개인정보보호 문제는 ‘소리 없는 아우성’ 정부·업계 모두 미흡한 점 많다는 데 공감 Contents I. 금융업계 동향 개인정보보호 구체적 방안, ‘검토·협의’ 단계 II. 제조업계 동향 일반산업군, 정보보호팀 발족 서두른다 직장인 4명 중 1명은 개인정보 유출로 인해 피해를 겪은 것으로 나타났다. 대한상공회의소가 지난해 11월 국내기업 461개사를 대상으로 ‘직장인 개인정보 유출 피해 실태’를 조사해 발표한 결과를 보면 국내 직장인 4명 중 1명은 개인정보 유출로 인해 피해를 본 적이 있는 것으로 조사됐다. 조사결과에 따르면 27.7%가 ‘피해 경험이 있다’고 응답했고, ‘피해 경험 없다’는 응답은 72.3%였다. 피해유형으로는 스팸메일·문자(85.5%)가 가장 많았고, PC 바이러스·악성코드 감염(26.5%), 보이스 피싱(25.3%), 메신저 피싱(9.6%), 명의도용(4.8%) 순이었다. 개인정보 유출 예상 경로에 대해서는 전문 해커(47.0%)를 가장 많이 꼽았다. 이어 내부 직원(24.3%), 퇴사 직원(17.3%)을 꼽는 등 응답기업의 40% 이상이 전·현직 임직원을 개인정보 유출의 잠재적 위협요소로 인식하고 있었다. 반면 ‘경쟁업체·산업스파이’라는 답변은 11.4였다. 기업들이 사용하는 온라인고객 인증방식으로는 ‘사용자 ID·패스워드’(61.7%)가 가장 많았고, 공인인증서(24%), 주민등록번호(11.7%), 아이핀(9.3%), 1회용 비밀번호(4.7%) 순으로 나타났다. 개인정보 유출로 인한 피해를 막기 위해 지난 9월 30일부터 시행된 ‘개인정보보호법’에 대해서는 국내기업 10곳 중 6곳(61.4%)이 ‘잘 알고 있다’고 답했으며, 이 중 80.3%는 ‘해당 법에 적절히 대비하고 있다’고 답했다. 개인정보보호를 위한 대응책으로는 자체교육(54.6%)과 정보보안시스템 구축(37.7%)에 주력하고 있었고, 개인정보보호 책임자 지정(19.7%), 정보보안 전담조직 신설(8.1%), 외부 위탁교육(7.4%) 등을 시행한다는 기업도 있었다. 17.9%는 ‘대비하지 못하고 있다’(19.7%)고 답했다. 주요 이유로는 ‘최고경영층의 인식 부족’(30.4%), ‘전문 인력 부족’(21.4%)을 주로 지적했고, ‘필요성을 못 느낌’(16.1%), ‘예산 부족’(14.3%), ‘전문지식 부족’(8.9%), ‘기타’(8.9%) 순이었으며 중소기업(23.8%)의 응답비중이 대기업(9.8%)보다 높았다. 개인정보보호법의 안착을 위한 과제로 기업들은 ‘개인정보보호 중요성에 대한 사회적 공감대 확산’에 가장 높은 점수(5점 만점 중 3.88점)를 줬다. 이어 ‘관련 업계 구성원 개개인의 보안의식 고취’(3.84점), ‘기업들의 정보보안에 대한 투자 확대’(3.69점), ‘정부의 제도적 및 정책적 지원’(3.68점) 등이 뒤를 이었다. 해당 법 안착에 도움이 될 정부 정책으로는 ‘개인정보 보호법에 대한 교육·홍보 확대’를 가장 중요하게 평가(5점 만점 중 3.89점)했다. 또 ‘개인정보보호법 적용에 관한 명확한 가이드라인 제시’(3.82점), ‘개인정보보호 백신·방화벽 등 솔루션 제공’(3.71점), ‘개인정보보호시스템 구축 컨설팅’(3.55점), ‘개인정보보호법 적용관련 수시 점검과 상담 제공’(3.46점) 등의 순으로 나타났다. 사정이 이렇다 보니 핸드폰이나 스마트폰 등을 이용자 중 스팸메일이나 스팸문자를 한 번도 받지 않은 경우는 거의 없을 정도다. 뉴스에 등장한 개인정보 유출 사고만 해도 전체 국민의 개인정보가 이미 공개돼 스팸으로부터 자유로운 사람은 한 명도 없을 것이라는 자조적인 농담이 나오는 것도 무리가 아니다. 2012년에는 개인정보보호법의 본격적인 시행 시기인 만큼 가시적인 효과를 낼 수 있을 것으로 보인다. 