보안의식 주가 올린 효자종목은 ^개인정보보호법^ 개인정보 대체 방안은 여전히 남은 과제 10월부터 본격적으로 시행하는 개인정보보호법 시행을 앞두고 관련 업계가 분주하다. 금융권의 경우 현실적으로 무리가 있다는 인식이 많다. 가장 큰 이유는 금융권과 쇼핑몰 등 개인정보를 취급하는 데 있어 접근 방식이 다른 상황에서 행안부와 금융위원회 등이 추진한 금융권 개인정보보호법이라고 보기 때문이다. 금융권은 또 인터넷 업체와 달리 개인정보를 보호하기 위한 안정적인 시스템을 갖추고 있고 유출 문제 또한 금융권에서는 거의 일어나지 않았다는 점을 강조한다. 이와 함께 개인정보를 암호화하는 방안의 경우 현실성이 떨어진다는 입장이 많다. 암호화와 복호화를 하기 위해서는 막대한 비용과 시간이 들어가야 하는데, 이를 위한 재원을 마련하는 데 어려움이 크기 때문이다. 이보다는 현재 구축해놓은 시스템을 활용한 유출 방지 대책이 더 합리적이라고 주장한다. 금융권의 이 같은 입장이 부각되면서 정부 측도 한 걸음 물러서는 입장으로 가닥이 잡히고 있다. 제조업계도 개인정보보호법 실효성 논란과 관련해 금융권과 비슷한 상황이다. 사업자들에게 의무화될 것으로 알려졌던 개인정보 암호화 등 안전성 조치 규제 강도가 정보통신망법에 비해 완화될 것이란 전망이 나온 것이 이를 확인할 수 있게 해주는 단적인 사례다. 하지만 개인정보를 보호하기 위한 노력도 꾸준히 하고 있다. 포털 업체들의 경우 사내 전문팀과 협의체를 구성해 실시간 소통을 하는 방안을 적극적으로 시행하고 있다. 사내 교육 강화, 문제 발생시 즉각 보고 등의 정책을 수립해 추진하는 곳도 많다. 기존과는 분위기가 사뭇 달라졌다. 벤더나 컨설팅 업계의 경우 개인정보보호법 시행은 보안에 대한 인식을 새롭게 할 수 있는 기회를 제공해준다는 입장이 많다. 이번 법 시행은 시기적으로 늦은 감은 있다. 그나마 이제부터라도 시행하게 돼 다행이라는 말도 많이 나온다. 앞으로 더 큰 문제를 막기 위한 조치를 법으로 의무화했기 때문이다. 각종 대형 사고가 터진 후 법 시행을 서두르고 있다는 생각 때문에 사후약방문(死後藥方文) 처방이라는 주장도 있다. 하지만 가래로 막을 수 있는 사고를 호미로 막을 수 있게 해준다면 개인정보보호법은 나름의 역할을 한다고 보는 게 자연스럽다. 개인정보보호법 시행을 앞두고 IT 업계는 어떤 준비를 하고 있는지 조망해봤다. CONTENTS PART Ⅰ. 금융권 준비 동향 - 소 잃기 전에 외양간 고친다_ p28 PART Ⅱ. 일반기업 준비 동향 - ‘사소한 것까지 챙긴다’_ p34 PART Ⅲ. 벤더·컨설팅 업계 준비 동향 - 개인정보보호법 시행 계기로 ‘생각을 바꿔라’_ p37 PART Ⅰ. 금융권 준비 동향 소 잃기 전에 외양간 고친다 예산*시간 등 현실에 맞춰 개인정보보호 방안 추진 금융권은 개인정보보호법 시행에 대해 현실적으로 어려움이 많다고 호소하고 있다. 우선 물리적인 시스템에서 생기는 문제점이다. 암호화·복호화 과정에서 생기는 시스템 성능 저하 문제다. 또 데이터 처리 시간이 크게 늘어나 원활한 운영에 차질이 생길 수 있다는 점, 그리고 시스템을 추가하는 데 필요한 투자비용 문제도 빼놓을 수 없다는 입장이다. 이와 함께 금융권은 안정적으로 시스템을 운영하고 있고 개인정보 유출도 거의 없는 상황에서 인터넷 관련 업체들의 문제를 금융권까지 확대하는 것은 적절하지 않다는 명분도 주요 이유에 속한다. 이 때문에 금융권은 다른 업계와는 달리 현재의 시스템을 그대로 유지하면서 개인정보 유출을 막기 위한 최선책을 강구할 수 있도록 해줘야 한다고 주장한다. 예산이나 시간 등 현실적인 문제를 해결하기 위해 무리하는 것보다 내실을 찾을 수 있는 방안을 추진해야 한다는 것이다. 소를 잃지 않도록 사전에 외양간을 충실하게 관리하겠다는 입장이다. 김종영 편집장 sisacolumn@gmail.com 법 시행보다 실효성 있는 실행 방안이 더 중요 개인정보 유출 사고가 커지면서 정부가 시행하기로 한 개인정보보호법은 개인정보보호와 관련해 획기적이라는 말이 나올 만큼 긍정적인 평가가 대부분이다. 또 개인정보보호는 관련 기술의 문제가 아니라 법이나 제도의 문제라는 지적도 있다. 법 시행과 관련해 증권업계의 한 관계자는 “개인정보의 안전한 처리를 위한 세부 조치로, 주민등록번호 외의 회원 가입 방법 제공, 고유 식별 정보 암호화 등 실질적인 개인 정보 보호 방법에 대해 제도로써 그 기준을 제공하는 실효성 있는 방향으로 추진되고 있다고 생각한다”고 말했다. 개인정보보호법이 발의되기 전에는 ‘공공기관의 개인정보보호에 관한 법률’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 등을 나누어 적용함에 따라 법 적용의 사각지대가 발생했다. 또한 각 법마다 요구하는 바가 달라 개인정보보호 업무를 추진하는 데 있어 애로사항이 많았던 것이 현실이었다. 하지만 ‘개인정보보호법’ 제정은 개인정보보호에 대한 일반법이 필요한 상황을 해결했다는 점과 이에 따른 개인정보보호의 새로운 전기를 마련할 바탕이 될 것이라는 점에서 기대를 모으고 있다. 그러나 시행을 앞두고 있는 만큼 아직 미비한 부분도 있다. 공공기관의 한 임원은 “9월 30일에 법을 시행함에도 불구하고 아직까지 시행령이나 시행규칙, 또 그에 따른 고시 등이 확정되지 못한 상황이다. 