2020.09.17

강은성의 보안 아키텍트ㅣ회계사는 개인정보보호 전문가인가?

강은성 | CIO KR
회계사가 개인정보보호 전문가인가? 이 무슨 생뚱맞은 질문인가? 대충 회계와 개인정보가 무슨 뜻인지 구분한다면 머리를 갸우뚱할 것이다. 하지만 법령의 실상은 그리 간단하지 않다. 필자는 개인정보 동네에 발을 들여놓은 뒤 이른바 ‘생계형 법 공부’를 하면서 법이 가정한 현실 그리고 그 법이 실제로 적용되는 현실이 달라서 생기는 부작용을 가끔 보게 된다.
 
ⓒGetty Images

‘공인’인증서 문제에 관한 사회적 합의가 이뤄지면서 그것의 법적 근거였던 전자서명법이 전부개정(2020.12.10 시행)됐고, 그에 따라 소관부처인 과학기술정보통신부는 전자서명법 시행령의 전부개정안을 내놨다. 

개정된 전자서명법에서는 전자문서의 안전성과 신뢰성을 확보할 수 있다는 전제 아래 다양한 인증 방법이 사용될 수 있도록 공인인증기관 대신 전자서명인증 사업자(이하 인증사업자)를 도입했다. 

인증사업자는 ‘전자서명인증업무 운영기준(법 제7조)’을 준수하고 있다는 사실을 ‘평가기관’(제10조)에서 평가받고 그 결과를 ‘인정기관’(제9조)인 한국인터넷진흥원에 제출하여 인정받으면 사업을 할 수 있다. 평가기관의 역할이 매우 중요하다는 점을 알 수 있다.

시행령 개정안에서는 평가기관의 선정기준(제6조 제1항)을 다음과 같이 제시하였다.
 

1. 「민법」이나 그 밖의 다른 법률에 따라 설립된 법인일 것
2. 별표 1에 따른 5인 이상의 전문인력을 상시 고용하고 있을 것
3. 최근 2년 이내에 선정이 취소된 사실이 없을 것
4. 그 밖에 평가 업무 수행을 위하여 필요한 요건·능력을 갖출 것


5인 이상의 전문인력을 확보(제2호)하는 것이 주요 요건 중의 하나다. 전문인력의 요건은 별표 1에 나와 있다.
 

별표 1. ‘평가기관 전문인력 요건’ 
“4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유” 


그리고 바로 뒤에 각 목에서 동등학력(가목), 정보기술 경력(나목), 정보보호 경력(다목), 개인정보보호 경력(라목)을 정의한다. 문제는 그다음 마목이다.
 

“마. 변호사법에 따른 변호사와 회계사 법에 따른 회계사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다.”


회계사는 회계 분야의 전문가로서 공인회계사법에 따라 업무를 하기 위해 면허(라이선스)를 취득해야 하고, ‘주식회사 등의 외부 감사에 관한 법률’에서 기본적인 업무의 수요를 제공해 준다. 의사, 변호사와 마찬가지로 면허 없이는 해당 업무를 할 수 없는 전문직이다. 필자가 30년이 넘게 IT, 보안, 개인정보보호 업무를 해 오면서 필자와 같은 업무를 하는 회계사를 단 한 명도 만나지 못한 주요 이유일 것이다. 

이런 회계사 면허가 개인정보보호 유관 경력으로 인정되는 것도 적절해 보이지 않은데, 심지어 경력이 전혀 없다 하더라도 단지 면허만 있으면 개인정보보호 유관 분야에서 6년 동안 업무를 한 것으로 인정된다. 관련 분야의 박사 학위나 기술사도 해당 분야의 경력 2년이 인정되는데 말이다. 

개인정보보호 박사보다 회계사가 개인정보보호에 관해 훨씬 더 전문가라는 것인지 의문이 들지 않을 수 없다. 변호사에 관해서는 이미 별표1의 나목~라목에서 해당 분야의 “법률 자문 경력”을 포함하고 있어서 마목의 특혜성 변호사 규정이 굳이 필요한가 싶다. 지난 9월 11일에 열린 관련 공청회에서도 비판의 소리가 있었고, 소관 부처에서도 재검토하겠다고 했으니 마목이 삭제되길 기대해 본다.

사실 변호사와 회계사는 이미 수년 전부터 정보통신망법에서 ‘정보보호 기술인력’으로 인정받고 있다. 
 