개인정보를 보호하기 위한 법률을 제정, 시행하는 것만으로도 상당한 의미가 있다는 의견도 많기 때문이다. 하지만 이 같은 농담이 실제로 사라질 수 있을지는 아직 확신하기 어렵다. 금융권은 대체로 세부적인 방안을 마련하기 위한 고민을 많이 하고 있다. 더구나 2012년에는 정부 금융 당국이 보안 분야를 집중적으로 관리·감독하겠다고 밝혔기 때문에 신경을 더 쓸 수밖에 없다. 제조업의 경우도 보안과 개인정보 관리의 중요성에 대한 인식이 바뀌면서 대책을 마련, 적극 추진하겠다는 분위기가 많다. 금융업계와 제조업계를 중심으로 개인정보보호 현황과 실행 계획 등을 살펴봤다. I. 금융업계 동향 개인정보보호 구체적 방안, ‘검토·협의’ 단계 CSO는 CIO 겸직 또는 부장급 선임이 일반적 금융업계는 대부분 개인정보보호에 대해 구체적인 방안을 마련하기 위해 검토 또는 협의 단계에 있다. 개인정보보호법에 따라 정보보호팀 설립 등 조직을 구성하고 인력을 충원하는 것에서부터 세부적인 정책 방안을 짧은 시간 동안 마련하는 게 쉽지 않은 까닭이다. 또한 CIO가 CSO를 겸직하는 경향이 많다. 일부 은행은 부장급을 CSO로 선임하는 경우도 있으나 대체로 CIO가 CSO 업무를 함께 맡는 게 일반적이다. 또 CSO 관련 업무를 담당하는 인원은 별도의 조직으로 구분해 담당 임원이나 부서장이 관할하고 있다. 김종영 편집장 sisacolumn@ciomediagroup.com 금융업계, 개인정보보호에 신중하게 접근 2012년은 어느 때보다 보안 관련 이슈가 크게 떠오를 것으로 보인다. 개인정보보호법 시행에 따라 보안에 대한 여러 가지 논의가 많아질 것이기 때문이다. 금융업계는 금융 당국이 관리·감독 강화 방침 때문에 긴장하고 있는 상황이다. 금융감독원 관계자는 지난 12월 22일 서울프라자호텔에서 개최한 ‘2012년 전망, 금융 IT 이노베이션 콘퍼런스’에서 “올해 계속된 보안사고로 인해 관련 법들이 보안 분야를 중심으로 개정됐다”며 “전자금융거래에선 보안에 취약한 부분이 굉장히 많아 이 분야에 대한 관리·감독을 강화할 수밖에 없다”고 밝혔다. 금융업계로서는 금감원의 관리·감독의 강화 방침이 여느 때와 다르게 들릴 수밖에 없다. 그동안 잘못한 게 많으니 앞으로 단단히 준비해야 하고 문제가 있을 때에는 상응하는 조치를 강력하게 취하겠다는 선전포고로 해석할 수 있기 때문이다. 사정이 이렇다보니 금융권은 개인정보보호에 대한 논의를 더욱 신중하게 처리하고 있다. 한 은행 관계자는 “은행권의 경우, 다른 데도 마찬가지겠지만, 개인정보보호팀 설립 등에 대해서는 대체로 함구하고 있는 경향이 많다”며 “이는 소위 ‘어떤 것을 어떻게 했다’고 밝혔다가 나중에 문제가 생기면 여러 가지 문제가 생길 수 있다는 점을 우려하고 있기 때문”이라고 말했다. 감독 당국이 눈여겨보고 있는 상황 외에도 법 시행 초기이기 때문에 생길 수 있는 여러 가지 변수도 신중한 행동을 낳게 하는 주요 요인 중 하나다. 정부 관계 부처도 이 같은 상황을 이해하고 제도가 정착되기 전까지는 유연한 태도를 유지하겠다고 밝히고 있다. 하지만 업계로서는 이와 같은 정부의 입장을 알고 있음에도 불구하고 돌다리를 몇 번씩 두드려보고 건너겠다는 것이다. 이와 관련 임종인 고려대 정보보호대학원장은 “일본은 개인정보를 보호하기 위한 대책을 오래 전부터 시행했으나 우리나라는 이제 시작하는 단계”라며 “특별법이 아닌 일반법인 개인정보보호법 시행으로 법을 적용하기 어려웠던 사각지대를 상당 부분 해소할 수 있을 것으로 기대한다. 