또 적용해야 할 정보보호기술이나 필요한 예산의 확충 측면에서도 충분한 유예 기간을 주지 않고 있다”며 문제점을 지적했다. 공공기관의 경우 이 법을 시행하는 데는 정보화 예산과는 별도의 예산이 필요한 상황이어서 예산 문제가 명확하지 않다는 점도 해결할 과제라고 설명했다. 법 시행상의 문제점은 금융권의 다른 관계자의 입장도 크게 다르지 않았다. 그는 “이번 개인정보보호법은 3월 29일 제정하고, 6개월 뒤인 9월 30일에 시행할 예정이다. 법에 대한 정확한 이해와 준비를 하기에는 너무 짧은 기간이다. 금융권의 경우 이번처럼 대대적이고 종합적인 보호 대책을 마련하려면 금융위와 금감원이 가이드라인을 발표한 후 6개월 이상의 시간이 필요할 것으로 예상된다. 명확하고 구체적인 지침이 미약한 상황에서 법을 시행하기 때문에 생기는 문제다. 정보보호는 지속적인 관리가 필요한 영역이다. 이 같은 문제를 고려해 시행시기를 연장하는 방안도 고려해야 한다”고 말했다. 결국 단계적으로 수행해야 실효성 있는 법 적용이 가능하고, 불필요한 법적 분쟁의 소지를 줄일 수 있는 준비 기간이 필요한데도 법 시행을 지나치게 서두른다는 지적이다. 이와 관련 은행권의 한 임원은 “개인정보보호의 사각지대를 없애고 여러 부처로 흩어져 있던 관련 법률들을 일원화 한 것은 좋으나 규제 위주의 정책 제정에 대한 실효성과 현실적 적용에 대해서는 우려가 있다”면서 “법 시행에 대한 혼란을 막고 법의 조기 정착을 위해서는 관련 부처의 구체적 지침과 가이드라인이 필요하다”고 밝혔다. 사정이 이렇다 보니 법 시행보다 실효성 있는 실행 방안이 더 중요하다는 의견도 만만치 않다. 한 관계자의 말이다. “이미 시장에는 개인정보를 보호하기 위한 다양한 기술과 제품이 소개되어 있고, 제도나 법도 일부 문제는 있지만 근간은 마련되어 있는 상태다. 근본적인 문제는 각종 인터넷 서비스를 제공하면서 개인정보를 수집하고 있는 서비스 제공사의 인식에 있다. 서비스 제공사의 정보보호에 대해 인식을 전환하기 위해 법이나 제도의 수립이 필요하지만, 더 중요한 것은 서비스 제공사가 이 법에 대해 정확하게 이해하고, 어떤 대응을 해야 하는지 인지하도록 하는 게 더욱 중요하다. 하지만 현재 이 법에 대한 대응과 준비는 극히 부분적으로만 이루어지고 있어 상당수 전문가들은 범법자만 양산하는 것에 대해 걱정하고 있다.” 한 은행 관계자는 관련 법에 중복되는 부분이 있어 금융기관이 다소 혼란스러울 수 있다는 점을 지적했다. 이 관계자는 “현재 신용정보의 오용이나 남용으로부터 사생활을 보호하기 위한 ‘신용정보이용 및 보호에 관한 법률’ 등에 따라 금융기관은 고객정보를 보호하고 있으나 이 법과 개인정보보호법이 중복되는 부분이 상당하다. 이로 인해 금융기관들이 다소 혼란스러울 가능성도 있다”고 말했다. 그는 또 “개정·시행할 예정인 ‘전자금융감독규정’ 등 보안 관련 법규와도 관련되거나 연계되는 사항이 많아 각 법령에 대한 개별적인 접근 및 대응이 어려운 상황이지만 개인정보보호보법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀을 보호할 수 있도록 기준과 방향성을 명확히 했다는 점에서 의미가 크다고 할 수 있다”는 말도 덧붙였다. 과도한 정보 수집 불필요, 대체수단으로 해결해야 개인정보보호 문제와 관련해 보안을 강화해서 해결할 수 있는 문제가 아니라 과도한 개인정보 수집이 문제라는 지적이 많다. 이는 또 현재 보유하고 있는 개인정보 처리 문제와 맞물려 있다. 현재 대다수 사이트들은 사용자 인증(User Authentication)이라는 본연의 목적 외의 정보를 수집하고 있다. 이는 마케팅을 통한 부가적인 수입을 목적으로 하고 있다는 것에 대해서는 이견이 없다. 때문에 자동가입, 제휴 등의 사용자 편의를 내세우고 있지만 짧은 시간 내에 가입 업무를 처리하고자 하는 개인에게 이런 저런 판단을 요구하는 것은 문제가 많다는 게 관계자들의 주장이다. 공공기관의 한 관계자는 이에 대해 “과도한 개인정보 수집이라는 부분은 우리나라의 사회적 상황과 관계가 깊다고 봐야 한다. 우리는 온*오프라인 상에서 개인을 식별하는 방법으로 본인의 개인정보를 가장 많이 활용하고 있는데, 이 부분이 근본적인 문제다. 이에 대한 해결방안을 먼저 논의하고 정리가 된다면 과도한 개인정보 수집이 문제라는 부분은 자연적으로 해결될 것으로 생각한다”고 말했다. 생명보험사 관계자는 정보수집에 대해 “기업의 입장에서는 또 다른 영업기회의 창출로 연결해 (개인정보를) 사용할 수도 있으니, 일단 먼저 수집하고 보자는 생각이 많았던 것은 사실”이라며 “현재 보유하고 있는 개인정보 중에서 주민번호, 여권번호, 운전면허번호, 외국인등록번호 등 고유 식별 정보는 암호화를 적용하고, I-PIN 등 고유 식별 정보 대체 수단도 확대해 적용할 예정”이라고 밝혔다. 증권사 관계자도 비슷한 입장을 밝혔다. 현재의 개인정보는 기업의 고객 서비스를 위해 보유해야 하는 최소한의 정보였다는 것이다. 하지만 고객의 개인정보를 대체할 수 있는 수단이 제시되고, 사회적 합의가 이뤄지고 있는 만큼 이를 적극 수용해 보안 측면에서 개인정보 보관, 처리의 방법을 강화할 수 있을 것으로 전망했다. 최근 정부와 한나라당은 개인정보 유출 사건과 관련해 인터넷 실명제를 축소하는 방안을 추진하겠다고 밝힌 바 있다. 그러나 금융권은 업무 특성에 따라 입장에 차이가 있다. 