Home > 전체기사
개인정보보호 관리체계 인증제도의 의의와 효과
  |  입력 : 2016-07-11 16:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보보호 관리체계 인증, 개인정보 침해사고 확률 현저히 줄여
적절한 대응체계로 보안사고 발생하더라도 피해 최소화


[보안뉴스= 지상호 한국인터넷진흥원 관리체계인증팀장] 개인정보보호 관리체계는 기업(조직)이 수집, 이용, 저장, 파기하는 개인정보 생명주기 단계에 따른 안전성을 확보하기 위해 부분적이고 일회성이며 산발적인 개인정보보호 활동을 균형적이고 지속적이며 체계적인 절차로 수립해 관리하는 일련의 과정을 말한다.


즉, 기업(조직)이 개인정보보호 관리체계를 갖추었다는 것은 스스로 보호해야 할 정보자산을 식별할 수 있고, 그 자산이 어떠한 위험에 직면해 있는지 파악하고 분석할 수 있으며, 이러한 위험에 어떻게 대비해야 하며, 그럼에도 불의의 사태에 직면 했을 때 어떻게 수습해야 하는지 등에 관한 사항을 시스템화해 이행하고 있다는 것을 의미한다.


개인정보보호 관리체계 인증제도
개인정보보호 관리체계 인증제도는 기업(조직)이 스스로 수립·운영하고 있는 개인정보보호 관리체계가 법으로 정한 기준에 적합한지를 심사해 인증하는 제도이다. 이는 주기적인 운동, 식이요법, 예방 접종 등으로 꾸준히 신체를 관리한 사람에게, 병원에서는 건강검진으로 그 사람이 건강함을 객관적으로 말해줄 수 있다는 것과 비교할 수 있다.

하지만 객관적으로 건강하다고 인정받은 사람도 질병에 걸릴 수 있고, 불의의 사고로 건강을 잃을 수도 있는 것은 엄연한 현실이며, 따라서 개인정보보호 관리체계 인증 또한 기업(조직)이 개인정보보안 침해사고로부터 100% 안전하다는 것을 보장하는 것은 아니다.

민간분야의 개인정보보호 수준제고를 위해서는 기업(조직)이 개인정보보호 관리체계를 갖추고 지속적으로 관리해 나감으로써 기업 스스로 개인정보보호 자생력을 확보하는 것이 확실한 해답이다. 정부의 지원 또는 과도한 개입에 의존하는 것은 예산과 인력 측면에서도 한계가 있을 뿐 아니라 그 효과도 일시적일 수밖에 없다.

이러한 관점에서 볼 때, 개인정보보호 관리체계 인증제도는 최소한의 정부개입으로 단기간 내에 기업(조직)으로 하여금 개인정보보호 관리체계 인증기준에 합당한 개인정보보호 수준 에 이를 수 있도록 도와주는, 현존하는 대안 중에서 가장 효율적이면서도 강력하고 실현 가능한 수단 이라고 할 수 있다.

따라서 ISP, 포털, 인터넷 쇼핑몰 등 주요 정보통신서비스 제공자, 보호해야 하는 정보 중 국민들이 제공한 개인정보를 대량으로 처리하는 기업, 연구·개발된 산업기밀로서 국내외 유 출 시에 국가적으로도 큰 피해가 우려되는 기업 등은 개인정보보호 관리체계를 반드시 구축·운영할 필요가 있다.


다만 개인정보보호 관리체계 인증 기업에서도 보안사고는 발생할 수 있다. 어느 시점에서 개인정보보호 관리체계가 느슨하게 운영될 수도 있으며 이는 결국 보안사고의 원인이 될 수 있다. 또한, 모든 시스템과 소프트웨어에는 그간 알려지지 않은 취약점이 있게 마련이고, 이러한 신규 취약점을 노린 새로운 지능적인 공격을 완벽하게 막아내기는 어려울 수 있다.

