개인정보보호를 위해 무엇을 해야 하는가

▲ 오영택 이글루시큐리티 인프라컨설팅팀 부장

[컴퓨터월드] 개인정보의 활용이 급격하게 증가하고 있다. 소셜미디어 관리 플랫폼 회사인 훗스위트(Hootsuite)에서 발표한 ‘디지털 2019’ 보고서에 따르면 신규 인터넷 사용자는 매일 100만 명이 늘고 있어 세계 인구의 57%에 달하는 43억 8,800만 명을 기록했다. 또한 소셜 미디어 이용자 수는 세계 인구의 45%에 달하는 34억 8,400만 명으로 높은 수치를 보이는데, 특히 2019년 한해 모바일 장치에서 소셜미디어를 사용하기 위해 신규 생성된 사용자는 2억 9,700만 명에 달한다.

‘초연결(hyperconnectivity)’과 ‘초지능(superintelligence)’을 특징으로 하는 4차 산업혁명이 도래함에 따라 개인정보의 활용 역시 자연스레 증가하는 추세다. 사람들의 모든 일상이 네트워크에 연결돼가고 있는 요즘 여러 산업분야에서 활동하고 있는 기업들은 개인과 상황에 맞춤화된 서비스를 제공하기 위해 개인정보를 적극 활용하고자 하는 움직임을 보이고 있다.

그러나 이러한 개인정보의 활용은 개인정보 보호라는 개념과 상충할 수밖에 없는데 개인정보는 활용의 대상인 동시에 보호의 대상이기 때문이다. 개인정보를 활용하면서 동시에 개인정보를 보호할 수 있는지, 그 방안을 알아본다.


가장 위험한 개인의 생체정보, 어떻게 사용되고 있는가

개인의 생체정보는 개인정보 중에서도 가장 중요하고 또 위험한 정보라고 할 수 있다. 최근 모바일 생체 인식 산업이 빠르게 성장함에 따라 이를 안전하게 관리하고 보호하는 기술 또한 비례해서 발전하고 있지만, 아직까지는 생체정보 활용에 대한 기대와 우려가 공존하고 있는 것이 사실이다. 생체정보의 사용은 편리성 측면에서 그 어떤 인증체계보다 뛰어나지만 유출 시 그 어떤 개인정보의 유출보다도 위험한 상황을 유발할 수 있기 때문이다. 특히 핀테크 기술과 함께 금융 관련 인증체계에 활용되면서 보안성은 더욱 강조되고 있다.

이제는 보편화됐다고 볼 수 있는 모바일에서의 대표적인 생체정보 인증으로 지문, 홍채, 안면 인식 등을 들 수 있다. 최근에는 접촉해서 인증하는 지문 보다 비접촉 방식인 홍채와 안면 인식을 통한 인증이 많이 선호되는 추세다.

홍채 인식의 경우, 적외선 발광다이오드(IR LED)로 사용자의 눈을 반복적으로 촬영, 홍채 영역을 디지털 정보로 바꾼 뒤 암호화해 사용하는데 홍채는 각막과 수정체 사이에 매우 복잡하고 정교한 섬유조직으로 구성돼 고유한 패턴이 평생 변하지 않는 특징을 가진다. 홍채와 더불어 많이 사용되는 안면 인식 기술은 다양한 센서와 특수 카메라를 통해서 얼굴의 수많은 지점을 찾아 인증하는 방식으로 현재 애플의 아이폰이 대표적으로 ‘페이스 아이디’라는 이름으로 사용하고 있다.

▲ 주요 생체인식 기술의 장단점(출처: Biometrics Institute)


개인정보를 관리하기 위한 다양한 방안

개인정보의 유형이 다양해지고 활용도가 높아짐에 따라 국가기관에서는 이러한 개인정보를 안전하게 보호하기 위한 의무제도 및 자율적으로 점검할 수 있는 여러 방안들을 마련하고 있다. 그중 가장 대표적인 제도로 기존 개인정보보호관리체계 인증인 PIMS와 정보보호관리체계 인증인 ISMS를 통합한 정보보호 및 개인정보보호관리체계 인증, ISMS-P가 있다. ISMS-P는 개인정보보호를 위해 산업, 매출 및 이용자수 기준에 해당되는 특정 공공 및 민간 기업들이 의무적으로 인증받도록 제정됐지만 여러 기관과 기업들은 자율적으로 해당 인증을 취득함으로써 정보보호와 개인정보보호에 대한 관리체계를 점검하고 있다.

