[보안칼럼]끊임없는 개인정보 유출사고 어떻게 막을 것인가

[보안칼럼]끊임없는 개인정보 유출사고 어떻게 막을 것인가

우리나라는 개인정보 보호 강화를 위한 노력을 지속했다. 2011년 3월 개인정보보호법을 제정하고 여러 차례의 보완을 거쳤다. 2020년 1월에는 4차 산업혁명 시대를 맞아 이른바 '데이터 3법'으로 불리는 '개인정보보호법, 정보통신망법, 신용정보보호법' 동시 개정을 통해 개인정보 보호체계를 일원화했다. 그 결과 2021년 12월 EU GDPR 적정성 결정이 최종 통과돼 개인정보 보호 우수 국가로 인정받았다.

그런데 정말 우리나라는 개인정보가 안전하게 관리되고 또 이용되고 있을까. 유감스럽게도 '그렇다'고 자신있게 대답할 수 없는 것이 현실이다. 최근까지도 개인정보 관리 소홀로 말미암은 사건 사고가 끊이지 않고 있기 때문이다. 공공기관·법인·단체 등 개인정보 처리자의 과실로 인한 대량의 개인정보 유출사고는 물론 업무담당자 등 개인정보 취급자에 의한 개인정보 유출사고도 증가 추세에 있다. 유출된 개인정보는 2차 범죄에 악용되기도 해 국민의 불안을 가중시키고 있다.

개인정보 유출사고가 발생해 사회 문제가 되면 대책으로 정보보호 교육 강화, 개인정보처리시스템 보안 강화, 개인정보 관리실태 점검 강화, 개인정보 유출행위 처벌 강화 등이 단골처럼 등장하지만 실효성을 담보하진 못했다.

무엇이 문제일까. 이러한 대책은 당연히 필요하고 지속적으로 보완·강화돼야 하지만 근본적이고 현실적인 대책을 고민해야 할 시점이다. 필자는 개인정보 보호 산업 현장의 오랜 경험을 바탕으로 그동안 생각한 몇 가지 정책적 제언을 하고자 한다.

첫째 개인정보 보호 전담 인력의 확충 및 전문성 강화다. '2021 개인정보보호실태조사'에 따르면 개인정보 보호 전담 인원이 절대 부족(공공기관 0.5명, 민간기업 0.0명)할 뿐만 아니라 있다고 해도 업무 경력이 매우 짧아(공공기관 3년 미만 67.3%) 전문성을 확보하기가 곤란한 상황이다.

둘째 개인정보 보호 예산의 확충이다. 앞의 조사에 따르면 개인정보 보호 예산 규모는 1억원 미만이 대다수(공공기관 82.6%, 민간기업 99.9%)이다. 이마저도 서비스사용료, 직원 교육비 등을 제외하면 제대로 된 보안솔루션 하나 도입하기 어려운 실정이다.

셋째 개인정보 보호 전문 솔루션의 도입 및 활용 확대다. 인력과 예산 공백을 메우고 보안체계를 강화하기 위해서는 적합한 기능을 갖춘 보안솔루션을 도입해서 활용하는 것이 좋은 방법이다.

그 가운데에서도 최우선으로 해야 할 것은 개인정보접속기록 솔루션이다. 개인정보 유출사고를 예방하고 사고 발생 시 정확한 원인 규명 및 사후 추적 관리를 위해서는 필수 불가결한 솔루션이다. 솔루션 도입 시 개인정보처리시스템에 접속해 수행한 모든 업무 내역을 누락 없이 무결성을 보장해서 접속기록을 생성하고, 이상행위 탐지 및 처리 기능이 우수한 제품을 선택하는 것이 중요하다.

넷째 개인정보 유출을 막을 수 있는 이중·삼중의 보호 장치가 필요하다. 개인정보 처리자, 개인정보 취급자, 정보 주체 등 다각적인 측면에서 개인정보 유출 징후를 상시 감시할 수 있도록 시스템을 보완해야 한다.

소수의 개인정보보호책임자 및 개인정보보호담당자가 모든 개인정보접속기록을 관리·감독하기에는 대상이 방대하고 유출 행위도 다양화·지능화하고 있다. 개인정보 처리자가 이상 행위를 찾아내는 데 한계가 있고, 권한 있는 개인정보취급자에 의한 유출사고도 증가 추세에 있어 이에 대한 대책이 시급하다. 이를 위해서는 개인정보보호책임자 및 개인정보보호담당자가 이상 행위를 쉽고 빠르게 탐지하고 소명을 요구·관리할 수 있는 시스템 구축이 필요하다.

개인정보취급자 측면에선 '모든 개인정보 부정 사용은 반드시 적발된다'라는 인식을 할 수 있도록 개인정보 취급자의 이상 행위를 효율적이고 체계적으로 관리·처리할 수 있는 시스템 도입이 필요하다. 개인정보 취급자가 조회한 개인정보 현황과 자신이 발생시킨 위험 행위 등의 정보를 알려줘 경각심을 불러일으키고, 개인정보 취급자의 소속 부서장도 개인정보 취급자의 이상 행위를 모니터링하고 필요시 소명을 받을 수 있도록 하는 개인정보 취급자 대상 보안시스템을 제공할 필요가 있다.

정보 주체 측면에선 개인정보 사용 내역을 정보 주체가 확인할 수 있도록 하고, 개인정보 사용 사실을 정보 주체에게 알려주는 시스템 구축이 필요하다. 정보 주체가 '내 개인정보를 언제, 누가, 왜, 어떻게 사용했는지'를 구체적으로 확인할 수 있게 하고, 정보 주체의 개인정보가 조회되는 경우 지체 없이 그 사실을 정보 주체에게 알려주는 시스템이다.

데이터경제가 새로운 경제 성장과 변화 동력으로 대두되면서 관심 및 투자가 활발하게 이뤄지고 있다. 데이터는 흔히 미래산업의 쌀로 비유되고 있는데 개인정보는 이러한 데이터의 씨앗에 해당한다고 할 수 있다. 씨앗을 잘 보관·관리하지 않으면 좋은 쌀을 얻을 수 없듯이 개인정보에 대한 안전성과 신뢰성이 확보되지 않은 상태에서 이룩되는 데이터경제는 사상누각에 불과할 수 있다. 개인정보 보호에 대한 관심과 투자가 선행되고 확대돼야 하는 이유다.

김기배 위즈코리아 대표 kb.kim@weeds.co.kr