우리 회사에서 벌어질 수 있는 일 (개인정보관련)

[알테크]

 

 2011-07-04

개인정보보호법에 대처하는 기업의 자세

최근 잇따라 발생한 금융권 해킹 사건으로 기업 보안이 사회적 이슈가 되고 있는 가운데 ‘개인정보보호법’이 오는 9월 30일 시행된다. 이 소식에 기업 IT 및 보안 담당자들의 부담이 가중되고 있다. 대개 ‘법’이라고 하면 법무팀의 소관으로 생각하기 쉽다. 하지만 IT 부서와 법은 생각보다 밀접한 관계다. 특히 개인정보보호법은 최대 5천만 원에 이르는 벌금이나 과태료, 과징금 등과 더불어 상당한 금액의 손해배상까지 명시하고 있다. 이제 개인정보 이슈는 IT 및 보안 담당자들뿐만 아니라 경영진의 문제가 되었다. 이와 관련해 오는 9월 시행되는 개인정보보호법의 핵심적인 내용과 이에 효율적으로 대응하기 위한 방안을 살펴보자.

개인정보보호법은 민간과 공공, 온•오프라인을 포괄하는 기본법으로, 사회 전반에서 다뤄지는 일관된 개인정보 처리 원칙과 실질적인 보호, 국민의 사후 권리 구제 강화를 위한 제도적 장치다. 이러한 개인정보보호법 발효가 왜 기업들을 긴장하게 하는 것일까? 그 이유는 아마도 개인정보보호법이 대두된 사회적 배경, 즉 최근 막대한 규모로 발생하고 있는 개인정보 유출 사건에서 찾을 수 있을 것이다.

[표 1]은 지난 2010년 3월부터 2011년 6월까지 언론의 이슈가 되었던 국내외 대규모 정보유출 사건들을 나열한 것이다. 여기에서 볼 수 있듯이 최근 개인정보 유출 사고의 피해 규모는 실로 엄청나다. 게다가 이전에 비해 일반인들의 개인정보에 대한 인식이 높아져 기업은 굳이 개인정보보호법에 의한 처벌이 아니더라도 개인정보 유출에 대해 노심초사 하고 있는 실정이다. 기업 스스로도 개인정보 유출 사고가 단순히 보안 사고에서 그치는 것이 아니라 기업의 존속까지 위협할 수 있다는 것을 체감하고 있기 때문이다.

[표 1] 2010~2011 국내외 주요 개인정보 유출 사건

개인정보 유출, 기업의 존속을 위협하다

개인정보 유출 사고가 기업의 존속까지 위협할 수 있는 원인에는 우선, 언론을 통한 확산/재확산이 있다. 사실 기업 IT 시스템의 장애 사고나 크고 작은 보안 사고는 늘 발생했다. 그런데도 최근 들어 더욱 문제가 되는 이유는 미디어를 통해 엄청난 속도로 확산되기 때문이다. 특히 최근에는 온라인 미디어를 통해 더욱 빠른 속도로 보안 사건 소식이 전달돼 더욱 심각하다. 따라서 기업의 IT 및 보안 담당자 입장에서 가장 큰 위협은 어쩌면 보안 사고 자체가 아닐 수도 있다.

이제 보안 사고가 발생하면 [그림 1]과 같이 인터넷 뉴스를 통해 보도되고 인터넷 카페, 블로그를 비롯해 트위터나 페이스북 등 SNS(Social Network Service)를 통해 빠르게 확산된다. 사태가 더욱 확산되면 감독 기관에서 점검에 나서고, 한편에서는 우후죽순 생겨난 인터넷 카페를 중심으로 집단 소송의 움직임이 나타나기도 한다. 그리고 이러한 현상들이 또다시 뉴스 거리가 되어 언론을 통한 재확산이 이루어진다.

