■ 증가하는 개인정보의 활용, 이에 대처하는 우리의 자세   개인정보의 활용이 매년 급격하게 증가하고 있다. 소셜미디어 관리 플랫폼 회사인 훗스위트(Hootsuite)에서 발표한 ‘디지털 2019’ 보고서에 따르면 신규 인터넷 사용자는 매일 100만 명이 늘고 있어 세계 인구의 57%에 달하는 43억 8800만 명을 기록했다. 또한 소셜 미디어 이용자 수는 세계 인구의 45%에 달하는 34억 8400만 명으로 높은 수치를 보이는데 특히 2019년 한해 모바일 장치에서 소셜미디어를 사용하기 위해 신규 생성된 사용자는 2억 9천 7백만 명에 달한다.    ‘초연결(hyperconnectivity)’과 ‘초지능(superintelligence)’을 특징으로 하는 4차 산업혁명이 도래함에 따라 개인정보의 활용 역시 자연스레 증가하는 추세이다. 사람들의 모든 일상이 네트워크에 연결되어가고 있는 요즈음 여러 산업에서는 개인과 상황에 맞춤화된 서비스를 제공하기 위해 개인정보를 적극 활용하고자 하는 움직임을 보이고 있다. 그러나 이러한 개인정보의 활용은 개인정보 보호라는 개념과 상충할 수밖에 없는데 개인정보는 활용의 대상인 동시에 보호의 대상이기 때문이다. 이에 활발한 개인정보 활용의 시도 속 어떻게 하면 개인정보를 안전하게 사용할 수 있는지, 그 방안에 대해 살펴보는 시간을 가져보고자 한다.     ■ 가장 위험한 개인정보인 생체정보, 어떻게 사용되고 있는가   개인의 생체정보는 개인정보 중에서도 가장 중요하고 또 위험한 정보라고 할 수 있다. 최근 모바일 생체 인식 산업이 빠르게 성장함에 따라 이를 안전하게 관리하고 보호하는 기술 또한 함께 발전하고 있지만, 아직까지는 생체정보 활용에 대한 기대와 우려가 공존하고 있는 것이 사실이다. 생체정보의 사용은 편리성 측면에서는 그 어떤 인증체계보다도 뛰어나지만 유출 시 그 어떤 개인정보의 유출보다도 위험한 상황을 유발할 수 있기 때문이다. 특히 핀테크 기술과 함께 금융 관련 인증체계로도 활발히 활용되면서 이에 대한 보안성은 더욱 강조되고 있다.   이제는 보편화되었다고 볼 수 있는 모바일에서의 생체정보 인증을 살펴보면 대표적으로 지문, 홍채, 안면 인식이 있다. 최근에는 접촉해서 인증하는 지문 보다 비접촉 방식인 홍채와 안면 인식을 통한 인증이 많이 선호되는 추세다. 홍채 인식의 경우, 적외선 발광다이오드(IR LED)로 사용자의 눈을 반복적으로 촬영하여 홍채 영역을 디지털 정보로 바꾼 뒤 암호화하여 사용하게 되는데 홍채는 각막과 수정체 사이에 매우 복잡하고 정교한 섬유조직으로 구성되어 고유한 패턴이 평생 변하지 않는 특징을 가진다. 홍채와 더불어 많이 사용되는 안면 인식 기술은 다양한 센서와 특수 카메라를 통해서 얼굴의 수많은 지점을 찾아 인증하는 방식으로 현재 애플의 아이폰이 대표적으로 페이스 아이디라는 이름으로 사용하고 있다.    

