개인정보 대량 유출 사고가 연달아 발생하면서 개인정보보호에 관한 사회적 관심과 요구가 높아졌다. 이에 방송통신위원회는 개인정보의 대량 유출 사고를 방지하고 기업의 사회적 책임을 강화하기 위해 지난 2010년 말 개인정보보호 관리체계(PIMS)를 도입했다. 특히 PIMS는 위반에 따른 처벌수준이 높고 규제하는 범위와 내용이 다양하기 때문에 불과 몇 개월 만에 15개 주요 기업들이 인증심사를 신청하는 등 해당 사업자들이 발 빠르게 움직이고 있다. 규제 위반에 의한 불이익을 방지하고 안전하고 신뢰할 수 있는 비즈니스 환경을 구축하기 위해 PIMS에 대해 반드시 알아야 할 것들을 살펴보자.
최근 개인정보보호에 대한 기업과 국민의 관심이 높아지면서 새로운 인증제도가 주목 받고 있다. 방송통신위원회에서 제정한 '개인정보보호관리체계인증'이다. 기업이 개인정보를 보호하기 위한 준비를 제대로 하려면 공인된 인증제도를 기준으로 준비하는 것만큼 안전하고 확실한 방법이 없다. 정보통신 사업자와 서비스 제공자가 직접적인 인증대상이지만 그 외에 다른 업종에서도 개인정보보호관리체계인증, 이른바 PIMS에 대한 이해와 그에 걸맞은 준비를 갖추고 있다면 개인정보보호법을 포함한 어떤 규제에 대해서도 자신 있게 대응할 수 있을 것이다. 이러한 배경을 바탕으로 PIMS의 이해를 돕기 위해 10가지 핵심사항을 문답 형식으로 정리해보았다.
1. PIMS란 무엇인가?
PIMS는 ‘개인정보보호관리체계(Personal Information Management System)’의 약자로, 이에 대한 인증제도를 포함해 그 의미가 통용되고 있다. 방송통신위원회에서 심의•의결한 '개인정보보호 관리체계인증제 도입에 관한 건(제2010-66-273호)'에 근거하여 지난 2010년 도입되었다. 개인정보보호 관리체계 인증이란 개인정보를 취급하는 기업이 전사 차원에서 개인정보보호 활동을 체계적, 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 점검받아 일정 수준 이상을 충족했을 경우 인증을 부여 받는 것이다.
어떤 대상을 보호하려 하면 제일 중요한 게 무엇일까? 정책의 수립? 물론 중요하다. 정책이 있어야 판단의 기준이 분명해지기 때문이다. 책임자와 주무부서의 지정? 일을 하기 위해선 인력을 배정하고 책임을 부여하는 과정도 당연히 필요하다. 침입탐지시스템과 같은 기술적인 요소의 도입 역시 빼놓을 수 없겠다. 그러나 이 모든 것에 앞서 이러한 모든 요소를 포괄하는 총체적인 틀이 만들어져 있어야 목적 달성에 필요한 일들을 원활하게 효율적으로 관리할 수 있을 것이다. 바로 그 틀을 '관리체계'라고 부른다. 이러한 관점에서 PIMS인증은 어떤 조직이 개인정보보호에 대한 관리체계를 수립하고 이행하는 수준에 대하여 방송통신위원회가 인정을 해주는 인증제도이다.
2. PIMS인증 취득은 어떤 사업자에게 필요한가?
PIMS인증대상은 정보통신망 이용촉진 및 정보보호 등에 관한 법(이하 '정통망법')의 대상이 되는 사업자들이다. 즉, 전기통신서비스사업자와 정보통신서비스 제공자가 구체적인 대상이다. 그렇다면 정통망법을 따라야 하는 준용사업자는 어떨까? 준용사업자의 기술적 관리적 보호조치 기준은 방통위의 고시를 따르는 것이 아니라 행안부의 기준에 따르도록 되어있다. 현재 PIMS는 방통위의 기준을 중심으로 만들어져 있으며, 아직 공식적으로 확정된 바는 없지만 행안부에서도 PIMS와 유사한 인증제도를 준비하고 있는 것으로 알려져 있다. 따라서 준용사업자와 공공기관은 추후 행안부의 인증제도가 마련된다면 이를 따르는 것이 보다 적합할 것으로 보인다.