정보보호 기술인력의 기준(정보통신망법 시행령 제36조의4 별표2)
1. 유관자격이나 유관학력을 보유한 자로서 다음 각 목의 어느 하나에 해당하는 자 
가. 학사 이상의 학위를 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자 
나. 기사 또는 기술사 자격을 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자 
…중략...
2. 다음 각 목의 어느 하나에 해당하는 자
가. 학사 이상의 학위를 취득한 후 4년 이상의 정보보호 유관경력이 있거나 5년 이상의 정보통신 유관경력이 있는 자
…중략...
라. 변호사나 공인회계사로서 2년 이상의 정보보호 유관경력이나 3년 이상의 정보통신 유관 경력이 있는 자


제2호 라목을 제1호의 가목, 나목과 비교해 보면, 변호사와 회계사는 유관 자격이나 유관 학력과 같은 ‘급’으로 인정받음을 알 수 있다. 대부분의 변호사나 회계사가 제2호 가목의 적용을 받을 수 있음에도, 굳이 라목을 만든 이유일 것이다. 법률적으로는 우리나라에 있는 수많은 종류의 자격증과 면허증 소지자 중에 변호사와 회계사는 유관 자격이나 유관 학력으로 인정된 정보보호 ‘기술’인력인 셈이다. 

이 규정은 2013년 3월에 시행된 정보통신망법 정보보호 사전점검(제45조의2)의 하위 시행령에서 처음 도입됐다. 제45조의2에 따르면 “새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려”해야 하고, 과기부 장관은 “정보보호 사전점검 기준’에 따라 보호조치를 하도록 권고할 수 있다.” 

같은 법 시행령 제36조의4(정보보호 사전점검의 방법 및 절차 등)에서는 사전점검을 할 수 있는 사람을 ‘정보보호 기술인력’으로 한정하고, 그 자격 기준을 위에서 본 ‘별표2’에서 정의한 것이다. 누가 봐도 역량 있는 ‘기술인력’이 필요한 업무이다. 

이렇게 변호사와 회계사를 기술인력으로 규정한 ‘정보보호 기술인력’ 요건은 전자서명법 시행령 개정안처럼 비슷한 요건이 필요할 때 이용된다. 예를 들어, 정보보호 및 개인정보 보호 분야에서 일하는 분들이 시간과 노력을 많이 쏟는 자격증 중의 하나가 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증심사원 자격증인데, ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’에서는 인증심사원 자격신청 요건을 다음과 같이 규정한다(고시 제13조 별표 4). 
 

“4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유” 


이어서 각 목에 동등학력(가), 정보기술 경력(나), 정보보호 경력(다), 개인정보보호 경력(라)에 대한 정의가 나오고, 마목에 다음과 같은 규정이 있다.
 

“마. 변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다.”


전자서명법의 인증사업자 평가기관 전문인력에 회계사가 추가되어 있다는 점만 다를 뿐 거의 같은 문장이다. 개인정보보호 분야가 강력한 법적 규제를 받기 때문에 변호사가 할 수 있는 범위가 넓다는 점에 일면 공감이 가면서도 모든 변호사가 개인정보보호 쪽을 잘할까 하는 의문도 있다. 

변호사의 전문 분야가 민법, 형법, 공정거래법 등으로 넓지만 그중 정보보호나 개인정보보호 쪽에서 일하는 분들은 많지 않다. 소송이 많지 않고 그 규모도 크지 않기 때문일 것이다. 특히 ISMS-P 인증심사원의 경력 인정 요건이 까다로워 신청자가 입증자료를 내는 데 어려움을 겪는 현실을 생각하면, 변호사 면허에 6년 경력 인정은 공정하지 않다.

코로나 시국에서 우리가 새삼 깨달은 것이 있다. 대한민국이 GDP 세계 10위권의 경제 강국이자 의료분야를 포함해 웬만한 분야에서 세계적 수준의 전문가와 전문성을 확보한 ‘선진국’이라는 점이다. 

IT, 정보보호, 개인정보보호 분야도 마찬가지다. 법률이나 회계 분야도 아마 그럴 것이다. 한 분야의 전문가를 별로 관련 없는 다른 분야의 전문가로 인정한 법률은 오늘 대한민국에 맞지 않는 옷이다. 이참에 정리해 나가면 좋겠다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr



2020.09.17

강은성의 보안 아키텍트ㅣ회계사는 개인정보보호 전문가인가?