생명보험사 관계자는 “역설적으로 유출될 수 있는 정보를 가지고 있지 않으면 ‘유출’이란 말이 무의미해진다. 수집하는 정보를 업무 상 꼭 필요한 정보만으로 한정해 최소화한 후 관리적·물리적 보호 절차를 적용하고 상시 모니터링이 중요하며 용도가 없어지면 즉시 삭제하는 절차도 꼭 필요하다”고 말했다. 반면 은행권의 한 관계자는 금융업무 특성상 개인의 신용관련 정보가 될 수 있는 집 주소, 평형, 가족관계 등의 개인정보는 수집이 필요하며, 이러한 정보는 심사 분석 등 업무 형태에 따라 최소한의 정보로 활용하도록 하는 게 바람직하다고 말했다. 이 관계자는 “현재 은행에 보관된 개인정보는 이미 시행 중인 신용정보의 이용 및 보호에 관한 법률에 따라 적절한 보안 대책을 적용해 보관·관리하고 있으나 개인정보보호법에 따라 좀 더 강화할 부분이 있다면 검토해 보완할 예정”이라고 덧붙였다. 또 다른 관계자는 “인터넷 실명제는 익명성에 따른 부작용을 방지하기 위해 필요한 부분에 적용하고 있는 것이므로 개인정보 유출을 막기 위해 실명제를 포기하는 것은 문제가 있다”고 지적했다. 그는 실명제를 위해 개인정보를 등록해야 하는 회원제 방식 외에 공인인증서, 주민번호 확인 등을 통해 일시적인 회원 자격을 부여하는 방식도 사용자가 편리하게 이용할 수 있도록 서비스 제공사들이 웹사이트를 구성하면, 개인정보 유출 방지에 큰 도움이 될 것이라는 방안도 제시했다. 특히 서비스 제공사의 각종 사이트에 적용하고 있는 개인정보 유출방지 정책이 안전한 것인지를 판단해 줄 제3자가 필요하며, 정보보호 대책의 노출은 해킹의 빌미가 될 수 있으므로 공신력 있는 기관이 이를 담당하는 방안도 생각해 볼 수 있다고 말했다. 이와 달리 내부 통제를 강화해야 한다는 주장도 있다. 최근의 개인정보 유출사고 발생의 원인을 보면 대부분 개인정보를 보유한 시스템을 외부에서 직접 해킹해 유출되는 경우보다 퇴직자 계정 관리 미흡, 악성코드 감염, 개발자 등 개인정보처리 시스템에 직접 접속이 가능한 직원들의 인터넷 통제 미흡 등이 많다는 이유에서다. 내부 보안통제에 대한 강화 및 보안관리 부서의 권한 강화, 보안시스템들의 정책관리 및 주기적이고 적시성 있는 점검 등 내부 통제를 보다 강화하는 것이 가장 중요하다는 것이다. 또한 개인정보를 취급하는 사용자들의 보안 인식 제고와 이에 대한 정부 차원의 지원이 보다 절실한 상황이라고 판단하기 때문이다. 금융권과 인터넷 업계의 ‘동상이몽’ 정부의 개인정보보호법에 대해 금융권은 과유불급이라는 입장이 많다. 인터넷 업계는 정부의 정책에 따라 개인정보를 수집했을 뿐이라고 주장한다. 정부가 시키는 대로 했는데 이제 와서 매를 맞아야 하는 상황이 발생하자 황당하다는 입장이다. 인터넷 업계는 오히려 정부가 개인정보 수집과 보관을 부추겨온 측면이 강하다고 반박한다. 이번 사고가 터지기 전까지 정부가 업계에 주민번호를 수집·보관하지 말라고 요청해오지 않았고, 실명제와 전자상거래법에 따라서 주민번호 등의 개인정보를 각각 6개월, 5년씩 보관하도록 돼 있는 상황에서 실명 여부를 한번 확인하고 개인정보를 폐기하라는 것은 현실적이지 않다는 것이다. 블로터닷넷이 지난해 4월 실명제 대상에 포함되자 인터넷 게시판을 폐쇄해버린 게 대표적 사례다. 블로터닷넷은 의사 표현을 실명 확인한 뒤 해야 한다는 것을 인정할 수 없다며 사용자 주민번호를 받아 안전하게 보관하려면 서버 보안 강화 등 많은 비용이 들고 이를 안전하게 보관하는 일도 너무 큰 부담이라고 밝힌 바 있다. 일관성 있는 정책을 펼쳐야 한다는 지적과 함께 정부 주무부처의 대책 방안이 엇박자를 내고 있어 업계에 혼선을 주고 있는 점도 문제점이다. 현재는 방통위가 민간을, 행안부가 공공 분야를 맡는 체제로 엄격히 나눠져 있다. 하지만 개인정보보호법이 시행되면 이런 구분이 모호해져 업체 입장에서는 사고가 발생하거나 문의사항이 있을 때 어디로 먼저 연락해야 할지 명확하지 않다는 지적이 나오고 있다. 방통위가 밝힌 ‘국가 사이버안보 마스터플랜’에 따르면 국정원은 평·위기시 총괄, 방통위는 방송통신 등 민간, 금융위는 금융, 국방부는 국방, 행안부는 전자정부대민서비스, 정부전산센터 등 행정 부문을 맡게 돼 있다. 이와 관련 은행권은 “정부 접점이 금융위로 일원화되어 있어 비상사태시 신속한 상황대응 및 효율적인 지휘체계 확보를 위해서는 현재와 같이 분야별로 전문화된 기관으로 보고체계를 일원화하는 것이 좋다”는 입장이 많다. 행안부는 국가 차원에서 개인정보보호법을 제정해 기본적인 원칙을 제시했다고 보고, 세부 분야는 각 기업에 맞는 전문적인 상위 기관에서 맡아 사고가 발생하거나 문의사항이 있을 때 은행은 전문적인 상위 기관인 금융위원회에서 맡아 그리로 연락 할 수 있도록 하는 게 좋다는 것이다. 그러나 금융권은 금융감독위원회, 금융감독원과 긴밀한 관계를 형성해 업무를 수행해 온 만큼 향후 바뀌게 되는 각 부처별 일원화 방안이 더 효율적일 것이라는 의견도 있다. 이와 같은 주장과 조금 다른 시각도 있다. 금융권의 한 관계자의 말이다. “현재 국정원, 한국인터넷진흥원(KISA), 금융위(금감원) 등으로 보안 업무가 이원화 되어 있어 보안업체도 제품 개발 후 동일한 제품을 각기 다른 기준에 따라 여러 기관에 심의를 받아야 하는 문제가 존재한다. 