구분	안면인식	지문인식	홍채인식
인증방식	▶ 눈썹 간 간격, 얼굴 뼈 돌출 정도 등을 판별하여 본인 인증	▶ 사람의 손가락에 있는 지문의 고유패턴을 판별하여 본인 인증	▶ 홍채 및 망막의 고유 이미지 패턴을 판별하여 본인 인증
장점	▶ 대다수 사용자에게 적용 가능 ▶ 기계와 직접 접촉하지 않음 ▶ 원격 인증이 가능	▶ 다양한 장치에 적용 가능 ▶ 정확도가 우수한 편임 ▶ 인증 절차가 비교적 간단함	▶ 대다수 사용자에게 적용 가능 ▶ 기계와 직접 접촉하지 않음 ▶ 인증 절차가 비교적 간단함
단점	▶ 안경, 가발, 조명의 영향을 받음 ▶ 인증시간이 비교적 오래 걸림	▶ 지문의 위조 가능성이 있음 ▶ 지문이 없는 경우 적용 불가	▶ 인증 장비가 고가임 ▶ 사용자의 심리적 저항이 큼

 

[표 1] 주요 생체인식 기술의 장단점 / 출처: Biometrics Institute

    ■ 개인정보를 안전하게 보관하고 관리하기 위한 노력에는 무엇이 있는가   개인정보의 유형이 한층 다양해지고 활용도가 높아짐에 따라 국가기관에서는 이러한 개인정보를 안전하게 보호하기 위한 의무 제도 및 자율적으로 점검할 수 있는 여러 방안들을 마련하였다. 그중 가장 대표적인 제도로는 기존 개인정보보호관리체계 인증인 PIMS와 정보보호관리체계 인증인 ISMS를 통합한 정보보호 및 개인정보보호관리체계 인증, ISMS-P가 있다. ISMS-P는 개인정보보호를 위해 산업, 매출 및 이용자수 기준에 해당되는 특정 공공 및 민간 기업들이 의무적으로 인증받도록 제정되었지만 여러 기관과 기업들은 자율적으로 해당 인증을 취득함으로써 정보보호와 개인정보보호에 대한 관리체계를 점검하고 있다.    특히 공공기관에서는 개인정보보호를 위한 위험 및 영향도를 평가할 수 있도록 하는 개인정보영향평가(PIA) 제도를 따르고 있으며 매년 ‘개인정보보호 관리수준 진단’을 통하여 개인정보의 관리수준을 진단하고 점수화하여 평가하고 있다. 이 외에도 국가기관에서는 개인정보 관리실태 점검을 자율적으로 수행하고 있으며 개인정보와 관련된 길잡이 역할을 하는 개인정보보호종합포털(https://www.privacy.go.kr/), 개인정보보호 침해신고 콜 센터(118번)을 운영하고 있기도 하다.    

구분	대상	진단 및 내용	주관기관
개인정보보호 관리수준 진단	▶ 중앙부처 및 산하기관, 광역·기초자치단체 및 지방공기업	▶ 관리체계 구축 및 운영 ▶ 보호대책 수립 및 이행 ▶ 침해대책 수립 및 이행	▶ 행정안정부 ▶ 한국인터넷진흥원
개인정보영향평가(PIA)	▶ 공공기관으로서 개인정보파일 기준으로 주요 항목의 정보주체 수 기준	▶ 법 제도 준수하는 프로세스 구축 ▶ 개인정보 라이프 사이클 분석 ▶ 위험평가 및 영향도 평가 ▶ 위험제거 및 대응책 수립	▶ 행정안정부
정보보호 및 개인정보보호 관리체계 인증 (ISMS-P)	▶ ISP, IDC 사업자 및 연간 매출액 1,500억원 이상이거나 정보통신서비스 전년 매출액이 100억원 이상 ▶ 전년도 3개월간 정보통신서비스 일일평균이용자수가 100만명 이상인 자 자율신청자	▶ 관리체계 수립 및 운영 ▶ 보호대책 요구사항 ▶ 개인정보 처리 단계별 요구사항	▶ 과학기술정보통신부 ▶ 행정안전부 ▶ 방송통신위원회

 