 
[그림 1] 보안 사고 이후의 상황 전개 양상

이러한 일련의 상황 속에서 가장 곤혹스러운 것은 보안 담당자다. 아무리 보안 담당자가 매일같이 밤샘 작업을 하고 있다 한들, 보안 사고가 한 번 발생하면 경영진은 보안 담당자에게 “그 동안 뭘 한 거냐?”며 문책부터 하기 마련이다. 뿐만 아니라 평소 보안부서의 보안 지침에 불편과 불만을 느껴왔던 타 부서 직원들의 질타도 이어지며 보안 담당자는 순식간에 역적이 돼버린다. 때문에 기업 보안 담당자들은 “고생은 고생대로 하고 욕은 욕대로 먹는다, 잘 한 것은 티도 나지 않고 사고가 나면 속된 말로 독박 쓴다”고 하소연할 수 밖에 없다. 이것이 바로 기업 IT 보안의 현실이다.

개인정보 유출이 기업의 존속을 위협하는 두 번째 이유는 피해 보상에 따른 금전적 손실이다. 앞서 언급한 바와 같이 개인정보 유출 사고가 발생하면 피해자들의 집단 소송을 위한 인터넷 카페를 중심으로 피해 보상을 요구하는 소송이 줄을 잇는다. 게다가 피해 발생에 따른 손해배상이 전부가 아니다. 잠재적인 개인정보 유출 위협에 대한 정신적인 피해 보상도 만만치 않기 때문이다. 이는 주로 회원탈퇴를 한 고객의 정보와 관련해 문제가 되는 부분이다.

예를 들어, A라는 고객이 X업체 회원으로 가입했다가 탈퇴를 했는데 어느 날 그 업체로부터 이메일이 발송되었다고 가정해보자. 이에 고객 A가 불쾌함과 불안감을 느꼈다면 해당 업체에 항의 전화를 하거나 118번에 전화를 걸어 ‘개인정보분쟁조정 위원회’에 신고할 것이다. 그러면 X업체는 피해 보상금을 지불해야 한다. 만일 X업체가 이를 거부하면 민사소송으로 넘어가게 된다. 이 경우 고객 A는 인터넷에 글을 올릴 것이고, 머지않아 이 소식은 언론을 통해 확산될 것이다. 실제로 어떤 업체의 경우, 하루 평균 두 건씩 탈퇴한 회원으로부터의 항의 전화를 받는다고 한다.

이 같은 일이 발생하는 까닭은 고객 정보를 삭제할 때 논리적으로만 삭제하는 경우가 많기 때문이다. 즉, 고객 관리 시스템 등에 탈퇴 또는 삭제 등을 표시했을 뿐, 실제로 고객 DB에서 해당 정보를 삭제하지 않는 것이 문제다.

마지막 위협 요인은 관련 기관들의 개입이다. 문제는 감독 기관의 개입 자체가 아니라 여러 기관들이 서로 감사를 하겠다고 나선다는 점이다. 예를 들어 얼마 전 방송통신위원회(방통위)는 3,300개 은행을 대상으로 보안 실태점검을 하겠다고 발표했다. 그러자 금융감독원에서 즉각 ‘금융기관을 왜 방통위에서 감사하느냐’며 반발했고, 결국 금감원도 40개 업체를 지목하여 보안 실태점검에 나섰다. 보안 사고가 발생해 언론을 통해 이슈가 확산되거나 소송에 휩싸이게 되면 여러 관련 기관들의 개입으로 이어져 그러지 않아도 사고 뒤처리와 경영진의 질책으로 정신 없을 기업 담당자들은 그야말로 엎친 데 덮친 격이 된다.

그나마 이전 정통망법 하에서는 행정안전부(이하 행안부)와 방통위 정도만 기업 보안 점검을 담당했다. 그러나 개인정보보호법이 발효되면 대통령 직속 기관에 감독 책임과 실태점검 및 행정처분의 전권이 부여된다. 따라서 개인정보보호법 발효 이후로는 보안 사고 발생시 다수의 관련 기관의 개입뿐만 아니라 심각한 처벌 수위가 예상된다.
 

자진 신고하지 않으면 그 자체가 불법!

이처럼 개인정보 유출 사고는 미디어를 통한 확산, 피해 보상, 그리고 관련 기관들의 개입에 이르기까지 여러 측면에서 기업에 심각한 손실을 야기할 수 있다. 과거에는 보안 침해 사고가 발생하더라도 알려지지만 않으면 그만이거나, 알려졌다 하더라도 관련 기관에 벌금을 내는 정도로 마무리되기도 했다. 또 고객이 분쟁조정위원회에 신고하면 약간의 합의금을 지불하는 것으로 해결됐고, 언론을 무마하는 방법도 생각해 볼 수 있었을 것이다. 그러나 이제는 더 이상 그런 식으로 무마하는 것은 불가능하다. 개인정보보호법이 발효되면 기업의 개인정보 유출 사고 대응 방식은 시작부터 완전히 달라질 수 밖에 없다.

