지난해 9월 시행된 개인정보보호법은 보호해야 할 ‘개인정보’가 무엇인지, 보호해야 할 주체는 누구인지, 위반할 때 처벌조항과 개인정보 유출 피해사고를 당했을 때 피해보상 방법 등을 구체화했다는 점에서 중요한 의의를 가진다. 특히 주민등록번호, 의료기록 등 개인의 중요한 정보를 다루는 병·의원, 쇼핑몰, 소상공인 등에 대해서도 고객정보 보호 대책을 마련하도록 해 대기업 뿐 아니라 중견·중소기업, 소호 사업자들도 고객의 중요한 정보를 보호해야 한다는 인식을 갖게 해 매우 진일보한 규제라 할 수 있다.
그러나 아직 법 시행 초기인 만큼 현실적으로 적용하기 어려운 점들이 지적되고 있으며, 규정이 모호해 다양한 해석이 나올 수 있는 부분도 있다. 더욱 심각한 문제는 중소기업 이하에서 개인정보보호법이 시행되고 있다는 사실이나, 자신의 사업장이 대상이라는 점조차 모르고 있다는 것이다.
DB 암호화만이 해답은 아니다
보안업계에서도 법에 대한 이해가 높지 않아 시장을 더욱 혼란하게 만들고 있다. 개인정보보호법이 한두개의 보안 솔루션을 구입하는 것으로 해결되는 것이 아니라, 기업 전체에 대한 보안 정책을 정비하고 체계화하는데 방점이 찍혀있음에도 불구하고, 일부 기업들이 ‘통합’이라는 이름의 제품을 출시하면서 하나의 솔루션만으로 법 준수 요건을 만족시킬 수 있다고 주장한다.
시장의 왜곡으로 인해 법 적용에 한계가 있다는 지적이 높다. 성숙도가 낮고 시장에서 검증되지 않은 솔루션을 구입한 후 법 준수를 위한 모든 노력을 다했다고 주장할 수 있기 때문이다.
임종인 개인정보보호포럼 회장은 “컴플라이언스만 목적으로 한다면 보안 솔루션을 책임 회피용으로 악용하게 될 것”이라며 “법 제정 직후 반짝 특수만을 위해 내놓은 제품 때문에 취약점이 더 증가하고, 기업은 더 큰 피해를 입을 수도 있다”고 지적했다.
개인정보보호법에서는 개인정보의 암호화를 필수사항으로 명시하고 있으며, 암호화 혹은 그와 같은 효과를 낼 수 있는 시스템을 마련하도록 하고 있다. 암호화는 올해 말까지 완료돼야 하며, 내년부터는 암호화 되지 않은 정보 유출 사고가 발생했을 경우, 2년 이하의 징역이나 1000만원 이하의 벌금이 부과된다.(개인정보보호법 제24·25·29조 위반)
이 조항 때문에 지난해 하반기부터 암호화 시장이 이례적인 성장을 보였다. 특히 시스템 성능이 저하된다는 점 때문에 DB 암호화를 꺼리던 금융권도 적극적으로 암호화 솔루션을 도입했거나 검토하고 있어 암호화 시장의 성장 전망은 매우 밝은 편이다.
암호화 솔루션 업계에서는 해외의 주요 기업과 기관들도 DB 암호화를 적극 도입하고 있으며, 국내법이 세계적인 트렌드와 발맞춰가고 있는 것이라고 평가하면서 민감한 개인정보를 다루는 금융권·병원·유통 등의 분야에서 활발한 도입이 이뤄질 것이라고 내다보고 있다.
말 뿐인 ‘통합’ 경계하라
개인정보보호법 준수를 위한 솔루션을 검토할 때 가장 많이 접하게 되는 단어가 ‘통합’이다. 제품 설명서만 살펴보면 솔루션 하나만으로 개인정보를 완벽하게 보호할 수 있을 것처럼 여겨진다. 그러나 단일 솔루션으로 완벽한 보안을 이루는 것은 불가능하다. 고성능 보안 솔루션 하나만 믿고 있는 것은 정문단속은 철저하게 잘 하고, 뒷문을 열어두는 것이나 다름없다.
특히 개인정보보호법 발표 이후 깜작특수를 겨냥해 출시된 제품들은 대부분 기존 솔루션에서 이름만 바꾼 것이거나, 기존 제품 중 법과 관련된 기능을 뽑아 조립한 것이 많은데, 이 중 일부는 완성도가 떨어져 오히려 운영시스템을 방해하거나 취약점을 높이는 주범이 되기도 하다.