 [표 2] 개인정보보호를 위한 국내 제도

  그러나 이러한 진단, 평가 및 인증을 준비하고 점검 받는 개인정보보호 담당자들 입장에서 보면 여러 항목에 대한 증빙자료들을 준비하고 하나하나 대응해 나가는 것은 쉬운 일이 아니다. 특히 매년 7월 우리나라의 공공기관들은 개인정보보호 관리수준 진단을 위해 관련 증빙자료를 준비하고 행정안전부에 보고하도록 되어 있는데 이때 담당자들은 어떻게 준비해야 하고 어떤 부분에서 점수를 취득하기 어려운지, 또 고득점을 위해 명심하면 좋을 여러 팁에 대해 알아보겠다.     ■ 개인정보보호 관리수준 진단은 무엇을 진단하는가   공공기관의 개인정보보호 담당자는 본인이 소속된 기관의 개인정보보호 관리실태를 점검하고 안전한 개인정보보호를 위한 여러 활동들을 수행하도록 되어 있다. 그리고 이를 점검하기 위해 매년 7월 행정안전부에서는 개인정보보호 관리체계 및 침해 예방 활동 등을 진단하고 기관 평가에 반영하는 ‘개인정보보호 관리수준 진단’을 실시한다.   진단 내용은 크게 3개 분야 12개 지표 24개 항목으로 나눠져 있는데 각 분야에 따라 4개의 지표와 8개 항목으로 구성되어 있다. ▷관리체계 구축 및 운영 분야에서는 개인정보보호 기반 마련과 교육 등 4개 지표 8개 항목을 진단하고, ▷보호대책 수립 및 이행 분야에서는 개인정보 수집, 영상정보처리기기 운영 등 4개 지표 8개 항목을 진단한다. 마지막으로 ▷침해대책 수립 및 이행 분야에서는 개인정보 유출 방지와 침해대응 절차 수립 등 4개 지표 8개 항목을 진단한다. 7월에 각 기관이 증빙자료를 실적으로 등록하고 나면 8~9월 진단위원회의 평가가 이뤄지고 10~11월 중간 결과 통보 및 증빙자료에 대한 재검증과 현장 방문이 이뤄진다. 그리고 최종 결과는 12월에 확정되게 된다.   진단 기준은 매년 변경되지만 법령의 개정이나 개인정보의 변화에 따라 미세하게 바뀌는 수준이어서 전년도에 개인정보보호 관리수준 진단을 준비했던 담당자라면 어렵지 않게 수행할 수 있을 것이다. 그러나 만약 새로이 개인정보보호 담당자가 되었다면, 다음의 팁을 참고해보도록 하자.    

