2012.11.01

칼럼 | 개인정보보호법에 대한 단상(斷想)

정철환 | CIO KR
최근 몇 년 사이에 인터넷 포털, 온라인 쇼핑몰, 금융기관 등에서 해킹 또는 내부자의 소행에 의한 개인정보 무더기 유출 사건이 벌어졌다. 또한 이를 이용한 중국으로부터의 보이스피싱 등의 증가에 대한 우려 등이 큰 사회 문제가 되었다. 정부에서는 이를 방지하기 위해 개인정보보호법을 제정하여 2011년에 공표하였다. 그리고 2012년 말까지 각 기업 및 단체에서는 이에 대한 대응을 완료할 것을 명시하였다. 필자가 속한 기업 역시 개인정보보호법에 대한 대응을 준비하고 있는 상황이다. 본 글에서는 B2B 제조기업에서 개인정보보호법에 대응하면서 필자가 느꼈던 몇 가지를 이야기해 볼까 한다.

우선 법에 의하면 각 기업은 개인정보보호책임자를 선정하여야 하는 것으로 되어 있다. 기업의 규모가 크거나 또는 금융권의 경우 이미 기업보안책임자가 선정되어 있는 경우가 많으므로 개인정보보호책임자를 겸임할 가능성이 크다. 그러나 기업의 규모가 크지 않거나 제조업과 같이 그 동안 보안에 대해 상대적으로 관심도가 적었던 기업에서는 누구를 책임자로 임명하여야 가장 적합할까? 특히 필자가 속한 기업과 같은 B2B 제조업의 경우 고객정보가 대부분 기업정보이며 개인정보에 해당하는 정보는 내부 직원들에 대한 인사정보가 주를 이루고 있는 경우에는 어떻게 해야 할까?

이러한 경우 필자는 인사책임자가 개인정보보호책임자가 되는 것이 바람직하다고 생각한다. 하지만 만약 고객 정보 중에 법에서 명시한 보호 대상정보를 반드시 포함하여야 하고 있어야 하는 경우에는 상황이 좀 더 복잡해 질 수 있다. 영업 마케팅 부서를 비롯하여 여러 조직이 관련된 경우에는 개인정보보호책임자가 전사를 총괄할 수 있는 조직의 책임자가 되어야 할 것이다. 하지만 이 경우에도 IT관리자를 책임자로 임명하는 것은 적합하다고 생각하지 않는다.

IT관리자를 개인정보보호책임자로 지정하고 하는 기업의 임원이나 팀장들이 생각하는 것은 개인정보보호법의 대응이 주로 IT관련 사항이라고 생각하기 때문이다. 하지만 법에서 지정하고 있는 많은 준수사항 중 대부분은 절차와 권한, 관리 기준, 프로세스에 대한 것이다. 따라서 IT부서에만 일임해서는 대응이 완전하지 않다. 이에 대한 인식의 전환이 필요한데 이 부분이 쉽지 않다. 전담 CSO를 임명한 조직에서는 CSO가 중심이 되어 개인정보보호법에 대한 대응을 추진하겠지만 그렇지 않은 조직에서는 대부분 초기 이에 대한 이슈 제기를 IT 부서에서 했던 경우가 많다. 그러다 보니 마치 IT 이슈인 것처럼 인식되었는데 이것이 쉽게 바뀌지 않고 있다. 이에 대한 지속적인 협력과 협의가 필요하다.


한편 IT 측면에서는 사실 오래 전부터 개인정보보호법과 관련된 솔루션 기업으로부터 여러 가지 정보를 얻기도 하고 시중에서 열리는 다양한 개인정보보호법 대응 관련 세미나에 참석을 통해 구체적으로 어떤 것을 해야 하는지 파악을 하고 있을 것이다. 그리고 개인정보를 많이 보유한 기업이나 금융기관의 경우에는 이미 대응 시스템 구축 프로젝트 진행을 완료하였을 것이다. 하지만 앞서 언급한 것과 같이 B2B 제조업의 경우 시스템 내의 고객정보 중에 개인정보보호법에서 보호 대상으로 지정한 정보를 포함하고 있지 않다. 단지 임직원의 인사정보가 주요 대상이 되는데 이것도 꼭 대응을 위해 비용을 들여 시스템 도입을 해야 하나? 하는 생각해 본다.

