Special Report  | 개인정보보호법 중간점검

개인정보보호법, 시작은 거창했으나 갈수록 취지 퇴색

의견 조율·법제도 갈팡질팡

개인정보보호법 시행 1년이 지난 현재 업계 내 의견은 분분하다.
각 산업군들이 관련 보안 조직을 신설하고, 기본적 보안 솔루션 도입 사례는 증가하고 있지만 아직도 갈 길이 멀다는 의견이다.
개인정보보호법 시행으로 개인정보보호에 대한 인식과 수준이 사회 전체적으로 확산됐다는 점에서는 긍정적이지만, 법 준수를 위한 충분한 인프라가 갖춰져 있지 못하다고 지적하고 있다.
특히 관련 정부기관들의 정책 수시 변동과 세분화·체계화되지 못한 시행령, 통일되지 않은 정책들은 기업 보안담당자들에게 족쇄로 다가갈 수밖에 없다.
금융권의 경우 정책은 금융감독원·행정안전부 등에 따라야 한다는 불편함과 함께, 보고 역시 금융위원회·방송통신위원회·행정안전부에 각기 해야 하는 애로사항이 존재한다.
유통업계 역시 초기 정부에서 개인정보보호법에 의거해 고객 주민등록번호 사용을 막았다가 이를 중간에 일부 허가 하는 등의 일관성 없는 변화로 초기 대응이 어려웠다는 목소리가 강하다.
공공기관의 경우 그동안 국정원으로부터 정보보호 및 개인정보보호와 관련한 대부분의 관리감독을 받아왔으나 개인정보보호법 제정 이후로 행정안전부의 관리감독까지 받고 있는 실정이다.
통신 및 포털 업계 또한 법해석의 모호함과 개인정보보호법과 정통망법과의 모순, 비현실적으로 강력한 규정 등으로 인해 혼란 및 부담을 호소하고 있다.

Contents
PART I. 금융기관 및 유통 업계 개인정보보호 현황
 단일화·변동성 없는 보안정책 필요 
 
PART II. 공공기관 및 통신·포털 업계 개인정보보호 현황
  공공기관, 인프라 부족

 

PART I. 금융기관 및 유통 업계 개인정보보호 현황

단일화·변동성 없는 보안정책 필요

이상에 의한 보안정책 아니라 현실 인지한 방안 요구

금융권과 유통기업의 경우 개인정보보호법의 영향을 상대적으로 많이 받는 산업군에 속한다.
이들 산업군은 관련 보안 조직을 신설하고 기본적 보안 솔루션 도입은 어느 정도 이뤘지만 아직도 갈 길이 멀다는 의견이다.
특히 관련 정부기관들의 정책 수시 변동과 세분화·체계화되지 못한 시행령, 통일되지 않은 정책들은 기업 보안담당자들에게 족쇄로 다가갈 수밖에 없다.
금융권의 경우 정책은 금융감독원/행정안전부 등에 따라야 한다는 불편과 함께, 보고 역시 금융위원회/방송통신위원회/행정안전부에 각기 해야 하는 애로사항이 있다.
유통업계 역시 초기 정부에서 개인정보보호법에 의거해 고객 주민등록번호 사용을 막았다가 이를 중간에 일부 허가 하는 등의 일관성 없는 변화로 초기 대응이 어려웠다는 목소리가 강하다.

이지혜 팀장 jh_lee@ciociso.com

통일된 법제도만이 시행 혼선 초래 막아

금감원·금감위 중간 조율역할 아직도 미흡
개인정보보호법 시행으로 인해 금융권에서는 관련 솔루션 도입으로 주로 DB암호화, 이동식 저장장치 통제, 문서파일 암호화, 인터넷 사이트 통제 등 기본적인 대응 방안을 꾸려나가고 있다.
관련 조직은 개인정보보호법 시행 이후 신설된 경우들이 많으며, 보통 전담인력과 운영인력이 섞여 있는 팀 체제이지만 아직 5·5·7이론에 맞는 인원 할당은 시기상조라는 것이 업계 내 목소리다.
하지만 개인정보보호법 시행 이후 관련 기업들에서는 많은 애로사항을 겪고 있는 것으로 나타나 우려를 낳고 있다.

