“개인정보보호 조직은 회사와 사업의 개인정보 위험을 최소화함으로써 안정적 성장을 지원하는 역할을 하는 것이다. 즉 기업 성장을 돕는 조직이다. 또 개인정보 법규 위반으로 인한 동료의 위험을 최소화하는 역할을 담당하고 있다. 회사의 안정적 성장과 동료를 보호하는 업무를 하고 있다는 인식을 가져야 한다.”
 
강은성 CISO Lab 대표가 지난 4월 10일 한국인터넷진흥원이 주최하고 한국CPO포럼이 주관한 PRIVACY GLOBAL EDGE 2015에서 ‘기업의 개인정보보호 업무와 CPO 조직’이란 주제로 발표를 진행하며 개인정보보호 조직의 핵심적인 업무에 대해 언급한 내용이다.
 
강 대표는 “은행, 보험, 증권, 통신, 온라인 교육, 쇼핑몰, 유통 등 많은 산업분야가 개인정보를 기반으로 한 사업들이다. 그 과정에서 개인정보 문제는 이제 기업의 위험 즉 전사적 리스크로 인식되고 있다”며 “또 개인정보보호 조치가 미비해 사고가 발생하면 CEO에게 직접적인 위험으로 다가온다. CEO가 사임하는 사고들도 국내외에서 실제로 발생하고 있다. 또 개인정보 책임자, 실무자들도 법적으로 형사 처벌을 받아야 하는 상황이다. 개인정보보호 문제는 이제 경영위험의 큰 부분을 차지하게 됐다”고 말했다.
 
특히 강 대표는 개인정보보호 실무자들은 개인정보보호 문제가 발생하면 CEO나 CPO(개인정보관리책임자)가 법적으로 어떤 처벌을 받을 수 있는지 미리 인지시켜야 한다고 강조했다. 그래야 개인정보보호 거버넌스도 경영진 주도하에 수립할 수 있게 된다는 것이다.
 
개인정보보호 거버넌스 수립은 실무자만 열심히 한다고 되는 일이 아니다. 경영진의 주도하에 사업계획, 부서간 협업과 소통, 예산과 투자, 조직과 인력이 투입돼야 가능한 일이다.
 
또 강 대표는 K사나 N사 개인정보 유출사건 때도 모두 개인정보 실무 책임자를 입건하려 한 사례를 들며 법에서 요구하는 개인정보 보호조치는 CISO의 역할이 아니라 CPO가 책임지고 해야 할 일이라고 강조했다.
 
더불어 수탁사 관리 감독의 중요성도 강조했다. 수탁사에 문제가 발생시 위탁사가 책임을 질 수 있기 때문이다. 책임을 면하기 위해서는 철저한 관리 감독 시행과 더불어 법적 증거가 될 수 있는 증적 자료를 꼭 남겨야 한다는 것이다.
 
또 고시는 무조건 지켜야 한다고 강조했다. 법원에서는 고시를 법처럼 생각하고 있다는 것. 고시가 법은 아니지만 보안분야 고시는 법 조항으로 인식돼 지키지 않으면 판결에서 상당히 불리해 질 수 있다는 것.
 
마지막으로 개인정보보호 조직에 대해 분석한 내용을 발표했다.

 
강 대표는 “국내에서 CPO 전담 인력은 거의 없다. 미래부에서 조사한 바로는 전담인력이 있다고 나오지만 현실은 그렇지 않다. 대부분 겸직이다. 주로 경영스탭이나 홍보 및 대외 업무담당자가 맡는 경우가 많다. CPO가 경영스탭 소속인 경우는 내부관리 또는 내부 통제, 수행권한에는 장점이 있지만 개인정보 보호조치 협업에는 단점이 있다. 또 홍보나 대외 부서 소속일 경우 규제대응이나 사고발생시 네트워크를 활용한 위기 대응 능력은 높지만 개인정보 보호조치 협업에 어려움이 있다”고 설명했다.
 
또 개인정보보호 조직이 사업이나 마케팅 소속이라면 전사 매출 목표가 우선이기 때문에 개인정보 활용과 보호 측면에서 충돌시 잘못된 판단을 할 수 있다는 지적도 내놨다. 한편 준법감시부서 소속이라면 규제대응은 강하지만 정책역량이 떨어질 수 있다고 지적했다.
 
한편 CISO가 CPO를 겸하는 회사가 늘고 있다. 하지만 CISO가 사내에서 힘이 실리지 않는 회사도 많아 수행 권한에서 부족하다는 지적도 내 놨다. CIO가 CPO를 겸직하는 경우도 CIO 출신들은 법과 규제에서 미흡할 수 있다는 것이다.
 
강 대표는 그리고 개인정보보호 조직은 정보보안 조직, 서비스 기획 조직, HR, 영업조직 등과 보호조치에 있어 협업을 이루어 내야 한다고 강조했다. 협업이 없이는 보호조치도 개인정보 정책 적용도, 생명주기도 지켜내기 힘들기 때문이다.
 
그렇다면 누가 CPO를 전담하면 좋을까. 전담이 어렵다면 어떤 조직에서 겸임을 하면 좋을까.
 
우선 강 대표는 “CPO는 임원급이 되어야 한다. 그래야 제대로 돌아가는지 수시로 점검할 수 있다. 임원급의 권한을 주지 않고 CPO 업무를 맡겨서는 안된다. 또 마케팅이나 개발자들은 CPO를 맡아서는 안된다”며 “CEO 직속으로 내부통제 경험이 있는 자가 CPO를 맡으면 이상적이다. 겸직을 한다면 리스크 관리자나 CISO가 CPO 겸직 직책으로 추천할만 하다”고 말했다.
 
즉 바람직한 개인정보보호 조직의 위치는 CEO 직속 내부관리 겸 CPO 아래 혹은 CEO 직속 CISO겸 CPO 아래 위치해 있는 것이 가장 이상적이라고 설명했다. 하지만 CISO가 CPO까지 겸직할 경우 사고 발생시 법적 리스크가 너무 크지 않을까란 지적도 있다. 한편 개인정보 유출 사고를 계속 겪으면서도 여전히 전담 CPO를 두지 않고 겸직으로 자리를 업무를 하고 있다는 것은 안타까운 현실이다.   
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com