개인정보보호를 위한 조직의 보안대책

정보사회의 발전과 개인정보의 경제적 가치 증대로 인해 사회 모든 분야에 걸쳐 개인정보의 수집 및 이용이 보편화되고 있다. 하지만 개인정보를 활용함에 있어 개인정보의 보호원칙 및 법률적 처리기준이 미흡하여 최근 개인정보의 유출, 오남용 등의 개인정보침해사례가 지속적으로 증가하고 있는 실정이다. 이와 같은 개인정보보호의 사각지대를 해소하기 위한 방안으로 국회에서도 개인정보보호법안의 제정을 위해 노력을 기울이고 있다. 본 고에서는 조직에서 효율적인 개인정보보호체계를 구축하기 위한 보안대책들과 개인정보를 침해할 수 있는 요인을 사전에 검토하여 방지할 수 있는 개인정보영향평가에 대해 기술하고자 한다.

▣ 개인정보의 관리적·기술적 보호조치

각 조직에서는 개인정보를 취급함에 있어 개인정보가 분실, 도난, 누출, 훼손, 변조 등의 위협에 노출되지 않도록 구체적인 기술적·관리적 보호조치를 마련하여야 한다.

1. 개인정보의 관리적 보호조치

개인정보를 적절히 보호하기 위해서는 조직 전체에서 통용되는 내부규정이 필요하다. 이러한 규정은 개인정보보호 활동에 대한 조직 내부의 개인정보 관리계획을 포함하고, 경영층으로부터 승인을 받아 모든 임직원들이 준수할 수 있도록 하여야 한다. 내부 관리계획의 주요 내용들은 다음과 같다.

- 개인정보보호 조직의 구성 : 개인정보관리책임자(CPO)의 지정, 개인정보취급자 지정, 담당자별 업무 및 임무 지정

- 개인정보 취급자 교육 : 정책 실효성 확보를 위한 인식 제고 및 전문성 향상을 위한 교육 실시

- 보호조치 세부사항 : 접속 기록의 위·변조 방지, 개인정보의 암호화, 악성프로그램 방지, 출력물의 보호조치, 개인정보 출력표시 제한 등

2. 개인정보의 기술적 보호조치

정보시스템 개발 및 구축 시 개인정보보호와 관련하여 입력데이터, 내부처리데이터, 출력데이터 등 정보처리 전 과정에서 개인정보의 기밀성 확보 및 개인정보보호 관련 보안솔루션의 도입 등 기술적 안전성을 확보하기 위한 조치를 수립하여야 한다. 기술적 안전성을 확보하기 위한 상세 항목들은 다음과 같다.

- 백신 소프트웨어 및 보안패치를 통한 악성프로그램에 대한 예방 및 대응

- 인터넷 상에서 개인정보 전송 시 암호화가 가능한 보안서버의 구축

- 침입차단시스템, 침입탐지시스템 등의 접근통제 솔루션의 구축 및 공인인증서 등의 안전한 인증방식 도입

- 주민등록번호, 계좌번호 등 민감한 개인정보에 대한 암호화 기능 제공

- 개인정보에 대한 처리일시, 처리기록 등 접속기록의 저장 및 주기적인 확인과 별도 저장장치를 이용한 백업 수행

▣ 개인정보영향평가(Privacy Impact Assessment)

개인정보영향평가(Privacy Impact Assessment)는 개인정보를 취급하는 신규 정보시스템을 도입하거나 기존 정보시스템의 중요한 변경 시, 개인정보에 대한 흐름 분석과 대책 수립을 통하여 개인정보 침해 위험성을 조기에 발견함으로써 정보시스템을 구축하고 운영하는데 발생가능한 시행 착오를 예방하고 효과적인 대응책을 수립토록 하는 체계적인 절차이다. 개인정보영향평가는 크게 사전분석, 개인정보 관리 현황 분석, 개선방안 도출의 세가지 단계로 수행된다.

- 사전 분석 : 개인정보 취급이 필요한 사업을 신규로 추진하거나 변경하기 이전에 영향평가의 필요성 여부를 판단하기 위해 질문서 등을 이용하여 조사를 실시한다. 조사 결과 필요성이 확정되면 영향평가를 수행할 담당자를 지정하기 위해 유관 부서, 외부 기관, 외부 전문가들로 구성된 영향평가 수행주체를 선정한다. 수행주체의 선정이 완료된 후, 평가 기간, 평가 절차, 평가사항 등을 포함한 평가계획을 수립하도록 한다.

- 개인정보 관리 현황 분석 : 본격적인 평가 수행에 앞서 평가 대상 및 개인정보 정책 환경 분석을 위한 관련 자료를 수집한다. 분석된 자료를 바탕으로 개인정보를 취급하는 업무를 도출하고 개인정보의 흐름을 분석한다.

- 개선방안도출 : 사업을 수행하는데 따른 개인정보보호 조치 현황을 파악하고, 부족한 사항들을 보충할 수 있는 개선방안들을 도출한다.

기술한 바와 같이 조직의 개인정보 유출 및 개인정보보호법의 제정에 어느 정도 대비하기 위해서는 개인정보 보호를 위한 관리적·기술적 보안대책을 수립하고 개인정보영향평가에 대한 실시 및 영향평가 전단계에 대한 전산화와 더불어 지속적이고 효율적인 관리가 가능한 개인정보영향평가시스템(PIAS)의 구축이 필요할 것이다. 무엇보다 중요한 것은 개인정보를 취급하는 조직내 개인정보보호의 중요성에 대한 인식 개선과 일회성에 그치지 않은 지속적인 관리활동이 병행되어야만 국민의 소중한 개인정보가 보호될 수 있을 것이다.

* 조성규 수석컨설턴트 | (주)에이쓰리시큐리티 ESP사업본부