지난 2004년부터 입법이 논의돼 온 개인정보보호법이 지난달 국회 본회의를 통과하면서 9월 본격시행을 앞두고 있다. 이미 국내에서 발생하고 있는 정보유출 사고들은 개인부터 산업정보 유출까지 영역이 다양하게 확산되고 있다. 이같은 사고의 원인은 USB 이동식 저장장치를 비롯해 다양한 매체와 네트워크 이용, 물리적 침입 등이다. 개인정보보호법이 시행되면 일반 기업은 물론 특히 통신사업자들은 더 발빠른 대응책을 마련해야 할 것으로 전망되고 있다. 이지혜 jh_lee@biziton.comLG텔레콤-LG데이콤-LG파워콤 개인정보보호법은 민간과 공공, 온오프라인을 포괄하는 기본법으로 법원 등 헌법기관과 각종 단체, 오프라인 사업자 등 보호조치를 수행해야 하는 모든 개인정보 처리자에 법 적용이 확대되는 것을 의미한다. 이에 따라 기업들은 개인정보보호지침은 물론이고 전반적인 보안정책을 유지시킬 수 있는 체계 마련을 요구받고 있다. 특히 개인정보보호법 시행을 앞두면서 고객정보가 주요 사업기반이 되는 통신업계는 새로운 규제에 맞는 가이드라인을 마련할 필요성을 강하게 요구된다. 최근 통신사업자 측에서 경쟁적으로 확장하고 있는 와이브로, 3G, 무료무선인터넷 서비스와 같이 공간과 이동성의 한계를 허물고 있는 산업군의 경우 대응방안 구축이 필수적이기 때문이다. 다양한 개인정보보호 위험요인 통신사업자에서 직접 서비스 하는 무선인터넷 방식이 점차 확산되고 있다. 와이브로의 경우 지난 2006년부터 시작해 현재 많은 사용자가 가입되어 있고 국내 주요 광역시에도 구축이 완료됐다. 와이브로 서비스를 이용하는 방식에는 와이브로 모뎀을 이용해 접속하는 방식과 와이브로 통신 서비스를 무선 인터넷으로 변환해주는 장비를 이용하는 방법이 있다. 이외에도 최근 와이파이 등 사용자가 쉽게 접근할 수 있는 기술들이 점차 확산되면서 개인정보보호는 늘 위협에 노출돼 있는 상태이다. 특히 이전에는 과도한 과금으로 문제가 됐던 데이터 요금 부분에 대한 정액 상품들이 각 이동통신사별로 출시되면서 사용자들은 큰 요금부담 없이 어디서든 인터넷에 접근할 수 있는 환경이 확산돼 가고 있다. 지난해 10월 KT가 6.2지방선거 운동기간 중 휴대전화 가입자 230만 명에게 376만4357건의 문자메시지를 보내 약 3억 원의 매출액을 올리는 등 10억 원의 과징금 처분을 부여받은 사례를 보아도 개인정보보법에 대한 대책수립이 시급한 상황이다. 이와 관련해 최근 각 대형통신업체들이 관련법 제정과 관련해 어느 정도 준비체계를 갖춰 나가고 있는 것으로 보인다. LG유플러스는 이번 법제정과 관련해 인프라보호와 각 시스템에 대한 암호화 설정 등 보안관련 투자금액을 늘려나간다는 방침이며 KT도 지난해 이용자 개인정보보호교육을 개최한 바 있다. SK텔레콤 역시 CIO가 CISO(최고정보보호책임자)역할을 겸하고 있으며 개인정보보호법이 비즈니스에 미치는 영향력을 파악해 개인정보 유출을 막는데 심혈을 기울인다는 방침이다. 한편 CIO들의 회사 경영목표 달성을 우선할 시 사전 예방적 투자개념이 강한 보안투자엔 소홀해질 수 있다는 지적도 있다. CIO와 CISO의 역할이 상충됨에 따라 CIO와 CISO가 분리 운영돼야 한다는 것이 업계 내 보안 전문가들의 중론이다. 보안교육과 인프라 구축 필요하다 CIO들은 개인정보보호법에 대응하기 위해 직원보안인식교육이 우선돼야 한다고 강조한다. 보안교육 대상은 회사 전 직원이며 보안담당자는 연간 보안 교육계획을 수립해 모든 인력이 자신의 임무에 적합한 정보보안 교육 훈련을 제공할수 있어야 한다는 것이다. 이러한 교육과 훈련은 외부 위탁교육이나 온라인 교육, 그룹웨어를 통한 자료 전달 등으로 사용할 수 있으며 신입사원 입사교육시 정보보안 교육을 포함해 한다는 의견도 일고 있다. 한편 이동식 저장매체 등의 분실과 제 3자의 불법적인 접근을 막기 위해 장치 및 데이터에 적절한 암호화가 이뤄져야 한다고 강조한다. 이에 따라 자동으로 USB장치나 다른 이동매체에 다운로드 되는 모든 정보에 암호를 부여함과 동시에 인증된 사용자들만 접근이 가능한 시스템 구축사례가 증가하고 있다. 한 업계관계자는 “기업경쟁력 강화 및 내·외부에 의한 정보유출방지 작업이 활성화되고 있으나 보다 근본적인 정보유출 방지대책이 기업 내 충분히 뒷받침돼야 한다”고 말했다.