분야	진단지표	진단항목
관리체계 구축 및 운영 (30)	1. 개인정보 보호 기반마련	1.1. 개인정보 보호를 위한 전담조직과 인력을 구성·운영하고 있는가?
		1.2. 개인정보보호 활동을 수행하는데 필요한 예산을 반영하고 있는가?
	2. 개인정보 영향 평가 수행	2.1. 개인정보 영향평가 대상 여부를 파악하고 있는가?
		2.2. 개인정보 영향평가 계획을 수립·이행하였는가?
	3. 개인정보 보호 교육 추진	3.1. 교육대상별연간 개인정보 보호 교육 계획이 수립되어있는가?
		3.2. 교육대상별인정보 보호 교육이 이행되고 있는가?
	4. 개인정보 보호 책임자의 역할 수행	4.1. 개인정보 보호책임자가 관리·감독 등 역할을 이행하고 있는가?
		4.2. 개인정보보호 수준 향상을 위한 개인정보 보호책임자 주도 실적이 있는가?
보호대책 수립 및 이행 (30)	5. 개인정보 처리방침 및 정보주체의 권리보장	5.1 개인정보 처리방침의 변경 내용을 지속적으로 공개 및 이력 관리하고 있는가?
		5.2 정보주체의 권리행사 방법 및 절차를 마련하여 이행하고 있는가?
	6. 개인정보 수집･ 이용･제공･파기	6.1 개인정보는 적법하게 수집·이용·제공하고 있는가?
		6.2 개인정보의 목적 외 이용·제공에 대비하기 위한 목적 외 이용·제공 절차를 준수하였는가?
		6.3 보유기간이 경과하거나 개인정보의 처리목적 달성 등으로 불필요한 개인정보를 파기하였는가?
	7. 개인정보 처리업무 위탁에 따른 개인 정보 보호	7.1. 개인정보 처리업무 위탁 현황을 파악하고 법 의무사항을 문서화 하고 있는가?
		7.2. 개인정보 처리업무를 위탁한 후 수탁자 대상으로 교육 및 감독을 이행하고 있는가?
	8. 영상정보처리기기 설치 및 운영	8.1. 영상정보처리기기 운영·관리 방침을 수립·공개하며, 법 의무사항이 모두 반영되어 있는가?
		8.2. 개인영상정보에 대한 이용·제공·열람·파기 내역을 대장에 기록하고 관리하는가?
침해대책 수립 및 이행 (40)	9. 개인정보 유·노출 방지 조치	9.1. 홈페이지 및 개인정보처리시스템의 개인정보 유·노출 방지를 위한 체계를 구축·운영하고 있는가?
		9.2. 업무용 컴퓨터, 모바일기기 등에 대한 개인정보 유·노출 방지를 위한 체계를 구축·운영하고 있는가?
	10. 개인정보 침해 대응 및 재해·재난 대응 절차 수립	10.1. 개인정보 침해사고 발생에 대응하기 위한 절차서를 수립하여 전파하고 있는가?
		10.2. 재해·재난 발생에 대응하기 위한 절차서를 수립하여 전파하고 있는가?
	11. 개인정보처리 시스템의 안전한 이용 및 관리	11.1. 개인정보처리시스템의 접근권한 관리 정책을 수립·이행하고 있는가?
		11.2. 개인정보처리시스템의 접속기록에 대한 점검 및 후속조치를 이행하고 있는가?
	12. 고유식별정보의 처리 제한	12.1. 고유식별정보의 처리 현황을 파악하고 있는가?
		12.2. 고유식별정보 암호화를 이행하였는가?

 

[표 3] 2019년 개인정보보호 관리수준진단 지표 / 출처: 행정안전부

    ■ 개인정보보호 관리수준 진단 고득점을 위한 꿀팁!   개인정보보호 관리수준 진단의 준비를 돕기 위한 설명회는 매년 3~4월에 개최되는데 개인정보보호 담당자라면 필히 참석하여 진단 계획과 진단 지표에 대한 설명을 듣는 것이 좋다. 해당 설명회에 참석한 시간은 3시간의 교육 시간으로 인정받을 수 있으며 개인정보보호종합포털에서 수료증을 출력할 수 있다. 설명회는 보통 서울과 세종시에서 개최되니 가까운 지역에서 열리는 설명회의 날짜를 확인하여 참석하면 되겠다.   특히 본인이 소속된 기관의 개인정보처리 부분에서 특수성이 존재한다면 설명회에서 질의를 통해 답변을 듣고 이에 따라 준비하도록 하자. 예를 들어 공공기관의 주요 정보시스템의 경우 국가정보자원관리원에 입주하여 운영되는 경우가 많은데 이 때 침해 대응 절차, 재해 복구 절차 등을 우리 기관에서 수립해야 하는지 아니면 국가정보자원관리원에서 수립한 절차를 따르도록 하는지 등의 특이 사항이 있을 수 있다. 필자의 경우 정보시스템이 국가정보자원관리원에 위치하여 운영된다면 국가정보자원관리원의 절차를 따르면 된다는 답변을 들은 적 있으나 사전에 다시 한번 확인하는 것이 좋겠다.   또한 개인정보보호를 위한 여러 활동 수행 여부나 부적절 사례에 대한 가감점도 있으니 우리 기관에서 수행한 개인정보보호 관련 교육이나 세미나, 컨설팅 등에는 무엇이 있는지 미리 확인하도록 하자.    