안철수연구소 관리컨설팅팀 이장우 부장은 “개인정보보호법의 가장 중요한 핵심은 ‘자진신고’”라고 강조했다. 개인정보보호법 제 34조에 따르면 개인정보 유출 사고 발생을 확인한 즉시 해당 정보주체자에게 알려야 하는 항목을 구체적으로 명시하고 있다. 또한 해당 정보주체자에게 알렸는지의 여부를 행정기관에 신고하도록 하고 있다. 즉, 무조건 자진 신고하지 않으면 그 자체가 불법이라는 것이다.

개인정보보호법 제 34조

1. 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.

    1. 유출된 개인정보의 항목

    2. 유출된 시점과 그 경위

    3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

    4. 개인정보처리자의 대응조치 및 피해 구제절차

    5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

(중략)

3. 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다.

그런데 실제로 개인정보 유출 사고시, 개인들에게 유출 통지를 하면 어떤 결과가 나타날까? 이와 관련해 미(美) 보안 컨설팅 업체 포네몬 인스티튜트(Ponemon Institute)의 조사에 따르면, 한 번의 개인정보 유출 사고 후 고객의 34%가 이탈하며, 두 번의 개인정보 유출 사고가 발생하면 나머지 고객의 45%가 이탈하는 것으로 나타났다. 포털 업체의 경우를 예로 들어, 만일 고객의 35%가 빠져나갈 경우 사업 자체가 휘청거릴 수 밖에 없다. 이처럼 기업의 고객정보 유출 사고는 해당 고객에 대한 피해보상에서 그치는 것이 아니라 고객 이탈을 초래해 궁극적으로는 사업 자체에 위기를 가져올 수 있다.
 

마지막 잣대는 결국 법!

그렇다면 기업이 개인정보보호법의 무게로부터 벗어날 수 있는 방법은 무엇일까? 수십억 원을 투자해서 IT 보안 시스템이나 솔루션을 도입한다면 해결될까? 이에 대해 이장우 부장은 “물론 보안 솔루션 도입도 중요하지만 결국 기업이 평가 받는 마지막 잣대는 법”이라고 조언했다. 소송으로 가더라도 법으로 평가 받고, 행정 기관의 감사나 점검을 받을 때도 법에 나와 있는 조항을 근거로 기업이 취한 보호조치의 수준을 평가 받는다는 것이다. 법 조항에 따라 조치만 제대로 한다면 민사소송에서 손해배상 금액이 줄어들거나 심지어 기업이 무죄 판결까지 받아낼 수도 있다. 따라서 가장 적은 돈을 들여 효과적으로 개인정보보호법과 같은 컴플라이언스 이슈에 대응할 수 있는 최선의 방법은 '법'을 준수하는 것이다.

개인정보보호법에 적절하게 대응하기 위해서는 법의 기본 골자를 이해하는 것부터 필요하다. 우선 개인정보보호법의 가장 큰 목적은 기업의 개인정보 유출 사고로 인한 손실을 최소화하는 것이다. 이는 곧 개인정보 유출 사고가 발생해 법정까지 가는 일이 발생하더라도 기업이 법에서 요구하는 의무를 준수하고 주의와 감독을 게을리하지 않았다는 것을 증명할 수 있다면 심각한 처벌은 면할 수도 있다는 것이다. 이와 관련해 개인정보보호법 제 39조는 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실•도난•유출•변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’고 명시하고 있다. 실제로 대표적인 정보유출 사건인 지난 2008년 A경매사이트 고객 정보 유출 사건 당시, 해당 업체는 민사소송에서 무죄판결을 받았다. 당시 관련 법에서 지정했던 법적 조치들을 다 충족시켰기 때문이다. 결과적으로 개인정보보호 이슈와 관련해 기업에서 가장 먼저 해야 할 일은 바로 관련 법을 파악하고 법에 따른 조치를 수행하는 것이다.

