공공기관, 인프라 부족

통신·포털, 정통망법과 모순돼 혼란

공공기관들은 그동안 국정원으로부터 정보보호 및 개인정보보호와 관련한 대부분의 관리감독을 받아왔으나 개인정보보호법 제정 이후로는 행정안전부의 관리감독까지 받고 있다.
기관들은 개인정보보호법 시행으로 개인정보보호에 대한 인식과 수준이 사회 전체적으로 확산됐다는 점에서는 긍정적이지만, 아직까지는 법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 지적하고 있다.
통신 및 포털 업계는 이미 방송통신위원회의 정보통신망법과 관련해 대부분의 개인정보보호 준수 준비는 마친 상태다. 일반 고객을 상대로 하는 B2C 산업일뿐더러 동종업계에서 이미 여러 차례 개인정보 유출사고가 있었던 만큼 업계 전반적으로 개인정보보호에 대해 적극적인 모습이다.
반면 법 해석의 모호함과 개인정보보호법과 정통망법과의 모순, 비현실적으로 강력한 규정 등으로 인해 혼란 및 부담을 호소하고 있다.
정보주체의 권리를 지키면서 사업자들의 부담도 줄이고 글로벌 기준에 부합하는 법 개정이 시급해 보인다.

연보라 기자 bora@ciociso.com

개인정보 수집 금지로 대국민 서비스 지원 방법 줄어

공공기관, 조직 개편 및 솔루션 도입 주력

▲ “개인정보보호법 준수를 위한 인프라가 부족한 듯하다. 또한 공공기관들은 예산 확보를 위해서는 상급기관의 예산 승인을 받는 등 절차가 필요하므로 점차적인 도입이 필요한 부분이 있는데 바로 이행토록 하는 것은 다소 현실성이 떨어지는 듯하다“ - 박제연 국민연금공단 개인정보보호부장

공공기관들은 기존 ‘공공기관 개인정보에 관한 법률’에 따라 개인정보보호를 실천하고 있었으나 지난해 개인정보보호법 제정 이후 관련 조직을 구성하고, 출력물 관리 시스템이나 개인정보 암호화, 개인정보보호 관련 솔루션을 도입하는 등 법의 요구사항을 만족시키기 위한 준비에 한창이다.
국민연금공단의 경우 2007년부터 감사부 소속의 개인정보보호 담당자를 배치해 개인정보보호를 진행해왔으나 개인정보를 다량 보유하고 있는 공단 업무 특성상 2010년 7월 다소 이른 시점에서 개인정보 별도 조직을 마련했다.
한국도로공사도 올해 초 정보보안팀을 신설했다. 특히 한국도로공사는 하이패스 사업을 하면서 고객들의 위치 정보 및 계좌 정보 등도 함께 취급하고 있으므로 이로 인한 개인정보보호 중요성 제기로 한층 정보보호 체계를 강화하고 있는 상황이다.
공공기관들은 그동안 국정원으로부터 정보보호 및 개인정보보호와 관련한 대부분의 관리감독을 받아왔으나 개인정보보호법 제정 이후로는 행정안전부의 관리감독까지 받고 있다. 기관 관계자들은 주로 개인정보보호영향평가와 CCTV 운영 지침 작성겙桓츃운영에 관한 조항과 관련해 행정안전부의 관리감독이 추가된 것으로 체감하고 있다.
그러나 업계에 따르면 최근 행정안전부와 국정원 사이에 중복되는 개인정보보호 업무로 인한 업무 분쟁이 다소 있다고 전한다. 이에 따른 업무 영역에 대한 부처 간 조율이 시급하다는 의견이다.

인식 확대 비해 법 준수 위한 인프라 부족
개인정보보호법 시행 1년 후, 공공기관들은 법의 효과에 대해 어떻게 평가하고 있을까?
먼저 개인정보보호에 대한 인식과 수준이 사회 전반적으로 확산됐다는 점에 대해서는 의견을 같이 하고 있다.
IT부서 등 특정 부서에서만 신경 써야 하는 부분으로 인식되던 개인정보보호업무가 현업 부서 몫으로도 확대됐다는 점에서도 의미가 크다고 할 수 있다. 개인정보보호를 위해 강제로라도 스스로의 업무 프로세스 자체를 손볼 수 있는 기회가 된 것이다.
특히 개인정보가 흘러가는 프로세스 자체에 보안이라는 개념이 녹아들어야 한다는 점을 현업부서가 인지하게 됐다는 것이 가장 큰 법령의 효과라고 기관 관계자들은 전한다.
반면 어두운 면도 존재한다.
기관 개인정보보호 담당자들은 아직까지 개인정보보호법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 평가하고 있다.