서비스 제공사들도 어떤 제품을 어떻게 사용해야 하는지, 사고가 발생했을 때 어쩐 절차를 따라야 하는지 이해하지 못하고 있는 상황이다. 여러 여건을 종합해보면 예전 한국정보보호센터 인력을 흡수한 한국인터넷진흥원에서 기술 및 관리적인 측면을 담당하고, 지식경제부를 통해 정보보호 연구기관을 운영하는 방안이 적합하다고 판단한다.” 이런 혼란을 막기 위해서라도 일원화와 이원화의 문제는 정부부처가 빠른 시일 내에 풀어야 할 과제다. 이원화의 경우 주요정보통신기반시설에 대한 보호정책을 예로 볼 때, 행정안전부와 국가사이버안전센터로 이원화돼 있고 관련 보고서식이나 정책이 상이한 부분들이 있어 대응하는 게 쉽지 않고 협조에 어려움이 있는 것도 사실이다. 이런 면에서 보면 효율적인 대응과 조치를 위해 일원화가 바람직하다는 견해도 설득력이 있다. 아울러 이원화를 할 수밖에 없다면 총괄하는 기관에서 각 기관들의 의견을 수렴해 통일된 정책을 시행하는 한편 보고서식 등을 결정할 때에도 하나의 통일된 보고서식에 의한 보고체계가 필요하다. 개인정보보호법 시행에 따른 기업체별 대책 ●외환은행 지난 4월 현대캐피탈, 농협 사태 이후 금융위원회에서 지속적으로 관리하고 결과 보고를 요구하고 있고, 언론 등에서 사회적 이슈로 삼고 있어 CEO 및 임원진의 관심도 크게 높아졌다. IT본부에서는 임원회의에서나 고위간부회의(SMM, Senior Management Meeting)에서 보안 이슈 및 개인정보보호법 주요내용 등을 보고하고 있다. 특히 정보유출 사고가 없도록 만전을 기해라는 은행장 특별지시에 따라 현업 담당 임원의 협조를 받아 개인정보를 통제하고 있다, 또한 금융위원회에서 IT보안 대책으로 인원 및 예산을 확대하도록 하고 있어 지난 4월 이후 보안 솔루션 도입 및 시스템 구축 등을 지속적으로 추진하고 있다. 보안 인력도 충원했으며, 향후에도 적정 인원 충원을 할 예정이다. 개인정보보호법 적용을 위해 내부적으로 대표 현업 부서와 협의해 고객정보를 통제하고, 은행 공동으로 개인정보 내용을 사전에 조사해 우선적으로 모든 은행이 사용 가능한 동의서를 만들기 위한 노력도 기울이고 있다. ●신영증권 개인정보보호법은 국가 및 공공기관을 대상으로 한 정보보안 평가제도 개선, 민간기업 정보보호관리체계(ISMS) 인증 활성화, 금융 분야 ‘IT 부문 평가’ 대상기관 확대 등을 추진하고, 민간기업 해킹사고 발생시 경영자의 책임을 명확히 하는 한편 용역업체에 의한 사고시 민·형사상 책임을 함께 묻도록 하는 등 용역사업 및 민간분야 보안 관리를 강화한 것이 특징이다. 이에 따라 임원급도 개인정보보호에 대한 인식과 참여의지가 매우 높아졌다. 또 고객 정보 보호 강화를 위한 보안 인력 확충과 접근통제, 관제 등 시스템 확충을 통해 고객 정보 보호 강화 방안을 수립, 추진할 예정이다. ●동양생명 IT 본부 자체에서 각 업무별 담당자로 TFT를 구성해 전사적 TFT와 함께 개인정보보호법 관련 준비를 진행하고 있다. TFT의 추진 사항은 개인정보보호법상 요구사항에 대한 현황 파악, 즉시 조치 가능한 부분(동의서 양식 반영, 홈페이지 개인정보보호 방침 안내, 업무용 시스템 화면에 대한 적용 등)에 대한 1차 단기조치, 암호화 적용 등 장기간 소요되는 개발 및 변경 사항에 대한 2단계 조치 계획을 세워 단계별로 진행하고 있다. 행정안전부와 금융위원회의 구체적 시행 방안이나 가이드가 아직 나오지 않음에 따라 기술적 보호 조치의 경우 시급한 적용이 어려운 상황이다. 암호화의 경우 방식에 따른 성능 이슈 및 처리 속도 문제 등으로 업무 전반에 밀접한 영향을 주므로 사전에 충분한 검토와 검증 작업을 하고 있다. 계좌번호에 대한 암호화 적용의 경우 모든 금융기관이 키 값으로 사용하고 있으므로, 업무 전체에 대한 처리 방법 변경과 전 업무 프로그램 변경 등 시스템 전체에 대한 영향도가 크기에 충분한 검토 후 암호화 작업을 진행할 계획이다. 또한 거래하는 모든 기관과의 전송과정을 암호화할 경우 각기 상이한 형태의 여러 암호화 솔루션 도입 등으로 중복 투자 및 비표준화에 따른 암·복호화 프로그램 관리 문제 등을 해결하기 위한 노력도 진행 중이다. 행정안전부와 금융위원회의 지침 및 가이드가 구체적으로 나오면 개인정보보호법을 본격적으로 적용할 예정이다. ●미래에셋생명 개인정보 유출 사고가 생기면서 경영진도 개인정보보호에 대한 중요성을 새롭게 인식하고 책임에 따르는 책임 의지도 커졌다. 현재 관리적·물리적 보호 체계를 가동하고 있다. 여기에는 각종 방화벽을 운영하고, DB 접근제어 및 모니터링, DB암호화, 각종 PC 보안, DRM 적용, 유해사이트 접근 차단, 24x365 보안관제 운영 등이 있다. 개인정보 유출시에는 유출사고 확인 즉시 CIO와 CEO에게 보고하도록 돼 있다. 사고 대응 전담반 구성, 감독기관(금융감독원) 보고, 경찰청 사이버수사대 신고, 유관기관(금융보안연구원, KISA 등) 협조 요청, 전담반 사고 진화 작업 진행 ●코스콤 코스콤은 사인코리아를 통해 개인정보를 관리하고 있다. 코스콤은 보유하고 있는 개인정보의 처리와 관련 코스콤의 서비스는 B2B 성격이 강하고, 대외적인 B2C 서비스는 사인코리아가 맡고 있다. 윤용빈 코스콤 정보본부장은 “사인코리아에서는 법적으로 정의된 공인인증서비스 제공에 필요한 최소한의 정보를 수집하고 있으며, 강력한 접근제어를 수행 중이고, 수집된 정보는 9월까지 모두 암호화할 예정”이라며 “코스콤은 목적에 부합한 최소한의 개인정보만을 수집하고, 대대적인 투자와 기술적 개선이 필요한 부분을 제외한 영역에서는 11월까지 모두 암호화를 완료할 예정”이라고 말했다. 