Home > 전체기사
디지털 비즈니스 환경에서의 개인정보보호와 GRC
  |  입력 : 2016-07-04 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호는 비즈니스 이슈, 전사적 업무로 다루어져야

[보안뉴스= 김정덕 중앙대학교 산업보안학과 교수] 클라우드, 빅데이터, 모바일, 사물인터넷 등 파괴적 기술이 초래하는 사업 기회를 활용함으로써 비즈니스 가치를 창출하고자 하는 디지털 비즈니스 환경에서 개인정보보호는 단순히 IT 문제에 머무르지 않는다.


최근 발생한 상당수 주요 개인정보 유출사례에서도 교훈을 얻을 수 있었던 것처럼 사고의 영향은 고객으로부터 쌓은 신뢰를 크게 해칠 수 있으며 브랜드 이미지에 회복 불가능할 정도의 타격을 줄 수 있을 뿐 아니라, 최고경영층의 형사처벌도 가능하다.

즉, 개인정보보호는 더 이상 IT 이슈가 아닌 비즈니스 이슈로 보아야 하고, 보안부서나 IT 부서의 업무에 그치지 않고 전사적 업무로 다루어져야 한다. 즉 개인정보보호를 위한 기존의 접근방법이 변화해야 한다는 점을 인식해야 한다.

디지털 비즈니스와 개인정보보호 접근방법의 변화 필요성
디지털 비즈니스의 등장으로 물리적 세상과 디지털 세상의 경계가 허물어지고 있으며, 현재의 인간과 업무 중심의 비즈니스 모델에서 사물이라는 주체가 융합되어 새로운 수입, 가치, 시장, 고객을 창출할 수 있는 새로운 비즈니스 모델로 변화하고 있다. 이러한 경영환경 변화 속에는 전통적인 개인정보보호 관련 거버넌스 및 통제의 양상도 변화되어야 한다.

새로운 디지털 기술 적용에 대한 비즈니스의 자율성 요구에 따른 중앙집중적인 IT 조직의 권한 감소, 관리대상(시스템, 단말기, 사물, 데이터, 동적 관계 등)의 급속한 증가에 대처하기 위해서는 전통적인 기술적 보안대책(Perimeter 보안 중심)에는 한계가 있으며 또한 소셜미디어, 스마트의료, 스마트그리드 등 개인정보의 활용과 보호라는 두 마리 토끼를 잡기 위해서는 현재의 개인정보보호 프로그램을 변화시킬 필요가 있다.

새로운 개인정보보호 비전과 원칙
새로운 디지털 비즈니스 환경에서 조직에서 개인정보보호를 위한 비전과 목표는 신뢰와 레질리언스(Trust & Resilience)가 되어야 할 것이다. 개인정보보호가 정보 주체의 프라이버시 보호와 개인정보의 기밀성 보호라는 보편적 관점도 중요하지만 조직 관점에서는 개인정보의 활용과 보호를 통한 비즈니스 가치를 창출하기 위해서는 고객과의 신뢰구축이 중요하며 이를 위해서는 개인정보보호 프로그램의 레질리언스를 실현해야 한다.

신뢰 구축의 중요성은 더 이상 언급할 필요는 없을 정도 중요한 비즈니스적 목표이며, 이와 더불어 레질리언스 개념이 요구된다. 즉, 초연결사회에서는 위험이 도처에 존재하며 상호 관련성이 높으므로 이제는 개인정보 사고가 발생하지 않도록 예방하는 노력도 중요하지만, 개인정보 위협 또는 사고가 발생할 것이라는 사실을 기정사실화하고 이를 신속히 탐지하고 복구할 수 있는 역량을 구현해야 한다.

즉, 개인정보보호를 위한 주된 노력을 예방에서 탐지 및 복구 측면에 보다 집중할 필요가 있다는 점이다. 이렇게 개인정보보호 활동을 ‘신뢰성과 레질리언스’ 구현이라는 비즈니스적 관점에서의 목적 달성을 위해 다음과 같은 원칙들을 수행해야 할 것이다.

△ 체크박스 컴플라이언스가 아닌 위험 기반의 개인정보보호 활동
△ 비즈니스와 개인정보보호의 균형을 위한 조력자로서의 역할 변화
△ 개인정보를 통제하려고 노력하지 말고 개인정보가 어떻게 활용되어야 하는지 결정
△ 기술의 한계를 수용하고 인간 중심의 보호조치 적용
△ 완벽한 예방이 아닌 신속한 탐지 및 대응을 위한 투자

즉, 법에서 요구하는 최소한의 보호조치를 지키기 위한 수동적인 보호조치 수행에 만족하지 않고, 위험의 크기에 따른 우선순위에 기초해 개인정보보호조치에 대한 투자와 활동을 수행해야 한다. 또한, 디지털 비즈니스에 가치를 제공하기 위해서는 지금까지의 수세적인 방어자(Defender) 입장이 아니라 비즈니스 이익과 조직 보호를 동시에 가능케 하는 조력자(Facilitator)라는 균형된 시각을 가져야 할 것이다.

