넘쳐나는 정보보호인증, 업계 부담 호소

연보라 기자 bora@ciociso.com

최근 안전행정부가 개인정보를 보유한 공공기관, 민간기관을 대상으로 ‘개인정보보호수준인증제(PIPL: Privacy Information Protection Level)’를 추진한다고 발표함에 따라, 기업들 사이에서 정보보호인증 획득으로 인한 부담을 호소하는 목소리가 또 다시 불거지고 있다.
올해 말 시행을 목표로 추진 중인 PIPL은 개인정보 처리기관이 개인정보보호 활동을 자율적으로 촉진·추진할 수 있도록 해당 기관의 개인정보 보호수준을 점검해 인증마크를 부여하는 제도로 PIMS와 유사한 인증이라고 할 수 있다. PIPL의 등장에 업계에서는 “부처 성과주의로 인증제도를 경쟁적으로 쏟아내고 있다”며 비판의 목소리가 높다.
한 CISO는 “ISMS, ISO27001, PIMS 등 지금도 정보보호 관련 인증이 넘쳐나고 있는데 여기에 또 인증이 추가된다니 부담이 크다”고 토로했다. 특히 금융권은 최근 ISMS가 의무도입 논란이 대두됨에 따라 이중 인증, 중복 인증으로 인한 부담을 호소해오던 만큼, 이번 PIPL 인증에 대해 더욱 불편한 심기를 드러내고 있다. 기존에 국제 인증인 ISO27001을 획득한 금융기관에서는 두 인증이 크로스 체크되는 부분보다는 중복되는 사항이 많고, 인증 획득을 준비할 수 있는 인력 및 비용 등 리소스가 부족한 점을 가장 큰 애로사항으로 꼽고 있다.
한 CISO는 “PIPL 또한 PIMS와 유사한 인증으로 동일한 문제점이 나타날 것이 뻔하다”고 지적했다. 이런 지적에 따라 안행부는 PIPL과 PIMS를 상호인증하는 방안을 방통위와 협의 중인 것으로 알려져 있다. 이미 PIMS를 획득한 기업의 경우에는 일부 추가적인 항목 인증만으로 PIPL 인증을 인정해주는 방안이다.
한순기 안행부 개인정보보호과장은 “ISMS-PIPL을 병행 인증하는 것이 최고의 조합”이라고 추천하며 “만약 기존에 ISMS와 PIMS 인증을 받은 기업의 경우, PIPL 상호인증을 통해 ISMS-PIMS-PIPL로 보다 완벽한 개인정보보호 관리체계가 완성될 수 있을 것”이라고 조언했다.
한 CISO는 “정보보호인증제도는 기업의 정보보호관리체계를 점검하고 보안수준을 높이는 데 유용한 제도임은 분명하지만, 부처 간 성과주의로 중복적인 인증을 쏟아내기보다는 업계 상황을 충분히 고려하고 부처 간 조정을 통해 정보보호 수준을 강화할 수 있는 실질적이고 효율적인 제도로 활용하는 것이 바람직하다”고 강조했다.