	관리수준 진단결과 환류 및 감점 기준
◈ 관리수준 진단 결과 환류 - 기관별 진단 결과를 평가점수에 따라 5등급*으로 구분 * A등급(90점 이상), B등급(90점 미만~80점 이상), C등급(80점 미만~70점 이상), D등급(70점 미만~60점 이상), E등급(60점 미만) - 진단결과 기관평가에 반영(행정관리역량평가, 지방공기업경영평가) - 우수기관 포상   ◈ 개인정보보호 부적절 사례 감점 - 개선권고, 시정조치, 과태료 부과 등 각 건당 1점

 

[표 4] 개인정보보호 관리수준진단 관리수준 진단결과 환류 및 감점기준 / 출처: 행정안전부

    진단 지표의 각 진단 항목에 대해 증빙 자료를 준비하며 유의해야 할 사항은 아래와 같다.  

개인정보보호 기반마련

 

전담조직과 인력을 구성운영하고 있는가에 대한 항목에서는 업무분장표에 개인정보보호가 아닌 다른 업무가 들어가지 있지 않도록 해야 전담인력으로 인정받을 수 있다. 개인정보보호 활동 수행 예산 반영 부분에서는 예산에 반영이 되어 있지 않더라도 해당 항목에 대한 지출 내역이 있을 경우 실적을 인정 받을수 있다.

 

개인정보 처리업무 업무 위탁에 따른 개인정보보호

 

개인정보 처리 업무 위탁 계약서를 별도로 작성하고 계약서에는 필수 항목이 포함되어야 하는데 이를 위해서는 표준 개인정보 처리 위탁계약서를 사용하는 것도 좋으며 계약서에는 수탁자의 직인까지 날인되도록 작성하고 보관하여야 한다. 개인정보 업무 위탁이 누락되는 일 없도록 계약부서에서 우리 기관의 계약 사항 전체를 검토하여 진행하는 것도 한 가지 방법이 될 수 있다.

 

개인정보보호 책임자의 역할 수행

 

개인정보보호 책임자의 관리와 감독 활동에 대한 증빙 자료에는 꼭 개인정보보호 책임자의 결재가 완료되어야 실적으로 인정받을 수 있다는 점을 고려하여 사전에 결재가 진행되도록 해야 한다. 개인정보보호 책임자의 주도 실적이 있는가에 대한 부분에서는 타 진단지표의 자료로 제출되어야 할 내용이나 중복 제출된 자료는 인정되지 않으므로 주의하여야 한다.

 

개인정보 수집

 

개인정보 수집에 있어서 필요 최소한의 개인정보를 수집하고 있는가에 대한 항목에서는 개인정보보호 업무 담당자가 개인정보 수집을 위하여 현재 최소화로 수집하고 있다 생각하더라도, 한번 더 검토하고 정비하는 것이 좋다. 또한 이때 발견된 항목이 있다면 내부 규정의 서식도 수정이 필요하다.

 

개인정보의 목적 외 이용·제공 절차 운영

 

개인정보의 목적 외 이용제공 절차서를 수립하고 운영하고 있다면 이를 직원 교육 및 전파하여야 하고 교육자료 및 교육 계획, 결과 보고서, 인트라넷 게시 화면 등을 증빙으로 제출하여야 한다. 이를 위해서 개인정보보호 교육 시 우리 기관의 절차서(개인정보의 목적 외 이용제공 절차서, 재해 재난 대응 절차서)에 대한 교육을 함께 진행한다면 조금 더 효과적으로 준비할 수 있을 것이다. 이때 해당 기관의 자체 절차서가 아닌 단순 법령 또는 일반적인 절차 교육의 경우에는 인정이 안되므로 꼭 해당 기관의 절차서를 교육하도록 한다.