법에도 순서가 있다

개인정보보호법 이전에도 개인정보와 관련된 내용이 38개의 일반법에 섞여있었다. 예를 들어 교육법, 신용정보법, 아동보호법, 의료법 등 곳곳에 주민등록정보에 관한 부분, 주소나 이름에 대한 내용이 다 섞여 있다. 특히 온라인 서비스가 활성화됨에 따라 전기통신사업자, 전기통신서비스 제공자와 이용자간의 관계에 대해 개인정보보호에 관한 것을 특별히 명시한 ‘정통망법’이 2001년 제정되었다. 다만 다수의 기업들이 이 사실을 이해하지 못해 적용하지 않고 있었을 뿐이다.

그런데 정통망법은 기업의 개인정보 관리가 잘못된 부분을 제대로 잡아내지 못 했기 때문에 개인정보와 관련된 상당 부분이 법의 사각지대에 놓일 수 밖에 없었다. 이 때문에 더 이상 법 망을 피해나갈 수 없도록 개인정보보호법이 제정된 것이다. 개인정보보호법은 [그림 2]와 같이 점차 작은 그물에서 마지막으로 더 이상 빠져나갈 수 없는 가장 큰 그물로서 마련된 장치다.
 

[그림 2] 개인정보보호에 관한 법률들

그렇다면 개인정보보호법만 준비하면 되는 것인가?

그렇지 않다. 법에도 순서가 있고, 그 영향력에 차이가 있다. [그림 3]에서 볼 수 있듯이 법의 위계상 가장 높은 것은 ‘법률’이다. 법률은 가장 광범위한 내용을 제시하는 것이며 법의 위계에 하단에 이를수록 세부적인 조건을 갖게 된다. 법률 다음은 대통령령에 의한 ‘시행령’이 있고, 그 보다 하위에 ‘시행 규칙’이 있으며, 마지막으로 실제 지켜야 하는 내용들을 아주 상세히 지침화한 ‘고시’가 있다. 고시까지는 법에 속하기 때문에 지키지 않을 경우에는 행정처분을 받게 된다. 반면 가이드라인은 관련 기관에서 점검을 하고자 할 때 기준이 되는 것으로, 이를 지키지 않았다 하더라도 법률적인 처벌은 받지 않는다.

 
[그림 3] 법의 위계

개인정보와 관련하여 가장 우위에 있는 법은 [그림 3]에서 맨 앞에 있는 일반법이다. 일반법의 내용에 위배되지 않았다면 그 아래의 법은 크게 걱정하지 않아도 된다. 예를 들어, 개인정보보호법이나 정통망법에 따르면 탈퇴한 고객의 정보는 탈퇴와 동시에 지체 없이 삭제되어야만 한다. 그러나 신용거래법이나 전자상거래법에 의하면 고객이 ‘거래한 기록’은 5년간 보관해야 한다. 이 경우 전자상거래법이나 신용거래법이 개인정보보호법이나 정통망법에 우선한다. 즉, 이들 법에 따라 해당 정보는 갖고 있어도 된다는 것이다.

또 다른 예를 들어보자. 병원에 응급 환자가 실려왔는데 의식도 없는 환자에게 개인정보보호법에 따라 어떤 행위를 하기 전에 “개인정보에 동의하셔야 합니다”라며 동의를 받아야만 할까? 의료 기관에서 어떠한 행위를 할 때는 의료법이 기준이 된다. 의료법에 따르면 치료 행위에 대해서는 기록을 남기도록 되어있다. 따라서 치료 행위에 대한 기록만 남긴다면 환자의 동의를 받지 않더라도 치료와 관련된 행위를 할 수 있다.

개인정보 자기결정권이 핵심!

개인정보에 관련된 모든 법은 단 하나의 핵심 가치를 실현하기 위해 마련된 것이다. 바로 ‘개인정보 자기결정권’이다. 개인정보의 자기결정권이란 ‘모든 개인정보의 결정권은 정보 주체에게 있다’는 것으로, 이때 정보 주체라 함은 각 개인을 의미한다. 즉, 어떤 사람의 이름, 전화번호, 주소, 그리고 그 사람의 현재 위치 등 모든 정보의 주인은 그 사람 자신이며, 그의 정보를 기업에서 쓰고자 할 때는 당사자의 동의 없이 사용할 수 없다는 것이다. 헌법에서 보장한 권리에 따라 모든 정보 이용에 대한 결정권은 개인에게 있다는 것으로, 이것은 정통망법과 개인정보보호법의 공통된 핵심이다.