▲ “과거에는 고객 정보가 큰 자산 가치로서 부가가치를 창출하는 자원이었는데 이제는 리스크가 돼버렸다. 고객관리가 전혀 안되니 서비스 발전도 기대할 수 없다. 공공기관 서비스는 공익적인 측면이 많은데 개인정보보호 강화로 공익과 고객 편의를 위한 서비스가 저하되는 면도 간과할 수 없다” - 조용하 한국도로공사 정보보안팀장

개인정보보호법에 따르면 공공기관들은 개인정보가 포함된 시스템 신규 구축 또는 변경 시 개인정보영향평가를 의무 실시하도록 하고 있다. 기존 시스템의 경우도 5년 안에는 영향평가를 마쳐야 한다.
또한 개인정보영향평가는 행정안전부에 의해 지정된 18개 업체만이 수행할 수 있다. 그러나 18개 업체만으로는 368개에 달하는 모든 공공기관의 수요를 감당하기 벅차다는 것이 업계 견해다. 올해까지는 신규 구축된 시스템 내에 개인정보가 포함된 프로젝트가 많지 않아 덜하지만, 시간이 갈수록 영향평가 수행을 의뢰하는 공공기관들의 병목현상이 발생할 것으로 예상된다.
공공기관은 특히 상급기관의 예산승인을 받아야 하는 등 절차가 복잡해 갑작스런 예산 확보가 쉽지 않으므로 쉬운 여건은 되지 않는다고 토로하고 있다.

고객관리 안되니 서비스 발전도 기대 못해
개인정보보호법 제정으로 야기된 또 하나의 문제는 기관들이 개인정보를 이용해 국민들에게 다양한 서비스를 제공할 여지가 원천 차단된다는 점이다.
한국도로공사에서는 항상 일정한 시간에 일정 구간을 출퇴근 이용하는 하이패스 고객에게 교통정보를 맞춤 제공해주는 서비스를 추진하고 있었으나 개인정보보호에 대한 이슈가 대두됨에 따라 해당 서비스를 폐쇄했다. 홈페이지 회원가입으로 수집된 고객정보 15만 건도 모두 폐기했다. 현재 한국도로공사 홈페이지상 민원 및 독자투고와 같은 일부 서비스만 아이핀 등의 인증절차를 통해 접근할 수 있게 돼있다.
고객 정보를 이용해 유익한 서비스를 제공할 수 있음에도 불구하고 법 제정으로 인해 관련 계획들이 폐기됐으며, 현재 민원 제기에 대한 우려로 엄두도 못 내고 있는 상황이다.
과거에는 개인정보 인식이 보편화되지 않았었지만 지금은 일반 고객들도 개인정보 인식이 월등히 높아져 SMS만 받아도 개인정보 출처에 대해 항의전화가 빗발치므로 기관들은 함부로 개인정보를 활용할 수 없다.
이에 대해 공사 관계자는 “과거에는 고객 정보가 큰 자산 가치로서 부가가치를 창출하는 자원이었는데 이제는 리스크가 돼버렸다”면서 “고객관리가 전혀 안되니 서비스 발전도 기대할 수 없다”고 지적했다.
특히 공공기관 서비스는 일반기업처럼 수익창출 목적보다 공익적인 측면이 많은데 개인정보보호가 강화되다보니 공익과 고객 편의를 위한 서비스가 저하되는 면을 간과할 수 없는 것이다. 이는 더 나아가 IT 발전의 저해 요소로도 작용할 소지가 있다는 것이 업계 관계자들의 목소리다.

일관성 있고 업계 부담 더는 현실적 법 개정 필요

통신·포털, 정통망법으로 개인정보보호 대응

▲ “이미 정통망법에 의해 개인정보보호법보다 강력한 수준의 개인정보보호를 추진해왔기 때문에 개인정보보호법과 관련된 이슈는 많지 않다. 통신업계는 딱히 법을 만족하기 위한 목적보다는 고객 정보보호 차원에서 개인정보보호에 충실할 수밖에 없다” - 박종화 LG유플러스 서비스 개발본부 IT 담당 상무

통신 및 포털 업계는 일반 고객을 상대로 하는 B2C 산업군일뿐더러 KT, SK컴즈 등 동종업계에서 이미 여러 차례 개인정보 유출사고가 있었던 만큼 개인정보보호에 대해 적극적인 모습을 보이고 있다.
딱히 개인정보보호법을 충족시키기 위한 목적보다 고객 신뢰라는 기업 가치 측면에서 추진하려는 경향이 강하다. 개인정보 유출은 기업 이미지 실추와 그로 인한 집단 소송 제기, 고객 이탈 등의 리스크가 크기 때문이다.
이 때문에 몇몇 관련 기업에서는 개인정보보호법 혹은 정통망법상 규정하고 있지 않은 범위까지 개인정보보호를 강화하는 경우도 있다. NHN이 개인정보영향평가를, LG유플러스가 PIMS 인증을 받은 것도 이와 같은 이유에서다.
주요 업체들은 이미 방송통신위원회의 정보통신망법과 관련해 대부분의 개인정보보호 준수는 준비를 마친 상태다. 개인정보보호법에만 특별하게 포함돼 있는 몇몇 요건들만 준비하면 되는 터라 올해 이슈는 많지 않았던 게 업계 전반적인 상황이다.
업계는 정통망법이 개인정보보호법에 비해 기술적으로 더 강화된 개인정보보호 수준을 요구하고 있다고 이야기한다. 개인정보가 포함된 DB 암호화와 관련해서도 개인정보보호법상에서는 기본적인 민감 정보에만 암호화를 이야기하지만, 정통망법에서는 이메일 및 연락처까지 암호화 대상으로 규정하고 있다.