코스콤은 현재 각 서비스별로 개인정보 암호화를 추진하고 있으며, 기존에 암호화를 적용한 서비스는 정보의 대상을 확대하고, 정보의 종류에 따른 암호화 방법에 대한 구체적인 방안을 마련하여 개인정보를 암호화했거나 암호화를 진행하고 있다. 이 외에 접근제어 강화를 위해 서비스별 네트워크 분리, 웹서비스를 위한 웹 방화벽 도입 등에 대폭적인 투자를 진행 중이며, 9월 30일까지 솔루션 개발·도입·적용을 마무리할 예정이다. ●국민건강보험공단 개인정보보호법의 발효로 인한 고유 식별 정보의 처리 제한과 안전 조치 의무에 관한 이슈를 크게 4가지로 구분해 추진하고 있다. 네 가지 이슈는 △개인정보영향평가 △고유 식별 정보의 암호화 △주민번호 대체수단(i-PIN) 도입 △접속기록(로그기록) 보관 등이다. 개인정보영향평가는 공단의 개인정보보호 총괄 부서인 법무지원실 개인정보보호부 주관으로 내년에 시행할 수 있도록 추진하고 있다. 주민번호 대체수단(i-PIN) 도입은 2009년 12월 ‘홈페이지 고도화 사업’ 추진시 완료한 상황이다. 접속기록(로그기록)은 2006년 10월 차세대정보시스템을 오픈할 때부터 개인정보 열람이력기록관리시스템을 구축해 운영하고 있다. 특히 로그 기록을 바탕으로 각 개인의 조회 이력을 분석해 개인정보 열람의 오*남용 여부 판단을 지원하는 ‘개인정보 관리시스템’을 구축해 2008년 말부터 운영 중이다. 2009년에는 보건복지부 산하기관의 직원들의 개인정보 오*남용 여부를 모니터링하기 위한 ‘보건복지 통합 개인정보 상시 모니터링 시스템’을 주관해 성공적으로 적용·완료했다. 최근에 가장 큰 이슈가 되고 있는 고유 식별 정보의 암호화의 경우 사이버 위협 요인이 큰 인터넷 회원정보는 2007년 10월에 암호화해 수백만 건의 자료에 대한 암호화 적용*운영 경험을 가지고 있다. 그러나 민원업무처리를 위한 내부 업무시스템의 경우 10여만 건이 넘는 DB 테이블과 수천억 건에 달하는 자료를 가지고 운영되고 있어 이에 대한 적용이 어려운 상태였다. 이에 공단에서는 내부 업무시스템이 보유하고 있는 자료의 암호화 적용을 위해 자체 BMT를 추진 중에 있으며, 올 8월에 각 업무별 개발담 당자, 시스템 담당자, DB 담당자, 보안 담당자 등이 참여하는 TFT를 구성했다. 9월 중에는 DB 암호화 제품들에 대한 BMT를 실시해 공단에서 운영하는 각 업무 별로 내부 업무처리에 대한 DB 암호화가 미치는 영향을 검증하고 이를 기초로 2012년 사업예산에 반영해 추진할 예정이다. PartⅡ 일반기업 준비 동향 ‘사소한 것까지 챙긴다’ 정부 차원 가이드라인 제공으로 혼선 없어야 이달 30일부터 개인정보보호법이 본격적으로 시행되면서 법 적용자들의 관심 또한 높아져가고 있다. 이미 발표된 대로 개인정보보호법은 민간과 공공, 온·오프라인을 포괄하는 기본법으로 법원 등 헌법기관과 각종 단체, 오프라인 사업자 등 보호조치를 수행해야 하는 모든 개인정보 처리자에 법 적용이 확대되는 것을 의미하며 개인정보보호법이 본격 시행되면 350만개의 사업자가 법 적용 대상자가 된다. 기업들이 개인정보보호지침은 물론이고 전반적인 보안정책을 유지시킬 수 있는 체계 마련을 요구받는데 대해 한 행안부 관계자는 “다른 법률과 혼선이 있는 부분에 대해서는 지침 혹은 해설서 예시 등으로 정리해서 현장에서 혼란이 없도록 할 것”이라고 전했다. 하지만 정확한 지침과 해설서 예시 등이 제공되지 않은 상황에서 어느 정도의 혼선이 예상되는 것이 사실이다. 이에 따라 정부 차원의 협의가 계속되고 있으며 지난 8월 23일 서울 광화문 정부종합청사 별관에서 열린 ‘개인정보보호법 표준 보호지침 및 안전성 확보지침 토론회’에서는 그동안 개인정보보호연구회 등 전문가들이 부처와 사업자 등과 지속적인 협의를 거쳐 해당 지침을 마련하는 한편, 법 시행 이전 각계각층의 의견을 수렴하는 자리를 가졌다. 개인정보보호법 시행에 관련한 이슈와 기존 정보통신망이용촉진법을 준수해 왔던 국내 대형 포털 기업 관계자들을 만나 향후 대응 방안과 의견을 함께 들어봤다. 이지혜 기자 jh_lee@ciomediagroup,com 개인정보보호법 실효성 논란과 관련해 사업자들에게 의무화될 것으로 알려졌던 개인정보 암호화 등 안전성 조치 규제 강도가 정보통신망법에 비해 완화될 것이란 전망이 나왔다. 이는 기업 내부에 저장되는 개인정보 암호화 조치시한을 개인정보보호법 시행일부터 적용하지 않고 최장 1년까지 유예할 수 있는 것으로 개인정보보호법 의무 대상 사업자들에게 법 시행에 대응해 준비할 수 있는 시간적 여유를 제공할 것임을 시사하는 것이다. 지난달 부처와 협회, 학계 전문가 40여 명이 초청된 ‘개인정보보호법 표준 보호지침 및 안전성 확보지침 토론회’에서 ‘개인정보 표준 지침안’과 함께 ‘안전성 확보지침’에 대한 의견이 수렴됐기 때문이다. 개인정보 ‘안전성 확보 지침’은 개인정보의 처리를 위해 개인정보처리 사업자들이 적용해야 할 관리적, 기술적, 물리적 보호조치 사항이 해당된다. 주민번호, 여권번호, 운전면허 번호 등의 주요 개인정보보호가 반드시 암호화돼야 하며 비밀번호에는 단방향 암호화가, 바이오 정보에는 양방향 암호화 적용이 의무화된다. 