개인정보보호법 제정, 보안 컨설팅 시장 지속적 ‘순항’ “해당 업무 환경 맞는 규제대응 필요” 오는 9월 개인정보보호법이 시행됨에 따라 기관 및 사업자들의 개인정보보호법 규제 대응이 가속화를 띄고 있다. 기존의 정보통신, 공공, 의료, 교육 분야 등에 대한 각 개별 법령이 개인정보보호법으로 표준화되는 과정이 강력해졌기 때문이다. 개인정보보호법은 각 분야별 권고나 가이드 수준에서 머무르는 단계가 아니기 때문에 기업들이 법적 규제에 대한 대응방안을 어떻게 수립하고 적용할 것인지가 업계 내 이슈로 떠오르고 있다. 최근 개인정보보호 컨설팅의 시장동향과 관련업계의 대응 방안에 대해 살펴봤다. 이지혜 기자 jh_lee@biziton.com 개인정보보호법이 시행되면서 정보보호 컨설팅 시장이 부상하고 있다. 한국인터넷진흥원(KISA)이 발표한 ‘2010 국내 정보보안 산업 실태조사’에 따르면 2009년 약 470억원 규모였던 보안컨설팅 시장은 2010년 595억원에 달해 26.5%의 고성장을 보였다. 또한 2015년까지 연평균 13.7%의 성장률을 기록하면서 957억원 규모로 확대될 것으로 예상된다. 이에 따라 개인정보보호법 제정이 시장 성장에 일조하는 기폭제가 될 것으로 보인다. 당장 올 하반기부터 개인정보보호 컨설팅 시장의 급성장이 전망되며 업계 관계자들은 내년에는 현재 규모의 4~5배 이상 성장할 것으로 내다보고 있다. 사용자들이 과거 단순한 기술적 보호조치 중심에서 관리 프로세스 측면의 중요성을 재인식하고 있기 때문이다. 이에 따라 기업별 점검차원이 아닌 전문가에 의한 평가 및 관리체계 수립 필요성이 대두되고 있다. 행정안전부(이하 행안부)는 시행령과 규칙 등에서 현재 50만개 사업자 수준인 개인정보보호 의무대상을 350만개 사업자로 확대시킨다는 방침이다. 과거 개인정보보호 의무대상에 포함되지 않았던 의료기관뿐 아니라 협회 등 비영리 단체들과 국회, 법원, 중앙선거관리위원회, 헌법재판소 모두가 의무대상에 포함된다. 실제로 지난 3월 개인정보보호법이 공포되고 오는 9월 시행령 발효가 예정됨에 따라 공공기관은 개인정보영향평가를 의무적으로 받아야 하며, 민간 기업 역시 대외신뢰도 향상을 위해 개인정보관리체계(PIMS)인증을 획득하려는 노력이 이어지고 있다. 개인정보보호 첫 단계는 기업의 개인정보 보유 실태와 보호정책에 대해 평가하고 개선책을 마련하는 데에서 출발되기 때문이다. 공공*민간업체 모두에 적용 개인정보에 대한 이슈는 이미 5~6년 전부터 공공기관을 중심으로 개인정보영향평가(PIA) 컨설팅 시장이 형성됐었고, 민간 업체에서는 고객정보보호 측면이 강세였다. 하지만 최근 각종 보안사고와 개인정보 및 보안에 관한 컴플라이언스가 강화되면서 기존 종합보안 컨설팅으로 개인정보보호를 하는 방법에서 보안 컨설팅을 따로 수행하는 경우가 늘고 있다. 국내 보안컨설팅 관련 기업들은 컨설팅뿐 아니라 각 기업의 장점을 결합한 솔루션 기술력을 동원해 차별화 양상을 꾀하고 있다. 외부적으로 차별화된 경쟁력 파악이 어려운 만큼 인력의 경험과 전문성 확보에 주안점을 두는 것도 특징이다. 한 업계 관계자는 “그동안의 컨설팅 방식이 기술을 베이스로 한 법률 해석이었다면 앞으로는 컨설팅과 함께 전문적인 법률서비스가 병행될 것으로 예상된다”며 “대기업의 경우 그동안 숙려와 절차를 거쳐 일부 대응을 해왔지만, 그렇지 못한 중소기업의 경우 다른 실효성 있는 서비스가 제공돼야 한다”고 전망했다. 한편 업계에서 개인정보보호 컨설팅과 함께 관심을 받고 있는 것은 PIMS 인증 컨설팅이다. 