IT 위험관리 ③
지난 2회에 걸쳐 일반적인 정보보안 위험관리, KRI를 이용한 강화된 위험관리에 대해 알아봤다. 이번호에서는 최근 대형포탈, 통신사의 잇따른 사고로 인해 관심이 증폭되고 있는 개인정보보안 강화를 위한 일환으로 개인정보보호에 특화된 위험관리, 즉 개인정보 영향평가에 대해 살펴본다.<편집자> 연재순서 1회 : 일반적인 정보보안 위험관리 2회 : KRI 이용한 강화된 위험관리 방안 3회 : 개인정보보호에 특화된 위험관리 방안(이번호) 
개인정보영향평가(Privacy Impact Assessment)란 사업자가 사업을 추진, 수행할 때 발생할 수 있는 고객정보 침해나 유출로 인한 문제점을 사전에 예방·조치하고 사후에 지속적으로 관리·지원함으로써 회사에서 서비스 제공을 위해 이용하는 고객정보에 대한 안전성 확보를 목적으로 시행하는 개인정보 보호를 위한 개선 절차를 말한다. 즉, 개인정보 보호에 중점을 둔 위험관리의 일환이 바로 개인정보 영향평가인 것이다. 
개인정보 영향평가 제도는 미국과 유럽 등 선진국을 중심으로 도입 실시하고 있는 제도로 국내에서는 한국정보보호진흥원(KISA)에서 최초로 도입을 권고해 이동통신사를 중심으로 도입이 이뤄졌다. 이통사를 대상으로 해 국내 도입이 시작됐지만, 개인정보 영향평가는 개인정보를 취급하는 모든 기관과 기업이라고 할 수 있다. 특히 대량의 개인정보를 수집, 이용하는 기업에 적합해 최근에는 포털과 금융권, 공공기관으로 확대되고 있는 상황이다. 평가 대상이 되는 구체적인 사업범위로는 개인정보를 다량 보유·관리하는 정보시스템의 신규 구축 사업, 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 있는 기술을 사용하는 사업, 개인정보를 보유, 관리하는 기존 정보시스템을 변경하는 사업, 개인정보의 수집·이용·보관·파기 등 개인정보 라이프사이클(Life-Cycle) 내 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업 등이 해당된다. 정보 영향평가 사항 개인정보 영향평가를 위한 사항으로는 보호대상의 식별, 프로세스를 들 수 있다. 보호하려는 대상은 물론, 개인정보보호를 위한 조직의 역할과 책임에 대해 명확한 정의가 필요하다. 그리고 이러한 영향평가 사항은 기업의 특성에 맞는 점검표를 이용해 일목요연하게 정리, 검토할 수 있도록 만드는 작업도 중요하다. 1) 보호대상 개인정보 식별 개인정보 영향평가를 위해서는 먼저 취급하는 개인정보 중 보호가 필요한 개인정보가 무엇인지를 식별하고, 해당 개인정보가 가지는 비즈니스에 미치는 민감도를 확인하는 것이 중요하다. 민감도는 하나의 고객정보에 대한 것뿐만 아니라 고객정보가 합해졌을 때 가질 수 있는 민감도까지 고려돼야 한다. 이는 전화번호가 유출됐을 때 가지는 민감도와 ‘전화번호+성명’이 함께 유출됐을 때의 민감도는 서로 상이하기 때문이다. 
또 산업군에 따라서도 취급하는 개인정보의 종류와 중요성에 대한 인식이 차이가 있을 수 있다. 예를 들어, 이동통신사업자의 경우에는 단말정보, 위치정보 등이 중요한 반면, 금융기관의 경우에는 신용, 계좌 정보 등의 개인정보가 가장 핵심적인 정보가 될 수 있다. 2) 개인정보 영향평가 프로세스 개인정보 영향평가를 위해서는 먼저 개인정보보호 조직의 역할과 책임이 명확하게 정의돼야 한다. 이를 위해서는 먼저 개인정보보호를 전담하는 조직을 구성해 영향평가를 주관하는 것이 바람직하다. 개인정보영향평가를 수행하는 사람은 개인정보보호 관련 법령·지침·시스템 개발·분석 등에 대한 전문지식을 갖춰야 하며, 개인정보관리책임자는 개인정보 영향평가 수행에 대한 총괄적인 책임을 갖는다. 담당자 사업주관부서의 PM(기획자)로부터 사업환경에 대한 자료를 수령한 후 적절한 보안대책을 제시하고 이를 잘 이행할 수 있도록 적극적으로 도울 책임이 있는 것이다. 하지만, 이러한 개인정보를 영향평가를 수행하기 위해서는 어떤 사업에 대해 영향평가를 실시하여야 하는가에 대한 판단이 어려울 수 있다. 개인정보 영향평가 수행을 위해서는 정보화 기획에 대한 마인드와 각종 법규 등에 대한 지식, 대상서비스에 대한 기술적인 이해 등이 필요한데, 이는 매우 전문적인 영역으로 실제로 기업이 외부 평가기관 등에 의존하지 않고 자체적으로 자사의 개인정보 영향평가를 수행하기에는 어려움이 많은 것이 현실이다. 이에 전체 영향평가 업무를 가급적 시스템으로 체계화하고, 지식DB를 구성하는 것이 필요하다고 할 수 있다. 특히 개인정보 영향평가는 새로운 시스템을 구축하는 경우에 발생할 수 있는 개인정보 침해 요인을 사전에 분석하는 것이다. 따라서 시스템 구축 전단계인 사업 방향 설정 및 업무 정의 단계, 시스템 제안단계, 시스템의 예비 설계 및 모형 설정 단계 등에서 수행되는 것이 일반적이다. 하지만, 기존 서비스 운영 중에라도 개인정보의 수집, 이용 및 관리상에 중대한 침해 위험이 발생할 가능성이 존재한다면 개인정보 영향평가가 수행돼야 한다. <그림 2>는 개인정보 영향평가를 수행하기 위한 프로세스의 방안으로 국내 대형 이동통신사에서 선진사례로써 시행되고 있는 사례다. 
