홈 > Privacy Guide >Privacy 컬럼
제목 개인정보 보호, 법적 규제의 패러다임이 바뀌어야
닉네임 강은성 작성일 2014-07-02 오후 2:45:52 인기도

개인정보 보호, 법적 규제의 패러다임이 바뀌어야

- 개인정보 보호를 위한 근본적 변화가 필요하다.

 

CISO Lab이란 이름의 구멍가게를 차린 뒤에 전공자도 아닌 주제에 법 이야기를 많이 하게 되었다. 다른 회사에 자문이나 교육 강사로 갔을 때 법적 규제부터 말을 꺼내는 것이 청중이 이해하기 쉽기 때문이다. 올해 법적 규제의 변화를 CISOCPO 조직 관점에서 어떻게 이해하고 대응할 것인지 궁금해 하는 이들도 많았다.

우리나라 개인정보 보호 법규가 세계적으로도 상세한 규정을 담고 있음은 주지의 사실이다. 개인정보보호법을 보면 법과 시행령, 시행규칙뿐 아니라 안전행정부 고시인 표준 개인정보 보호지침개인정보의 안전성 확보조치 기준'이 있고, 정보통신망법에도 시행령, 시행규칙 이외에 방송통신위원회의 개인정보의 기술적ㆍ관리적 보호조치 기준고시와 안전진단이 폐지된 이후 변신한 정보보호조치에 관한 지침고시 역시 개인정보 보호의 분야 별로 상세한 규제를 나열한다. 금융회사와 전자금융업자에 적용되는 전자금융거래법의 전자금융감독규정(금융위원회 고시)과 전자금융감독규정 시행세칙, 금융회사 정보기술부문 보호업무 모범규준은 규제 범위와 그 상세함에서 타의 추종을 불허한다. 신용정보법에도 금융위원회의 신용정보업 감독규정고시에 기술적ㆍ물리적ㆍ관리적 보안대책 마련 기준을 담았다. 국가의 경제 인프라를 담당하는 금융부문이기 때문에 그럴 거라고 이해도 되지만 어쨌든 규제가 매우 상세한 것은 사실이다.

개인정보 보호 법규를 충실히 지키기 위해서는 각 법규의 조와 항, 호를 정확히 이해하여 회사 업무에 적합하게 해석하고, 경영진의 의사결정과 타 부서와의 협업을 통해 정책 수립ㆍ시스템 구축ㆍ증적 확보 등을 해야 하며, 계속 변화하는 법규를 신속하게 따라 잡아야 한다. 상당한 M/M가 소요되는 일이다.

한 저명한 개인정보 분야 교수에 따르면 우리나라의 개인정보 보호 법 체계는 예방적 법 체계라고 한다. 즉 개인정보 사고를 예방하기 위해 사업자들이 할 일을 상세하게 규정하고, 그것을 지키지 않았을 때 법적ㆍ행정적 제재를 내리는 체계라는 것이다. 경찰의 수사나 규제당국의 행정처분, 법원의 판결 역시 이러한 법 체계에 따라 사업자의 법 위반과 과실에 대해 책임을 묻는 방식으로 진행되어 왔다.

하지만 올해 1월 카드 3사의 대규모 개인정보 유출사태 이후 규제당국에 대한 사회적, 정치적 비난이 거세지면서 개인정보 사고가 나면 그 자체가 문제라는, 결과의 책임을 묻는 방식으로 규제가 변화하는 추세다. 이미 정보통신망법에는 법정 손해배상제도(32조의2)가 도입되어 기존 법 체계에 따라 판결을 내리던 법원에 변론 전체의 취지와 증거 조사의 결과를 고려하여” 300만원 이내에서 손해배상 판결을 내리라고 촉구하는 모양새를 갖췄고, 금융위원회에서는 한 건의 개인정보라도 유출하거나 오남용 하는 임직원을 징계하는 내용으로 금융기관 검사 및 제재에 관한 규정 시행세칙을 개정하겠다고 밝혔다.

최근에는 개인정보 유출 사고가 발생하면 피해자는 무조건 사고 회사로부터 금전적인 보상을 받을 수 있도록 금융위원회와 안전행정부에서 법 개정을 추진하고 있다는 기사도 나왔다. 개인정보 사고에 대해 기업이 망할 정도의 손해배상 책임을 지워야 기업들이 정신을 차리고 보안에 투자할 것이라는 주장도 있다. 그러한 의견들도 전혀 이해하지 못할 바는 아니다.

다만 장기적으로 세세한 규제, 강력한 제재의 법 체계를 함께 바꿔 나가지 않으면 개인정보 보호 수준이 더 떨어질 수도 있겠다는 우려가 있다. 사업자에게 결과 책임을 묻는 규제가 어느 수위까지 갈지 모르겠지만, ‘무조건적인 배상은 중견기업 이하의 정보보호 투자에 대한 의욕을 꺾을지도 모른다. 강력한 제재를 피하기 위해 상세한 법규 준수를 위한 투자만 해도 만만치 않은데 사고가 나면 무조건적으로 배상해야 하기 때문이다.

또한 세세한 법규를 충실하게 지켰던 기업들에게 그럼에도 불구하고 발생한 개인정보 사고에 대해 손해배상 책임까지 다 지라고 하는 것은 불합리한 것으로 보인다. 최소한 결과에 대해 책임을 물으려면 현재 법처럼 작동하고 있는 고시에 사업자의 의무를 세세하게 명시하는 현행 법 체계는 큰 폭의 변화가 있어야 하지 않을까 싶다.

