2024.04.19 (금)
Special Report | 개인정보보호법 중간점검
개인정보보호법, 시작은 거창했으나 갈수록 취지 퇴색
의견 조율·법제도 갈팡질팡
개인정보보호법 시행 1년이 지난 현재 업계 내 의견은 분분하다.
각 산업군들이 관련 보안 조직을 신설하고, 기본적 보안 솔루션 도입 사례는 증가하고 있지만 아직도 갈 길이 멀다는 의견이다.
개인정보보호법 시행으로 개인정보보호에 대한 인식과 수준이 사회 전체적으로 확산됐다는 점에서는 긍정적이지만, 법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 지적하고 있다.
특히 관련 정부기관들의 정책 수시 변동과 세분화·체계화되지 못한 시행령, 통일되지 않은 정책들은 기업 보안담당자들에게 족쇄로 다가갈 수밖에 없다.
금융권의 경우 정책은 금융감독원·행정안전부 등에 따라야 한다는 불편함과 함께, 보고 역시 금융위원회·방송통신위원회·행정안전부에 각기 해야 하는 애로사항이 존재한다.
유통업계 역시 초기 정부에서 개인정보보호법에 의거해 고객 주민등록번호 사용을 막았다가 이를 중간에 일부 허가 하는 등의 일관성 없는 변화로 초기 대응이 어려웠다는 목소리가 강하다.
공공기관의 경우 그동안 국정원으로부터 정보보호 및 개인정보보호와 관련한 대부분의 관리감독을 받아왔으나 개인정보보호법 제정 이후로 행정안전부의 관리감독까지 받고 있는 실정이다.
통신 및 포털 업계 또한 법해석의 모호함과 개인정보보호법과 정통망법과의 모순, 비현실적으로 강력한 규정 등으로 인해 혼란 및 부담을 호소하고 있다.
Contents
PART I. 금융기관 및 유통 업계 개인정보보호 현황
단일화·변동성 없는 보안정책 필요
PART II. 공공기관 및 통신·포털 업계 개인정보보호 현황
공공기관, 인프라 부족
PART I. 금융기관 및 유통 업계 개인정보보호 현황
단일화·변동성 없는 보안정책 필요
이상에 의한 보안정책 아니라 현실 인지한 방안 요구
금융권과 유통기업의 경우 개인정보보호법의 영향을 상대적으로 많이 받는 산업군에 속한다.
이들 산업군은 관련 보안 조직을 신설하고 기본적 보안 솔루션 도입은 어느 정도 이뤘지만 아직도 갈 길이 멀다는 의견이다.
특히 관련 정부기관들의 정책 수시 변동과 세분화·체계화되지 못한 시행령, 통일되지 않은 정책들은 기업 보안담당자들에게 족쇄로 다가갈 수밖에 없다.
금융권의 경우 정책은 금융감독원/행정안전부 등에 따라야 한다는 불편과 함께, 보고 역시 금융위원회/방송통신위원회/행정안전부에 각기 해야 하는 애로사항이 있다.
유통업계 역시 초기 정부에서 개인정보보호법에 의거해 고객 주민등록번호 사용을 막았다가 이를 중간에 일부 허가 하는 등의 일관성 없는 변화로 초기 대응이 어려웠다는 목소리가 강하다.
이지혜 팀장 jh_lee@ciociso.com
통일된 법제도만이 시행 혼선 초래 막아
금감원·금감위 중간 조율역할 아직도 미흡
개인정보보호법 시행으로 인해 금융권에서는 관련 솔루션 도입으로 주로 DB암호화, 이동식 저장장치 통제, 문서파일 암호화, 인터넷 사이트 통제 등 기본적인 대응 방안을 꾸려나가고 있다.
관련 조직은 개인정보보호법 시행 이후 신설된 경우들이 많으며, 보통 전담인력과 운영인력이 섞여 있는 팀 체제이지만 아직 5·5·7이론에 맞는 인원 할당은 시기상조라는 것이 업계 내 목소리다.
하지만 개인정보보호법 시행 이후 관련 기업들에서는 많은 애로사항을 겪고 있는 것으로 나타나 우려를 낳고 있다.
▲ “기업 CPO 및 CISO 역시 내부 임원이 겸직을 하는 체제가 많기 때문에 행정안전부 또는 금융감독원 자체의 교육활동이 반드시 필요하다. 보안 총 책임자로서 단순히 보고만 받는 ‘눈 가리고 아웅’식의 업무 형태를 피하고 책임의식을 갖기 위해서는 필수적이다” - 김명환 현대증권 인프라시스템부 IT보안팀 팀장 |
CPO·CISO 전문 보안 교육 이수해야
금융감독원에서는 5·5·7규정에 맞춰 금융기관들의 정보보호 비용 투입을 유도하고 있지만 실제 최근 시장 상황의 어려움과 비용절감 문제로 보안 쪽 투자가 활발히 이뤄지기는 힘들다.