하지만 아직 초기여서 모호한 부분도 있는 게 사실”이라고 말했다. ‘새로운 보안 위협’과 ‘입증 책임’ 대처 방안 찾기 고민 금융권이 개인정보보호에 고민하는 또 다른 이유는 최근 몇 년 사이에 급속하게 떠오른 ‘새로운 보안 위협’ 때문이다. 해킹 등 보안 위협이 기존과 달라 새로운 정책 수립 등 고민해야 할 요소들이 늘어난 것이다. 정보보호 프로젝트매니저(PM)인 노병규 한국인터넷진흥원 단장은 지난 12월 15일 한국정보보호학회 주최로 열린 보안 정책 워크숍에서 “사이버 침해 유형이 점차 복잡화·지능화·대형화되고, 사이버 위협 대상도 국가 전체로 확대됐다”며 “정보보호 위협도 진화했다”고 밝혔다. 노 단장은 현재까지는 PC, 네트워크, 서비스를 대상으로 한 위협이었지만 앞으로는 스마트폰, 클라우드, SNS, 그리고 알려지지 않은 위협에 대비해야 한다고 강조했다. 그는 또 이런 이유 때문에 기존의 보호체계로는 대응이 어려워진다며 개인정보가 개인 아이덴티티 형태로 질적인 변화를 했기 때문에 이에 대응하는 기술이 필요하다고 설명했다. 빅데이터, 클라우드, SNS 등 서비스를 통해 고객과의 접점을 넓혀야 하는 금융권으로서는 이 같은 새로운 보안 위협에 대한 대처 방안을 수립해야 한다. 스마트 시대와 모바일이라는 ‘새로운 환경’이 ‘새로운 위협’을 낳고 있는 만큼 개인정보보호 정책과 대책도 이러한 최신 흐름에 맞춰야 하기 때문이다. 이와 관련 대형 은행의 한 관계자는 이에 대해 다음과 같이 말했다. “새로운 위협이 개인정보보호와 관련이 깊은 것은 사실이다. 그러나 이보다 더 중요한 것은 개인정보보호법에서 정한 책임 소재에 대한 부분을 무시하기 어렵다. 개인정보보호법은 한 마디로 ‘입증 책임의 전환’이라고 할 수 있다. 앞으로 문제가 생길 경우 입증 책임은 개인이 아니라 사업자가 져야 한다. 때문에 금융회사가 보안에 많이 투자하고 있음에도 불구하고 이 같은 의무화 때문에 보안에 대한 관심과 대책이 큰 화두가 됐다.” 금융권이 이런 고민을 한다는 것은 개인정보 당사자, 즉 정보 주체가 피해를 입었을 때 이를 구제할 수 있는 방안이 강화됐다는 것을 의미한다. 사업자는 피해를 막기 위한 최대한의 대책을 마련하고 적절한 조치를 취해야 한다. 그렇지 않으면 사업자는 면책 가능성이 희박해질 수밖에 없다. 더구나 시간이 지날수록 이와 같은 규제와 입증 책임은 사업자에게 더 큰 압박으로 작용할 것이라는 게 일반적인 시각이다. 금융 IT 인프라의 안정성 확보가 가장 큰 관건으로 떠오른 셈이다. 이와 함께 관리적, 기술적인 측면도 강화됐다. 이런 면에서 2011년 6월 김석동 금융위원회 위원장이 ‘IT 사고가 터져도 책임지는 CEO가 없다’고 말한 것은 상징적인 것이라 할 수 있다. 앞으로 CEO는 직접 IT 계획을 챙기고 승인까지 꼼꼼히 확인해야 한다. 또 금융회사는 정보보호최고책임자(CSO)도 내년 5월 15일부터 의무적으로 지정해야 한다. 이에 따라 은행권은 개인정보보호를 위해 정보유출 방지, 개인정보 암호화, 재해복구시스템 구축, 접근통제 등 보안을 강화할 수 있는 IT 사업을 추진할 것으로 보인다. OECD의 개인정보보호 8원칙 개인정보보호를 위한 국제원칙인 ‘개인정보보호 8원칙’은 30년 전인 1980년에 만들어졌다. 우리나라는 개인정보보호가 중요한 사회적 이슈로 떠오른 것은 대략 5년 전이다. 8원칙 제정 당시는 아니더라도 10여 년 전부터라도 개인정보보호를 강화해 왔다면 개인정보를 대규모로 유출하는 사고는 훨씬 줄었을 것이다. 