필자가 지방에서 올라와서 자취를 하고 있을 때 집에 도둑이 든 경우가 있었다. 도둑은 허술한 방범창을 뜯고 들어왔고 옆집도 같은 방법으로 도둑이 들었다. 다행히 학생이라서 돈이 될만한 것이 없었지만 옆집의 경우에는 액자 뒤에 두었던 현금을 가지고 갔다고 한다. 그 뒤에 자취집 주인은 방범창을 쇠로된 튼튼한 것으로 교체를 하였다. 이와 같이 외부로부터의 또는 내부 보안 침해사고를 예방하기 위해서 가장 중요한 것은 반드시 지켜야 하는 중요한 자산이 어떤 것이 있는지를 알고 있어야 한다는것이다. 필자의 경우에도 당시 도둑이 들었을 때 무엇을 잊어버렸는지 몰라서 경찰이 왔을 때 이를 확인하는게 더 어렸웠던 기억이 있었다.
(사진출처.www.flickr.com / by emperley3)

 

인터넷을 주요 사업의 채널로 이용하는 기업의 경우에는 인터넷을 통해 가입한 고객이 가장 중요한 자산이라고 할 수 있을 것이다. 신규 고객을 유치하기 위해서는 막대한 비용의 광고 및 마케팅 노력을 하게 되는데 만약에 고객의 개인정보 유출 사고에 의해서 고객을 잃게 되는 경우 인터넷 기업의 경우에는 막대한 손실을 입게 된다. 혹자는 새로운 고객이 유치하면 되지 않겠냐고 생각하겠지만 기존의 고객을 유지하는 활동이 신규 고객을 유치하는 것보다 몇 배의 비용이 든다는 사실을 안다면 고객의 개인정보보를 위해서 노력해야 되는 것은 기업을 위해서 매우 중요한 활동이라는 것을 알 수 있을 것이다.

 

그렇다면 이렇게 중요한 자산은 어떻게 보호를 하여야 할 것인가? 만약 가정이라고 한다면 금고 속에 중요한 문서나 귀금속을 보관하고 금고의 비밀번호는 아무나 알지 못하게 본인만 알고 있거나 꼭 필요한 중요한 사람에게만 알려줄 것이다. 만약 개인정보보호를 어떻게 해야 되는지를 모르는 기업이라면 한번 가장 중요한 고객 개인정보에 접근이 가능한 사람을 그리고 접근하는 프로세스가 정의가 되고 있는지에 대해서 조사를 해본다면 좋을 것이다. 만약 누구든지 접근이 가능하고, 공식적인 프로세스와 승인 프로세스가 없고 누구나 쉽게 출력하고 저장하고 복사할 수 있다면 이는 금고의 비밀번호와 열쇠를 모든 사람이 복사해서 쓰고 있고 알고 있다는 것과 다르지 않다는 것을 알 수 있을 것이다.

 

간혹 개인정보 및 보안과 관련해서는 IT부서에서만 수행하는 것으로 이해하는 기업이 있는데 이것은 보안 활동을 너무 지엽적으로만 보기 때문이다. IT부서는 일반적으로 개인정보를 관리하는 책임이 있다고 할 수 있지만 개인정보를 활용하는 영업, 마케팅 부서에서 개인정보를 활용하는 프로세스를 준수하지 않는다면 회사 내의 핵심 자산인 고객의 개인정보를 보호할 수 없게 된다. 이는 금고의 비밀번호를 알고 있는 사람들이 비밀번호를 아무에게나 이야기를 한다면 금고가 있을 필요가 없는 것처럼 개인정보를 이용하는 사람 및 조직이 더 조심을 하고 노력을 하여야 하는 것이다.

 

보안부서나 IT부서는 전사의 개인정보의 프로세스를 확인하고 이를 이용해서 사용자의 불편이 최소화 되는 기술적인 보호대책을 마련하여야 한다. 기술적인 보호대책을 위해서 자체적인 개발을 할 수도 있고 외부의 솔루션을 도입할 수 있는데 어떤 방법을 취할지에 대해서는 기업 내의 여건 등을 고려해봐야 한다. 자체 개발을 할 경우 향후 발생할 수 있는 유지 보수는 어디서 담당할지, 해당 개발된 어플리케이션의 운영을 누가 담당할 것인지에 대해서 명확하게 하여야 한다. 솔루션을 도입을 할 경우에는 향후 유지보수비용과 확장성, 추가 도입시 소요 비용 등에 대해서 고려를 하여야 한다. 집안에 있는 모든 것을 제한된 금고 속에 보관할 수는 없는 것과 같이 꼭 필요한만큼의 개인정보를 보관하여야 개인정보보호 솔루션 도입/운영 비용이 적게 들기 때문이다. 

 

기존의 정보보호 안전진단과 같은 의무사항에 해당이 되지 않아서 수검을 받지 않던 기업이라면 이번 9월에 시행 되는 개인정보보호법 준수를 위해서 많은 노력을 하여야 할 것이다. 전사적으로 개인정보가 어디에 있고 어디서 이용을 하고 있는지에 대해서 먼저 확인이 되어야 하고 보안 프로세스를 만들고 이를 주기적으로 유지보수도 해야 되는데 이러한 활동이 처음하는 기업 담당자로서는 쉽지 않은 일일 수 있다. 이런 활동을 좀 더 체계적으로 할 수 있는 일종의 Framework의 하나로 인증 제도를 이용할 수 있다.

국내에서는 정보보호 관련된 인증 제도로는 KISA ISMS, KISA PIMS가 있고 국제적으로는 ISO27001, BS10012가 있다. 인증을 받게 되면 1년에 한번 또는 두번 인증 기관에서 심사를 와서 수립되어 있는 보안 프로세스가 잘 준수가 되고 있는지에 대해서 확인을 하고 큰 문제가 없다고 판단이 될 경우에는 이러한 인증을 유지할 수 있게 된다. 물론 이런 인증을 유지하게 될 경우에는 인증과 심사에 비용이 들게 되는데 내부적으로 이러한 외부 기관을 통해서 보안 프로세스를 강제화할 필요가 있다고 생각이 되는 경우라면 인증을 받는 것도 좋은 방법이라고 할 수 있다. 만약 이러한 비용을 부담하기 어려운 기업이라고 하더라도 어떤 항목들을 고려 해야 되는지에 대해서 많은 도움을 얻을 수 있다. 특히 KISA PIMS 관련해서는 KISA 홈페이지 등을 통해서 통제 항목에 대한 자료 및 외부의 컨설팅 없이 인증을 받기 위해서는 어떻게 해야 되는지에 대해서 문서를 구할 수 있기 때문에 이러한 자료를 통해서 개인정보보호 프로세스 수립을 위해서 무엇를 고려해야 하는지에 대해서 도움을 얻을 수 있다.

 

끝으로 이번에 시행되는 개인정보보호법은 고객의 개인정보 외에 회사 구성원의 개인정보와 입사 지원자의 개인정보 또한 보호 대상이기 때문에 인사팀과 같은 경우에도 별도의 보호 조치를 마련해야 한다. 집을 깨끗하게 정리하기 위해서는 먼저 필요 없는 것은 버리고 꼭 필요한 것만 잘 정리를 하고 관리를 해야 되는 것과 같이 개인정보 역시 불필요한 정보, 낡은 정보는 모두 안전하게 파기를 하고 꼭 사업을 위해서 필요한 정보만 안전하게 보호하는 프로세스를 마련해서 개인정보보호법 시행에 대비할 필요가 있다.
[SK커뮤니케이션즈 송재훈 차장 songjaehoon@hotmail.com]