▲ “기업 CPO 및 CISO 역시 내부 임원이 겸직을 하는 체제가 많기 때문에 행정안전부 또는 금융감독원 자체의 교육활동이 반드시 필요하다. 보안 총 책임자로서 단순히 보고만 받는 ‘눈 가리고 아웅’식의 업무 형태를 피하고 책임의식을 갖기 위해서는 필수적이다” - 김명환 현대증권 인프라시스템부 IT보안팀 팀장

가장 큰 부분은 정부당국과 관련 기관들의 애매모호한 법 가이드라인 또는 방침이다. 또한 책임전가와 보안인식의 미전환 등도 문제점으로 꼽히고 있다.
금융권 보안 관계자들은 실제 기업 내 보안 조직변화에 대해서도 큰 변화가 없다는 반응이다. 타사에서 보안사고가 발생해도 자사 해당 이슈가 아니라는 이유로 액션을 취하는 경우는 드물다는 것이다.
또한 기업 규모나 문화에 따라 IT 또는 컴플라이언스 부서에서 보안을 담당하지만 저돌적인 추진제를 갖췄다고 보기는 힘들다.
관련 기관들의 정책에 대한 수시 변동과 세분화·체계화되지 못한 시행령, 통일되지 않은 정책들 역시 기업 보안담당자들에게 족쇄로 다가올 수밖에 없다.
예를 들어 개인정보보호법에 의거하면 고유 식별번호만 암호화해도 되는 반면 정보통신망법에 따르면 계좌 번호 등 더 많은 정보들이 포함돼 있어 보안 업무 추진 시 장애가 될 수 있다.
상위 기관인 행정안전부와 방송통신위원회는 서로 책임을 전가하기 급급하다. 관련 문서를 만드는 주체인 기관들의 책임전가가 이어지면서 금융권에서 정확한 대응을 못하게 되는 것은 당연지사다.
초기 행정안전부에서는 강한 개인정보보호법을 시행하려다 업계 내 반발에 부딪혀 애매모호한 법규를 내놓았다는 것도 관련자들의 의견이다.
정책 역시 금융감독원/행정안전부 등에 따라야 하는 불편함과 함께, 보고 역시 금융위원회/방송통신위원회/행정안전부에 각기 해야 한다는 이중삼중의 업무 사항이 늘어나는 것이다.
금융감독원 규정은 일 년에 한 번씩 취약점과 홈페이지 등을 점검한 내용을 제출하라는 반면, 정보통신망법에서는 일 년에 한차례씩 방송통신위원회에 따로 침해사고 발생 시 신고를 하라는 내용이 포함돼 있다.
이러한 점을 조율하기 위해서는 금융감독원의 역할이 중요하다는 점이 눈여겨볼 만하다. 실제로 초기 금융감독원에서는 개인정보보호 TFT를 구성해 업계 내 기대를 모았지만 결과는 흐지부지했다.
금융감독원이나 금융위원회가 개인정보보호법에 대한 가이드 또는 준수사항을 기업이 수렴할 수 있는 선을 조정해 주기를 원하는 것도 현재 금융권의 가장 큰 요구사항이다.
개인정보보호법 계도기간 당시 금융기관들의 불만이나 요구사항을 금융감독원 또는 금융위원회가 수용해 이를 행정안전부에 잘 전달하는 역할만 수행했어도 기업 보안 계획 수립과 조율하는 단계를 거칠 수 있었을 것이라는 점을 간과할 수 없다.
이에 따라 금융권 내부에서는 금융감독원 또는 금융위원회가 현재처럼 지엽적인 역할 외에 금융기관의 대변인 역할을 충실히 해줬으면 하는 요구사항이 늘고 있다.
실제 개인정보보호법 시행 전부터 금융기관의 타격이 가장 클 것이라는 의견이 지배적이었지만 시행기간동안 상호 의견이 조율되거나 요구사항이 지원된 경우는 거의 전무했다.

