홈 > Privacy Guide >Privacy 컬럼
제목 개인정보보호책임자(CPO)를 위한 개인정보보호 교육
닉네임 강은성 작성일 2015-10-28 오후 6:30:26 인기도

개인정보보호책임자(CPO)를 위한 개인정보보호 교육

 

 

2015년에도 여전히 대규모 개인정보 유출사고가 발생하고 있다. 지난 6월에 일본에서는 일본 후생성의 위탁을 받아 공적연금 관리업무를 수행하는 일본연금기구에서125만 명의 개인정보가 해킹되어 유출된 것이 알려 졌고, 이어 7월에는 미국 연방인사관리처(OPM)가 해킹되어 공무원이 되기 위해 신원조사를 요청한 1970만 명과 이들의 배우자 등 가족을 포함해 총 2150만 명의 개인정보가 유출된 것이 드러났다. 9월에는 우리나라의 한 유명 휴대폰 커뮤니티가 해킹되어 196만 명의 개인정보가 유출된 것으로 밝혀졌다. 시계, TV, 냉장고가 인터넷에 연결됨으로써 초입에 이른 사물인터넷 시대를 앞두고 개인정보나 프라이버시 유출에 대한 사회적인 우려도 한층 더 커지고 있다.

거의 백약이 무효가 아닐까 하는 생각이 들 정도로 유출사고가 나는 상황을 타개하기 위해서 다시 근본부터 검토해야 하지 않을까 싶다. 일반적으로 범죄를 줄이기 위한 방법처럼 개인정보 범죄자에 대한 검거와 강력한 처벌, 불법 수집 개인정보가 사업이 되는 사회적 여건의 개선, 개인정보 범죄에 대한 사회적 인식 확산, 개인정보 이용 사업자들의 개인정보 보호에 대한 투자 및 역량 강화 등이 그것이다. 여기에서는 이러한 방안 중 기업의 개인정보 보호역량을 강화하기 위한 핵심 방편으로 개인정보보호책임자(CPO)에 관해 살펴보려고 한다.

미래부와 한국인터넷진흥원이 발간한 ‘정보보호 실태조사(기업부문)'에 따르면 전체 사업체 중 개인정보 수집사업체는 38.6%이고, 그 중 CPO를 지정한 비율은 24.8%에 이른다.

 

<> 인력 규모별 사업체 수

  

구분

규모

사업체 수

컴퓨터/네트워크 보유 사업체 수

비율

규모별

1~4

2,961,437

825,018

27.9%

5~9

364,696

261,909

71.8%

10~49

222,799

202,589

90.9%

50~249

37,783

37,109

98.2%

250~999

3,279

3,272

99.8%

1,000명이상

478

478

100.0%

 

전체

3,590,472

1,330,375

37.1%

(출처: 미래창조과학부, 한국인터넷진흥원, 2014년 정보보호실태조사, 2014.12)

 

50명 이상의 컴퓨터/네트워크 보유 사업체에만 이 비율을 적용해도 4 859 개 사업체 중 약 3900개의 업체에 CPO가 있다고 볼 수 있다.[1] 적지 않은 수다. 2011년에 제정된 개인정보보호법에서 CPO 지정을 의무화(31조 제1)하여, 이를 위반했을 때 1천만 원의 과태료 부과 처분(75조 제3항 제8)을 받을 수 있고, 행정자치부 등 규제당국에서 지속적으로 실태점검을 하고 있기 때문에 그 수는 계속 증가할 것으로 예상된다.

CPO의 업무에 관해서는 개인정보보호법에서 다음과 같이 정의하고 있다. (법 제31조 제2, 시행령 제32조 제1)

1. 개인정보 보호계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

그런데 기업에서 이 업무를 모두 CPO가 맡고 있는 것은 아니다. 인사팀이 인사고과를 다 하지는 않는 것과 마찬가지다. 회사마다 차이가 있긴 하지만 4, 6, 9번 업무는 주로 정보보호조직에서 수행하고, 3번은 보통 고객센터에서 한다. 1, 2, 5, 7, 8번이 기업의 CPO가 주로 하는 업무에 포함된다.

정보통신망법에서는 "이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리"(27조 제1)하는 것을 개인정보관리책임자(CPO)의 업무로 본다. 하지만 제4(개인정보의 보호)에서 CPO, 6 (정보통신망의 안정성 확보 등)에서 정보보호최고책임자(CISO)를 규정한 것을 볼 때 제4장의 조항은 CPO의 업무로 간주하는 것이 타당해 보인다. 하지만 이 또한 기업 실무로 들어가면 CISO와 정보보호조직에서 하는 업무들이 많다. 대표적으로 정보통신망법의 '개인정보의 보호조치'(28)를 구체화 한 '개인정보의 기술적ㆍ관리적 보호조치 기준'(방송통신위 고시) 조항 중 상당 부분은 CISO 조직의 업무이다.

이렇게 기업 현실과 괴리가 있는 업무를 규정한 법을 기업에 적용하는 것은 쉽지 않다. 세계적으로 손꼽히는 세세한 규제와 강력한 제재를 기조로 하는 개인정보 보호법규가 기업에서 제대로 이행되지 않는 주요 원인 중의 하나다. 게다가 대부분의 기업에 전담 CPO가 없고 겸임하는 인력도 이를 부수적인 업무로 맡고 있기 때문에 상황은 더욱 좋지 않다. CPO가 개인정보 보호에 대한 총괄 책임을 맡는다고 설명하더라도 실제 실행 권한과 그것을 뒷받침할 자신의 조직 없이 책임만 지는 보직은 꺼려하기 마련이다. 적극적인 개인정보 보호활동보다는 자신이 맡았을 때 사고가 터지지 않기를 바라는 것이 인지상정이 된다. 법 개정이 있어야 할 지점이다.