문제는 그 ‘동의’라는 것에 대한 기업의 이해다. 흔히 기업 담당자들이 저지르는 실수는 ‘고객 자신이 입력했으니까 동의한 것이 아닌가? 그렇다면 정보를 사용해도 되는 것이 아닌가?’라고 생각한다는 것이다. 그러나 이는 잘못된 이해다. 개인정보보호법에 따르면 기업은 고객에게 어떠한 정보를 어디에 쓸 것인지에 대해 반드시 동의를 받아야만 그 정보를 사용할 수 있다.

그렇다면 개인정보보호법에 명시된 ‘개인정보 자기결정권’의 주요 내용은 무엇인가? 첫째, 개인은 자신에 대한 모든 것을 ‘열람’할 권리가 있다(개인정보보호법 제 35조). 예를 들어, 어떤 고객이 “지난 5년 간 내 정보를 정보위탁업체와 배송업체, 서비스 업체, 용역 업체에 제공한 이력을 모두 뽑아달라”고 요청했다고 생각해보자. 만일 담당자가 “그것은 곤란하다”고 답할 경우, 그 고객은 분쟁조정위원회에 신고할 것이고 기업은 피해 보상금을 지불하게 된다. 실제로 이와 관련해 분쟁조정위원회에 접수된 신고 건수는 약 55,000건에 이른다. 정보주체의 요구에 대해 기업은 절대로 거부해서는 안 된다. 정보주체자의 정보와 관련된 요청은 일단 접수를 한 후 대응을 하는 것이 바람직하다.

둘째, 개인은 자신의 정보에 대한 ‘정정권’과 ‘삭제권’을 갖는다(개인정보보호법 제 36조). 고객이 자신의 정보를 지워달라고 요청하면 그 즉시 해당 정보를 삭제해야만 한다. 앞서 언급한 바와 같이 만일 탈퇴한 고객이나 정보 삭제를 요청한 고객에게 이메일이나 SMS 문자를 보내게 되면 ‘개인정보 자기결정권’을 침해한 이유로 피해 보상을 해야 한다.

마지막으로 개인정보보호법은 ‘처리 정지권’을 명시하고 있다(개인정보보호법 제 37조). 이에 따라 고객은 자신의 정보를 기업 내부 시스템을 비롯해 어디에도 쓰지 말 것을 요청할 수 있다. 그러나 기업에서 고객의 이러한 요청을 거부할 수 있는 예외의 경우가 있다. 우선 다른 법에서 허용하고 있을 때다. 즉, 일반법에서 해당 정보를 보관하고 있어야 한다고 명시한 경우이다. 또 다른 예외는 해당 정보 이용을 중지할 경우 그 고객과의 계약 이행이 불가능할 경우다. 즉, 고객의 요청에 따라 정보를 지웠을 경우, 계약 자체를 이행할 수 없는 상황이 된다면 처리 정지 요구를 거부할 수 있다. 아울러 계약 이행을 위해서라면 필수적인 정보는 동의를 받지 않아도 된다. 단, 이것은 개인정보보호법에만 해당되는 내용으로, 정통망법에서는 다를 수 있다.

그렇다면 개인정보보호법과 정통망법은 무엇이 다른가?

간단히 설명하자면 정통망법은 기업이 취급하고 있는 회원 정보 중에서 온라인 회원 정보만을 대상으로 한다. 반면 개인정보보호법은 기업이 취급하고 있는 회원 정보 중에서 오프라인에서 서비스를 이용하는 고객의 경우에 적용된다. 즉, 어떤 기업에 온라인 회원이 있다면 이들 회원과 관계된 경우에는 정통망법이 개인정보보호법보다 우선한다.