지난해 도입된 PIMS 인증제도는 개인정보관리과정, 개인정보보호대책 및 개인정보생명주기 3개 분야의 119개 통제항목과 325개의 세부 점검 사항으로 구성된 개인정보보호에 맞춤화된 관리체계 인증제도이다. 개인정보의 대량 유출사고를 방지하고 기업의 사회적 책임을 명확히 하고자 마련된 제도로, 개인정보를 취급하는 기업이 개인정보에 필요한 보호조치 체계를 구축했는지 점검해 인증해 주고 있다. PIMS는 내부적으로 개인정보 흐름(Life Cycle, 수집-이용-제공-저장-파기)에 대한 실질적인 보호체계와 대외 고객신뢰도 향상, 위규에 대한 벌금완화 등 1석 3조의 효과로 인증에 대한 수요 증가가 예상되고 있다. 올해 PIMS 인증심사를 신청한 기업 및 기관은 현재 포화 상태다. 이 때문에 인증 획득 시기가 내년으로 미뤄지는 경우가 많을 것으로 전망되면서 컨설팅 수요도 지속적으로 발생하고 있다. 경쟁업체들 우위권 선점 경쟁 개인정보보호 시장의 변화가 일어나면서 컨설팅 사업자 간 경쟁도 치열해지고 있다. 각 기업들은 보유하고 있는 차별화 된 특성을 결합한 컨설팅으로 시장 주도권을 확보한다는 방침이다. 현재 보안 컨설팅 시장의 선두주자는 인포섹이다. 컨설팅 매출로 연간 100억원을 돌파한 기업은 인포섹이 업계에서 유일하다. 올해는 140억원을 돌파한다는 게 목표다. 인포섹은 컨설팅 결과에 따라 당사 보유 솔루션과 결합해 동반성장과 함께 시너지를 낸다는 전략으로 컨설팅과 보안 SI를 결합시켜 높은 형태가 많다. 개인정보보호 솔루션인 ‘이글아이’는 개인정보에서 가장 소홀할 수 있는 PC 안에 저장해 놓은 개인정보를 식별하고 법률에서 정한 방식으로 암호화 또는 완전 삭제함으로써 1차적인 정보 유출 방지 활동을 가능하게 한다. 이후 1차 과정에서 식별된 개인정보에 대해 전사적 차원에서 어떻게 보호할 것인가에 대한 정책적 판단 정보를 제공한다. 이외에도 개인정보보호 관련 솔루션 사업 강화를 위해 개인정보 전송 관리 시스템인 ‘C-Trans’ 및 정보유출방지(DLP) 기능을 구현하는 ‘이글아이 for DLP’를 개발*출시하고 있다. ‘C-Trans’는 기관 및 기업이 가지고 있는 개인정보가 사용자에 의해 분실*도난*유출*변조 또는 훼손되지 않도록 하는 솔루션이다. 특히 내*외부로 전송되는 개인정보들에 대해 단일화한 저장*전송 경로를 제공해 비인가 정보의 흐름을 관리함으로써 안정화된 정보저장과 전송환경을 제공하고 있다. 시큐아이닷컴도 행안부에서 고시한 ‘사업자의 개인정보 보호조치 기준’에 부합해 해당 고객사의 특성에 맞는 컨설팅을 포함한 개인정보보호 솔루션 패키지를 상품화한다는 전략이다. 컨설팅을 수행한 후 방화벽, 침입방지시스템(IPS), 가상사설망(VPN), DB 암호화, PC 내 개인정보 검출 및 암호화 솔루션 등을 공급해 보안 SI 기업으로의 입지를 굳힌다는 것이다. 실제로 통합위협관리 제품(SECUI NXG), DDoS 전용 방어 시스템(SECUI NXG D), 보안 취약점 분석 솔루션(SECUI SCAN) 등이 대표적이다. ‘SECUI NXG’는 네트워크에서 발생하는 모든 위협(해킹, 바이러스, 웜, 스팸 등)을 동시에 차단할 수 있는 보안 어플라이언스이다. ‘SECUI NXG D’는 멀티코어가 장착된 하드웨어 성능을 기반으로 한다. 또한 정교한 학습과 행위 기반의 방어 엔진을 통해 웜과 바이러스 등에 의한 DDoS 공격에 대응이 가능하다. ‘SECUI SCAN’은 네트워크 시스템에서 운영 중인 서비스들을 정밀 진단해 보안상 취약점을 찾아내며, 이후 진단 결과 및 조치 방법을 분석해 사용자들에게 제시한다. 