또한, 단순히 보안 관점에서 개인정보를 통제하는 것에서 개인정보가 어떻게 안전하게 활용되어야 하는가를 제시해야 한다. 그리고 기술적 솔루션의 한계를 인식해 기술적 조치에만 전적으로 의존하지 말고, 적절히 동기부여된 조직 구성원이 오히려 가장 강력한 대책이 될 수 있음을 인식함으로써 조직 구성원의 행동 변화와 긍정적 문화 형성을 위한 노력을 게을리 하지 말아야 할 것이다. 마지막으로 앞에서 언급했듯이 완벽한 예방은 불가능하며 오히려 지속적 진단 및 모니터링을 통한 면역체계 구축에 최선을 다해야 한다.

개인정보 안전성 확보조치 개정에 대한 적용
최근 개인정보보호법 고시인 ‘개인정보 안전성 확보조치’가 개정 작업 중에 있다. 현행 기준의 대표적인 문제는 고시에서 요구하는 사항만 만족하면 된다는 수동적인 자세를 조장하게 하는 결과를 초래할 수도 있다는 점이다. 따라서 고시가 사업자들에게 해당 조직에 최적화된 개인정보보호 조치를 구현하려는 노력을 게을리 하게 하고 또한 면죄부와 같은 역할을 할 수도 있다. 즉, 고시에서 요구하는 내용은 모든 사업자에게 적용되는 최소한의 보호조치(Minimum Requirement)이므로 개인정보를 대량으로 보유하고 있는 조직에서는 오히려 적정 보호수준에 도달하지 못하게 될 위험이 있다.

행자부에서 추진하고 있는 안전성 확보조치 개정안은 기존의 획일적 안전조치 적용이라는 틀에서 벗어나 개인정보 보유량 및 개인정보처리자의 특성(규모 등)을 고려하여 안전조치 기준을 3개의 유형으로 구분해 차등 적용하고 있다는 점이 가장 큰 특징이라고 할 수 있다. 또한, 안전조치 내용에 신규 침해위협 및 기술발전 반영, 재해재난 대비 안전조치 의무 신설, 용어에 대한 해석상 혼란 방지 등 안전조치 내용을 보완했다.

▲ 개인정보보호를 위한 프레임워크


이러한 개선으로 인하여 전체적인 보안수준을 상향시키는 데 기여할 것으로 보이고 나아가 보안 투자에도 도움이 될 것으로 판단된다. 참고로 고시 개정안과 같이 기업의 상황이나 개인정보의 보유 현황에 따라 보호조치를 구체화하고 차별화하는 것은 유럽의 ENISA의 가이드라인에서도 권장하고 있으며, 스페인 등에서도 실제 시행하고 있는 내용이다.

그러나 현 고시의 문제점은 앞 절에서 언급했듯이 기술적 보호조치에 치중한 나머지 관리적 보호조치에 대한 고려나 비중이 크지 않다는 점이다. 기술적 보호조치보다는 관리적 보호조치를 강화함으로써 기업의 부담을 줄이는 가운데 보안수준이나 보안역량을 키울 수 있을 것으로 보인다. 이번 고시 개정안은 위험도 분석 및 대응방안 마련 등 어느 정도 관리적 보호조치가 추가되었고, 이로 인하여 보안역량 향상에 기여할 것으로 보인다.

다만 관리적 보호조치를 내부관리계획 부분에만 편성해 규정하고 있는데 별도의 독립적 조문을 할애하여 구체적인 조치로서 강화시키는 것이 바람직하다고 본다. 특히, 개인정보보호책임자의 위상 강화를 유도하고 전사적인 개인정보보호가 가능하게 할 수 있는 거버넌스 관련 조문이 추가되어야 할 필요가 있다.

국가정책기조가 정부 주도, 사전규제에서 벗어나 업계의 특성을 반영할 수 있는 자율규제, 사후규제로의 패러다임 변화가 진행되고 있는 시점에서 본 고시의 개정도 업계의 개인정보보호를 위한 자율역량을 강화시킬 수 있는 방향으로 개정될 필요가 있다.

이를 위해서는 개인정보 활용 및 보호를 위한 최고경영층의 역할과 책임을 명시하는 거버넌스 체계 구축과 더불어 지속적인 개인정보보호 수준 개선을 위한 관리체계 구축을 유도할 수 있는 내용이 포함돼야 한다고 판단된다.
[글_ 김정덕 중앙대학교 산업보안학과 교수(jdkimcau@gmail.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)