2024-03-28 23:20 (목)
개인정보보호법 무엇부터 준비하시나요 ?
상태바
개인정보보호법 무엇부터 준비하시나요 ?
  • 박나룡
  • 승인 2011.06.07 21:41
이 기사를 공유합니다

올 해도 다양한 분야에서 개인정보 유출사고가 발생하고 있다. 개인정보보호를 위해 가장 좋은 방법은 개인정보를 보유하지 않는 것이겠지만, 해당 조직이 개인정보를 수집하거나 보유하고 있다면 그에 대한 충분한 보호 활동을 이행할 필요가 있다.

이는 법률적 요구사항이기도 하지만, 해당 조직을 이용하는 이용자들의 요구사항 이기도 하다. 이에 대해 아직 준비하지 못하고 있는 조직이 있다면 아래와 같은 방법들을 통해 지금부터라도 준비가 필요하다.
 
1. 우리 조직이 어느 법률에 적용을 받게 되는지 파악할 필요가 있다.
가장 기본적으로 수행해야 할 일이고 형사 처벌 등의 이슈에 대응하기 위한 가장 기본적인 준비사항이라고 할 수 있겠다. 또한, 동종업계에 적용되는 컴플라이언스가 어떤 부분들이 있는지 파악하는 것도 중요하다. 금융권의 경우 금융 감독 또는 업계와 관련하여 다양한 규제사항이 있고, 공공기관의 경우에도 다양한 기준이 있는 상황이다.
 
2. 전문적인 전담 인력의 확보가 필수적이다.
특히, 법률적 지식과 정보보호에 대한 이해가 필요한 업무이기에 해당 인력을 배정할 경우 이런 부분을 충분히 인식하고 인력을 확보할 필요가 있다. 전문가의 확보가 쉽지 않은 조직의 경우 전문가를 활용할 수 있는 방법을 모색하는 것도 좋은 접근방법일 수 있다. 정보보호 전문기업을 통해 컨설팅을 진행하거나, 전문기관(KISA)등을 통해 상담을 받고 준비 하는 등의 적극적 모습이 필요하다.

도움을 받을 경우에도 담당자는 개인정보보호에 대한 인식과 해당 조직을 충분히 이해하고 있어야 효과가 극대화 될 수 있는 것은 당연한 부분이다.
업무의 순환 보직이 이루어지는 조직의 경우 업무의 연속성과 일관성을 떨어뜨려 담당직원의 전문성을 축적하는데 상대적으로 오랜 기간이 걸릴 수 있고, 전반적인 조직의 보안 수준을 마련하기가 어려울 수 있는 만큼 이에 대한 보완책이 반드시 고려되어야 할 것이다.
 

3. 기술적, 관리적 보호조치의 수준을 정하라
기술적, 관리적 보호조치를 위해선 해당 조직의 개인정보보호가 처리되는 범위가 어디까지 이고, 개인정보를 취급하는 사람은 누구인지, 관련 시스템과 수집·이용·제공 등의 처리가 이루어지는 개인정보 항목이 어느 것들이 있는지 명확하게 식별하는 것부터 시작해야 한다.

이를 통해 개인정보의 유출, 침해, 오·남용 방지 등을 위한 다양한 분야(물리적, 기술적, 관리적 부문)의 문제점을 파악하고 어떤 대책들이 적용 가능할지 판단하여 해당 조직이 적용할 수 있는 수준에서 최대한의 노력을 기울일 필요가 있다.
 
개인정보를 위해 법률 요구사항과 전문 인력을 확보하는 등의 활동은 가장 기본적인 접근 방법으로 이는 단지 시작을 위한 단계일 뿐이다. 어느 정도 노력을 기울여도 개인정보유출 사고가 발생하지 않는다는 보장이 없는 만큼 조직은 ‘할 만큼 해야 하는 부담’을 가질 수밖에 없다.
 
어느 정도 개인정보보호를 위한 활동들이 이루어지고 있는 조직은 현재 활동에 대한 지속적인 개선 사항 도출을 위해 객관적인 전문가를 통해 검증을 받는 방법 –개인정보보호관리체계(PIMS) 인증- 도 활용할 필요가 있다.

이는 조직이 최대한의 노력을 기울이고 있음을 보여주는 좋은 사례로 활용될 것이고 실제 개인정보보호를 위한 위험을 파악하고 개선할 수 있는 가장 좋은 툴(tool)이 될 것이다.
[박나룡 보안전략연구소장 isssi@daum.net]
 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★