이에 따라 시큐아이닷컴은 제품, 보안 컨설팅, 관제노하우를 겸비한 종합 보안 SI 사업 강화를 중점 추진사항으로 정했다. 또 해외사업, 통합 보안서비스 사업, 대규모 솔루션 납품 사업을 집중적으로 추진한다는 전략을 수립했다. DB 보안과 개인정보 검출 등 시큐아이닷컴이 보유하지 않은 부분은 우수한 기업과 협력관계를 통해 진행하고 있다. 한편 안철수연구소는 통합보안 기업이라는 이점으로 컨설팅에서 개인정보 솔루션 맞춤 구축 및 개인정보 특화관제 서비스에 이르기까지 개인정보보호와 관련된 올인원 서비스를 준비 중이다. 안철수 연구소의 ‘개인정보 토털 케어 서비스’는 △개인정보 관리체계 구축 컨설팅 △개인정보 영향평가 △개인정보관리체계(PIMS) 인증 컨설팅 △개인정보보호 인식 변화관리 컨설팅 △개인정보관리 자문 서비스 △개인정보 침해진단 및 대응 서비스 △대인정보 솔루션 구축 △매니지드 프라이버시 케어 서비스(가칭)로 구성된다. 이중 가장 규모가 큰 ‘개인정보 관리체계 구축 컨설팅’은 개인정보 관리현황 분석과 법률 준거성?취약??진단을 비롯해 마스터플랜 수립과 관리체계 구축까지 다루는 주력 제품이다. 또한 ‘개인정보보호 솔루션 통합 구축 서비스’는 다수의 컨설팅 수행경험을 통해 체계화한 개인정보 관리체계 노하우와 솔루션 개발·구축 역량을 종합한 개인정보 올인원 서비스다. 컨설팅 목적 명확해야 보안 컨설팅 기업들은 정보보안 사고를 예방하는 부분도 중요하지만 침해 사고가 발생했을 때 어떻게 대응하느냐가 중요하다고 설명한다. 단순히 개인정보보호법이 발효돼서 접근하는 방식은 지양하면서 뚜렷한 목적을 가지고 컨설팅을 진행해야 한다는 것이다. 예를 들어, 법적인 부분에만 대응을 할 것인지, 전사적으로 개인정보보호에 대해 체계적인 인식 변화부터 할 것인지 여부 등을 정하는 작업이 선행돼야 한다. 특히 개인정보보호 컨설팅은 다른 정보보호 컨설팅보다 시간이 많이 소요되는 작업이기 때문에 이러한 선행 판단이 중요하다는 것이다. 또한 개인정보보호 컨설팅과 솔루션 구축 이후 꾸준한 관리와 기업 내 개인정보 취급자들의 정보에 대한 중요성 인식과 업무 중요도를 강조해야 하는 인식변화 작업이 필요하다고 강조했다. “정보 유출에 대한 통지의무 인식이 급선무” 이수영 인포섹 컨설팅사업본부 본부장 인포섹에 대해 소개한다면? 인포섹은 지식경제부 지정 정보보호전문업체로 KISA/ISMS(Information security management)를 획득하고 이에 준거해 업무를 수행하고 있다. 정보보호 컨설팅, 보안SI, 보안 솔루션 및 보안관제 서비스를 제공하는 종합 정보보호 전문기업이다. 개인정보보호 컨설팅 시장을 어떻게 예측하나? 9월에 개인정보보호법이 발효되지만 올해 당장 수요가 늘어날 것 같지는 않다. 기업들이 법률에 대한 준비를 해야 하고 예산 편성도 주로 10월에 이뤄지기 때문이다. 올해는 법 제정과 관련해 마스터플랜 정도까지 완료하는 기업들이 많을 것으로 예상된다. 지금까지 개인정보보호에 대응이 미숙했던 기업들은 뜬구름 잡기라고 볼 수 있겠지만 각 기업은 분명히 개인정보 유출에 대한 통지 의무가 있다. 기업이 개인정보를 어떻게 관리하고 있는지 주기적으로 점검해야 하는 활동이기 때문에 일회성에 그치는 시장은 아니라고 생각한다. 개인정보보호 컨설팅 시 기업이 고려해야 할 점은? 레퍼런스와 함께 투입된 인적 자원을 잘 살펴봐야 한다. 특히 인적 자원들의 해당 기업에 대한 이해도와 함께 개인정보보호 업무를 해본 인력인지를 확인해야 하며, 그들은 지속적으로 개인정보보호에 관련한 역량과 의지를 갖고 있어야 한다. 