하지만 기업 내부망에 주요 개인정보를 저장할 경우 100% 암호화 하는 것이 아니라 접근권한관리와 통제 등의 조치사항을 종합적으로 측정·분석해 암호화 적용범위를 결정할 수 있도록 했다. 이를 위해 점검 항목을 담은 자가진단분석 가이드라인이 별도로 만들어질 예정이다. 또 주요 개인정보를 암호화 하지 않아도 접근권한관리 등 기술적 보호조치를 활용해 내부 통제 등을 적절히 수행할 경우 개인정보보호 조치 수행을 인정받게 될 전망이다. 사내 전문팀과 협의체 구성해 실시간 소통 최근 행정안전부에서는 개인정보보호법 시행을 앞두고 네이버와 다음커뮤니케이션 등 주요 포털사의 배너광고와 지식인 검색 캠페인 등의 온라인 광고를 실시한다고 밝혔다. 포털 홈페이지에 있는 배너광고를 개인정보보호 포털과 연계해 사용자들이 개인정보보호에 대한 상세 내용을 확인할 수 있도록 권유하는 방안이다. 또한 네이버 지식인 검색 캠페인은 개인정보보호와 관련해 네티즌 간 자율적인 질의응답을 통해 자발적인 참여를 유도한다고 전했다. 이와 관련해 국내 대형 포털기업들의 개인정보보호법에 대한 방안과 의견을 함께 살펴본 결과 기존 프로세스와 현황을 보다 정확히 파악하고 업무 혼선이 생기지 않도록 우선순위를 선정, 내부 공감대 형성 후 프로세스에 적극 반영하는 것을 공통점으로 꼽았다. 개인정보 관리 대상이 확대 되고 내부 직원 정보에 대한 보호 대책 등이 추가로 검토되면서 이를 위해 전사적 개인정보보호 관리 실태와 점검이 뒷받침돼야 하기 때문이다. 또한 이미 구축된 보안 솔루션의 커버리지 및 추가 활용 가능성을 확인해 내부에서 직접 구축할 수 있는 부분과 추가 솔루션이 필요한 영역을 판단해 관련 방안을 수립해야 한다고 입을 모았다. 다음커뮤니케이션은 지난 2007년 정보보호팀을 구성 후 이듬해인 2008년 개인정보보호팀과 정보보호 위원회를 신설했다. 특히 정보보호위원회는 약 10명의 C 레벨 이상 전사 경영진단과 부서장들이 구성원으로 월별 미팅을 진행하고 있다. 현안에 대한 즉시적인 논의와 의사결정을 할 수 있다는 장점으로 리스크 사고 관리 예방에서 두각을 보이고 있다. 구자만 정보보호팀장은 “개인정보보호팀은 외부 해킹 또는 침해사고 외 개인정보보호와 관련된 정책적 이슈에 대응하기 위한 팀으로 구성됐다”며 “현재 전자 IT 투자비용 중 10%에 가까운 비율이 보안 영역에 집중 투자되고 있다”고 말했다. NHN(네이버)은 올 상반기 국내 최초로 개인정보관리시스템(PIMS)인증을 취득하면서 포털사 중 발 빠른 대응을 하고 있다. 다음과 마찬가지로 지난 2005년 사내 개인정보보호팀이 구성됐으며 이는 서비스 중 가장 큰 자산이 고객의 개인정보보호라는 인식이 밑바탕 됐기 때문이다. 이 외에도 IT 보안, 인프라 보안, 게임 서비스 포털 보안등 보안 팀 등이 구성돼있다. 이진규 개인정보보호팀 팀장은 “위협은 늘 새롭게 출발하는 형태를 띠기 때문에 제로데이 취약점을 예로 들고자한다”며 “알려져 있지 않은 보안 취약점을 해커가 먼저 아느냐 또는 기업 보안 담당자가 먼저 아느냐에 따라 패치와 공격으로 명확히 바뀔 수 있다”고 전했다. 인터파크는 개인정보 및 침해사고 예방 및 후속조치 솔루션 도입을 서두르고 있다. 또한 기존 보안 솔루션 외 정보유출 및 웹 해킹의 기본이 되는 웹 애플리케이션 보안강화를 위해 웹 침입차단시스템, 웹 쉘(webshell) 탐지 솔루션 보강 및 주기적인 모의해킹을 진행할 계획이다. 이성환 인터파크 전무는 “개인정보 및 침해사고와 관련된 전담인력을 확충해 전문 보안 인력강화를 통한 사전·사후 감시 체계 강화 및 사전 방어시스템을 보강할 계획”이라며 “감사 내용의 주기적인 공지를 통한 직원의 경각심 고취에도 힘쓸 예정”이라고 설명했다. 내부교육 확대로 인식 전환 급선무 포털사들은 기존 정보통신망법에 대응해 왔던 법 적용범위가 다소 확장됐다는 의견이 대다수다. 이에 철저한 법 대응을 우선으로 인사 정보와 영상CCTV, 광고주 데이터 보호 조치 등으로 보안 범위를 확장시킨다는 입장이다. 다음커뮤니케이션 구자만 팀장은 “해킹 방법이 고도화·지능화 된 만큼 이전 데이터센터에 있던 회원정보의 보안수준을 강화했으며 데이터센터 내 보호 레이어(layer)를 높이고 접근제어와 감사 포인트를 함께 진행 중”이라고 설명했다. 특히 보안 솔루션 구축 후 활용·감사측면을 강화했으며 사내 직원들이 개인정보와 데이터에 얼마나 접근하고 있는지와 접근사유 정보 등을 정보보호위원회에 정기 보고하고 있다. 사내 임직원 보안교육은 연 1회 전사컨퍼런스 형식으로 진행되며 삼년 전부터는 전 임원진들이 한명도 빠짐없이 참석하는 등 경영층 전반의 협조가 이뤄지고 있다. 특히 최고 경영자가 함께 자리를 함과 동시에 고객센터 내 개인정보보호취급자들도 연내 두 번의 교육을 이수해야 한다. 네이버는 권한관리시스템 도입과 동시에 사내 또는 한국인터넷 진흥원을 통해 일반 사무직원과 개인정보보호 취급자들이 연 2회 개인정보보호 교육을 수료한다는 방침이다. 네이버 이진규 팀장은 “2007,8년도 에는 코스프레 진행이나 판촉물 등으로 사용자들의 시선을 돌리는 방법들이 동원됐다면 현재는 보다 강력한 보안정책을 시도하는 것이 변화된 점”이라고 밝혔다. 특히 네이버 대표는 약 6개월 간 개인정보보호팀의 직속으로 개인정보보호법 관련 교육을 받았으며 문제 발생시 즉각 보고를 할 수 있도록 하는 체제를 단행했다. 