CPO·CISO 전문 보안 교육 이수해야
금융감독원에서는 5·5·7규정에 맞춰 금융기관들의 정보보호 비용 투입을 유도하고 있지만 실제 최근 시장 상황의 어려움과 비용절감 문제로 보안 쪽 투자가 활발히 이뤄지기는 힘들다.
보안 인력 확충도 별반 다르지 않다. 외부 보안 전문가를 영입하려 해도 쉽지 않은 상황이기 때문에 정책과 보안을 담당하는 금융기관 내 보안팀은 초기 할당 프로젝트가 끝나기도 전 다음 업무에 착수해야 하면서 이중고를 겪고 있는 곳이 허다하다.
이처럼 금융기관 내 보안팀 책임은 늘어가는 반면, 권한과 업무 동기부여는 줄어들면서 관련자들이 자괴감까지 느끼는 경우도 쉽게 찾아볼 수 있다.
또한 해당 업무의 리스크를 떠안는다는 점이 부담감으로 작용하며 실제 안전성 가이드에 나와 있는 위험도 평가 26개 항목을 준수하는 데만 급급해 심도 있는 보안 대책이 이뤄지지 않고 있는 실정이다.
한편 보안 컨설팅이나 취약점 점검 전문 업체 역시 많이 만들어져 상호 경쟁을 하도록 해야 한다는 의견도 있다. 최근 갑과 을이 바뀌었다는 말이 돌 정도로 외부 보안 전문가 수요가 늘어나며 기업에서는 적시에 컨설팅을 받을 수 있는 경우가 현저히 줄어들고 있기 때문이다.
기업 CPO 및 CISO 내정에 대해서도 보안 전문가 보다  타 임원이 겸직 하는 체제가 많기 때문에 행정안전부 또는 금융감독원 자체의 교육활동이 반드시 필요하다는 입장이다.
기업 보안 총 책임자로서 단순히 보고만 받는 ‘눈 가리고 아웅’식의 업무 형태를 피하고 책임의식을 갖기 위해서는 반드시 필요한 부분이다. 
또한 보안 솔루션 제공 업체들 역시 너나할 것 없이 관련 시장에 뛰어들면서 기업 사용자 입장에서 서비스 품질 우려와 향후 유지보수 부분을 염려하고 있다.
이를 해결하기 위해서는 검증된 업체들을 정부차원에서 양성해 기업 정보보호 체계정립에 잘 지원될 수 있도록 유도해야 한다는 목소리다.

유통업계, 주민등록번호 사용 불가로 비즈니스 자체 혼선

KEY값 설정·멤버십 카드 런칭 등에 걸림돌

▲ “정부기관의 사전 충분한 조사가 미흡하고 명확한 지침의 부재, 시행령 후 경과 기간 부족 등으로 기업 입장에서는 갈피를 잡지 못하고 있다. 최근 멤버십 카드를 런칭하며 주민등록번호의 수집불가 지침으로 가능한 고객정보를 수집하지 못하다 보니 계층 분석이 어려워졌다” - 박상신 BGF 리테일 정보시스템본부 상무

