익과 조직 보호를 동시에 가능케 하는 조력자(Facilitator)라는 균형된 시각을 가져야 할 것이다.

또한, 단순히 보안 관점에서 개인정보를 통제하는 것에서 개인정보가 어떻게 안전하게 활용되어야 하는가를 제시해야 한다. 그리고 기술적 솔루션의 한계를 인식해 기술적 조치에만 전적으로 의존하지 말고, 적절히 동기부여된 조직 구성원이 오히려 가장 강력한 대책이 될 수 있음을 인식함으로써 조직 구성원의 행동 변화와 긍정적 문화 형성을 위한 노력을 게을리 하지 말아야 할 것이다. 마지막으로 앞에서 언급했듯이 완벽한 예방은 불가능하며 오히려 지속적 진단 및 모니터링을 통한 면역체계 구축에 최선을 다해야 한다.

개인정보 안전성 확보조치 개정에 대한 적용
최근 개인정보보호법 고시인 ‘개인정보 안전성 확보조치’가 개정 작업 중에 있다. 현행 기준의 대표적인 문제는 고시에서 요구하는 사항만 만족하면 된다는 수동적인 자세를 조장하게 하는 결과를 초래할 수도 있다는 점이다. 따라서 고시가 사업자들에게 해당 조직에 최적화된 개인정보보호 조치를 구현하려는 노력을 게을리 하게 하고 또한 면죄부와 같은 역할을 할 수도 있다. 즉, 고시에서 요구하는 내용은 모든 사업자에게 적용되는 최소한의 보호조치(Minimum Requirement)이므로 개인정보를 대량으로 보유하고 있는 조직에서는 오히려 적정 보호수준에 도달하지 못하게 될 위험이 있다.

행자부에서 추진하고 있는 안전성 확보조치 개정안은 기존의 획일적 안전조치 적용이라는 틀에서 벗어나 개인정보 보유량 및 개인정보처리자의 특성(규모 등)을 고려하여 안전조치 기준을 3개의 유형으로 구분해 차등 적용하고 있다는 점이 가장 큰 특징이라고 할 수 있다. 또한, 안전조치 내용에 신규 침해위협 및 기술발전 반영, 재해재난 대비 안전조치 의무 신설, 용어에 대한 해석상 혼란 방지 등 안전조치 내용을 보완했다.

▲ 개인정보보호를 위한 프레임워크


이러한 개선으로 인하여 전체적인 보안수준을 상향시키는 데 기여할 것으로 보이고 나아가 보안 투자에도 도움이 될 것으로 판단된다. 참고로 고시 개정안과 같이 기업의 상황이나 개인정보의 보유 현황에 따라 보호조치를 구체화하고 차별화하는 것은 유럽의 ENISA의 가이드라인에서도 권장하고 있으며, 스페인 등에서도 실제 시행하고 있는 내용이다.

그러나 현 고시의 문제점은 앞 절에서 언급했듯이 기술적 보호조치에 치중한 나머지 관리적 보호조치에 대한 고려나 비중이 크지 않다는 점이다. 기술적 보호조치보다는 관리적 보호조치를 강화함으로써 기업의 부담을 줄이는 가운데 보안수준이나 보안역량을 키울 수 있을 것으로 보인다. 이번 고시 개정안은 위험도 분석 및 대응방안 마련 등 어느 정도 관리적 보호조치가 추가되었고, 이로 인하여 보안역량 향상에 기여할 것으로 보인다.

다만 관리적 보호조치를 내부관리계획 부분에만 편성해 규정하고 있는데 별도의 독립적 조문을 할애하여 구체적인 조치로서 강화시키는 것이 바람직하다고 본다. 특히, 개인정보보호책임자의 위상 강화를 유도하고 전사적인 개인정보보호가 가능하게 할 수 있는 거버넌스 관련 조문이 추가되어야 할 필요가 있다.

국가정책기조가 정부 주도, 사전규제에서 벗어나 업계의 특성을 반영할 수 있는 자율규제, 사후규제로의 패러다임 변화가 진행되고 있는 시점에서 본 고시의 개정도 업계의 개인정보보호를 위한 자율역량을 강화시킬 수 있는 방향으로 개정될 필요가 있다.

이를 위해서는 개인정보 활용 및 보호를 위한 최고경영층의 역할과 책임을 명시하는 거버넌스 체계 구축과 더불어 지속적인 개인정보보호 수준 개선을 위한 관리체계 구축을 유도할 수 있는 내용이 포함돼야 한다고 판단된다.
[글_ 김정덕 중앙대학교 산업보안학과 교수(jdkimcau@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트