보안 인력 확충도 별반 다르지 않다. 외부 보안 전문가를 영입하려 해도 쉽지 않은 상황이기 때문에 정책과 보안을 담당하는 금융기관 내 보안팀은 초기 할당 프로젝트가 끝나기도 전 다음 업무에 착수해야 하면서 이중고를 겪고 있는 곳이 허다하다.
이처럼 금융기관 내 보안팀 책임은 늘어가는 반면, 권한과 업무 동기부여는 줄어들면서 관련자들이 자괴감까지 느끼는 경우도 쉽게 찾아볼 수 있다.
또한 해당 업무의 리스크를 떠안는다는 점이 부담감으로 작용하며 실제 안전성 가이드에 나와 있는 위험도 평가 26개 항목을 준수하는 데만 급급해 심도 있는 보안 대책이 이뤄지지 않고 있는 실정이다.
한편 보안 컨설팅이나 취약점 점검 전문 업체 역시 많이 만들어져 상호 경쟁을 하도록 해야 한다는 의견도 있다. 최근 갑과 을이 바뀌었다는 말이 돌 정도로 외부 보안 전문가 수요가 늘어나며 기업에서는 적시에 컨설팅을 받을 수 있는 경우가 현저히 줄어들고 있기 때문이다.
기업 CPO 및 CISO 내정에 대해서도 보안 전문가 보다 타 임원이 겸직 하는 체제가 많기 때문에 행정안전부 또는 금융감독원 자체의 교육활동이 반드시 필요하다는 입장이다.
기업 보안 총 책임자로서 단순히 보고만 받는 ‘눈 가리고 아웅’식의 업무 형태를 피하고 책임의식을 갖기 위해서는 반드시 필요한 부분이다.
또한 보안 솔루션 제공 업체들 역시 너나할 것 없이 관련 시장에 뛰어들면서 기업 사용자 입장에서 서비스 품질 우려와 향후 유지보수 부분을 염려하고 있다.
이를 해결하기 위해서는 검증된 업체들을 정부차원에서 양성해 기업 정보보호 체계정립에 잘 지원될 수 있도록 유도해야 한다는 목소리다.
유통업계, 주민등록번호 사용 불가로 비즈니스 자체 혼선
KEY값 설정·멤버십 카드 런칭 등에 걸림돌
▲ “정부기관의 사전 충분한 조사가 미흡하고 명확한 지침의 부재, 시행령 후 경과 기간 부족 등으로 기업 입장에서는 갈피를 잡지 못하고 있다. 최근 멤버십 카드를 런칭하며 주민등록번호의 수집불가 지침으로 가능한 고객정보를 수집하지 못하다 보니 계층 분석이 어려워졌다” - 박상신 BGF 리테일 정보시스템본부 상무 |
보안 전문가 영입도 하늘의 별따기
▲ “현실적인 대안으로 세밀한 지침을 제공해야 할 정부기관들이 이를 무시하다, 나중에 의견을 바꾸는 경우가 많아 프로젝트 혼선 문제로 인해 발생할 수 있는 피해가 많다. 개인정보보호법이 개정되며 정보통신망법이 변경돼 이에 대한 기준이나 시행령이 명확하지 않다는 것도 문제점이다”
- 왕영철 GS리테일 정보서비스부문 상무
유통업계 역시 금융기관과 마찬가지로 현실적인 대안으로 세밀한 지침을 제공해야 할 정부기관들이 이를 무시하다, 나중에 의견을 바꾸는 경우가 많아 프로젝트 혼선 문제로 인해 발생할 수 있는 피해가 많다는 의견이다.
또한 개인정보보호법이 개정되며 정보통신망법이 변경돼 이에 대한 기준이나 시행령이 명확하지 않다는 것도 공통된 생각이다.
관련 법 해석이 어려워 시행령이 나온다 해도 정책을 수립하기 어려운 기업입장에서는 보안 담당자들의 추측으로 업무에 착수하는 경우도 왕왕 발생하는 것으로 나타났다.
중요한 점은 사전 충분한 조사를 통해 정부 관련 기관과 기업들이 서로 엇갈리는 정도를 최소화해 기업이 준비ㆍ적응할 수 있는 충분한 시행령 기간을 제공하는 것이다.
이러는 가운데 보안 전문가를 영입하는 것도 하늘의 별따기다. 급한대로 내부 임직원들의 의식 전환을 위해 오프라인 뿐 아니라 온라인 교육을 진행하고 있으며 실사에 나가 현업 업무를 점검하고 있는 기업도 늘어나고 있다.
또한 법규제가 강화되면 관련 보안 솔루션의 서비스 및 성능이 동반 상승돼야 하는데 아직 미흡하다는 지적이 이는 가운데, 보안 솔루션 제공 업체들의 생색내기 영업 방식도 지양돼야 한다고 지적되고 있다.