개인정보보호와 관련된 국내외의 법과 제도들은 대부분 OECD가 정한 8가지 원칙에 바탕을 두고 있다. 8원칙은 1970년대 이후 국가 간의 경제적 협력이 증가하면서 OECD는 국제적으로 유통되는 정보에 관심을 갖고 있었다. OECD는 전자상거래가 국제적인 관심사로 부각되고 있었지만 개인정보의 유출에 대한 우려가 전자상거래 발전에 커다란 장애가 될 것이라고 판단해 여러 국가들의 합의를 통해 개인정보보호 지침을 제정했다. 이 원칙이 이다. 1) 수집제한의 원칙 모든 개인정보는 적법하고, 공정한 수단에 의해 수집되어야 하며, 정보주체에게 알리거나 동의를 얻은 후 수집되어야 한다. 2) 정보내용 정확성의 원칙 개인정보는 그 이용목적에 부합하는 것이어야 하고, 이용목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지하여야 한다. 3) 목적 명확화의 원칙 개인정보를 수집할 때는 목적이 명확해야 하고, 이를 이용할 경우에도 애초의 목적과 모순되지 않아야 한다. 4) 이용제한의 원칙 개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 명확화된 목적 이외의 용도로 공개되거나 이용되어서는 안 된다. 5) 안정성 확보의 원칙 개인정보의 분실, 불법적인 접근, 파괴, 사용, 수정, 공개위험에 대비하여 합리적인 안전보호 장치를 마련해야 한다. 6) 공개의 원칙 개인정보에 관한 개발, 운용 및 정책에 관해서는 일반적인 공개정책을 취하여야 한다. 개인정보의 존재, 성질 및 주요이용목적과 함께 정보관리자의 신원, 주소를 쉽게 알 수 있는 방법이 마련되어야 한다. 7) 개인 참가의 원칙 정보 주체인 개인은 자신과 관련된 정보의 존재 확인, 열람 요구, 이의제기 및 정정·삭제·보완 청구권을 가진다. 8) 책임의 원칙 개인정보 관리자는 위에서 제시한 원칙들이 지켜지도록 필요한 제반 조치를 위해야 한다. 금융권·공공기관 등 개인정보보호팀 신설 ▲방송통신위원회 2011년 8월 인터넷 침해 사고와 방송·통신 서비스 장애 등에 대한 대응력을 높이기 위해 네트워크정보보호팀을 신설했다. 이에 대해 방통위 관계자는 인터넷 침해사고가 갈수록 지능화·조직화하고 있는 데다 스마트폰 확산으로 모바일 보안 위협이 커지고 있어 체계적 대응을 위해 전문 조직을 만들었다고 밝혔다. 해킹이나 분산서비스거부(DDoS) 공격 등 사고가 발생할 경우 네트워크보호기획과 소속 특별작업반(TF)보다 수준을 높인 것이다. ▲국민건강보험공단 업무용 PC 내 개인정보 자료 관리 상태를 상시 점검할 수 있는 ‘개인정보 점검 솔루션’을 구축해 지난 10월부터 가동하고 있다. PC 내 개인정보에 대한 주기적인 자가 점검을 할 수 있는 토대를 마련, 개인정보보호 수준을 한 단계 더 높이기 위해서다. 보험공단의 전체 PC 약 1만4000대에 설치된 개인정보 점검 솔루션은 주민등록번호 등 개인 식별이 가능한 정보를 검색하는 프로그램이다. 이 솔루션은 개인정보를 삭제, 암호화할 수 있는 기능 외에도 중앙통제 및 통계생산 등 다양한 기능을 탑재하고 있고 사용자의 편의성과 수용성을 높이기 위해 ‘원 클릭’ 실행 체제를 갖추고 있다. ▲KDB산업은행 지난 2007년 정보보호 전략을 수립하고 노후 보안 장비 교체, 최신 보안 솔루션 도입 등 IT 보안 대책을 단계적으로 추진·적용해왔다. 또 2009년에는 국제표준화기구(IOS)에서 제정·관리하는 정보보호 경영시스템 국제 인증인 ISO 27001을 받았다. 이 인증은 위험관리, 보안정책 등 11개 분야 133개 항목을 모두 만족해야 받을 수 있다. 