■ 대상여부확인 단계에서는 민감한 개인정보를 취급하는 사업을 선별함으로써 개인정보영향평가 대상여부를 확인한다. ■ 영향평가 요청 단계에서는 정보화사업의 유형 구분, 프로젝트 개요 정리, 조직 및 인프라정보 정리, 취급개인정보 확인, 데이터 흐름 및 업무분석, 점검표에 대한 보안대책 이행계획 작성 등을 수행한다. ■ 평가담당자로 지정되면 평가담당자는 요청서를 검토/보완 후 영향평가를 수행해 평가결과보고서를 전달한다. ■ 평가결과 도출된 개선필요사항에 대해서 이행계획을 수립하고 이행 결과를 보고한다. ■ 영향평가 종료 후 운영 중인 서비스에 대하여 점검 대상을 선정하여 이행점검을 실시한다. 3) 개인정보 영향평가 위한 점검표 실제 비즈니스에서는 산업군별로 사업 환경이 다를 수 있고, 기업 내에서 제공하는 서비스마다 고유 특성 차이도 클 수 있다. 이러한 차이는 영향평가시 집중해야 하는 보안 위협이 서로 다를 수 있음을 시사한다. 일례로 웹서비스의 경우에는 악성코드를 이용한 웹브라우저 해킹이 개인정보 유출을 야기하는 주요 이슈가 될 수 있지만, 이는 시스템 개발과 상관없이 개인정보를 이용하는 단순 이벤트 등의 업무에서는 고려될 필요가 없는 부문이다. 따라서 영향평가 수행자는 어떤 위협이 조직의 사업영역에 잠재적인 위험이 되는지를 결정하고, 조직 내부의 서비스 유형을 정해 유형별로 관심이 되는 위협을 순서대로 나열한 후 위협과 관련한 보안대책을 연계해 검토하는 것이 필요하다. 또한, 개인정보 라이프 사이클 단계별로 발생할 수 있는 위험의 유형을 숙지하고 이를 판별할 수 있는 근거자료로써 활용될 수 있는 검토항목을 정할 수 있어야 한다. 이 때, 각 단계별로 조직내에서 개인정보가 가지는 위협을 먼저 이해하는 것이 필요하다. 
<표 4>는 개인정보 라이프사이클 단계별로 고려될 수 있는 위험의 유형을 정리한 것이다. 
개인정보 영향평가 수행 위험이란 개인정보 자산에 대한 위협과 취약성으로 말미암아 발생할 수 있는 부정적 영향으로 보통은 사업목적을 달성하는데 방해가 되는 현상을 의미한다. 개인정보 영향평가 또한 일련의 위험 평가 방법론으로써 개인정보가 유출될 경우 조직이 감당해야 하는 위험을 평가하는 작업으로 표현이 가능하다. 개인정보 영향평가 시 최종적인 위험 수준을 산정하기 위해서는 평가 대상 서비스가 취급하는 개인정보 중요도와 개인정보 유출시 위험의 심각도, 발생가능성 등을 고려해야 한다. 1) 위험 심각도 분석 위험의 심각도는 서비스 환경이 잠재적으로 가지고 있는 취약성이 위협에 의해 현실화됐을 때 나타날 수 있는 잠재 위험의 정도를 말한다. 이 때 취약성이란 위협이 개인정보 자산에 기밀성·무결성·가용성 상실을 가져올 수 있게 하는 상황으로 정의된다. 일반적으로 대상 시스템의 취약성은 반드시 내재되어 있다. 취약성은 위협 요소와 연계돼 현실화됐을 때의 위험 시나리오를 갖게 되며, 보안관리자는 이러한 시나리오가 현실에서 가능한 것인지를 반드시 검토해 영향도 반영 여부를 결정해야 한다. 이는 위험별 심각도 산정 방법을 통해 산출될 수 있으며, 영향평가 시 사용되는 점검표의 개별 점검항목에 따라 보안관리자가 조직의 특성을 고려해 책정할 수 있다. 