개인정보보호법과 정통망법의 또 다른 차이는 법 적용 대상의 범위다. 정통망법은 온라인 회원 정보만 해당되기 때문에 전기통신사업자 및 서비스 제공자만 대상으로 한다. 반면 개인정보보호법은 개인정보를 처리하는 모든 대상, 즉 개인사업자는 물론 일반 직원, 비영리적 관계를 비롯해 민간, 공공 기관을 포괄한다. 이와 관련해 이장우 부장은 “극단적으로 예를 들자면 일반 개인이 동호회 회원 주소록을 잃어버렸을 경우에도 개인정보보호법에 따라 처벌 대상이 될 수 있다”고 전했다. 

개인정보 유출, 최대 5천만 원의 형사처벌

개인정보보호와 관련된 법률 위반시 어느 정도의 처벌을 받게 될까? 가장 큰 처벌은 물론 형사처벌이다. 개인정보보호법을 위반했을 경우, 가장 높은 형사처벌 수위는 5년 이하의 징역 또는 5천만 원의 벌금이다. 또한 형사처벌의 양벌규정(兩罰規定) 원칙에 따라 개인정보보호법을 위반 했을 경우, 위법 행위를 한 당사자뿐만 아니라 그가 속한 법인, 또는 개인도 함께 처벌받게 된다.

개인정보보호법의 형사처벌 5천만 원 벌금 기준은 매우 명확하다. 바로 정보주체자의 ‘동의’가 기준이다. 예를 들어, 정보를 수집할 때 동의를 안 받았다거나 동의 받은 목적과 다른 용도로 정보를 사용했을 경우 5천만 원의 벌금이 부과된다. 또 동의 없이 정보를 제3자에게 제공했거나 14세 미만의 고객 정보를 부모 동의 없이 수집했을 경우에도 여지없이 5천만 원의 형사처벌 대상이 된다. 이처럼 ‘동의’와 관련된 개인정보 이슈는 모두 5천만 원 벌금에 해당되며, 아울러 양벌 처벌 기준에 의해 담당자뿐만 아니라 그 기업의 대표도 처벌을 받게 된다.

또한 형사처벌만큼 무겁지는 않지만 그 보다 가벼운 행정처벌로 과태료가 있다. 그러나 과태료 역시 1천만 원에서 최대 3천만 원이 부과되기 때문에 기업 입장에서는 부담스러울 수 밖에 없다. 과태료 다음으로는 과징금이 있는데, 이는 정통망법에 의한 처벌이다. 정통망법은 개인정보와 관련해 매출액의 1/100을 과징금으로 부과한다고 명시하고 있다. 이 또한 기업 입장에서는 상당한 금전적 부담을 느낄 수 있는 부분이다.

그러나 이 보다 심각한 금전적 손실은 손해배상이다. 손해배상은 1인당 최소 몇만 원에서 최대 수백만 원에 이르기까지 다양하다. 그러나 최근 발생하고 있는 정보유출 사건은  그 규모가 엄청나기 때문에 이에 따른 손해배상은 자칫 기업의 파산까지 야기할 수 있다. 그러나 손해배상으로 인한 기업의 재무적인 손실은 경감될 수 있다. 앞서 언급한 바와 같이 법률에서 정한 의무를 다 이행할 경우 처벌을 경감 받을 수 있기 때문에 손해배상금이 0원이 되는 것도 가능하다.

개인정보보호법 대응을 위한 4가지 프레임

이제 고민해야 할 것은 기업이 어떻게 개인정보보호법 대응을 준비할 수 있는가 하는 부분이다. 물론 75개 조에 달하는 개인정보보호법 전체를 숙지하는 것이 가장 좋지만 그것이 어렵다면 [그림 4]의 식별, 동의, 보호, 활동이라는 4개의 프레임을 통해 실질적인 개인정보보호법 대응이 가능하다.

첫째, ‘식별’이란 기업이 갖고 있는 개인정보가 무엇인지 파악하는 것이다. 무엇을 갖고 있는지 알아야만 보호할 수 있기 때문이다. 이를 위해 각 부서별로 어떤 업무에 어떤 개인정보를 사용하고 있는지 상세하게 파악해야 한다. 또한 누가 개인정보를 취급하고 있는지 취급자를 정리해야만 한다. 개인정보보호법은 반드시 개인정보 취득 권한을 부여한 인력을 관리하되 인사명령자를 통해 이를 관리하도록 되어있다. 특히 부서로 뭉뚱그려 정리하는 것이 아니라 각 담당자마다 어떤 개인정보를 다루고 있는지 식별하여 리스트를 정리해야만 한다. 아울러 개인정보가 시스템의 어디에서 어떻게 처리되는지 정보처리시스템을 파악해야만 한다.

