Home > 전체기사
개인정보보호 관리체계 인증제도의 의의와 효과
  |  입력 : 2016-07-11 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호 관리체계 인증, 개인정보 침해사고 확률 현저히 줄여
적절한 대응체계로 보안사고 발생하더라도 피해 최소화


[보안뉴스= 지상호 한국인터넷진흥원 관리체계인증팀장] 개인정보보호 관리체계는 기업(조직)이 수집, 이용, 저장, 파기하는 개인정보 생명주기 단계에 따른 안전성을 확보하기 위해 부분적이고 일회성이며 산발적인 개인정보보호 활동을 균형적이고 지속적이며 체계적인 절차로 수립해 관리하는 일련의 과정을 말한다.


즉, 기업(조직)이 개인정보보호 관리체계를 갖추었다는 것은 스스로 보호해야 할 정보자산을 식별할 수 있고, 그 자산이 어떠한 위험에 직면해 있는지 파악하고 분석할 수 있으며, 이러한 위험에 어떻게 대비해야 하며, 그럼에도 불의의 사태에 직면 했을 때 어떻게 수습해야 하는지 등에 관한 사항을 시스템화해 이행하고 있다는 것을 의미한다.


개인정보보호 관리체계 인증제도
개인정보보호 관리체계 인증제도는 기업(조직)이 스스로 수립·운영하고 있는 개인정보보호 관리체계가 법으로 정한 기준에 적합한지를 심사해 인증하는 제도이다. 이는 주기적인 운동, 식이요법, 예방 접종 등으로 꾸준히 신체를 관리한 사람에게, 병원에서는 건강검진으로 그 사람이 건강함을 객관적으로 말해줄 수 있다는 것과 비교할 수 있다.

하지만 객관적으로 건강하다고 인정받은 사람도 질병에 걸릴 수 있고, 불의의 사고로 건강을 잃을 수도 있는 것은 엄연한 현실이며, 따라서 개인정보보호 관리체계 인증 또한 기업(조직)이 개인정보보안 침해사고로부터 100% 안전하다는 것을 보장하는 것은 아니다.

민간분야의 개인정보보호 수준제고를 위해서는 기업(조직)이 개인정보보호 관리체계를 갖추고 지속적으로 관리해 나감으로써 기업 스스로 개인정보보호 자생력을 확보하는 것이 확실한 해답이다. 정부의 지원 또는 과도한 개입에 의존하는 것은 예산과 인력 측면에서도 한계가 있을 뿐 아니라 그 효과도 일시적일 수밖에 없다.

이러한 관점에서 볼 때, 개인정보보호 관리체계 인증제도는 최소한의 정부개입으로 단기간 내에 기업(조직)으로 하여금 개인정보보호 관리체계 인증기준에 합당한 개인정보보호 수준 에 이를 수 있도록 도와주는, 현존하는 대안 중에서 가장 효율적이면서도 강력하고 실현 가능한 수단 이라고 할 수 있다.

따라서 ISP, 포털, 인터넷 쇼핑몰 등 주요 정보통신서비스 제공자, 보호해야 하는 정보 중 국민들이 제공한 개인정보를 대량으로 처리하는 기업, 연구·개발된 산업기밀로서 국내외 유 출 시에 국가적으로도 큰 피해가 우려되는 기업 등은 개인정보보호 관리체계를 반드시 구축·운영할 필요가 있다.


다만 개인정보보호 관리체계 인증 기업에서도 보안사고는 발생할 수 있다. 어느 시점에서 개인정보보호 관리체계가 느슨하게 운영될 수도 있으며 이는 결국 보안사고의 원인이 될 수 있다. 또한, 모든 시스템과 소프트웨어에는 그간 알려지지 않은 취약점이 있게 마련이고, 이러한 신규 취약점을 노린 새로운 지능적인 공격을 완벽하게 막아내기는 어려울 수 있다.