3. PIMS인증을 취득하면 무엇이 좋은가?
PIMS인증 취득에는 연간 비용이 소요된다. 보통 매년 수백만 원대의 심사비용이 필요하다. 비용이 소요된다면 사업자의 입장에서는 당연히 구체적인 효과를 기대할 것이다. PIMS인증 취득의 이점으로 객관적으로 정보보호 수준을 검증 받고 대외적으로 과시할 수 있다는 점을 떠올릴 것이다. 혹은 인증제도 준비과정에서 조직 전반의 정보보호 수준이 향상될 것이라는 점을 효과로 생각할 수도 있다. 그러나 과연 그것이 전부일까?
개인정보보호가 종래의 어떤 보안 법규보다 집중적인 관심을 받는 이유는 법률의 위반에 따른 처벌수준이 유난히 높고 규제하는 내용이 다양하기 때문이라고 할 수 있다. 5년 이하의 징역, 5천만 원 이하의 형사처벌 외에도 매출액의 1/100까지 과징금을 부과할 수 있는 등 기업의 입장에서는 상당히 두려운 규제이다. 지난 1월 방통위에서는 PIMS인증 취득의 기업의 경우, 과징금과 과태료 부과시 50%까지 감면받을 수 있도록 정통망법 고시개정을 확정했다고 발표했다. 매출액의 1/100까지 감수해야 할 위험 부담을 50%나 줄일 수 있다면 PIMS 인증취득 비용에 대한 계량적인 투자효과는 충분하다고 볼 수 있지 않을까?
4. PIMS인증의 심사기준은 무엇인가?
PIMS는 크게 3가지 요구사항으로 구분된다. 첫째는 개인정보관리과정 요구사항으로, 이것은 정책수립, 관리체계범위설정, 위험관리 등 인증을 위한 최소한의 필수항목으로 구성된다. 두 번째는 개인정보 보호대책 요구사항으로, 보호정책, 보호조직, 정보분류, 교육훈련, 기술적 물리적 보호조치, 침해사고 대응절차 등 법적 요구사항을 충족시키기 위한 다양한 항목으로 이뤄져 있다. 두 번째 요구사항의 항목수가 가장 많다. 세 번째는 용어부터 다소 생소한 ‘생명주기 준거요구사항’으로, 개인정보가 최초에 수집될 때를 생성으로 보고 목적 달성 후 파기되는 순간을 죽음으로 간주하여 '생명주기'라는 표현을 쓰고 있다. 즉, 개인정보가 수집되어 활동되고 완전히 파기되기까지 전 과정에 걸친 요구사항들을 필수항목으로 구성한 것이다.
PIMS를 비롯해 K-ISMS, ISO27001 등 각각의 보안인증제도의 큰 차이점 중 하나는 범위다. 대부분의 인증제도는 특정 부서 하나만을 종적으로 떼어서 인증범위로 설정하고 진행하는 데 큰 어려움이 없다. 그러나 PIMS, 즉 개인정보보호 관리체계는 개인정보의 수집부터 활용, 파기에 이르기까지 여러 부서와 연결될 수 있는 횡적인 정보의 흐름을 아우르며 점검하는 것이기 때문에 특정 부서 하나만을 따로 떼어 인증범위로 놓는 것이 상당히 어렵습니다. 물론 불가능한 것은 아니다. 한편 통제항목에 있어서도 ISO27001이 133개의 통제항목을 점검하는 데 비하여 PIMS는 관리과정 요구사항 23개 항목, 보호대책 요구사항 224개 항목, 생명주기 요구사항 78개 항목 등 총 325개의 점검항목을 포함하고 있다.
5. PIMS는 개인정보보호법과 무슨 상관이 있을까?
PIMS는 정통망법을 기준으로 하며 방통위를 인정기관으로 하는 제도이기 때문에 아직 제정되지 않은 개인정보보호법을 100% 대응한다고 보기는 어렵다. 그러나 개인정보보호법의 기본 골격이 정통망법과 거의 동일하게 유지되기 때문에 PIMS를 취득하고 유지할 수 있는 수준이라면 추후 개인정보보호법 기반의 다른 인증이 나오더라도 큰 어려움 없이 대응 가능할 것이다.
6. 과연 기업들이 적극적으로 PIMS를 도입할까?