이때 중요한 것은 애초에 개인정보 자체를 최소한도로 줄여야만 한다는 점이다. 기업 입장에서 개인정보에 관한 모든 것은 리소스 문제와 직결된다. 그 리소스가 인력이든, 시간, 또는 비용이든 개인정보를 관리하는 리소스를 효율적으로 사용하기 위해서는 처음부터 관리 범위를 줄일 수 있는 만큼 최대한 줄여야만 한다.

두 번째로 중요한 것은 ‘동의’다. 앞서 설명한 바와 같이 동의와 관련된 법적 처벌은 5천만 원에 이른다. 정보를 수집할 때뿐만 아니라 그 정보를 이용하거나 다른 곳에 제공할 때도 반드시 동의를 받아야만 한다. 또한 동의를 받을 때에는 정통망법에서 요구하는 동의의 요건인 수집 및 이용목적, 수집 항목, 보유 및 이용 기간을 반드시 고객에게 밝혀야만 한다. 약관에 동의하면 개인정보 이용에 동의한 것으로 간주하는 것은 절대 용납되지 않는다.

아울러 개인정보보호법은 동의와 관련해 동의를 거부할 권리가 있으며 거부시 어떠한 불이익이 주어지는지 명시하도록 되어있다. 동의와 관련해 더욱 중요한 것은 주민번호, 여권번호, 자동차 등록번호와 같은 고유식별번호는 별도로 동의를 받아야 한다는 점이다. 별도 동의를 받지 않으면 역시 5천만 원의 처벌 대상이 된다. 또한 민감정보, 즉 정치적 성향, 노조가입 여부 등 민감한 정보에 대한 동의도 받아야만 한다.

[그림 4] 개인정보보호법 대응을 위한 핵심 요소

세 번째 대응 프레임은 ‘보호’다. 보호를 해야 하는 대상으로는 개인정보 자체와 정보 취급자, 그리고 정보 처리시스템이 있다. 개인정보 자체 보호의 핵심은 ‘암호화’다. 이는 데이터베이스의 암호화만을 의미하는 것이 아니다. 일반 직원들이 PC에 갖고 있는 파일들까지도 반드시 암호화해야 한다. 파일의 암호화는 권고사항이 아니라 법에 명시된 지침이다. 실제로 관련 기관의 개인정보 보호 실태조사시, 일반 직원들의 파일 암호화를 문제 삼는 경우가 대다수다. 파일 암호화는 별도의 솔루션 도입이 아니어도 일반 파일의 패스워드 기능을 이용해서도 충분히 가능하다. 단, 패스워드는 법에서 정한 바에 따라 10자리 이상으로 사용하는 것이 바람직하며, 8자리의 패스워드를 사용할 경우에는 영문 대문자, 소문자, 숫자, 특수문자의 네 가지 그룹 중 세 가지를 섞어 사용해야만 한다. 이러한 기본적인 사항을 잘 준수해야만 추후 문제가 발생하지 않는다.

정보 취급자와 관련해서 가장 중요한 것은 ‘1인 1계정 원칙’이다. 반드시 한 사람이 하나의 계정만 사용해야 한다. 보안 침해 사고 발생시 추적성을 확보하기 위해서라도 1인 1계정의 원칙은 반드시 지켜져야만 한다. 처리 시스템과 관련해서는 IP 접근 제한, 접근 기록 유지 등의 내용을 파악하고 준수해야만 한다.

이러한 모든 조치들이 한 번에 그쳐서는 안 된다. 법에서 정한 바에 따르면 이러한 조치들을 위해 지속적으로 해야만 하는 ‘활동’이 있다. 그 첫 번째는 계획으로, 어떤 것을 해야 할지, 어떤 것에 투자해야 할지 등 개인정보 보호를 위한 계획을 세우는 것이다. 두 번째 활동은 교육이다. 정보 취급자와 개인정보 책임자를 대상으로 연 2회 교육을 시행해야 한다. 세 번째 활동은 점검으로, 자체 검사 연 1회 이상과 접속기록 점검 월 1회 이상이 요구된다. 그리고 기본적으로 컴퓨터에 있는 백신이나 보안패치의 업데이트 등을 요구하고 있다.