산업은행은 현재 2011년 9월 시행한 개인정보보호법 규정에 따라 개인정보관리 책임자 등을 두고 있다. ▲KB국민은행 2011년 10월 CSO 선임을 마쳤다. CIO인 부행장이 CSO를 겸직하는 형태다. 이와 관련 한 관계자는 “은행권의 경우 대부분 CIO가 CSO를 겸직하는 형태가 많을 것으로 예상된다”며 “국민은행도 이와 같은 형태”라고 말했다. 국민은행은 임원, 팀장 등의 임직원으로 구성한 고객정보보호팀을 운영하고 있다. 특히 2006년 사고 이후 고객정보유출방지시스템을 도입했다. 법 시행을 앞둔 2011년에는 고객정보를 별도로 관리하도록 하고 있다. 또 내부적으로 보안에 빈틈은 없는지 점검하는 한편 내부 보안 매뉴얼에 의한 업무 프로세스 준수, 보안교육 등도 실시하고 있다. ▲IBK기업은행 전사 차원에서 정보보호 관리체계를 추진하고 있다. 정보보호 관리체계 강화 전략 수립을 위한 컨설팅과 정보보호 관리 체계 강화를 지원하기 위한 시스템 평가도 진행 중인 것으로 알려졌다. 이는 금융감독원이 금융권의 정보보호 관련 관리·감독을 강화하고 법 시행 이후인 만큼 보안 관리 체계를 전반적으로 강화하려는 전략을 추진하기 위해서다. 기업은행 관계자는 “IT 차원에서는 특별히 달라질 것은 없으며, 현재 정보시스템부 정보보호팀에 정보책임자를 지정하고 관련 규정 등을 다듬는 작업을 하고 있는 중”이라고 말했다. 그는 또 “정보보호 책임자는 부장급으로 선임했으며 각 지점에도 개인정보보호책임자를 선임했다”고 밝혔다. ▲농협 보안운영팀을 구성해 감사팀, 정보보호팀이 협력 체계를 갖춰 개인정보보호 관련 대책과 방안을 내부적으로 검토하고 있는 중이다. 2011년 6월 20년 이상의 IT 경력을 가진 전문가를 정보보호부장으로 선임했다. 기업은행 측은 “개인정보보호 관련 업무를 기존 팀이 맡을지, 아니면 새로운 팀을 구성할 것인지 논의하고 있다”고 밝혔다. 내부 검토 결과는 2012년 3월로 예정된 조직 개편에 반영이 될 가능성이 많다. ▲신한카드 최근 정보보호와 고객 권익 보호 역량을 더욱 강화하기 위해 정보보호를 총괄하는 정보보호팀을 신설하고, 소비자보호센타를 확대 개편해 각각 CEO 직할로 두었다. II. 제조업계 동향 일반산업군, 정보보호팀 발족 서두른다 CSO는 CIO 겸임 체제로 대다수 굳혀져 개인정보보호법이 본격적으로 시행되며 법 적용자들의 관심이 함께 증가하고 있다. 각종 단체와 오프라인 사업자들에게도 접촉되는 법이니만큼 보호 조치를 수행해야 하는 개인정보 처리자에 대한 법적용이 확대되고 있기 때문이다. 정부 차원의 협의는 계속되고 있지만 아직 일반산업군에서 확실한 해당 지침을 찾기란 쉬운 일이 아니다. 이를 위해 점검항목 등을 담은 기업 별 자기진단 분석 가이드라인들이 별도로 만들어지는 경우가 증가할 것으로 보인다. 또 기술적 보호조치 등을 활용해 내부 통제를 적절히 수행하는데 초점을 맞출 것으로 전망되고 있다. 특히 정부 차원에서 강력한 지침으로 권고한 기업 내 CSO 내정 역시 각 산업군별로 차이점을 보이고 있다. 금융이나 공공 업계에서 이미 시동을 걸었다면 일반산업군에서는 CIO가 CSO를 겸직하는 체제가 대부분이다. 분리 체제에 대해서는 현실성이 떨어진다는 다소 회의적인 입장도 표명하고 있다. 일반산업군 내 IT 관계자들을 만나 각사 현황과 정보보호팀 구성 또는 CSO 내정에 관한 자유로운 의견에 대해 들어봤다. 이지혜 기자 jh_lee@ciomediagroup,com 기업 정보보호팀 또는 개인정보보호팀의 구성과 CSO 위임에 관한 이슈가 IT 전반에 걸쳐 확산되고 있다. 하지만 분명한 것은 각 산업군 또는 기업 규모나 특성에 따라 표명 입장이 다르다는 데 있다. 