고객 개인정보를 많이 취급하고 있는 유통전문 업체들 역시 보안 대응방안과 함께 고민거리를 껴안고 있다.
DLP, DB보안, 망 분리 등 기본적인 보안 솔루션들을 도입한 이 기업들은 외부 통제제도를 강화하는 한편 보안사항을 어길 시 횟수를 정해 사내 윤리위원회에 상정해 견책과 징계를 받게 하는 등 강압적인 방법들을 혼용하고 있다.
유통업계 역시 초기 정부에서 개인정보보호법에 의거해 고객 주민등록번호 사용을 막았다가 이를 중간에 일부 허가 하는 등의 변화로 초기 대응력을 잃게 했다는 목소리가 강하다.
이렇게 되면 프로젝트 자체 혼선과 일정 연기, 비용 추가 부분이 발생하게 된다. 키(key)값에 대해  고객 주민등록번호를 사용하지 못하게 해 이를 대체할 수 있는 CI로 전화번호/생년월일/성별 등으로 키값을 만드는 작업을 진행했지만 중간에 CI를 풀어줘 초기 계획했던 설계가 완전히 변경된 사례도 있다.
정부기관의 사전 충분한 조사가 미흡하고 명확한 지침의 부재, 시행령 후 경과 기간 부족 등으로 이러한 현상이 벌어지면서 기업 입장에서는 갈피를 잡지 못하고 있는 것이다.
유통업체 멤버십 카드 발행 시에도 유사한 문제점들이 발생한다. 모 기업의 경우 최근 멤버십 카드를 런칭했으나 고객 주민등록번호 수집불가로 가능한 고객정보를 수집하지 않으려다 보니 계층 분석이 어려워졌다고 토로한다.
주민등록번호를 등록하지 않다보니 고객이 입력한 정보들이 허위사실이 많고 정확하지 않아 계층분석을 어렵게 해 문제점으로 지적되고 있는 것이다.
사용자 계층에 대한 정보와 연관 판매 정보 등을 분석해야 하는데 이러한 계층 데이터를 활용할 수 없게 되면서 관련 시스템을 따로 도입하거나 설계해야 한다는 불편사항이 발생한다.
점포 IP CCTV와 관련해서도 점주가 본인 매장을 살펴보는 것은 상관없지만 본사차원에서 매장을 모니터링 하는 것은 법에 위배돼 더 이상 불가능해졌다. 이는 점포를 좀 더 효율적으로 관리하려는 본사 입장에서 반가운 일이 아니다.  

▲ “현실적인 대안으로 세밀한 지침을 제공해야 할 정부기관들이 이를 무시하다, 나중에 의견을 바꾸는 경우가 많아 프로젝트 혼선 문제로 인해 발생할 수 있는 피해가 많다. 개인정보보호법이 개정되며 정보통신망법이 변경돼 이에 대한 기준이나 시행령이 명확하지 않다는 것도 문제점이다” - 왕영철 GS리테일 정보서비스부문 상무

보안 전문가 영입도 하늘의 별따기
유통업계 역시 금융기관과 마찬가지로 현실적인 대안으로 세밀한 지침을 제공해야 할 정부기관들이 이를 무시하다, 나중에 의견을 바꾸는 경우가 많아 프로젝트 혼선 문제로 인해 발생할 수 있는 피해가 많다는 의견이다.
또한 개인정보보호법이 개정되며 정보통신망법이 변경돼 이에 대한 기준이나 시행령이 명확하지 않다는  것도 공통된 생각이다.
관련 법 해석이 어려워 시행령이 나온다 해도 정책을 수립하기 어려운 기업입장에서는 보안 담당자들의 추측으로 업무에 착수하는 경우도 왕왕 발생하는 것으로 나타났다.
중요한 점은 사전 충분한 조사를 통해 정부 관련 기관과 기업들이 서로 엇갈리는 정도를 최소화해 기업이 준비ㆍ적응할 수 있는 충분한 시행령 기간을 제공하는 것이다.
이러는 가운데 보안 전문가를 영입하는 것도 하늘의 별따기다. 급한대로 내부 임직원들의 의식 전환을 위해 오프라인 뿐 아니라 온라인 교육을 진행하고 있으며 실사에 나가 현업 업무를 점검하고 있는 기업도 늘어나고 있다.
또한 법규제가 강화되면 관련 보안 솔루션의 서비스 및 성능이 동반 상승돼야 하는데 아직 미흡하다는 지적이 이는 가운데, 보안 솔루션 제공 업체들의 생색내기 영업 방식도 지양돼야 한다고 지적되고 있다.