그래서 자연스럽게 ‘우리 회사와 규모가 비슷한 다른 B2B 제조기업을 어떻게 대응하고 있나’하고 살펴보게 되는데, 다른 기업도 비슷한 생각인지 다들 뚜렷한 시스템 도입 및 개선을 검토만 하고 있는 경우가 많았다. 그런 이유로 아마도 많은 B2B 제조기업들이 아직까지 시스템 대응을 완료하지 못하고 있을 것이다. 하지만 법에서 정한 시한인 2012년 말이 곧 다가오니 어떻게든 대응해야 한다.

시스템을 구현하는 방법으로는 독자적으로 대응 시스템을 구축할 수 있으나 유사한 업종의 계열 기업간에 시스템 대응 요구 내역이 거의 비슷하므로 최근 화두가 되어 있는 클라우드 서비스와 유사하게 IT운영 및 서비스를 담당하고 있는 계열사에서 공통서비스로 추진하면 각사 도입 비용을 절감하고 효과적인 대응이 가능하다고 생각한다.

그런데 여전히 아직까지 마음속에서 떠오르는 생각들이 있다. 개인정보보호법이 워낙 광범위한 기업 및 단체를 대상으로 하기 때문에 이에 대해 모든 대상 기업 및 단체가 대응을 완벽하게 할 수 있을까? 그리고 현실적으로 그렇게 할 수 없다면 정부에서 단속을 까다롭게 할 수 있을까? 아니면 후에 기업들의 민원 또는 요구로 인해 법 적용 대상 기업 및 영역이 바뀔 수도 있지 않을까? 결국 유명무실한 법이 되고 마는 것은 아닐까? 등등이다.

요즘 누구나 자동차에 설치한 내비게이션 기능 중 과속단속 카메라 위치 안내가 법적으로는 불법이라는 것을 알고 있는 사람이 얼마나 될까? 법의 취지와 개인정보보호의 중요성에 대해서는 의의를 제기할 수 없다. 하지만 고객 정보의 대상이 너무 광범위하고 적용 대상 기업에 중소기업까지 모두 포함되어 있어 법에서 정한 대응을 완벽하게 하는 것이 쉽지 만은 않을 것 같은 느낌이다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. ciokr@idg.co.kr
2012.11.01

칼럼 | 개인정보보호법에 대한 단상(斷想)

정철환 | CIO KR
최근 몇 년 사이에 인터넷 포털, 온라인 쇼핑몰, 금융기관 등에서 해킹 또는 내부자의 소행에 의한 개인정보 무더기 유출 사건이 벌어졌다. 또한 이를 이용한 중국으로부터의 보이스피싱 등의 증가에 대한 우려 등이 큰 사회 문제가 되었다. 정부에서는 이를 방지하기 위해 개인정보보호법을 제정하여 2011년에 공표하였다. 그리고 2012년 말까지 각 기업 및 단체에서는 이에 대한 대응을 완료할 것을 명시하였다. 필자가 속한 기업 역시 개인정보보호법에 대한 대응을 준비하고 있는 상황이다. 본 글에서는 B2B 제조기업에서 개인정보보호법에 대응하면서 필자가 느꼈던 몇 가지를 이야기해 볼까 한다.

우선 법에 의하면 각 기업은 개인정보보호책임자를 선정하여야 하는 것으로 되어 있다. 기업의 규모가 크거나 또는 금융권의 경우 이미 기업보안책임자가 선정되어 있는 경우가 많으므로 개인정보보호책임자를 겸임할 가능성이 크다. 그러나 기업의 규모가 크지 않거나 제조업과 같이 그 동안 보안에 대해 상대적으로 관심도가 적었던 기업에서는 누구를 책임자로 임명하여야 가장 적합할까? 특히 필자가 속한 기업과 같은 B2B 제조업의 경우 고객정보가 대부분 기업정보이며 개인정보에 해당하는 정보는 내부 직원들에 대한 인사정보가 주를 이루고 있는 경우에는 어떻게 해야 할까?

이러한 경우 필자는 인사책임자가 개인정보보호책임자가 되는 것이 바람직하다고 생각한다. 하지만 만약 고객 정보 중에 법에서 명시한 보호 대상정보를 반드시 포함하여야 하고 있어야 하는 경우에는 상황이 좀 더 복잡해 질 수 있다. 영업 마케팅 부서를 비롯하여 여러 조직이 관련된 경우에는 개인정보보호책임자가 전사를 총괄할 수 있는 조직의 책임자가 되어야 할 것이다. 하지만 이 경우에도 IT관리자를 책임자로 임명하는 것은 적합하다고 생각하지 않는다.