대체로 일반산업군의 경우 대기업 또는 대형 포털사 등은 과거 정보보호팀을 구성하거나 CSO를 내정하고 있다. 하지만 개인정보보호법 시행과 관련해 정보보호팀(개인정보보호팀)구성 입지는 탄탄해져 가는 것이 일반적인데 반해 CSO 위임에 관한 문제는 다르다. 대다수의 기업들이 CIO가 CSO를 겸임하는 형태를 고수하고 있으며 이는 의사결정 속도의 신속성과 CIO와 CSO의 업무 방향에 대한 중복성, CSO 산하 전담 부서를 구성하는데 대한 기업부담 등이 주요 이유로 작용하고 있다. 성장·참여·지원 3박자 맞물려야 먼저 국내 닷컴이나 포탈 기업들을 살펴보면 기존 프로세스를 좀 더 정확히 파악해 업무 혼선이 생기지 않도록 하는데 우선순위를 두고 있다. 개인정보 관리 대상이 확대되고 내부 직원 정보에 대한 보고대책 등이 추가로 검토되면서 전사적 개인정보보호 관리 실태와 점검이 중요해졌기 때문이다. NHN은 사업 초기부터 고객 이용자들의 정보보호를 최우선 가치로 보호한다는 정책아래 지난 2005년 정보보안팀과 개인정보보호팀을 구성했다. 정보보호를 위한 정책의 체계화와 개인정보보호 업무의 특화 및 전사 정보보호 인식 강화를 위한 방침이었다. 정보보안팀·개인정보보호팀은 NHN 정보보안실의 하위조직으로 도합 20여명의 인원으로 구성돼 있다. 전사 정보보호 정책의 수립을 비롯해 서비스 보안 점검·개선 권고·이행 확인·개인정보보호를 위한 컴플라이언스 수행이 주 활동이며 임직원과 이용자의 정보보호 인식 개선을 위한 캠페인 등 보안활동 업무를 활발히 수행하고 있다. NHN의 한 관계자는 “이외에도 기술적 보안 및 보안관제 조직이 별도로 구성돼 있으며 ‘보안 ’업무를 수행하는 총인원은 110여 명에 달한다”며 “정보보호 관리 시스템 도입뿐만 아니라 사내 또는 한국인터넷진흥원과 연계해 일반 사무직원과 개인정보보호 취급자들에게 연 2회에 걸친 개인정보보고 교육을 수료하도록 하고 있다”고 말했다. NHN 측은 정보보호와 개인정보보호라는 가치가 이미 브랜드이며 이용자들이 서비스를 안심하고 다시 찾게 됨으로써 수익 창출에 기여하는 보안 투자 ROI를 달성할 수 있다는 입장이다. 현재 관련 팀 총지휘권은 정보보호실 소속의 임원이 담당하고 있으며 CSO 내정에 대해서는 논의가 진행 중이다. 이 관계자는 “보안 인력에 대한 ‘성장’과 모든 임직원의 ‘참여’, 그리고 이를 위한 의사결정권자의 꾸준한 ‘지원’이 맞물려야 시너지 효과나 나타날 것”이라며 “보안이 곧 사람이라는 명제가 참이 되기 위해서는 발전하는 공격과 위협에 대해 그 이상의 인력들이 발전을 이뤄야 한다”고 강조했다. 단독 또는 특정 기능으로는 끊임없는 보안 위협에 대해 효과적으로 대응할 수 없는 동시에 모두의 참여를 이끌어 내기위해서는 의사결정권자의 스폰서십이 중요하기 때문이다. 지속적 모의해킹과 교육 진행 인터파크는 지난 2009년 6명의 인력으로 구성된 보안팀을 구성해 정보보호 정책과 시스템 보안, 웹 보안 등 전문분야 전문가로 양성하고 있다. 이는 정보보호 강화 필요성 고조에 따른 관련 전문 인력의 배출, 체계적이고 선제적인 정보보호정책에 따른 시스템 구성 및 운영이 필요했기 때문이다. 또한 정부정책 및 관련 법안 준수를 통해 기타 컴플라이언스에 대응하고 외부와의 유연하고 전문적인 인터페이스를 만드는데 중점을 뒀다. 인터파크의 한 관계자는 “체계적이고 지속적인 정보보호 정책 및 시스템 강화를 통해 기업정보보호정책에 대한 일관성과 신뢰도를 향상시키는 것이 관건”이라며 “관련 팀을 통해 기존 보안 솔루션 외에도 정보 유출 및 침해사고 예방과 후속조치 솔루션 도입을 서두름과 동시에 웹 애플리케이션 보안 강화를 위한 주기적인 모의해킹을 진행할 계획”이라고 전했다. 