이 때문에 한국인터넷진흥원은 인증기관으로서 매년마다 5일 내외의 기간을 정해 현장실사와 서면심사를 병행한 인증심사를 진행하고 있고 심사에서 확인된 문제점을 해당 기업(조직)에서 보완조치 하지 않으면 인증을 취소할 수 있다. 따라서 개인정보보호 관리체계 인증기업은 인증심사가 이루어지는 당시의 개인정보보호 관리 수준을 항시 유지하도록 노력해야만 하며 365일 개인정보보호 활동을 성실하게 이행한다면 개인정보 침해사고 확률은 크게 줄어들 것이다.

이처럼 개인정보보호 관리체계가 침해사고를 100% 막아낼 수는 없지만, 제도 자체가 무용지물인 것은 아니다. 기존에 개인정보 침해사고를 당한 조직들이 개인정보보호 관리체계가 존재하지 않았다면 그 피해 범위와 깊이는 훨씬 더 확대됐을 것이기 때문이다.

개인정보보호 관리체계 구축·운영의 효과
개인정보보호 관리체계를 구축·운영함으로써 기업은 개인정보 유·노출사고 및 침해사고 발생의 가능성을 줄이고, 발생된 개인정보 유·노출 및 침해사고로 인한 피해를 최소화 할 수 있다. 또한, 서비스 이용자인 국민의 입장에서는 자신의 개인정보 침해에 대한 우려를 덜 수 있으며, 국가 차원에서는 궁극적으로 개인정보보호 미흡으로 인해 발생할 수 있는 사회적 비용을 줄일 수 있게 된다.

영역별로 좀 더 상세하게 살펴보면, 우선 기업(조직) 측면에서는 경영진을 비롯해 사내 전반적인 정보보호 인식을 높이고, 위험에 대한 면역체계를 갖춤으로써 침해사고 발생 가능성을 줄이는 동시에 침해사고 발생시 피해를 최소화해 궁극적으로 기업의 이익을 극대화할 수 있다. 또한, 국가 인증기관으로부터의 개인정보보호 수준을 인정받음으로써 대외적인 신뢰도와 경쟁력을 제고할 수 있다.


한편, 국민 측면에서는 개인정보보호 관리체계 인증 기업에 자신의 개인정보를 제공하더라도 믿고 맡길 수 있고 안전하게 서비스를 이용할 수 있겠다는 믿음을 가질 수 있다. 국가 측면에서도 온·오프라인 서비스에서 발생할 수 있는 침해사고를 감소시킴으로써 사회적 비용을 줄일 수 있고, 인증 과정을 통해 기업들의 개인정보보호 관련 법(규정) 준수 여부를 확인할 수 있으며, 온·오프라인 공간에서 국민의 인권 및 자산을 보호할 수 있다.

인증 취득하면...사고는 줄이고 피해는 최소화
앞서 언급한 인증의 효과를 정리하면, 우선 개인정보보호 관리체계 인증은 개인정보 침해사고의 확률을 현저하게 줄인다. 침해사고는 대부분 보안 취약점으로 인해 발생하게 되는데, 개인정보보호 관리체계 인증을 취득하기 위해서는 보안 기술적 점검을 실시해 이에 대한 보완조치를 완료해야 한다.

인증기업의 경우 이러한 과정을 통해 적게는 수십 건 많게는 수백 건의 취약점에 대한 보완조치 후 인증을 취득하게 된다. 반대로 말하면, 인증을 받지 않은 기업은 이러한 취약점을 고스란히 안고 있다고 볼 수 있다. 따라서 인증기업과 인증을 받지 못한 기업의 보안사고 발생 가능성에는 실로 엄청난 차이가 있다.

두 번째로는 인증 기업의 경우, 적절한 대응체계로 보안사고가 발생하더라도 그 피해를 최소화 할 수 있다. 예를 들어, 조직이 A라는 서비스와 B라는 서비스를 운영하고 있을 때, 개인정보보호 관리 체계를 유지하지 않은 조직이라면 A서비스가 침해당한 경우 B서비스 역시 연쇄적으로 침해사고가 날 가능성이 높지만, 훌륭한 개인정보보호 관리체계를 유지하고 있는 조직이라면 A서비스의 침해 발생 시 적절한 대응과 교정활동을 통해 B서비스로 피해가 전이되는 것을 사전에 예방할 수 있을 것이다.
[글_ 지상호 한국인터넷진흥원 관리체계인증팀장(jsh@kisa.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)