IT관리자를 개인정보보호책임자로 지정하고 하는 기업의 임원이나 팀장들이 생각하는 것은 개인정보보호법의 대응이 주로 IT관련 사항이라고 생각하기 때문이다. 하지만 법에서 지정하고 있는 많은 준수사항 중 대부분은 절차와 권한, 관리 기준, 프로세스에 대한 것이다. 따라서 IT부서에만 일임해서는 대응이 완전하지 않다. 이에 대한 인식의 전환이 필요한데 이 부분이 쉽지 않다. 전담 CSO를 임명한 조직에서는 CSO가 중심이 되어 개인정보보호법에 대한 대응을 추진하겠지만 그렇지 않은 조직에서는 대부분 초기 이에 대한 이슈 제기를 IT 부서에서 했던 경우가 많다. 그러다 보니 마치 IT 이슈인 것처럼 인식되었는데 이것이 쉽게 바뀌지 않고 있다. 이에 대한 지속적인 협력과 협의가 필요하다.


한편 IT 측면에서는 사실 오래 전부터 개인정보보호법과 관련된 솔루션 기업으로부터 여러 가지 정보를 얻기도 하고 시중에서 열리는 다양한 개인정보보호법 대응 관련 세미나에 참석을 통해 구체적으로 어떤 것을 해야 하는지 파악을 하고 있을 것이다. 그리고 개인정보를 많이 보유한 기업이나 금융기관의 경우에는 이미 대응 시스템 구축 프로젝트 진행을 완료하였을 것이다. 하지만 앞서 언급한 것과 같이 B2B 제조업의 경우 시스템 내의 고객정보 중에 개인정보보호법에서 보호 대상으로 지정한 정보를 포함하고 있지 않다. 단지 임직원의 인사정보가 주요 대상이 되는데 이것도 꼭 대응을 위해 비용을 들여 시스템 도입을 해야 하나? 하는 생각해 본다.

그래서 자연스럽게 ‘우리 회사와 규모가 비슷한 다른 B2B 제조기업을 어떻게 대응하고 있나’하고 살펴보게 되는데, 다른 기업도 비슷한 생각인지 다들 뚜렷한 시스템 도입 및 개선을 검토만 하고 있는 경우가 많았다. 그런 이유로 아마도 많은 B2B 제조기업들이 아직까지 시스템 대응을 완료하지 못하고 있을 것이다. 하지만 법에서 정한 시한인 2012년 말이 곧 다가오니 어떻게든 대응해야 한다.

시스템을 구현하는 방법으로는 독자적으로 대응 시스템을 구축할 수 있으나 유사한 업종의 계열 기업간에 시스템 대응 요구 내역이 거의 비슷하므로 최근 화두가 되어 있는 클라우드 서비스와 유사하게 IT운영 및 서비스를 담당하고 있는 계열사에서 공통서비스로 추진하면 각사 도입 비용을 절감하고 효과적인 대응이 가능하다고 생각한다.

그런데 여전히 아직까지 마음속에서 떠오르는 생각들이 있다. 개인정보보호법이 워낙 광범위한 기업 및 단체를 대상으로 하기 때문에 이에 대해 모든 대상 기업 및 단체가 대응을 완벽하게 할 수 있을까? 그리고 현실적으로 그렇게 할 수 없다면 정부에서 단속을 까다롭게 할 수 있을까? 아니면 후에 기업들의 민원 또는 요구로 인해 법 적용 대상 기업 및 영역이 바뀔 수도 있지 않을까? 결국 유명무실한 법이 되고 마는 것은 아닐까? 등등이다.

요즘 누구나 자동차에 설치한 내비게이션 기능 중 과속단속 카메라 위치 안내가 법적으로는 불법이라는 것을 알고 있는 사람이 얼마나 될까? 법의 취지와 개인정보보호의 중요성에 대해서는 의의를 제기할 수 없다. 하지만 고객 정보의 대상이 너무 광범위하고 적용 대상 기업에 중소기업까지 모두 포함되어 있어 법에서 정한 대응을 완벽하게 하는 것이 쉽지 만은 않을 것 같은 느낌이다.

*정철환 팀장은 삼성SDS, 한양대학교 겸임교수를 거쳐 현재 동부제철 IT기획팀장이다. 저서로는 ‘SI 프로젝트 전문가로 가는 길’이 있으며 삼성SDS 사보에 1년 동안 원고를 쓴 경력이 있다. ciokr@idg.co.kr
X