강은성 | CIO KR
회계사가 개인정보보호 전문가인가? 이 무슨 생뚱맞은 질문인가? 대충 회계와 개인정보가 무슨 뜻인지 구분한다면 머리를 갸우뚱할 것이다. 하지만 법령의 실상은 그리 간단하지 않다. 필자는 개인정보 동네에 발을 들여놓은 뒤 이른바 ‘생계형 법 공부’를 하면서 법이 가정한 현실 그리고 그 법이 실제로 적용되는 현실이 달라서 생기는 부작용을 가끔 보게 된다.
 
ⓒGetty Images

‘공인’인증서 문제에 관한 사회적 합의가 이뤄지면서 그것의 법적 근거였던 전자서명법이 전부개정(2020.12.10 시행)됐고, 그에 따라 소관부처인 과학기술정보통신부는 전자서명법 시행령의 전부개정안을 내놨다. 

개정된 전자서명법에서는 전자문서의 안전성과 신뢰성을 확보할 수 있다는 전제 아래 다양한 인증 방법이 사용될 수 있도록 공인인증기관 대신 전자서명인증 사업자(이하 인증사업자)를 도입했다. 

인증사업자는 ‘전자서명인증업무 운영기준(법 제7조)’을 준수하고 있다는 사실을 ‘평가기관’(제10조)에서 평가받고 그 결과를 ‘인정기관’(제9조)인 한국인터넷진흥원에 제출하여 인정받으면 사업을 할 수 있다. 평가기관의 역할이 매우 중요하다는 점을 알 수 있다.

시행령 개정안에서는 평가기관의 선정기준(제6조 제1항)을 다음과 같이 제시하였다.
 

1. 「민법」이나 그 밖의 다른 법률에 따라 설립된 법인일 것
2. 별표 1에 따른 5인 이상의 전문인력을 상시 고용하고 있을 것
3. 최근 2년 이내에 선정이 취소된 사실이 없을 것
4. 그 밖에 평가 업무 수행을 위하여 필요한 요건·능력을 갖출 것


5인 이상의 전문인력을 확보(제2호)하는 것이 주요 요건 중의 하나다. 전문인력의 요건은 별표 1에 나와 있다.
 

별표 1. ‘평가기관 전문인력 요건’ 
“4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유” 


그리고 바로 뒤에 각 목에서 동등학력(가목), 정보기술 경력(나목), 정보보호 경력(다목), 개인정보보호 경력(라목)을 정의한다. 문제는 그다음 마목이다.
 

“마. 변호사법에 따른 변호사와 회계사 법에 따른 회계사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다.”


회계사는 회계 분야의 전문가로서 공인회계사법에 따라 업무를 하기 위해 면허(라이선스)를 취득해야 하고, ‘주식회사 등의 외부 감사에 관한 법률’에서 기본적인 업무의 수요를 제공해 준다. 의사, 변호사와 마찬가지로 면허 없이는 해당 업무를 할 수 없는 전문직이다. 필자가 30년이 넘게 IT, 보안, 개인정보보호 업무를 해 오면서 필자와 같은 업무를 하는 회계사를 단 한 명도 만나지 못한 주요 이유일 것이다. 

이런 회계사 면허가 개인정보보호 유관 경력으로 인정되는 것도 적절해 보이지 않은데, 심지어 경력이 전혀 없다 하더라도 단지 면허만 있으면 개인정보보호 유관 분야에서 6년 동안 업무를 한 것으로 인정된다. 관련 분야의 박사 학위나 기술사도 해당 분야의 경력 2년이 인정되는데 말이다. 

개인정보보호 박사보다 회계사가 개인정보보호에 관해 훨씬 더 전문가라는 것인지 의문이 들지 않을 수 없다. 변호사에 관해서는 이미 별표1의 나목~라목에서 해당 분야의 “법률 자문 경력”을 포함하고 있어서 마목의 특혜성 변호사 규정이 굳이 필요한가 싶다. 지난 9월 11일에 열린 관련 공청회에서도 비판의 소리가 있었고, 소관 부처에서도 재검토하겠다고 했으니 마목이 삭제되길 기대해 본다.

사실 변호사와 회계사는 이미 수년 전부터 정보통신망법에서 ‘정보보호 기술인력’으로 인정받고 있다. 
 