인터파크 역시 개인정보보호법의 주요내용과 내부 개인정보관리 지침, 올해 개인정보보호 실태 분석결과를 토대로 임직원 대상의 교육이 진행된다. 인터파크 이성환 전무는 “매년 2차례 진행되는 이번 교육은 금년 개인정보보호법에 대한 내용이 보강될 계획이며 개인정보취급자 및 개인정보 제공 3자에 대한 보안과 관리감독이 강화될 것”이라고 전했다. 정부 차원 협조 지속돼야 국내 포털사들은 이번 개인정보보호법 실행에 있어 단시간 내 법규 준수를 위한 보안대책 마련에 현실적으로 무리가 있었음을 꼬집었다. 세부 지침이나 명확한 가이드라인이 기존 충분한 시간을 두고 제공되지 않아 법률에서 요구하는 기술적 요소를 시간 내 구축하기 힘들었다는 의견이다. 또한 법의 인적 적용범위를 고려했을 때 일반 소상인업자들도 법 적용범위에 해당되면서 개인정보보호법에 대한 충분한 인지 여부도 문제점으로 지적되고 있다. 이와 관련해 강화된 개인정보보호 정책 구현 및 관련 솔루션 적용 시 투자비용과 인력, 시간이 대거 소요되기 때문에 업체별 부담을 덜어주는 것이 정부의 몫이라는 목소리를 냈다. 기관에서는 법률에 맞는 구체적인 가이드라인 제시와 함께 경우에 따라 각 기업에서 공통으로 사용가능한 솔루션에 대한 정부 차원의 투자도 요구사항이다. 예를 들어 공개 암호화 알고리즘과 같이 각 기업에서 쉽게 응용해 사용 가능한 방안을 지속적으로 연구해 보급함과 동시에 기업들이 활용할 수 있는 교육프로그램 제공 등이 이에 해당된다. 마지막으로 관련 포털사들은 무엇보다 보안문제로 혼선이 발생할 시 문제를 협의하고 정리할 수 있는 협의체 등 소통을 위한 공식적인 통일 채널이 필요하다고 강조했다. PartⅢ 벤더·컨설팅 업계 준비 동향 개인정보보호법 시행 계기로 ‘생각을 바꿔라’ 새로 쓰는 ‘개인정보보호 권리장전’ 만들어야 9월 30일부터 시행될 개인정보보호법에 대해, 대부분 IT 업계의 우려하는 목소리와는 달리 벤더와 컨설팅 업계는 긍정적으로 평가한다. 이는 비단 비즈니스 기회의 확대라는 측면에서 판단한 것이 아니라 오래 전부터 제정됐어야 하는 법이 이제라도 시행돼 다행이라는 안도의 목소리였다. 박형근 한국 IBM 티볼리사업부 차장과 이응도 삼정KPMG 상무를 만나 개인정보보호법에 대한 얘기를 나눴다. 정나리 기자 nrjeong@ciomediagroup.com 보안 인식 강화의 전환점 박형근 한국 IBM 티볼리사업부 차장 벤더사 입장에서는 규제 강화에 대해 긍정적인 시각을 갖고 있었다. 지속적으로 보안에 대해 전체적인 수준이 향상돼야 산업적인 발전을 이룰 수 있기 때문이다. 박형근 한국 IBM 티볼리사업부 차장은 “이번 개인정보보호법 발효는 산업의 발달을 저해하는 위기가 아니라, 전반적인 보안 수준과 보안 체계를 향상시켜야 한다는 인식으로 전환할 수 있는 전환점이 될 것”이라고 말했다. 실제로 한국 IBM은 고객들에게 개인정보보호법에 대한 홍보와 이해를 돕는 방향으로 마케팅을 진행하고 있다. 지난 8월 26일에는 ‘개인정보보호법 대응 전략 세미나’를 개최해 개인정보보호법에 대한 설명 및 시스템과 웹 애플리케이션 보안, 데이터 보안 등 단계별 보안 전략 가이드를 제시하기도 했다. 물론 IBM 자체도 고객 정보가 있기 때문에 법의 영향을 받게 된다. 하지만 글로벌 기업이라는 IBM의 특성상 이미 내부적으로 개인정보보호에 관해 여러 측면에서 규제를 받고 있었다. 박 차장은 “기존에 하던 방식을 그대로 유지하고, 시행령을 검토해 그간 적용해 왔던 해외 법령과의 차이점을 반영하는 정도로도 대비가 될 것”이라고 말했다. 개인정보보호법의 시행을 앞두고 IBM에도 보안 컨설팅 문의가 부쩍 늘었다. 업종에 따라 차이는 있지만 금융이나 공공기관에 집중돼 있던 기존의 개인정보보호 관련 법들이 이번 시행령을 계기로 민간으로 확대되면서 유저의 관심이 높아졌기 때문이다. 박형근 차장은 “개인정보보호법에서 이야기하는 기술 조치는 꼭 필요한 최소한의 조치다. 단순히 눈앞의 법을 지키는 게 아니라 개인정보 유출 사고가 일어나지 않는 것이 궁극적인 목적이기 때문에 법에서 얘기하는 것 이상으로 수준 높고 체계적인 보안체계가 필요하다”면서 “업계 입장에서는 개인 정보보호법에 해당하는 솔루션을 갖고 있든 아니든 보안에 대한 전체적인 로드맵을 그릴 수 있는 기회로 생각하고 있다”고 말했다. 그러나 법의 시행이 당장 한 달 앞으로 다가왔기에 비즈니스 특성에 맞춰 단기적인 조치와 중·장기적인 플랜을 따로 세울 필요는 있다. 단기적으로는 당장 필요한 기술적 조치들을 마련토록 하고, 장기적으로는 전체적인 보안 체계를 세워 보안 수준을 높일 수 있도록 컨설팅을 하는 것이 필요하다. 따로 컨설팅을 받을 만큼 예산이 넉넉지 않거나 규모가 작은 회사의 경우는 우선 개인정보보호법에서 얘기하는 상황을 중심으로 현재 구축돼 있는 것들을 점검·보완하고, 법이 명시하고 있는 상황 위주로 접근하면 된다. 법을 시행한다고 해서 꼭 솔루션을 구축해야 하는 건 아니다. 법에서 요구하는 사항을 준수하는 방법론에는 여러 가지가 있을 수 있다. 법에서 규정하고 있는 건 보호를 하라는 것일 뿐 어떻게 보호할 것인지 선택은 사용자의 몫이다. 박형근 차장은 “중요한 것은 기업 내 프로세스 내에서 개인정보를 얼마나 사용하고 있는지 현황을 먼저 파악하고, 그것을 기준으로 프로세스 상에서 개선할 부분은 없는지, 보호조치를 어떻게 세울 수 있는지에 대한 고민”이라고 강조했다. 