방통위에 따르면 2011년 1월25일을 기준으로 SKT, KT, NHN 및 5개 관계사, 다음, SK커뮤니케이션즈, 이베이지마켓, 이베이옥션, 11번가, 엔씨소프트, 레드캡투어 등 15개 업체가 PIMS인증을 신청했다. 이후 추가적으로 롯데홈쇼핑, LG U+, 씨앤앰도 인증을 신청한 것으로 알려져 있다. 2010년 8월 19일에 인증도입 공청회를 했던 점을 고려하면 주요 기업들이 이렇게 신속하게 인증 취득을 신청한 것은 이례적이라고 느껴질 정도다. 이것은 그 만큼 개인정보보호에 대한 이슈가 기업 입장에서는 중대하고도 심각한 사항이란 증거다. 무엇보다 PIMS인증취득을 통해 기대할 수 있는 장점이 조기 취득의 부담을 상쇄했을 것이라고 추측할 수 있는 근거가 아닐까 한다.
7. PIMS인증 취득절차는 어떻게 이루어지는가?
[그림 1] 개인정보보호관리체계 인증절차(출처: 한국인터넷진흥원)
인증절차는 크게 준비단계, 심사단계, 인증단계, 사후관리단계로 나뉘어진다. 준비단계에서는 우선 한국인터넷진흥원 상담부서에 연락을 해서 인증상담을 받고 조직현황과 준비상황에 따른 심사기간과 비용을 산정한 후 신청서와 준비서류를 제출함으로써 접수를 하게 된다.
심사는 인증기관의 심사계획통보, 문서심사, 현장심사로 나뉘게 됩니다. 우선 문서심사를 통해 심사기준의 요구사항을 만족하는지 점검하고, 문서에 명시된 통제사항들이 실행되고 있는지의 여부와 문서심사의 문제점 확인 등을 현장심사를 통해서 수행한다. 심사 후에는 문제점이 발견된 경우엔 중결함, 결함, 권고 등으로 분류하여 기술하고 보완조치요청서를 작성한다. 보완조치는 30일 내에 조치결과 제출이 요구된다.
이후 인증단계에서는 심사단의 결과보고서를 근거로 인증위원회를 개최하여 적합여부를 심의하며, 적합한 경우에는 인증서를 발행한다. 최초 인증 취득 후 2년간은 1년 단위로 사후관리점검을 실시하여 지속적인 관리 상황을 점검 받게 된다.
8. PIMS인증 취득을 위해서 무엇부터 준비해야 할까?
인증 준비과정은 크게 ▲인증범위선정 ▲PIMS정비 ▲이행계획 작성 및 교육 ▲이행 및 준수기록 확보 ▲감사 및 점검으로 나눠 볼 수 있다.
가장 우선되는 '인증범위 선정'은 조직에서 취급하는 개인정보를 파악하는 것에서 시작되며, 개인정보를 처리하거나 취급하는 모든 부서와 시스템, 취급자 등을 식별한 후 인증범위에 포함시킨다. 'PIMS정비' 과정에서는 정책과 지침을 수립하는 일을 가장 먼저 해야 한다. 정책과 지침은 모든 개인정보보호 활동의 근거이며 기준이기 때문에 신중하면서도 현실성 있게 작성되어야 한다. 이러한 업무를 수행하기 위한 조직도 필요하며 주관부서 외에 인증범위에 있는 모든 조직이 적극적으로 참여해야만 원활한 준비가 가능할 것이다. '이행계획'은 앞서 수립된 정책과 지침에 따라 각 담당자별로 이행해야 할 과제들을 도출하는 것이며, 과제의 내용과 인증취득에 필요한 사항은 교육을 통해서 상세히 전달해야만 준비과정을 단축할 수 있다.
앞서 서술한 단계가 계획과정이라면 그 다음에는 이러한 계획에 대해 실제로 이행하는 과정이라 할 수 있다. 여기서 가장 중요한 사항은 모든 이행 과정은 문서로 기록되고 보관되어야만 증명될 수 있다는 사실이다. 인증준비 안내서에 따르면 인증준비에 필요한 이행 및 준수 기록은 정책, 지침에 기록된 모든 사항에 대해 최소 1회 이상 수행한 기록이 있어야만 한다. 이어 정책지침수립-이행계획-이행의 과정에 대한 자기 진단과정이 '감사 및 점검'이다. 감사와 점검을 통해서 심사 이전에 관리체계가 정상적이며 실제적으로 운영되고 있는지 파악해 볼 수 있고 사전에 문제점을 도출하여 보완할 기회를 가질 수 있다. 여기에서 감사와 점검에서 간과하기 쉬운 부분은 결과 보고 후 지적된 문제점에 대해 조치하고 결과를 재확인하는 과정이다. 반드시 시정 및 조치계획서를 작성하고 개선활동으로 연계하도록 해야만 감사와 점검의 실질적인 효과를 거둘 수 있다.
