개인정보보호법이 2011년 9월 30일부터 시행되게 된다. 드디어 우리 나라에 공공기관, 기업, 단체를 아우르는 일관된 법적 규제가 탄생하게 되는 것이다.
 
개인정보보호법이 시행되면 개인정보를 취급하는 모든 조직은 ‘프라이버시 거버넌스 프레임워크(Privacy Governance Framework)’를 구축해야 한다.
 
프라이버시 거버넌스란 개인정보보호 관련 법적규제를 준수하기 위한 조직경영 전략쯤으로 풀이할 수 있다. 다시 말하면, 개인정보보호법이 발효되고 나면, 전자정보든 수기로 된 정보든 개인정보를 보유하고 있는 모든 조직은 개인정보관련 법규 준수를 위한 조직경영의 새 틀을 짜야 한다.
 
개인정보보호법의 요구이자 프라이버시 거버넌스 프레임워크가 구현해야 하는 목적을 들라면 ‘개인정보의 가시성 확보’와 ‘개인정보 최소화’를 들 수 있다. 이 둘은 따로 존재하는 것이 아니라 연속되어 존재한다.
 
가시성을 확보한다는 것은 조직 내 어떤 개인정보가 어디에 얼마나 있는지, 또 어떤 라이프사이클로 흘러가고 있는지를 투명하게 아는 것이다. 특히 중요한 주 요건은 정보주체(개인정보 소유자)가 동의한 용도 및 사용기한을 정확히 파악하는 것을 들 수 있다.
 
가시성 확보는 현재 개인정보 보유조직의 개인정보보호 수준향상을 위하여 가장 중요한 문제다. 현실적으로 대부분의 조직들이 어떤 개인정보를 얼마나 어디에 보유하고 있고 조직 내에서 어떻게 개인정보가 흘러가고 있는지 모르고 있기 때문이다.
 
가시성 확보는 개인정보보호법 34조가 규정한 개인정보유출통지규정과도 직결된다. 유출되었다는 사실과 경위를 알아야만 정확하게 정보주체에게 통지도 할 수 있기 때문이다. 그러나 가시성 확보만으로 개인정보보호는 이뤄지지 않는다.
 
가시성 확보를 했으면 문제점 개선을 위한 행동, 즉 최소화 작업을 해야 한다. 최소화는 정보주체가 애초에 동의했던 범위 내에서만 개인정보 저장, 접근, 활용이 이뤄지도록 과잉저장 접근 활용을 제거하는 것이다.
 
프라이버시 거버넌스 프레임워크의 주목적인 ‘개인정보의 가시성 확보’와 ‘개인정보 최소화’에 있어 현실적으로 가장 중요한 시스템은 어디일까? 달리 말하면 가장 가시성 확보가 안 되고 개인정보가 과잉으로 저장 및 활용되고 있는 시스템은 어디일까?
 
사내 여러팀, 각각의 개인, 사외 협력사에게로 흩어져있는 데다가 컴퓨팅파워의 향상으로 DB에 맞먹는 저장량을 보유하고 있으며, 장기근속 직원의 경우 백업에 백업을 거쳐 십수년전 데이터까지 그대로 남아있는 그리고 네트워크, 출력물, 이동식저장장치 등의 유출통로와 바로 연결되어 있는 시스템! 바로 엔드포인트 PC이다.
 
데이터베이스 내 개인정보가 PC로 복제, 분산되는 것 막아야
개인정보유출사고는 접근권한이 없는 사람보다 접근권한을 가진 사람에 의해서 이루어지는 경우가 더 많다. 따라서 기술적 개인정보보호 조치의 기본은 접근권한이 없는 사람이 DBMS에 접속하는 것을 차단하는 것이다.
 
그러나 더 고도화되고 진정 핵심적인 기능은 접근권한이 있는 사람이 권한을 오남용하는 것을 막는 것이다. 이전에 발생한 1,000만건 개인정보 유출사건은 데이터베이스 내 개인정보 접근권한이 있는 시스템 운영자에 의해 발생했다. 시스템운영자가 데이터베이스에 접근한 후 개인정보를 PC로 복제한 후 유출한 것이다.
 
일단, 데이터베이스 내 정보가 PC로 옮겨지면 보안정도가 약해지게 되고 권한자의 권한오남용 가능성이 높아지게 된다. PC에서 데이터베이스 내 개인정보를 조회 및 복사 저장할 수 있게 해주는 애플리케이션인 쿼리툴을 통제해야 하는 이유가 여기에 있다.
 
쿼리툴 통제는 DB접속 후 PC에 개인정보파일을 생성하는 것과 내용을 복사하여 붙이는 것, 출력하는 것을 차단한다. 차단이 현실적으로 어려울 경우, 차량용 블랙박스처럼 파일생성, 복사 및 붙이기, 출력행위가 이뤄지는 컴퓨터 화면 자체를 저장하기도 한다. 실제 쿼리툴 통제기능을 도입할 때는 사전에 조직 내에서 어떤 종류의 쿼리툴을 쓰고 있으며 쿼리툴 통제기능이 다양한 쿼리툴 애플리케이션간에 호환성을 가지는지를 살펴봐야 한다.
 
QTC(Query Tool Control)는 사내 개인정보 최소화 프로세스를 구축하는 것
개인정보보호법 32조 개인정보 파일의 등록 및 공개 제도는 조직 내 개인정보 파일을 모두 검출하여 목록형태의 개인정보 파일대장을 만들고 이를 공개하는 제도다. 개인정보 파일대장에 기록해야 하는 사항으로는 개인정보 파일의 명칭, 운영 근거 및 목적, 기록된 개인정보 항목, 처리방법, 보유기간, 통상적 반복적으로 제공받는 자가 포함된다.
 
조직내 개인정보 파일은 한 두개가 아닐 것이다. 이 모두를 검출하는 데서 그치지 않고 파일대장까지 작성하여 관리해야 한다는 것은 큰 부담이라고밖에 할 수 없다.
 
개인정보보호법 34조 개인정보 유출 통지 규정은 개인정보처리자가 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 유출된 개인정보 항목, 유출시점과 경위, 유출피해 최소화 방법 등을 알려줘야 하는 규정이다.
 
파일대장 작성과 유출통지가 효과적으로 되기 위해서는 사내 개인정보의 복제와 분산을 최소화해야 한다. 개인정보가 불필요하게 복제, 분산되지 않으면, 파일대장 작성도 같은 개인정보라면 한번만 하면 될 것이며, 유출지점이 줄어들기 때문에 유출가능성도 현저하게 줄어들게 된다.
 
이미, 복제 분산된 개인정보를 검출, 최소화하는 것이 ‘현상’을 해결하는 것이라면 쿼리툴 통제기능을 도입하여 정보가 데이터베이스에서 PC로 복제, 분산되는 것 자체를 막는 것은 문제의 ‘원인’을 해결하는 것이다. QTC 도입만으로 사내 개인정보 최소화 프로세스가 구축되는 것이다.
[소만사 김대환 대표]