<표 5>는 위험의 심각도 산정 시 고려되는 속성으로 사법처리, 재무손실, 기업이미지, 업무연속성을 사용했다. 이러한 속성은 조직의 비즈니스 목표에 따라서 달라질 수 있다. 다시 말해 영리를 추구하는 기업의 경우에는 재무손실 등이 중요한 속성이 될 수 있지만, 공공성이 강한 조직의 경우에는 재무손실 보다는 공신력 등이 더 중요한 속성으로 활용될 수도 있으므로 영향평가 수행자는 조직의 비전 및 특성을 정확히 이해해 가산속성을 정해야 한다. 2) 위험 발생가능성 분석 위협이란 개인정보 자산의 기밀성·무결성·가용성을 위태롭게 할 수 있는 상황으로 서비스가 근원적으로 가지고 있는 취약점이 현실화 될 수 있는 가능성을 의미한다. 발생가능성은 이러한 위협의 정도에 따라 결정되는 수준이다. 또 발생가능성의 정도는 보안대책의 적용 수준에 따라서 정해지게 된다. 
<표 6>은 영향평가 시 점검항목(위협요인)에 대한 보안대책 이행수준을 확인하는 점검표의 예로 점검항목별로 평가하게 된다. 3) 서비스별 위험 수준의 산출 서비스별 위험 수준은 서비스별 영향도, 발생가능성 등을 고려해서 산출될 수 있다. 단순 산술 공식에 의해서도 가능하며, 1회에서 설명하였던 리스크 매트릭스(Risk Matrix)를 통해서도 가능하다. 
4) 보안대책 도출 영향평가의 가장 큰 목적은 영향도를 측정하는 것이지만 이에 못지않게 중요한 건 비용효과적인 보안대책을 제시하는 것이다. 비용효과적인 보안대책을 제시하기 위해서는 조직에 가장 필요하고, 시급한 보안대책에 제한된 비용을 우선적으로 투자할 수 있도록 해야 한다. 영향평가 담당자는 기본적인 보안대책 목록을 사전에 준비하겠지만, 상세한 서비스 유형 및 관련 조직의 환경에 따라서 항상 새로운 보안대책을 모색하는 노력이 필요하다. 뿐만 아니라 보안대책의 수준을 어느 정보로 할 것인지를 결정하는 것도 중요하다. 보안 대책의 수준이 너무 높은 경우에는 보안성은 높으나 사업성과 측면에서 부담이 될 수도 있기 때문이다. 영향평가 체계 시스템화 지금까지 설명한 개인정보영향평가 업무를 지속적으로 수행하기 위해서는 시스템으로 체계를 구축하는 것이 필요하다. 이에 더해 개인정보를 중심으로 보유현황, 위험현황을 모니터링할 수 있다면 더없이 좋은 사례가 될 수 있을 것이다. 개별 서비스에 대한 영향도 평가 후 위험수준이 결정되고, 개인정보 흐름도 분석이 완료되면 다음 단계로 조직 전체적으로 개인정보가 유출될 수 있는 가능성을 통합해 모니터링하는 것이 가능해진다. 예를 들어 주민등록번호와 같은 특정 개인정보에 대해 이를 보유하고 있는 서비스 중에 위험 수준이 높은 서비스가 존재한다면, 주민등록번호가 해당 서비스에 의해서 유출될 수 있는 가능성이 있음을 나타내는 것이 된다. 이 경우 해당 서비스가 위험 수준이 높은 이유, 즉 이행되지 않고 있는 보안대책이 무엇인지를 쉽게 찾아볼 수 있다면 보안 관리자로 하여금 보다 신속하고 효과적으로 전사적 대응이 가능하게 만들 수 있다. 인터넷과 e비즈니스의 발전으로 인해 개인정보에 대한 위협이 날로 커지고 그 심각성에 대한 인식이 높아지고 있다. 개인정보가 유출됐을 경우 당사자 개인이나 유출 요인을 제공한 민간 기업 모두 큰 피해를 입게 될 뿐 아니라 IT산업 자체에 대한 회의를 불러올 수 있다. 따라서 개인정보보호 노력의 일환으로 기업은 개인정보영향평가라는 활동을 통해 위험수준을 산정하고, 개인정보 흐름을 분석하는 활동이 요구된다. 이는 궁극적으로 전사적인 개인정보 위험에 대한 통합 모니터링을 가능하게 만들어 개인정보 유출의 위험을 제거할 수 있도록 할 것이며, 개인정보를 위탁한 고객에 대한 신뢰를 유지할 수 있게 해 e비즈니스의 성공확률을 높일 수 있게 될 것이다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