정보보호 기술인력의 기준(정보통신망법 시행령 제36조의4 별표2)
1. 유관자격이나 유관학력을 보유한 자로서 다음 각 목의 어느 하나에 해당하는 자 
가. 학사 이상의 학위를 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자 
나. 기사 또는 기술사 자격을 취득한 후 2년 이상의 정보보호 유관경력이 있거나 3년 이상의 정보통신 유관경력이 있는 자 
…중략...
2. 다음 각 목의 어느 하나에 해당하는 자
가. 학사 이상의 학위를 취득한 후 4년 이상의 정보보호 유관경력이 있거나 5년 이상의 정보통신 유관경력이 있는 자
…중략...
라. 변호사나 공인회계사로서 2년 이상의 정보보호 유관경력이나 3년 이상의 정보통신 유관 경력이 있는 자


제2호 라목을 제1호의 가목, 나목과 비교해 보면, 변호사와 회계사는 유관 자격이나 유관 학력과 같은 ‘급’으로 인정받음을 알 수 있다. 대부분의 변호사나 회계사가 제2호 가목의 적용을 받을 수 있음에도, 굳이 라목을 만든 이유일 것이다. 법률적으로는 우리나라에 있는 수많은 종류의 자격증과 면허증 소지자 중에 변호사와 회계사는 유관 자격이나 유관 학력으로 인정된 정보보호 ‘기술’인력인 셈이다. 

이 규정은 2013년 3월에 시행된 정보통신망법 정보보호 사전점검(제45조의2)의 하위 시행령에서 처음 도입됐다. 제45조의2에 따르면 “새로이 정보통신망을 구축하거나 정보통신서비스를 제공하고자 하는 때에는 그 계획 또는 설계에 정보보호에 관한 사항을 고려”해야 하고, 과기부 장관은 “정보보호 사전점검 기준’에 따라 보호조치를 하도록 권고할 수 있다.” 

같은 법 시행령 제36조의4(정보보호 사전점검의 방법 및 절차 등)에서는 사전점검을 할 수 있는 사람을 ‘정보보호 기술인력’으로 한정하고, 그 자격 기준을 위에서 본 ‘별표2’에서 정의한 것이다. 누가 봐도 역량 있는 ‘기술인력’이 필요한 업무이다. 

이렇게 변호사와 회계사를 기술인력으로 규정한 ‘정보보호 기술인력’ 요건은 전자서명법 시행령 개정안처럼 비슷한 요건이 필요할 때 이용된다. 예를 들어, 정보보호 및 개인정보 보호 분야에서 일하는 분들이 시간과 노력을 많이 쏟는 자격증 중의 하나가 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증심사원 자격증인데, ‘정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시’에서는 인증심사원 자격신청 요건을 다음과 같이 규정한다(고시 제13조 별표 4). 
 

“4년제 대학 졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유” 


이어서 각 목에 동등학력(가), 정보기술 경력(나), 정보보호 경력(다), 개인정보보호 경력(라)에 대한 정의가 나오고, 마목에 다음과 같은 규정이 있다.
 

“마. 변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한 것으로 본다.”


전자서명법의 인증사업자 평가기관 전문인력에 회계사가 추가되어 있다는 점만 다를 뿐 거의 같은 문장이다. 개인정보보호 분야가 강력한 법적 규제를 받기 때문에 변호사가 할 수 있는 범위가 넓다는 점에 일면 공감이 가면서도 모든 변호사가 개인정보보호 쪽을 잘할까 하는 의문도 있다. 

변호사의 전문 분야가 민법, 형법, 공정거래법 등으로 넓지만 그중 정보보호나 개인정보보호 쪽에서 일하는 분들은 많지 않다. 소송이 많지 않고 그 규모도 크지 않기 때문일 것이다. 특히 ISMS-P 인증심사원의 경력 인정 요건이 까다로워 신청자가 입증자료를 내는 데 어려움을 겪는 현실을 생각하면, 변호사 면허에 6년 경력 인정은 공정하지 않다.

코로나 시국에서 우리가 새삼 깨달은 것이 있다. 대한민국이 GDP 세계 10위권의 경제 강국이자 의료분야를 포함해 웬만한 분야에서 세계적 수준의 전문가와 전문성을 확보한 ‘선진국’이라는 점이다. 

IT, 정보보호, 개인정보보호 분야도 마찬가지다. 법률이나 회계 분야도 아마 그럴 것이다. 한 분야의 전문가를 별로 관련 없는 다른 분야의 전문가로 인정한 법률은 오늘 대한민국에 맞지 않는 옷이다. 이참에 정리해 나가면 좋겠다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr

X