 

영상정보처리기기 설치 및 운영

 

영상정보처리기기를 설치하여 운영할 때는 관리 대장을 기록하고 관리하도록 되어 있으며 관리 대장에는 필수 항목을 꼭 포함하여야 한다. 자동 삭제되는 개인영상정보의 경우에도 정기 점검을 통한 관리 대장의 기록이 필요하다.

 

개인정보 유·노출 방지 조치

 

중앙부처가 보급하였거나, 국가정보자원관리원이 관리하는 개인정보처리시스템은 관리기관을 명시하면 증빙 자료는 불필요하다.

 

개인정보처리시스템의 안전한 이용 및 관리

 

개인정보보호 관리 수준 진단 항목들 중에서 감점이 가장 많이 나오는 항목이기도 하지만 사전에 미리미리 잘 준비한다면 충분히 모든 점수를 획득할 수 있다. 특히 실적으로 인정받을 수 있는 기간이 전년도 7월부터 올해 6월까지이므로 모든 증빙 자료의 날짜를 꼭 확인하여 준비해야 한다. 증빙 자료는 개인정보파일 현황에 있는 개인정보처리시스템 별로 작성하면 된다. 점수의 산정은 가장 미흡한 개인정보처리시스템이 기준이 되므로 모든 개인정보처리시스템을 살펴보아야 한다는 점을 잊지 말자. 접속기록은 6개월 이상 보관한 증빙이 필요하며 접속기록을 점검한 실적의 경우 반기 별 1회 이상 한 증빙이 필요하다. 

    ■ 개인정보보호를 위해 변화가 필요한 지금, 무엇을 해야 하는가   방대한 IT 인프라와 폭발적인 데이터 증가, 복잡한 컴플라이언스 및 강화된 법 규제 등 개인정보보호 담당자가 관리해야 하는 IT 환경은 점점 더 복잡해지고 있다. 지금까지 개인정보보호를 위해 관리적인 차원에서 어떻게 노력해야 되는지 알아보았다면 시대의 변화에 발맞춘 기술적인 노력에 대해 알아보자.      

[그림 1] 인공지능(AI) 기반의 SIEM 구조

  최근 각광받는 인공지능 기술은 위와 같이 복잡해지는 IT 환경의 개인정보보호에 대한 해결책이 되어 줄 수 있다. 그렇지만 보다 확실한 대응 방안은 인공지능 기술을 활용한 보안관제와 여기에 있어 가장 중요한 고급 학습 데이터를 생성하고 선별할 수 있는 보안 전문가, 그리고 이와 더불어 사고 예방을 위한 보안 취약점 진단 시스템, 모든 IT 자산에 대한 사이버 위협정보를 공유할 수 있는 시스템 등이 연결된 통합 보안 관리이다. 여러 기업 및 기관에서는 개인정보보호를 위해 다양한 보안 시스템을 사용하고 있지만 이를 각각의 개별 시스템으로만 활용하는 것은 더 이상 효과적이라고 보기 어려운 상황임을 인지해야 할 것이다.   여러 공공기관 대상 보안 컨설팅을 수행하면서 개인정보보호를 위해 일당백 역할을 하며 고군분투하는 담당자들을 많이 만나볼 수 있었다. 아무리 개인정보를 적극 활용하여 편의성을 추구하고자 분위기가 사회 전반에 확산되는 추세라고 할지라도, 보다 다양한 곳에 활용될 개인정보를 안전하게 보호하는 것은 이에 앞서 기본이 되는 전제 조건임은 틀림없다. 개인정보보호 담당자들의 제도적, 관리적 노력과 더불어 그들이 안심하고 개인정보처리 시스템을 운영할 수 있는 기술적 측면에서의 통합 보안 관리가 하루빨리 이루어지길 바란다.