특히 공공기관에서는 개인정보보호를 위한 위험 및 영향도를 평가할 수 있도록 하는 개인정보영향평가(PIA) 제도를 따르고 있으며 매년 ‘개인정보보호 관리수준 진단’을 통해 개인정보의 관리수준을 진단하고 점수화해 평가하고 있다. 이 외에도 국가기관에서는 개인정보 관리실태 점검을 자율적으로 수행하고 있으며 개인정보와 관련된 길잡이 역할을 하는 개인정보보호종합포털, 개인정보보호 침해신고 콜 센터를 운영하고 있기도 하다.

▲ 개인정보보호를 위한 국내 제도(출처: 이글루시큐리티)

그러나 이러한 진단, 평가 및 인증을 준비하고 점검 받는 개인정보보호 담당자들 입장에서 보면 여러 항목에 대한 증빙 자료들을 준비하고 하나하나 대응해 나가는 것은 쉬운 일이 아니다. 특히 매년 7월 우리나라의 공공기관들은 개인정보보호 관리수준 진단을 위해 관련 증빙자료를 준비하고 행정안전부에 보고하도록 돼 있는데 이때 담당자들은 어떻게 준비해야 하고 어떤 부분에서 점수를 취득하기 어려운지, 또 고득점을 위해 명심하면 좋을 여러 팁에 대해 알아보겠다.


무엇을 진단하는가

공공기관의 개인정보보호 담당자는 본인이 소속된 기관의 개인정보보호 관리실태를 점검하고 안전한 개인정보보호를 위한 여러 활동들을 수행해야 한다. 그리고 이를 점검하기 위해 매년 7월 행정안전부에서는 개인정보보호 관리체계 및 침해 예방 활동 등을 진단하고 기관 평가에 반영하는 ‘개인정보보호 관리수준 진단’을 실시한다.

진단 내용은 크게 3개 분야 12개 지표 24개 항목으로 나눠져 있는데 각 분야에 따라 4개의 지표와 8개 항목으로 구성돼 있다. ▲관리체계 구축 및 운영 분야에서는 개인정보보호 기반 마련과 교육 등 4개 지표 8개 항목을 진단하고, ▲보호대책 수립 및 이행 분야에서는 개인정보 수집, 영상정보처리기기 운영 등 4개 지표 8개 항목을 진단한다. 마지막으로 ▲침해대책 수립 및 이행 분야에서는 개인정보 유출 방지와 침해대응 절차 수립 등 4개 지표 8개 항목을 진단한다. 7월에 각 기관이 증빙자료를 실적으로 등록하고 나면 8~9월 진단위원회의 평가가 이뤄지고 10~11월 중간 결과 통보 및 증빙자료에 대한 재검증과 현장 방문이 이뤄진다. 그리고 최종 결과는 12월에 확정되게 된다.

진단 기준은 매년 변경되지만 법령의 개정이나 개인정보의 변화에 따라 미세하게 바뀌는 수준이어서 전년도에 개인정보보호 관리수준 진단을 준비했던 담당자라면 어렵지 않게 수행할 수 있을 것이다. 그러나 만약 새로이 개인정보보호 담당자가 되었다면, 다음의 <표 3>을 참고해보도록 하자.

▲ 2019년 개인정보보호 관리수준진단 지표(출처: 행정안전부)

 

고득점을 위한 꿀팁

개인정보보호 관리수준 진단의 준비를 돕기 위한 설명회는 매년 3~4월에 개최되는데 개인정보보호 담당자라면 필히 참석하여 진단 계획과 진단 지표에 대한 설명을 듣는 것이 좋다. 해당 설명회에 참석할 경우 교육 시간 3시간을 인정받을 수 있으며 개인정보보호종합포털에서 수료증을 출력할 수 있다. 설명회는 보통 서울과 세종시에서 개최된다.