나는 장기적으로는 법은 개인정보 보호의 틀을 규정하고 상세한 부분은 기업이 자율적으로 처리하여 그에 대한 책임을 지게 함으로써 실질적인 보안수준을 높이는 방향으로 가야 한다고 생각한다. 정부는 사업자가 법을 지키기에 참고할 만한 모범 사례나 안내서, 해설서 등을 제공하고, 그것을 따라 할 것인지, 다른 방식으로 보안을 할 것인지는 사업자의 자율에 맡겨지며, 사업자는 자율에 따른 책임을 지는 방식이다.

최근 금융회사에서 정보보호 인력을 많이 충원하는 등 대규모 보안투자를 하고 있는데, 그 사이에 큰 규제 변화가 있었다기보다는 카드 3 CEO들의 사퇴와 중징계, 사고대응 및 영업정지로 인한 경제적 손실, 고객신뢰 손상에 따른 시장 경쟁력 약화 등 개인정보 유출사태의 결과가 큰 영향을 미쳤다고 보는 것이 타당할 것이다. 아직 판결이 나오지 않았지만 수십 건씩 걸려 있는 민사소송 역시 큰 경제적 부담으로 여겼을 것이다.

사고는 계속 나는데 규제를 완화하는 것처럼 보일 수 있어 단기적으로 추진하기는 쉽지 않을 것으로 예상되지만, 그 동안 규제가 가장 광범위하면서도 세세했던 금융부문에서 금융회사 책임의 자율 규제 정착을 위한 구체적인 실행방안을 찾을 계획(금융보안연구원 금융보안거버넌스 자문위원회)임을 밝혔고, 카드 3사에 제기된 민사소송 중 정부를 피고로 하는 소송이 여럿 있는 현 상황을 볼 때 정부에서도 길게 보면 결국 그 방향으로 가지 않을까 싶다.

끝으로 개인정보 보호 규제 상세화 논리의 한 축인 정보보호산업의 육성에 대해 의견을 내고자 한다. 예를 들어 정보보호 인증 규제를 만들면 정보보호 컨설팅사업이 육성되고 정보보호산업이 성장한다는 논리이다. 어느 정도 맞는 얘기다. 정보통신망법에 정보보호 안전진단, 정보보호 관리체계(ISMS) 인증, 개인정보보호 관리체계(PIMS) 인증이 명시되면서 인증컨설팅 시장이 성장했고, 개인정보보호법의 개인정보보호 인증제(PIPL) 시행을 앞두고 정부에서는 컨설팅 시장이 급성장할 것으로 예측했는지 올해 지식정보보안 컨설팅 전문업체를 11개나 추가 지정하여 모두 18개가 되었다.

발주처 입장은 조금 다르다. 오로지 인증을 취득하기 위한 컨설팅은 질적 차이가 거의 없다고 보기 때문에 가격이 핵심 의사결정 요인이 되고, 싼 가격을 요구받는 컨설팅 업체 입장에서는 비용을 최소화 하기 위해 템플릿 중심의 '찍어 내는' 컨설팅을 하는 악순환이 생겼다. 컨설팅 사업의 외형은 커졌으나 수익성이 얼마나 될지, 실제 정보보호산업 육성의 동력이 될지 걱정스럽다.

정보보호산업의 또 다른 축인 정보보호시스템 도입 역시 비슷하다. 보안에 대한 경영진의 인식이 확실한 일부 회사를 빼 놓고는 법에 근거 조항이 없는 솔루션은 경영진의 투자 승인을 받기가 어려워졌다. 일손이 부족한 보안부서에서는 시스템 도입이 가장 쉽게 법규를 충족하는 방법이므로 경영진에게 법규 준수에 필요한 시스템이라도 도입하겠다고 보고한다. 대다수 회사에서 개인정보 보호를 위한 정보보호시스템의 품질과 효과적인 운영보다는 법규 준수를 위한 저렴한 구축을 선호한다. 이 지점을 돌파하지 못하면 국내 정보보호산업의 미래가 마냥 밝지만은 않을 것 같다.

단기적으로는 정보보호산업이 타격을 받을 수도 있겠지만 큰 틀의 법적 규제와 세세한 부분의 사업자 자율규제, 결과에 대한 사업자 책임 방식이 긴 안목으로 보면 정보보호산업에도 긍정적인 영향을 미치지 않을까 기대한다.


강은성
/ CISO Lab 대표  

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  256   포스트 코로나19 시대, 개인정보..   손승원   2020-08-06  
   
  255   우리 사회가 추구하는 보안   박철광   2020-06-26  
   
  254   마이데이터 사업-데이터의 활용과..   김선희   2020-06-08  
   
  253   코로나 사태, 개인건강정보 보호..   이재호   2020-05-04  
   
  252   코로나 위기 극복 과정과 사이버..   윤혜정   2020-04-16  
   
  251   개인정보보호 담당자에게 필요한..   신용석   2020-04-14  
   
  250   바이러스가 소환한 프라이버시의..   박종섭   2020-04-01  
   
  249   개인정보 보호책임자 지정 관련 ..   이진규   2020-03-20  
   
  248   코로나19, 기생충, 그리고 보안   김정덕   2020-02-25  
   
  247   ‘데이터 3법’ 둘러싼 갈등 해소..   박영숙   2020-02-24  
   
  1   2   3   4   5   6   7   8   9   10