현행 법규 내에서 기업이 개인정보 보호수준을 높이기 위해서는 보호책임자인 CPO의 역량 및 권한 강화(CEO를 비롯한 최고경영층의 적극적인 지원), 실무 조직(인력)의 확보가 매우 중요하다. 개인정보 보호업무는 지식과 경험, 정보가 중요한 지식산업적 성격을 띰에도 불구하고, 도리어 그것들을 공유하기 어려운 특성이 있다. 한 기업이 보유한 개인정보의 규모나 보호방식이 알려진다면 범죄의 표적이 될 수도 있기 때문이다. 따라서 처음 CPO를 맡은 인력이 기업에서 할 업무나 주요한 이슈들, 대응 방법에 대해 알기가 어렵다. 매달 모여 CPO의 업무, 법규의 변화, 타사의 사례 등을 학습하고 토론하는 한국CPO포럼 참여 기업이나 공공기관의 수준을 갖추지 못한 다수 조직의 CPO가 비슷한 상황일 것이다. 기업에 적용할 수 있는 실효성 있는 CPO 교육, CPO 사이의 교류와 정보 교환을 위한 지원이 절실한 이유다.

사실 소관 부처인 방송통신위원회나 행정자치부는 각기 운영하는 개인정보 보호 지원 포털을 통해 질 좋은 정보를 제공하고, 한국인터넷진흥원(KISA)에서도 여러 채널을 통해 개인정보 보호교육을 하는 등 많은 노력을 기울이고 있다. 그러한 예산과 인력의 투입이 노력이 중장기적인 목표와 전략적인 방향, 단계별 계획을 갖고 정부와 사회의 역량을 집중하는 방식으로 이뤄진다면 CPO의 역량 강화를 통해 기업의 개인정보 보호수준을 높이는 데 크게 기여할 것으로 생각된다.

이를 위해서는 무엇보다도 CPO를 몇 개의 공통적인 그룹으로 나누고 각 그룹에 적합한 정책을 수립, 지원하는 일이 급선무로 보인다. 예를 들어 위 표의 분류 기준에 따라 기업을 1000명 이상(1그룹), 250-999(2그룹), 50-249(3그룹), 50명 미만(4 그룹)으로 나눈다면, 1그룹의 일부와 제2그룹, 3그룹에 교육과 교류 지원을 집중하는 것이 현 시점에 개인정보 보호를 위한 가장 효과적인 방안이 될 것이다. 4그룹은 워낙 수가 많고 대부분 CEO CPO를 겸하고 있을 것이기 때문에 기존 온라인 사이트 지원 체계와 협력업체 개인정보 보호수준 강화를 통한 예방 활동, 사고 발생 시 신속하게 대응할 수 있는 체계를 갖추는 것이 주요 전략이 될 것으로 판단된다. (아마도) 1그룹에 속하면서 한국CPO포럼에 참여한 기업과 공공기관에게는 이러한 지원이 별로 도움이 되지 않을 것이다.

교육 방식에서도 정부나 보안업체 관점이 아닌 기업 CPO에 적합한 교육 컨텐츠와 교육 방식의 확보, 일회성 이벤트로 그치지 않고 효과가 지속될 수 있는 방안 수립, 이를 실행할 수 있는 적절한 교육 수행 주체와 비용 조달 방식의 검토도 필요하다. 무엇보다도 초심으로 돌아가서 적어도 CPO 지원을 위한 3개년(또는 5개년) 계획을 세우면 좋겠다. 연차별 목표와 그에 따른 추진 방안을 수립하고 역량 있는 민간 단체와 함께 추진하면 좋은 결과가 있지 않을까 싶다. 전문성과 경험을 갖춘 한국CPO포럼에서 기여할 일이 많을 것 같다.













 강은성 / CISO Lab 대표  



[1] 50명 미만의 업체들 중에서도 소규모 쇼핑몰(판매자)이나 웹하드 업체 같이 고객 개인정보를 대량으로 보유한 사업자들도 일부 있지만, 대부분 CEO CPO를 겸임할 가능성이 높아서 제외했다.

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  226   개인정보보호를 위해 내부 고객을..   신종회   2019-04-25  
   
  225   화웨이 사태를 바라보며 5G시대..   유창하   2019-02-12  
   
  224   공공부문에서 CISO의 시대를 열..   김대환   2019-01-10  
   
  223   데이터 경제 시대에서의 정보 활..   류재수   2019-01-08  
   
  222   스타트업과 개인정보보호   이준호   2018-11-29  
   
  221   사이버보험, 개인정보유출사고에..   유진호   2018-11-27  
   
  220   놓치기 쉬운 단계별 실무자 정보..   박철광   2018-09-19  
   
  219   본인확인기관, 더 단단한 잠금장..   장석은   2018-08-10  
   
  218   남북화해 시대의 개인정보보호   박종섭   2018-07-11  
   
  217   다가온 GDPR, 우리에게 어떤 영..   정아름   2018-07-06  
   
  1   2   3   4   5   6   7   8   9   10