또한 컨설팅 자체에만 의지하지 말고 기업에서도 개인정보보안에 대한 기본적인 환경을 구축해 놓아야 한다. “기업 IT 환경에 맞게 구현해야” 남기만 시큐아이닷컴 보안컨설팅팀 차장 국내 개인정보보호 컨설팅 시장 규모는 어떠한가? 정보보호 컨설팅 전문 업체의 전체 매출 중 개인정보보호 컨설팅 매출 규모는 각 업체에 따라 상이하다. 하지만 평균적으로 30~40% 정도가 될 것으로 예상한다. 성장률은 2007년 이후 지금까지 매년 5~10% 정도로 지속적인 성장을 해왔다. 최근 개인정보보호법 공포와 잇따른 개인정보 유출사고 및 금융권 보안사고로 인해 보안 컨설턴트들의 품귀 현상도 벌어지고 있다. 기술적 이슈는 무엇인가? 개인정보 유출에 대한 안전조치 측면으로 볼 수 있다. 안전조치는 근본적으로 유출을 차단하기 위한 조치, 그리고 유출됐지만 암호화 등을 통해 데이터를 정보화하지 못하게 하는 방법으로 구현된다. 암호화의 경우 이미 수년전부터 기술이 적용되기 시작했지만 암호화에 따른 성능 및 키 관리의 난제로 큰 실효성을 얻지 못하고 있었다. 하지만 곧 개인정보보호법을 시행할 예정이어서 반드시 적용해야 할 기술이다. 또 법 규제 범위 내에서 각 기업 IT 환경에 맞게 어떻게 구현하는지가 관건이다. 기업 사용자들에게 조언을 해준다면? 개인정보보호법 시행령이 오는 9월 30일부로 전격 시행됨에 따라 각 기업은 해당 업무 환경 특성에 맞게 규제대응을 위한 적용계획을 수립해야 한다. 또한 자사의 대외적인 신뢰도 제고 측면에서 PIMS 인증 등 공인된 라이선스를 확보할 필요가 있다. “정부 차원 가이드라인 지원 필요” 김형준 안철수연구소 컨설팅팀장 개인정보보호 컨설팅 시장이 수면위로 떠오른 이유는? 법적으로 개인정보를 정의하고 있지만 온라인으로 상거래를 할 때 절대 본인 자체를 확인하는 일이 없다. 개인정보를 자신과 동일시 해야 할 필요성이 있다. 개인정보보호 자체를 보호해야 한다는 의미다. 개인의 주권이 있듯이 개인정보에도 주권이 있다고 생각하면 된다. 여기에 최근 개인정보보호법 시행과 맞물려 시너지 효과를 띄고 있다. 중소기업의 경우 법 대응체제를 구축하려면 힘이 들 수도 있다. 중소기업은 대응 우선순위를 정해 실행해 가는 것이 좋으며 자문서비스를 받는 것도 하나의 방법이다. 기업 규모와 형태에 맞게끔 가이드라인 형태의 컨설팅이나 최소한의 솔루션에 대해 접근하는 것이 좋다. 또한 정부에서도 업종별 리스트나 계획안을 기획해 가이드라인을 제공해주는 방안을 검토해봐야 한다. 컨설팅을 하려는 기업들이 주의할 점이 있다면? 경영진 및 관련 팀에게 컨설팅에 대해 충분히 설명하고 협조를 구해야 한다. 컨설팅 수행 및 결과에 대한 이행을 위해서는 경영진과 관련 팀의 협조가 반드시 필요하기 때문이다. 따라서 컨설팅의 목적과 컨설팅을 통해 얻게 되는 정보보호 성과에 대해서도 현업과 충분한 의견을 나눠야 한다. 전문가 기고 “개인정보보호법 시행 준비를 위한 기업의 효율적인 대응방안” 황보원규 인포섹 컨설팅사업본부 수석컨설턴트 hbwk@skinfosec.co.kr 지난 3월 29일 공포된 ‘개인정보보호법’ 시행일이 석 달 앞으로 다가오면서 개인정보를 처리하는 기업과 공공기관이 분주해지기 시작했다. 그 동안 미뤄왔던 개인정보보호 투자가 불가피해졌지만 법안 해석부터 대응 방안 마련, 개인정보 보호를 위한 체계 마련 등 당장 준비할 것들이 많아졌기 때문이다 오는 9월 30일부터 전면 시행되는 개인정보보호법은 기업과 공공기관의 개인정보보호에 관한 의무가 크게 강화된다. 또한 그동안 정보통신망법, 의료법, 교육법, 신용정보법 등 38개의 개별법을 통해 제시된 상이한 처리기준과 법 적용의 사각 지대의 한계를 극복하고, 개인정보 수집 및 이용, 처리, 파기 단계별 일관된 기준과 원칙을 적용하는 데 큰 의의가 있다. 