박 차장은 업계 전체적으로 법이 시행된다고 해서 큰 동요는 없을 것이라고 예측했다. 그는 “다만 일부에서 자사의 솔루션을 개인정보보호법에 특화돼 있는 솔루션인 것처럼 홍보하는 경우가 있는데, 이를 너무 확대하거나 지나치게 의존하는 일이 생길까 우려된다”며 “하나하나의 포인트에 맞춰 솔루션을 중심으로 한 접근보다는 전체적인 관점에서 기업의 전체 보안 수준과 인식을 높이려는 자세가 필요하다”고 말했다. 박 차장은 끝으로 무턱대고 컨설팅 회사를 찾아가거나 솔루션을 도입하기에 앞서 우선 법령을 꼼꼼히 읽어보라고 말했다. 시행령에서 요구하는 최소한의 조치들을 먼저 시정하고 그 다음에 여유가 생기면 전체적인 컨설팅을 받는 것이 최적의 솔루션이라며 다음과 같이 조언했다. “개인정보보호법을 시행한다고 해서 특별히 달라질 것은 없다. 보안 체계를 세우고, 지속적으로 보안 수준을 높이기 위해 노력해왔던 조직이라면 개인정보라는 정보 형태가 하나 더 늘어나는 것이므로 지나치게 걱정할 일은 없다고 본다.” “개인정보는 마케팅 자산이 아니라 보호돼야 할 고객의 권리” 이응도 삼정KPMG 상무, CISA 종합컨설팅사 역시 이번 개인정보보호법 시행에 대한 분석과 전망을 다각도로 내놓고 있었다. 이응도 삼정KPMG 상무는 이번 개인정보보호법이 업계의 정보보안 수준의 향상에 긍정적인 영향을 미칠 것이라고 내다봤다. 아울러 체계적인 준비를 위한 산업별, 업종별 특성을 고려한 로드맵의 제시가 필요하다고 판단했다. 이응도 상무는 또 “다만 충분한 공감대 형성이 되지 않을 경우, 실효성 없는 형식적인 대응으로 끝날 가능성도 존재한다”면서 “기존의 보안솔루션 중심으로 형성돼 왔던 정보보안 서비스 시장이 IT 거버넌스 수립, IT위험 진단, 정보보안체계 구축 등의 서비스를 재조명할 것”이라고 기대했다. 이번 개인정보보호법에서는 기존의 정보통신망법, 전자금융거래법 등 개별법의 적용 대상에서 모든 개인정보처리자로 적용대상이 확대됐다. 이응도 상무는 “기존 규제 대상이던 정보통신사업자 및 학원, 호텔 등 준용 사업자의 경우 개인정보보호법 발효에 따른 영향이 크지 않을 것이며, 금융권의 경우에도 마찬가지일 것”이라고 전망하면서 “개인정보보호의 사각지대에 있던 업종 및 중소규모 업체에 대한 파장은 클 것”으로 예상했다. 특히 중소기업의 경우 적은 예산으로 어떻게 효율적인 컴플라이언스를 구현할 것인가가 주요 이슈가 될 것이다. 적용 대상의 확대는 정보보안 서비스 시장의 확대와 서비스 수요의 확대를 의미한다. 그러나 무조건 낙관적이지만은 않다. 이응도 상무는 “법 시행과 맞물려 동시다발적인 수요가 발생할 경우 서비스 수준의 저하, 이로 인한 고객사와의 마찰이 발생할 가능성이 존재”한다며 준비없는 접근에 대해 경계했다. 이번 개인정보보호법은 모든 기업에서 주의를 기울여야 한다. 기존 정보보호 범위에 포함되지 않았던 직원 및 협력 정보 등도 범위에 포함됐기 때문이다. 원칙적으로 개인식별정보 및 민감정보 등은 처리가 금지됐으며 개인정보의 수집, 이용 시 정보주체의 동의가 반드시 필요하게 됐다. 이응도 상무는 “이를 위해 조직 내부에서 관리되고 있는 개인정보의 현황을 명확히 파악하고, 관련 처리 프로세스의 변경 및 IT 시스템의 도입과 보완 등 체계적인 준비가 필요하다”고 말했다. 2003년 일본에서도 개인정보보호법이 국회를 통과한 후 보안솔루션뿐만 아니라 정보보호정책 컨설팅, 보안시스템 구축, 보안시스템 아웃소싱, 교육서비스, 보안 감사 등 다양한 서비스들이 제공됐다. 이 상무는 국내 역시 크게 다르지 않을 것으로 내다봤다. 이와 관련 이 상무는 “규제대상 및 보호범위의 확대, 단체소송 도입 등으로 단순한 보안솔루션 도입이 아닌, 보다 구체적인 보안 정책, 프로세스 구현 측면에서 지속 가능한 통제체계 구축을 위한 다양한 서비스 요구가 발생할 것”으로 예상했다. 이번 개인정보보호법 시행을 앞두고 컨설팅 회사에서도 여러 가지 준비를 하고 있다. 삼정KPMG도 최근 금융기관의 IT사고 발생 이후, IT 거버넌스, IT 보안 등 내부통제 전문가로 구성된 내부 TFT를 조직해 운영하고 있다. 이 팀을 중심으로 개인정보보호법 관련 서비스, IT 위험진단 및 보안 컨설팅을 제공하고 있다. 이응도 상무는 “개인정보보호법은 단순히 정보보안 측면만을 강조하는 것이 아니라 컨설팅 전반에 바탕을 두고 해야 한다. 즉, 체계적으로 거버넌스 체계부터 잡아야 한다”면서 “기존 정보보안 관련 시장은 보안 솔루션 중심이었기 때문에 정보보호 서비스 측면에서는 모두 신규 고객이나 다름없다”고 강조했다. 실효성 있는 정보보호 체계를 수립하기 위해 단편적 접근이 아닌 정책, 조직, 프로세스 등 체계적인 접근이 필요하다는 것이다. 이에 따라 컨설팅 업계는 이에 대한 다양한 전략을 마련해 놓고 있다. 이응도 상무는 “현재까지 기업은 고객 개인정보를 마케팅 측면의 기업자산으로 인식하는 경향이 있었다. 그러나 개인정보보호법의 시행으로 기업에서도 개인정보가 마케팅 측면에서 자산인 동시에 보호해야 할 고객의 권리라는, 기본적인 인식의 전환이 필요하다”며 “경영진도 고객정보에 대한 인식 전환을 통해 고객과의 신뢰를 강화하는 방안으로 활용하고, 적극적인 프라이버시 보장 정책을 수립해 기업 이미지 제고에 기여할 수 있을 것”이라고 강조했다.