특히 본인이 소속된 기관의 개인정보처리 부분에서 특수성이 존재한다면 설명회에서 질의를 통해 답변을 듣고 이에 따라 준비하도록 하자. 예를 들어 공공기관의 주요 정보시스템의 경우 국가정보자원관리원에 입주해 운영되는 경우가 많은데 이 때 침해 대응 절차, 재해 복구 절차 등을 우리 기관에서 수립해야 하는지 아니면 국가정보자원관리원에서 수립한 절차를 따르도록 하는지 등의 특이 사항이 있을 수 있다. 필자의 경우 정보시스템이 국가정보자원관리원에 위치해 운영된다면 국가정보자원관리원의 절차를 따르면 된다는 답변을 들은 적이 있으나 사전에 다시 한 번 확인하는 것이 좋다.

또한 개인정보보호를 위한 여러 활동 수행 여부나 부적절 사례에 대한 가감점도 있으니 우리 기관에서 수행한 개인정보보호 관련 교육이나 세미나, 컨설팅 등에는 무엇이 있는지 미리 확인하도록 하자.

▲ 개인정보보호 관리수준진단 관리수준 진단결과 환류 및 감점기준(출처: 행정안전부)

진단 지표의 각 진단 항목에 대해 증빙 자료를 준비하며 유의해야 할 사항은 아래와 같다.

개인정보보호 기반마련

전담조직과 인력을 운영하고 있는가에 대한 항목에서는 업무분장표에 개인정보보호가 아닌 다른 업무가 들어가지 있지 않도록 해야 전담인력으로 인정받을 수 있다. 개인정보보호 활동 수행 예산 반영 부분에서는 예산에 반영이 돼 있지 않더라도 해당 항목에 대한 지출 내역이 있을 경우 실적을 인정받을 수 있다.

개인정보 처리업무 업무 위탁에 따른 개인정보보호

개인정보 처리 업무 위탁 계약서를 별도로 작성하고 계약서에는 필수 항목이 포함돼야 하는데 이를 위해서는 표준 개인정보 처리 위탁계약서를 사용하는 것이 좋으며 계약서에는 수탁자의 직인까지 날인되도록 작성하고 보관해야 한다. 개인정보 업무 위탁이 누락되지 않도록 계약부서에서 우리 기관의 계약 사항 전체를 검토하여 진행하는 것도 한 가지 방법이 될 수 있다.

개인정보보호 책임자의 역할 수행

개인정보보호 책임자의 관리와 감독 활동에 대한 증빙 자료에는 꼭 개인정보보호 책임자의 결재가 완료돼야 실적으로 인정받을 수 있다는 점을 고려해 사전에 결재가 진행되도록 해야 한다. 개인정보보호 책임자의 주도 실적이 있는가에 대한 부분에서는 타 진단지표의 자료로 제출돼야 할 내용이나 중복 제출된 자료는 인정되지 않으므로 주의해야 한다.

개인정보 수집

개인정보 수집에 있어서 필요 최소한의 개인정보를 수집하고 있는가에 대한 항목에서는 개인정보보호 업무 담당자가 개인정보 수집을 위하여 현재 최소화로 수집하고 있다 생각하더라도, 한 번 더 검토하고 정비하는 것이 좋다. 또한 이때 발견된 항목이 있다면 내부 규정의 서식도 수정이 필요하다.

개인정보의 목적 외 이용·제공 절차 운영

개인정보의 목적 외 이용 제공 절차서를 수립하고 운영하고 있다면 이를 직원들에게 교육하고 전파해야 하며 교육자료 및 교육 계획, 결과 보고서, 인트라넷 게시 화면 등을 증빙으로 제출해야 한다. 이를 위해서 개인정보보호 교육 시 우리 기관의 절차서(개인정보의 목적 외 이용 제공 절차서, 재해 재난 대응 절차서)에 대한 교육을 함께 진행한다면 조금 더 효과적으로 준비할 수 있을 것이다. 이때 해당 기관의 자체 절차서가 아닌 단순 법령 또는 일반적인 절차 교육의 경우에는 인정이 안 되므로 꼭 해당 기관의 절차서를 교육하도록 한다.