통합보안 솔루션 시장이 지나치게 과열되면서 벤더들이 법을 자의적으로 해석해 자사 제품에 억지로 끼워맞추면서 시장을 왜곡시키기도 하며, 현행법에 맞추기 위해 급하게 제품을 개발해, 시행령이나 고시가 개정되면 제품을 또 다시 개발해야 하는 등 시장을 혼란하게 만들고 있기도 하다. 이 문제를 해결하기 위해서는 기업과 기관이 정보보호의 기준을 분명하게 세워야 한다. 기업이 보호해야 할 정보가 무엇이며, 보호할 수 있는 방법은 무엇인지 정확하게 파악해야 벤더들의 꼼수에 넘어가지 않을 수 있다.
기업/기관이 보호하고 있는 정보 중 ▲개인정보보호법의 대상이 되는 것은 무엇이며, 이 데이터가 어느 업무에 어떻게 사용되고 있고, 이 정보를 공유하는 협력사와 외부직원 등을 정확히 파악한 후 ▲체계적인 보호정책을 세운 다음 ▲각 단계나 포인트별로 필요한 시스템 및 솔루션을 선정해야 한다.
조상원 한국CA테크놀로지스 부장은 “솔루션을 선정할 때 전체 시스템 전체 관점에서 장기적으로 운영 가능한지 중요하게 살펴봐야 한다. 구축이 쉽고 편하다는 이유, 혹은 운영자에게 익숙하거나 도입비용이 낮다는 이유로 솔루션을 도입했다가 다른 시스템과의 연동이 안 되고, 업그레이드가 잘 이뤄지지 않으면 보안 솔루션 자체가 취약점이 될 수 있다”며 “비즈니스 프로세스의 어느 한 부분에서도 보안홀이 발생되지 않도록 철저하게 살펴야 한다”고 말했다.
대규모 기업이나 금융·공공기관은 이미 많은 보안 솔루션과 시스템을 갖추고 있으며, 여러 관련규제에 의해 개인정보 유출 받지를 위한 정책과 시스템을 마련해왔다. 그러나 중소·중견기업은 기본적인 보안 시스템도 제대로 준비돼 있지 않은 곳이 많으며, 전문인력도 충분하지 않다.
소규모 기업이나 학교·학원, 병·의원, 인터넷 쇼핑몰, 기타 서비스업 등의 IT 시스템에는 제대로 관리되지 않는 개인정보가 산더미처럼 쌓여있으며, 직원이 사용하는 단말기에 저장돼 있는 개인정보도 상당히 많다. 예산과 인력이 부족한 중소기업이 개인정보보호법 준수를 위해 방화벽, IPS/IPS 등을 구입하고, DB 암호화와 접근제어 솔루션, 바이러스 백신 프로그램 등을 완벽하게 갖출 것을 강제하는 것은 현실적으로 어려운 일이다.
강력한 법에 비해 느슨한 규제
업계에서는 국내 개인정보보호법이 현실과 너무 동떨어져 있다고 비판한다. 보안을 ‘보험’으로 인식하면서 투자순위의 가장 마지막으로 밀어내는 국내 기업 환경에서는 아무리 강력한 규제를 만들어도 기업들이 이를 이행하려는 의지를 갖지 않으면 소용없는 일이다.
개인정보보호법은 보안 시스템 도입뿐 아니라 관리적인 측면, 물리적인 측면까지 개인정보를 다루는 모든 단계에 대한 규제를 적시하고 있지만, 시행 1년이 지난 지금도 여전히 법에 대한 인식이 낮다는 것은 규제준수 의지가 매우 낮다는 뜻으로 해석해야 한다.
업계 전문가들도 개인정보보호법이 전 세계 어느 나라의 규제와 비교해도 결코 낮은 수준이 아니라는 점에 동의한다. 그러나 개인정보의 중요성을 감안하면 반드시 필요한 수준이라는 주장도 덧붙인다.
개인정보보호법 시행 초기기 때문에 이 법이 실제로 긍정적인 영향을 미치고 있는지 객관적으로 진단할 수 없다. 세부 사항에서는 일부 개정돼야 할 필요가 있는 부분도 있으며, 해석에 따라 다양한 의견이 제시될 수 있는 부분도 있어 좋은 선례를 만들어갈 수 있도록 합리적인 지표를 마련하는 것도 시급한 일이다.
다른 법과 충돌하는 부분에 대한 수정도 시급하며, 산업분야별, 규모별 등으로 개별법을 정리해 정책 혼선을 방지하고, 중복투자를 막을 수 있도록 돕는 것도 필요한 일이다. 내부 관리자에 대한 교육지침을 마련하거나 교육프로그램을 만드는 것도 법 시행을 위해 중요한 일로 꼽힌다.
보안업계와 전문가들은 개인정보보호법 시행 초기 상황임을 고려해 비교적 순탄하게 진행되고 있다고 진단한다. 법 개정으로 인해 무분별한 개인정보 수집이 크게 줄었으며, 일반 사용자들도 개인정보를 제출할 때 자신의 정보가 어디에 사용된는지 한 번 더 살펴보는 분위기가 확산되고 있다.
