체계적인 개인정보 관리 지원, 영향평가 전 단계에 대한 분석 및 모니터링 가능
개인정보 영향평가는 신규 시스템을 오픈하거나 시스템을 수정하는 경우 발생할 수 있는 개인정보 위협은 어떤 것이 있는지 평가해 문제점을 사전에 방지하는데 목적을 두고 있다. 개인정보 영향평가를 위한 시스템 도입이 필수는 아니지만, 수작업으로 할 경우 방대한 개인정보 영향평가 프로세스 처리에 한계가 있어서 결국 제대로 된 영향평가가 불가능하다.
개인정보 영향평가 시스템 도입, 왜 필요한가?
정보보호컨설팅 전문업체인 에이쓰리시큐리티(대표 한재호, www.a3security.com)의 '알파인더 PIA'는 2008년 국내 최초로 출시된 개인정보 영향평가 시스템이다. 체계적인 방법론을 가지고 개인정보 영향평가를 수행하게 하는 것은 물론, 개인정보 관리 현황을 한눈에 모니터링 할 수 있도록 한다.
2009년 GS(Good Software)인증을 획득했으며 이미 SKT, 행안부, 한국석유공사, 건강보호심사평가원, 삼성생명, 대한생명, SK브로드밴드, NNN, 다음커뮤니케이션즈 등 다수의 국내 산업별 대표 사이트들을 통해 그 효과를 검증 받은 바 있다.
'알파인더 PIA'는 에이쓰리시큐리티가 2006년 SKT에서 개인정보 영향평가 프로젝트를 하면서 개발됐다. 당시 개인정보보호가 이슈화 되면서 KISA(구 한국정보보호진흥원)에서는 민간 기업을 위한 개인정보 영향평가 가이드라인을 만들어 국내 이동통신 3사에 적용하도록 권고했다.
당시 SKT의 소수 인력이 수작업으로 개인정보 영향평가를 수행하려다보니 신규 시스템을 오픈하거나 시스템 수정 시 발생하는 월 1,000건의 평가를 진행하기가 힘들었고, 체계적인 기준이나 방법론 없이 영향평가와 모니터링을 하는데 어려움을 겪다가 결국 개인정보 영향평가 시스템을 도입했다.
특장점 및 도입 효과는?
에이쓰리시큐리티의 알파인더 PIA는 ▲개인정보 영향평가 프로세스 전 단계를 모두 지원하고 ▲영향평가 시 필요한 체크리스트 및 관련 지식을 제공하며 ▲영향평가 전 단계에 대한 분석을 가능하게 한다.
구체적으로, 알파인더 PIA를 이용할 경우 개인정보 영향평가 워크플로우를 자유롭게 구성하거나 단계별 알림기능을 이용해 원활히 운영할 수 있다. 또한 산업별/ 조직 내 다양한 서비스 유형별 차별화된 영향 평가가 가능하다. 이 밖에도 개인정보의 흐름도를 비주얼화된 다이어그램으로 자동 생성이 가능하다.
▲ 알파인더 PIA' 도입 시 개인정보 관리 현황을 한눈에 모니터링 할 수 있다.
에이쓰리시큐리티는 알파인더 PIA 도입 시 비용 대비 높은 효과를 거둘 수 있다고 전했다. 개인정보 영향평가를 하기 위한 보안 인력 인건비와, 개인정보의 위협을 사전에 방지함으로써 추후 문제 발생으로 인한 보수비용을 절감할 수 있다는 것. 뿐만 아니라, 개인정보 라이프사이클 분석이 가능해 신규 시스템 구축, 새로운 정보화 사업, 개인정보 취급 업무 시에 '어디까지 지켜야 하는지' 보안대책을 제시해 줄 수 있어서 안전한 시스템을 구축하게 한다.
에이쓰리시큐리티 전상미 연구소장은 "알파인더 PIA는 기업 및 공공기관의 개인정보 관리체계를 지원해 주는 시스템이다. 시스템 생성과 변경에 대한 모든 항목들이 테두리 안에서 관리되도록 제어할 수 있는 시스템"이라고 설명했다.
알파인더 PIA 관련 시장은 개인정보보호법 시행으로 내년 이후부터 영업이 활발해질 것으로 보고 있다. 이에 에이쓰리시큐리티는 그동안 축적해온 산업별 정보보호컨설팅 서비스, 시스템 개발/구축(SI)에 대한 경험 및 노하우를 바탕으로 앞으로 공공기관과 일반 민수 기업들의 개인정보 영향평가를 적극 지원할 계획이다.
김정은 기자
jekim92@itdaily.kr