영상정보처리기기 설치 및 운영

영상정보처리기기를 설치해 운영할 때는 관리 대장을 기록하고 관리하도록 돼 있으며, 관리 대장에는 필수 항목을 꼭 포함해야 한다. 자동 삭제되는 개인영상정보의 경우에도 정기 점검을 통한 관리 대장의 기록이 필요하다.

개인정보 유·노출 방지 조치

중앙부처가 보급하였거나, 국가정보자원관리원이 관리하는 개인정보처리시스템은 관리기관을 명시하면 증빙 자료는 불필요하다.

개인정보처리시스템의 안전한 이용 및 관리

개인정보보호 관리 수준 진단 항목들 중에서 감점이 가장 많이 나오는 항목이기도 하지만 사전에 미리미리 잘 준비한다면 충분히 모든 점수를 획득할 수 있다. 특히 실적으로 인정받을 수 있는 기간이 전년도 7월부터 올해 6월까지므로 모든 증빙 자료의 날짜를 꼭 확인해 준비해야 한다.

증빙 자료는 개인정보파일 현황에 있는 개인정보처리시스템 별로 작성하면 된다. 점수의 산정은 가장 미흡한 개인정보처리시스템이 기준이 되므로 모든 개인정보처리시스템을 살펴봐야 한다는 점을 잊지 말자. 접속기록은 6개월 이상 보관한 증빙이 필요하며 접속기록을 점검한 실적의 경우 반기 별 1회 이상 한 증빙이 필요하다.


변화가 필요한 지금, 무엇을 해야 하는가

방대한 IT 인프라와 폭발적인 데이터 증가, 복잡한 컴플라이언스 및 강화된 법 규제 등 개인정보보호 담당자가 관리해야 하는 IT 환경은 점점 더 복잡해지고 있다. 지금까지 개인정보보호를 위해 관리적인 차원에서 어떻게 노력해야 되는지 알아봤다면 시대의 변화에 발맞춘 기술적인 노력에 대해 알아보자.

▲ 인공지능(AI) 기반의 SIEM 구조(출처: 이글루시큐리티)

최근 각광받는 인공지능 기술은 위와 같이 복잡해지는 IT 환경의 개인정보보호에 대한 해결책이 돼 줄 수 있다. 그렇지만 보다 확실한 대응 방안은 인공지능 기술을 활용한 보안관제와 여기에 있어 가장 중요한 고급 학습 데이터를 생성하고 선별할 수 있는 보안 전문가, 그리고 이와 더불어 사고 예방을 위한 보안 취약점 진단 시스템, 모든 IT 자산에 대한 사이버 위협정보를 공유할 수 있는 시스템 등이 연결된 통합 보안 관리다. 여러 기업 및 기관에서는 개인정보보호를 위해 다양한 보안 시스템을 사용하고 있지만 이를 각각의 개별 시스템으로만 활용하는 것은 더 이상 효과적이라고 보기 어려운 상황임을 인지해야 할 것이다.

여러 공공기관을 대상으로 보안 컨설팅을 수행하면서 개인정보보호를 위해 일당백 역할을 하며 고군분투하는 담당자들을 많이 만나볼 수 있었다. 아무리 개인정보를 적극 활용해 편의성을 추구하고자 하는 분위기가 사회 전반에 확산되는 추세라고 할지라도, 보다 다양한 곳에 활용될 개인정보를 안전하게 보호하는 것은 이에 앞서 기본이 되는 전제 조건임은 틀림없다. 개인정보보호 담당자들의 제도적, 관리적 노력과 더불어 그들이 안심하고 개인정보처리 시스템을 운영할 수 있는 기술적 측면에서의 통합 보안 관리가 하루 빨리 이뤄지길 바란다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지