현재 인터파크의 관련 팀 총괄 지휘는 IT 부문장인 CIO가 전담하고 있으며, CSO 내정에 대해서는 CIO가 겸임하는 단계로 당분간 큰 변화는 없을 것으로 예상하고 있다. 이에 대해 인터파크 측은 기업 특성상 의사결정 과정이 복잡하지 않은 관계로 신속한 의사결정이 가능한 조직구조가 이미 확보됐다는 점과 CIO가 CSO 역할을 하기에 필요한 전문지식을 보유하고 있는 점을 강조했다. CSO 외부 전문가 영입 이슈에 대해서는 아직 정해진 바가 없으며 다만 실무자 보강은 지속적으로 고려중인 것으로 알려졌다. 이 관계자는 “지속 가능하고 안전한 보안을 위해서 내부 직원 보안 교육을 통한 보안 마인드 고취와 내부 서비스용 시스템 및 PC 취약점 점검, 웹 소스 분석 및 웹 취약점 점검에 주력하고 있다”며 “개인정보관리시스템(PIMS)과 같은 외부 인증을 활용한 내부 보안 현황 진단 및 보완과 주요 정보 외부 유출에 따른 다른 회사 사례 연구를 활발히 진행하고 있다”고 설명했다. 실제 인터파크는 개인정보보호법의 주요 내용과 내부 개인정보관리지침, 작년 개인정보보호 실태 분석 결과를 토대로 전 임직원을 대상으로 교육을 진행하고 있으며, 개인정보 취급자 및 개인정보 제공 3자에 대한 보안과 관리 감독을 강화했다. 정보보호위원회 구성해 대응 다음커뮤니케이션은 지난 2007년 정보보호팀을 구성한 이후 2008년 개인정보보호팀과 정보보호위원회를 신설했다. 정보보호위원회는 10여 명의 C레벨로 구성돼 월별 미팅을 통한 전사 경영진단을 진행하는 주축이다. 현안에 대한 즉시적인 논의와 의사결정이 가능해 리스크 사고관리 예방에서 두각을 보이고 있다. 다음커뮤니케이션 한 관계자는 “개인정보보호팀은 외부 해킹 또는 침해사고 외에도 개인정보보호와 관련된 모든 정책적 이슈에 대응하기 위함”이라며 “현재 전사 IT 투자비용 중 10%에 가까운 비율이 보안 영역에 집중 투자되고 있는 점도 긍정적인 결과”라고 말했다. 다음커뮤니케이션은 지난 2005년부터 CSO 내정을 규정하고 있지만 정보보호위원회에서 현황과 이슈에 따라 내부 적임자를 위임하는 모습이다. 얼마 전까지 CTO가 CIO를 겸직했으나 최근에는 CIO가 CSO 역할을 겸하고 있으며, 외부 전문가를 따로 영입하는 방안에 대해서는 보안 측면에서 부정적인 입장을 표명하고 있다. 한편 다음커뮤니케이션 측은 해킹 방법이 고도화·지능화 되면서 과거 데이터센터에 있던 회원정보와 보안 수준 강화는 물론 데이터센터 내 보호 레이어를 높이고 접근제어와 감사 포인트 프로젝트를 진행했다. 특히 보안 솔루션 구축 후의 활용과 감사 측면을 대폭 강화해 사내 직원들이 개인정보와 데이터에 접근하는 횟수와 접근 사유 정보 등을 정보보호위원회에서 정기적으로 검토하고 있는 것도 한 방안이다. 연 1회 이뤄지는 사내 임직원 보안 교육은 전사 컨퍼런스 형식으로 진행 중이며, 전 임원진들이 한명도 빠짐없이 참여하면서 경영층 전반의 적극적 협조가 이뤄진 것도 큰 변화다. 법 해석과 실행 관련 부서는 달라야 OB맥주는 개인정보보호법이 이슈가 되며 지난 8월 CSO를 위임했다. 정보전략팀의 총괄 지휘를 맡고 있는 CIO에게 CSO를 겸직하게 하는 형태의 이번 위임으로 인해 보안 관련 업무가 전폭적으로 늘어날 전망이다. 세부 작업으로는 대내외 고객정보 암호화와 임직원 관리, 시스템 접근제어 등이 추가로 이뤄지게 되며, 보안사고 발생시 관련 책임 소재가 명확해지는 만큼 권한과 책임 양쪽에서 자유롭지 못할 것으로 보인다. 