아울러 이러한 모든 과정은 개인정보가 입수될 때부터 파기될 때까지 이른바 ‘개인정보 생명주기’에 따라 수행되어야만 한다. 즉, 개인정보는 동의를 받아 수집하고, 동의 목적 내에서 사용하고, 안전하게 보관해야 하며 제공할 때도 동의를 받아 제공하고 목적 달성 이후에는 복구 불가능하도록 파기해야 한다. 이러한 모든 과정을 일일이 다 챙겨서 관리해야만 개인정보를 제대로 관리했다고 할 수 있다.

기업의 개인정보보호법 대응을 위한 제언

이제 얼마남지 않은 개인정보보호법 시행과 관련해 기업이 준비해야 하는 것은 우선 기업 내 모든 직원이 개인정보보호법의 핵심을 이해하도록 하는 것이다. 즉, 전 직원이 개인정보 자기결정권에 대해 반드시 인지하고 있어야만 한다. 둘째, 개인정보는 최소한도로 수집하고 가급적 빨리 완전히 파기해야만 한다. 세 번째로는 관련법을 기준으로 기업 내부의 관리 체계에 문제가 없는지 진단해야만 한다.

만일 개인정보보호법 시행일인 9월 30일까지 이러한 준비를 다 마치지 못 했다면 어떻게 해야 할까? 이때는 개인정보보호법에서 벗어날 수 있는 다른 법, 즉 일반법 및 관련 법의 근거를 빨리 찾아야만 한다. 즉, 예외 근거를 최대한 확보해야 한다.

그러나 무엇보다 중요한 것은 보안 사고에 대비하는 것이다. 그렇다면 보안 사고를 대비하기 위해서는 무엇이 필요한가? 첫 번째는 계정과 패스워드다. 이것은 몇 번을 강조해도 지나치지 않다. 반드시 1인 1계정 원칙을 준수하고, 8자리~10자리의 패스워드를 사용해야만 한다.

둘째, 외부의 공격을 조심하기에 앞서 내부 직원의 관리를 철저히 해야만 한다. 특히 모든 권한을 갖는 슈퍼 유저(Super User, 최고사용자)를 만들어서는 안 된다. 공격자가  슈퍼 유저의 계정만 알아내면 그것으로 무엇이든 다 할 수 있기 때문이다.

셋째, 추적성을 확보해야 한다. 아무리 보안에 노력을 기울이더라도 사고는 발생할 수 있다. 관건은 이를 얼마나 신속하게 수습할 수 있느냐이다. 때문에 추적할 수 있는 포인트를 마련해나야 한다. 이를 위해서는 IP 기록, 계정 접근 기록 등을 잘 관리해야 한다. 또한 로그 관리를 철저히 해야 하는데, 문제는 몇 년 동안 쌓인 로그를 한꺼번에 확인하는 것은 불가능하다는 점이다. 따라서 로그는 주기적으로 살펴봐야 한다.

마지막으로 가장 중요한 것은 ‘현실과 타협하지 않는 것’이다. 사실 보안 업무에서 가장 힘든 부분은 현업 부서와의 마찰이다. 보안 지침을 제시하면 현업 부서에서는 업무상의 불편을 이유로 불만을 제기하기 십상이다. 그러나 이러한 부분에 타협하여 예외 사항을 만들고, 그것을 기준으로 보안 점검 보고서를 마련하는 것은 결코 바람직하지 않다. 만에 하나 보안 사고가 발생했을 경우, 경영진은 당연히 보안 담당자가 제 역할을 하지 않았으며 심지어 경영진을 속였다고 생각할 수 밖에 없다. 게다가 불편을 제기했던 타 부서 직원들의 비난의 화살을 맞게 될 것이다. 아무리 보안 투자를 많이 하더라도 내부에 있는 직원들을 관리하지 못 하고 기본적인 원칙을 지키지 못 한다면 모래 위에 성을 쌓는 것만 못하다는 것을 명심해야 한다.@

안철수연구소 세일즈마케팅팀 대리 김동빈

    가장 안전한 데이터폐기