개인정보보호법은 또한 기업이 개인정보가 분실????변조?훼손되??않도록 안전성 확보에 필요한 다각적인 조치를 수행해야 하는 당위성과 기업의 개인정보보호 관련 조치가 미흡해 사고가 발생 할 경우 해당 기업에게 사회적인 책임을 물을 수 있는 근거를 마련하고 있다. 그렇다면 기업은 개인정보보호법의 시행에 대비하여 어떤 준비를 해야 하는지, 기업이 준비할 수 있는 효과적인 대응방법을 아래 네 가지로 살펴보고자 한다. 첫째, 개인정보보호를 이행하기 위한 개인정보보호 조직의 운영 및 실행력 강화. 개인정보보호 활동의 적극적인 참여와 효과적인 운영을 위해 개인정보보호 전담조직을 마련하고 개인정보보호 정책, 규정 및 지침의 수립과 주기적 검토를 수행해야 한다. 개인정보보호 정책과 규정은 기업의 개인정보보호 활동에 대한 방향성을 제시하고 개인정보를 활용한 비즈니스 수행시 의사 결정의 기준이 된다. 이를 토대로 기업은 개인정보보호에 대한 목표 수준 설정과 추진 전략의 수립, 개인정보보호 관리 지표 수립 및 평가를 통해 개인정보보호 체계를 수립하고 실행력을 강화해야 한다. 둘째, 개인정보보호 실태 점검 및 모니터링 활동 강화. 개인정보 유출 등 발생 가능한 이슈에 대한 사고 예방과 유출 시 즉각적인 조치로 피해 발생을 최소화 할 수 있는 대책은 개인정보 보호현황에 대한 점검과 모니터링에 대한 체계를 마련하는 것이다. 또한 개인정보 유출시 통지?신고제?? 집단분쟁조정제도, 권리침해 중지를 구하는 단체소송 도입으로 국민의 피해구제가 한층 강화되기 때문에, 개인정보보호 활동과 유출 시 대응 주체에 대한 명확화를 통해 고객 접점에 대한 응대 지침을 마련해야 한다. 셋째, 개인정보보호 역량 강화를 위한 구성원 변화관리 추진. 체계적인 개인정보보호 교육을 통해 개인정보 취급자의 기본 소양 함양과 함께 구성원의 변화관리로 개인정보 유출의 위협을 방지해야 한다. 개인정보보호에 대한 변화관리 추진은 우선 리더 계층의 변화를 통해서 사내 구성원의 개인정보보호 마인드를 강화하는 톱다운(top-down) 방식으로 전개되어야 효과적이며, 개인정보보호 교육 콘텐츠의 개발과 구성원의 개인정보 취급 역량 강화를 위한 체계적인 교육 계획 등을 수립 및 추진해야 한다. 넷째, 개인정보보호 관련 공인기관 인증 획득을 통한 신뢰도 강화. 국내 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도를 통해 공인 인증을 취득하는 것은 법률에서 요구하는 개인정보보호에 관한 기업의 최선의 노력을 증빙하는 좋은 방법이 될 수 있으며, 또한 과태료 경감 등의 직접적인 수혜를 받을 수 있다. PIMS 인증은 일회성이 아닌 지속적으로 개인정보보호를 가능하게 하는 일련의 체계로, 국제 개인정보보호 원칙과 국내 법률?규??등에서 요구하는 기준과 대책을 포함한다. 개인정보보호관리체계 인증을 획득하기 위해서는 관련 법령에 따른 준수 의무를 다해야 하며 기술적 관리적인 보호조치를 적절하게 구축하는 것 외에 평가와 감사체계까지 포함한 개인정보 관리체계를 마련해야 하기 때문에 기업의 개인정보 보호수준을 지속적으로 제고할 수 있는 효과가 나타나게 된다. 기업에서는 PIMS 인증을 통해 개인정보 취급 현황 분석, 보호대책 수립/이행, 감사/개선하는 순환체계를 구축하고 이와 함께 개인정보보호에 대해 최고의 업무처리(Best Practice)를 한다는 기업 이미지를 확보한다면 대외 신뢰도 상승과 기업의 브랜드 가치 동반 상승을 기대할 수 있다.