채용·인사정보 등 임직원 개인정보보호 강화
올해 통신·포털업체 중에는 고객이 아닌 기업 임직원들을 대상으로 하는 개인정보보호를 강화하는 데 주력하는 기업들이 많았다. 특히 채용 인사정보의 활용 및 폐기에 대한 절차가 강화됐다. 과거 많은 기업들이 채용 시 지원자들로부터 채용은 물론 입사에 필요한 정보까지 모두 수집하고 있었다.
NHN의 경우 개인정보보호법 제정 이후 채용에 필요한 정보만 받고 입사가 확정된 사람에 한해 구체적인 인사정보를 추가로 받도록 했다.
또한 과거에는 채용풀이라는 명목으로 이제까지 입사 지원했던 모든 사람들의 정보를 무한정 보유하고 있었다면, 최근 일정 정보보유기간을 정해 그 기간이 도래하면 채용 정보를 파기하고 채용풀을 다시 개편하는 방식으로 프로세스를 변경했다.

▲ “현실적으로 적용하기 어려운 법제를 만들어 놓고 실제 현실사회에서 위반했을 때는 위반이 아니라 합리화시켜주는 모순적인 분위기다. 정부에서도 계속 기준을 낮춰서 해석 하고 있는 듯하다. 너무 강력한 법을 만들어 놓고 실제 점검도 못하고 있는 상황이다” - 이진규 NHN 개인정보보호팀장

정통망법과 모순, 현실적 법 개정 필요
법에서 요구하고 있는 개인정보보호 수준은 선진국의 것보다 훨씬 강력한 것이라고 업계는 이야기한다.
이에 따라 DB 암호화나 망분리 제도 등과 같이 막대한 예산이 투입돼야 하는 것을 법률적으로 제도화한 것은, 어떤 기업으로서는 진입장벽이 될 수 있다는 지적이다.
만약 회원 수가 증가해 성장세에 있는 기업이 있다고 가정하면, 망분리 적용 대상에 포함되지 않기 위해서는 회원 수를 제한해야 하는 사태도 그려볼 수 있다.
또한 개인정보보호법이 정통망법과 모순되는 측면도 있어 업계 혼란이 가중되고 있다.
개인정보보호법에는 정보 주체 이외의 자로부터 수집한 정보에 대해서는 수집과 이용이 가능하며 원래 주체가 요구하는 경우에는 처리를 중단할 수 있다고 명시되나, 정통망법에서는 이를 제한하고 있다. 최근 많이 등장하고 있는 카카오톡, 마이피플 등 모바일 인스턴트 매니저(MIM)가 이 경우에 해당한다.
기관들마다 법 해석도 제각각이라 법에 따라 기존 서비스를 만들어 제공하고 있는 기업들이 불확실한 상태에서 서비스를 해야 하면서 불안 위협도 높아졌다. 
이러한 현상에 대해 한 업계 관계자는 ‘정통망법의 개인정보에 대한 애매모호한 정의를 개인정보보호법에서 그대로 가져온 것이 가장 근본적인 문제’라고 지적하고 있다.
더군다나 개인정보보호법에 대한 행안부의 일관성 있는 집행도 미흡하다고 업계는 말하고 있다.
한 업계 보안 담당자는 “현실적으로 적용하기 어려운 법제를 만들어 놓고 실제 현실사회에서 위반했을 때는 위반이 아니라 합리화시켜주는 모순적인 분위기가 연출되고 있다”며 “정부에서도 계속 기준을 낮춰 해석을 하고 있는 듯하다”고 전했다. 강력한 법을 만들어 놓고 실제 상황에서는 점검조차 하지 못하고 있는 상황인 것이다. 
또한 업계는 개인정보보호 강화로 인해 기업 활동에 있어 번거로운 부분들이 가중됐다고 토로하고 있다.
일례로 영업상 고객 정보를 활용하기 위해서는 각 개인에게 일일이 동의를 받아야 한다. 이는 고객 입장에서도 방대한 약관을 살펴보고 동의 여부를 체크하기란 여간 불편한 점이 아니며, 비현실적인 조항이라는 업계의 지적이다.
포털 업체의 개인정보보호 담당자들은 업계 현실에 맞춘 개인정보보호법 개정을 제안하는 정책제안서를 만들어 정책 입안자에게 제안을 준비 중이다.
정보주체 권리를 지키면서 사업자들의 부담도 줄이고 글로벌 기준에 부합하는 법 개정이 필요하다는  업계 주장이다.