[그림 2] 개인정보보호관리체계 인증절차(출처: 한국인터넷진흥원)
9. PIMS인증 취득을 위해 갖춰야 할 문서들은 무엇인가?
우선적으로 다음과 같은 기본 문서가 반드시 필요하다.
● 개인정보보호정책서: 정보보호에 대한 명확한 목표를 제시하는 최상위의 기본 문서이다. 정책에 따라 이를 준수하기 위한 지침, 절차, 표준이 체계적으로 마련된다.
● 개인정보 침해 위험 관리 보고서: 개인정보자산을 식별하여 자산목록을 작성하고 이에 대한 위험을 분석하여 위험평가서를 작성해야 한다. 위험평가는 자산가치와 취약점/위협의 정도, 발생가능성, 사업에 미치는 영향 등을 고려하여 위험의 수준을 계량적으로 분석하는 과정이다. 모든 위험에 대응하기보다는 허용 가능한 목표위험수준을 결정해서 이에 대한 관리대책을 우선 도출하게 된다.
● 개인정보 관리계획서: 위험관리 과정에서 채택한 대책을 구현하기 위한 일정, 담당, 소요자원 구현방안 및 절차 등을 구체적으로 설명한 계획서이다. 계획뿐만 아니라 구현 후 결과도 문서로 정리되어 있어야 한다.
● 개인정보 침해 대책명세서: 인증심사기준에서 요구되는 통제사항을 기초로 정보보호대책과 구현현황을 명시한 문서이다. 경우에 따라 통제사항은 선택되지 않을 수도 있는데 그 이유를 타당하게 명시해야 한다.
● 개인정보보호관리체계 내부감사결과보고서: 구현된 보호대책들을 최소 3개월 이상 운영하고 그 성과를 감사한 내부감사결과 보고서와 감사 지적사항에 대한 조치결과보고서 등이 구비되어야 한다.
● 주요 정보통신설비의 목록과 시스템 구성도: 개인정보의 처리 및 유통과 관련된 자산목록의 일부로서 정보통신 설비목록과 시스템구성도가 작성되어 있어야 한다.
그러나 이 문서만으로 충분한 것은 아니며, 점검되는 항목의 이행 과정은 모두 문서화를 통해 증적이 유지되어야 하므로 갖춰야 할 문서의 수는 훨씬 더 많을 것이다. 또한 개인정보보호관리체계와 관련이 있는 주요 문서 목록 이외에 개인정보보호관리체계에 관련된 각종 주요문서의 목록이 작성되어야 한다. 일반적으로 포함되어야 할 문서들로는 개인정보보호관리체계 설명서, 조직 및 책임정의서, 운영에 따라 만들어진 기록 등을 예로 들 수 있다.
10. PIMS에 관한 추가 정보는 어디에서 구할 수 있을까?
PIMS인증 심사를 수행하는 인증기관인 한국인터넷진흥원은 PIMS에 대한 최신 정보를 공개하고 있으며(http://isms.kisa.or.kr/kor/intro/pimsIntro01.jsp), 관련 안내서 또한 제공하고 있다(http://isms.kisa.or.kr/kor/notice/dataView.jsp?b_No=132&d_No=4&p_No=132 ).
실제 심사는 인증기관의 위촉을 받은 심사팀에서 진행하게 되며, 심사팀은 인증심사원 자격을 보유한 다양한 기관의 인력들로 구성된다. 대개는 업무와 유관한 정보보호컨설팅 전문업체 인력이 많으므로 대부분의 보안컨설팅업체에서도 PIMS에 대한 상담과 지원하고 있다. PIMS의 실 구현을 위해서는 관리적 대책뿐 아니라 백신, 방화벽, IPS, IDS 등 다양한 보안솔루션과 시스템 도입이 필요하다.
안철수연구소