중요정보에 대한 암호화나 개인정보 관리자의 지정과 교육 등의 노력은 가시적으로 나타나고 있는 성과다. PC에 저장된 문서, 이메일로 전송되는 콘텐츠 등에 실수나 고의로 정책에 어긋나는 개인정보가 포함돼 불법적으로 사용되지 않도록 주의하는 노력도 나타나고 있으며, 비밀번호를 자주 바꾸는 것도 익숙하게 받아들이고 있다.
예산 없으면 전담인력 강화하라
개인정보보호법 이행을 위해서는 실제 투자가 이뤄져야 한다. 개인정보보호를 위한 조직을 만들고 교육시키며, 보안 솔루션을 구입해 구축해야하고, 물리적인 보안 대책도 마련해야 한다. 이를 위해서는 돈이 있어야 하는데, 경제 불확실성 시대에 마른 수건도 쥐어짜는 심정으로 긴축재정을 이어가고 있는 기업들이 보안에 투자할 것이라고 기대하는 것은 난망하다. 특히 민감한 개인정보를 보유하고 있는 소규모 병·의원, 약국체인, 학교·학원 등 교육기관 중에서는 방화벽은 커녕 PC에 바이러스 백신 조차 제대로 설치·업데이트 하지 않는다.
개인정보보호 취약점이 가장 높은 산업군은 병·의원이다. 소규모 병·의원은 수많은 환자의 건강정보를 포함한 개인정보를 갖고 있지만, 보안 환경은 매우 열악하다. 게임, 포털, 인터넷 서비스 사업자, 인터넷 쇼핑몰 사업자의 정보보호 실태는 더 심각하다. 인터넷을 기반으로 서비스를 하는 사업자들은 보안 시스템을 설치하면 시스템 성능이 느려진다는 이유로 보안 시스템 구축을 꺼린다.
다른 어떤 것보다 가장 위험한 보안홀은 ‘사람’이다. 아무리 강력한 법을 갖고 있다고 해도 사람이 나쁜 의도를 가지면 수단과 방법을 가리지 않고 지속적으로 공격해 정보를 빼갈 수 있다. 지능형지속위협(APT)의 예에서 볼 수 있듯, 공격자들은 철통같은 방어체제가 갖춰진 정면을 뚫지 않고, 측면을 공격한다. 측면 중에서도 제일 약한 측면이 사람이다.
개인정보보호법에서 강조하고 있는 부분도 사람과 운영관리에 대한 부분을 체계화하는 것이다. 개인정보보호를 위한 내부 관리계획을 수립·시행하고, 개인정보보호 책임자를 지정하며, 지속적인 교육을 받도록 하며, 시스템에 대한 물리적인 보안 정책도 마련하도록 한다.
“보안정책, 예외 허용하는 순간 무용지물”
강력한 법을 만들어도 이행하지 않으면 아무 소용 없듯, 정책도 실제 행동에 옮기지 않으면 소용없다. 대규모 정보유출 사고를 일으킨 기업들이 정책을 준비하지 않아서 사고에 속수무책으로 당한 것이 아니다. 대기업은 업계 모범적인 정책을 갖고 있지만, 직원들은 ‘편의상’ 정책을 지키지 않는다.
지금까지 보안 담당자는 잔소리꾼이고 업무의 원활한 흐름을 방해하는 훼방꾼이었다. 보안 담당자는 무엇이든 막았고, 변화에 부정적이었으며, 하지 말아야 할 리스트를 만드는 전문가였다. 그러나 클라우드·빅데이터 환경으로 접어들면서 보안이 업무의 병목이 되어서는 안된다. 보안은 오히려 클라우드·빅데이터로의 변화를 가속화 시킬 수 있는 기폭제가 된다.
수많은 정보를 분석해야 하는 빅데이터 환경에서, 중요한 정보에 대한 철저한 보호 조치를 취하기 위해 반드시 필요한 정보만 수집하고, 데이터를 체계화함으로써 분석 수행 속도를 빠르게 하고, 보다 신뢰성 있는 결과를 가질 수 있게 한다. 클라우드 기술을 이용하면 더 많은 악성코드의 패턴을 더 정확하고 빠르게 파악하며, 이에 필요한 인력과 시간을 줄일 수 있어 경제적이며, 빠르고, 안전하게 보안 수준 준수 요구를 만족시킬 수 있다.
현재 정보보안 시장은 법 제정 이후 더욱 혼란한 상황이 됐다. 특히 국내 일부 보안 솔루션 제품들이 저가경쟁을 시작하면서 시장을 혼탁하게 만들고 있다. 잦은 프로모션 이벤트로 저가경쟁을 유도하면 결국 보안벤더도, 고객도 모두 위험해진다.