이와 관련 OB맥주 한 관계자는 “CIO가 CSO를 겸임하게 되면 IT 부서의 영향력이 한층 강화될 수 있다”며 “법률적 모든 책임을 진다는 전제에는 최종 결정권 또한 따르기 때문이다. IT 예산 심의 과정을 거쳐야 하겠지만 보안 이슈에 대한 경종을 울릴 수 있는 활동도 IT 부서가 앞장설 수 있을 것”이라고 설명했다. 또한 과거 개인정보 또는 기업 데이터 생성 결과물을 영업부서·마케팅 부서가 IT 부서의 승인 없이 사용해 왔던 작업들이 향후 반드시 IT 부서의 결재를 받은 후에 진행이 가능하다. OB맥주 측은 과거 브랜드 투 웹에이전시 관계였던 외부 웹사이트 관리 업체 등에 대한 관리 소홀함 역시 IT거버넌스를 정립해 강화해 간다는 방침이다. 하지만 단점도 지적됐다. 바로 IT 테두리 안에서 보안 이슈를 객관적으로 감지하지 못할 수 있는 상황이 발생할 수 있으며 투자 우선순위에서도 보안이 뒤쳐질 수 있다는 점이다. 이 관계자는 운영 측면에서 봤을 때 기업 내 애플리케이션은 ERP 안에서만 해도 몇 십 가지 모듈을 지니는 경우가 허다해 논리적 보안을 정립해 나가는 것이 우선이라고 전했다. 특히 논리적 보안과 관련해 여신관리 부서나 감사팀이 공조를 하게 된다면 IT 부서뿐 아니라 관련 타 부서들의 적극적 협조가 이뤄져야 한다는 의견이다. 하지만 OB맥주 측은 최근 CSO 내정과 관련해 약간의 우려도 나타냈다. 기업 법무팀이 강한 레귤레이션을 기반으로 보안과 관련된 정책에 참여하려는 경우가 증가하며 해당 부서 간 갈등이 야기될 수 있다는 것이다. 이 관계자는 “법의 해석과 실행 부서는 명확히 다르며 관련 업무 추진을 법무팀에서 담당하려 한다면 분명 잡음이 발생할 것”이라며 “이를 해결하기 위해 기업 최고 경영진 층의 혜안과 관리 의지가 필수적인 뒷받침”이라고 강조했다. CSO 외부 전문가 영입에 대해선 ‘중립’ LG화학은 지난 2008년 정보보호팀을 발족했으며, 이는 LG그룹 내 각 사 정보보안 전담부서에 대한 권고가 시초였다. 현재 LG화학 내 정보보호팀 관련 업무 인원은 약 20여 명 정도로 SI 자산을 지킨다는 정확한 미션을 지니고 있다. 세부적으로 IT 부서원들이 해야 할 업무가 과거 정보통신법 지금의 개인정보보호법에 위배되지 않도록 가이드라인을 제시해주는 업무인 셈이다. LG화학의 CSO는 타 기업과 마찬가지로 CIO가 겸임하고 있는 체제다. 이는 기업 내부 IT 정책과 이슈에 대한 의사결정 책임자를 CIO를 가장 적임으로 여기기 때문이다. LG화학 한 관계자는 “CIO가 CSO를 겸직하면 의사결정 신속성과 효율성 차원에서 월등한 경제력이 있다고 생각한다”며 “CSO 외부 전문가 영입에 대해서는 중립 입장으로 외부 전문가 영입으로 기업 내 보안 이슈를 모두 해결하거나 방지할 수는 없다”고 밝혔다. 실제 LG화학은 보안 이적 행위자에 대한 처벌이 극에 가깝다. 외부 이슈가 발생하면 역추적 또는 내부 집중 조사를 통해 징계위원회에서 적극적이고 민감하게 반응하고 있다. 이와 같은 사례를 봤을 때 LG화학 측은 대다수 조직 내 생리와 트렌드를 아는 인력들이 보안 문제를 일으키는 사례가 많아 외부 전문가 영입이 해결책은 아니라는 입장이다. 오히려 CIO가 CSO를 겸직하도록 함으로써 빠른 의사결정과 IT 예산을 더 많이 확보할 수 있다는 강점에 살려 과감한 투자 등이 가능하다는 입장이다. 특히 텔레콤 업체 등 개인정보를 관리하는 B2C 사업은 개인정보보호법에 대해 다소 민감하지만 LG화학과 같은 B2B 업체는 오히려 개인정보보다 R&D 쪽 데이터 기밀에 주력하고 있는 것으로 나타났다.