이 때문에 한국인터넷진흥원은 인증기관으로서 매년마다 5일 내외의 기간을 정해 현장실사와 서면심사를 병행한 인증심사를 진행하고 있고 심사에서 확인된 문제점을 해당 기업(조직)에서 보완조치 하지 않으면 인증을 취소할 수 있다. 따라서 개인정보보호 관리체계 인증기업은 인증심사가 이루어지는 당시의 개인정보보호 관리 수준을 항시 유지하도록 노력해야만 하며 365일 개인정보보호 활동을 성실하게 이행한다면 개인정보 침해사고 확률은 크게 줄어들 것이다.

이처럼 개인정보보호 관리체계가 침해사고를 100% 막아낼 수는 없지만, 제도 자체가 무용지물인 것은 아니다. 기존에 개인정보 침해사고를 당한 조직들이 개인정보보호 관리체계가 존재하지 않았다면 그 피해 범위와 깊이는 훨씬 더 확대됐을 것이기 때문이다.

개인정보보호 관리체계 구축·운영의 효과
개인정보보호 관리체계를 구축·운영함으로써 기업은 개인정보 유·노출사고 및 침해사고 발생의 가능성을 줄이고, 발생된 개인정보 유·노출 및 침해사고로 인한 피해를 최소화 할 수 있다. 또한, 서비스 이용자인 국민의 입장에서는 자신의 개인정보 침해에 대한 우려를 덜 수 있으며, 국가 차원에서는 궁극적으로 개인정보보호 미흡으로 인해 발생할 수 있는 사회적 비용을 줄일 수 있게 된다.

영역별로 좀 더 상세하게 살펴보면, 우선 기업(조직) 측면에서는 경영진을 비롯해 사내 전반적인 정보보호 인식을 높이고, 위험에 대한 면역체계를 갖춤으로써 침해사고 발생 가능성을 줄이는 동시에 침해사고 발생시 피해를 최소화해 궁극적으로 기업의 이익을 극대화할 수 있다. 또한, 국가 인증기관으로부터의 개인정보보호 수준을 인정받음으로써 대외적인 신뢰도와 경쟁력을 제고할 수 있다.


한편, 국민 측면에서는 개인정보보호 관리체계 인증 기업에 자신의 개인정보를 제공하더라도 믿고 맡길 수 있고 안전하게 서비스를 이용할 수 있겠다는 믿음을 가질 수 있다. 국가 측면에서도 온·오프라인 서비스에서 발생할 수 있는 침해사고를 감소시킴으로써 사회적 비용을 줄일 수 있고, 인증 과정을 통해 기업들의 개인정보보호 관련 법(규정) 준수 여부를 확인할 수 있으며, 온·오프라인 공간에서 국민의 인권 및 자산을 보호할 수 있다.

인증 취득하면...사고는 줄이고 피해는 최소화
앞서 언급한 인증의 효과를 정리하면, 우선 개인정보보호 관리체계 인증은 개인정보 침해사고의 확률을 현저하게 줄인다. 침해사고는 대부분 보안 취약점으로 인해 발생하게 되는데, 개인정보보호 관리체계 인증을 취득하기 위해서는 보안 기술적 점검을 실시해 이에 대한 보완조치를 완료해야 한다.

인증기업의 경우 이러한 과정을 통해 적게는 수십 건 많게는 수백 건의 취약점에 대한 보완조치 후 인증을 취득하게 된다. 반대로 말하면, 인증을 받지 않은 기업은 이러한 취약점을 고스란히 안고 있다고 볼 수 있다. 따라서 인증기업과 인증을 받지 못한 기업의 보안사고 발생 가능성에는 실로 엄청난 차이가 있다.

두 번째로는 인증 기업의 경우, 적절한 대응체계로 보안사고가 발생하더라도 그 피해를 최소화 할 수 있다. 예를 들어, 조직이 A라는 서비스와 B라는 서비스를 운영하고 있을 때, 개인정보보호 관리 체계를 유지하지 않은 조직이라면 A서비스가 침해당한 경우 B서비스 역시 연쇄적으로 침해사고가 날 가능성이 높지만, 훌륭한 개인정보보호 관리체계를 유지하고 있는 조직이라면 A서비스의 침해 발생 시 적절한 대응과 교정활동을 통해 B서비스로 피해가 전이되는 것을 사전에 예방할 수 있을 것이다.
[글_ 지상호 한국인터넷진흥원 관리체계인증팀장(jsh@kisa.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제