실시간 뉴스



[박광진의 개인정보 톺아보기]개인정보도 '영향평가' 필요하다


지난 10월 28일부터 11월 4일까지 ‘제10차 람사르(RAMSAR) 총회’가 경남 창원에서 열렸다. 람사르 총회는 산업화 등으로 인해 빠르게 훼손되고 있는 내륙 습지와 연안 습지를 보전하기 위한 국제사회의 합의를 도출하고, 환경과 관련된 다양한 학술 행사를 함께 하는 환경 올림픽이라 할 수 있다.

‘건강한 습지, 건강한 인간’이란 주제로 개최된 이번 람사르 총회는 환경에 대한 세계 각국의 뜨거운 열기를 반영하듯, 150여 개국 정부와 국제기구, NGO 대표 등이 참석한 역대 최대 규모로 진행됐다고 한다. 한 번 파괴된 환경은 복구하는데 많은 시간과 비용이 소모되고 인류의 생존 자체를 심각하게 위협한다. 앞으로는 자연과 환경을 고려하지 않는 인류의 지속가능한 발전이란 기대하기 어렵다는 공감대가 전 세계에 형성되고 있다.

개인정보 보호도 이와 비슷한 맥락에서 주목을 받고 있다. 정보기술의 발달로 개인정보가 대량 집적되고 수집과 이용, 공유가 용이해졌으나, 이로 인해 유출 위험이 크게 높아졌다. 한번 유출된 개인정보를 100% 다시 회수하는 것은 불가능에 가깝고, 스팸메일 발송 등 제2, 3의 오·남용으로 이어지는 등 그 피해 또한 예측 불가하다. 이제 이러한 위험성을 외면하고 정보화나 기술의 발전을 말할 수는 없는 상황이 됐다.

어떤 대규모 건설사업을 하고자 할 때, 우리는 그 개발이 환경에 미치는 영향의 정도나 범위를 사전에 예측·평가하고 대처방안을 마련해 환경오염을 예방하기 위한 ‘환경영향평가’를 실시한다. 마찬가지 이유에서, 개인정보를 활용하는 새로운 정보시스템을 구축하거나 신규 사업을 도입하기 이전에, 개인정보 수집·이용·보관·폐기 과정에서의 개인정보 취약성을 사전에 진단하고 개선 방안을 도출하는 ‘개인정보 영향평가’가 필요하다. 쉽게 말해 소 잃고 외양간을 고치는 것이 아니라, 외양간을 지을 때부터 소도둑이 쉽게 들어오지 못하는 방안을 생각해서 안전하게 짓자는 것이다.

보통 개인정보 처리는 한 기관 안에서도 다양한 부서와 인력이 관여하고, 제3의 기관에도 손쉽게 이전이 가능하기 때문에 매우 복잡다단한 생명주기(Life-Cycle)를 가진다. 때문에 영향평가를 제대로 하려면 최대한 예측가능한 모든 변수를 고려해 원인을 분석하고 대처방안을 내놓아야 한다. 예컨대, 개인정보 유출에는 내부자의 고의적 유출, 관리 소홀, 외부 해킹, 기업의 고의적 마케팅 남용 등의 원인이 있는데, 개인정보 영향평가를 통해 시스템 운용 및 업무 절차 등에서 이와 같은 위험이 표출될 가능성을 사전에 파악하고 개선사항을 도출하는 것이다.

개인정보에 대한 적절한 열람 권한 부여 및 접근 통제를 통해 업무상 반드시 필요한 인원에 한해서만 최소한의 개인정보를 열람토록 하거나, 대량으로 개인정보를 다운로드 받는 기능을 제한함으로써 고의적 유출 위험성을 최소화하는 것이 대처방안이 될 수 있다. 또한 개인정보의 암호화 저장, 침입차단시스템 설치 등 업무 절차에 따른 적절한 기술적 보호 조치를 도출한다면 기관 성격에 맞는 최적의 보안 시스템을 설계할 수 있다.

이러한 기술적·관리적 조치 이외에도 개인정보가 업무상 필요한 최소한의 범위에서 수집되고 있는지, 이 과정에서 이용자의 동의 획득은 적절히 이루어지고 있는지 등 이용자의 개인정보 자기 결정권 보장에 대해 평가하는 것도 오·남용 방지에 기여할 수 있다.

개인정보 영향평가는 주로 침해의 사전 예방 측면에서 구축이 예정된 시스템에 대해 실시하지만 꼭 그에 한정되는 것은 아니다. 이미 구축된 시스템이나 추진 중에 있는 사업이라도 개인정보 영향평가를 실시해 취약성을 진단하고 개선하는 것은 효과가 있다.

물론 이 경우에는 진단결과에 따라 기존 시스템 및 업무 절차를 바꾸는 번거로움이 있지만, 오류를 방치한 채 사업을 영위해 문제를 일으키는 것보다는 훨씬 경제적이다. 그럼에도 불구하고, 개인정보 영향평가는 사전에 실시할 것을 권장한다. 시스템의 설계·분석 단계에서 취약성을 미리 파악해 보완하면 사후에 실시하는 것에 비해 보다 효율적으로 경영 자원을 활용할 수 있기 때문이다.

외국에서는 이미 개인정보 영향평가를 제도화하는 움직임을 보이고 있다. 미국의 경우에는 공공 부문의 예산 편성시 반드시 영향평가를 실시하고 결과보고서를 제출하도록 하고 있으며, 캐나다 또한 공공부문에 대해 영향평가를 의무적으로 실시할 것을 법제화하고 있다. 국내에서도 이를 제도화하기 위해 노력하고 있다. 2005년 한국정보보호진흥원에서 ‘민간기업의 개인정보 영향평가 수행을 위한 가이드’를 개발해 배포한 바 있고, 올해 행정안전부가 입법예고한 개인정보보호법에 공공부문에서의 개인정보 영향평가를 의무화한다는 내용이 포함돼 있다.

환경오염에 따른 인류 존속의 위기감을 시간으로 표시한 ‘환경위기시계’의 2008년 시각은 21시33분이라고 한다. 고도로 지능화된 정보사회에서 개인정보 침해로 인한 위기시계는 과연 몇 시일까? 시계바늘을 거꾸로 돌릴 수는 없겠지만 우리 노력여하에 따라 늦출 수는 있을 것이다. 개인정보 유출사고가 빈번히 발생하는 현시점에서 개인정보 영향평가의 제도화는 더 이상 미뤄져서는 안되는 정보사회의 과제다.

/박광진 KISA 개인정보보호지원센터 단장 column_kjpark@inews24.com







alert

댓글 쓰기 제목 [박광진의 개인정보 톺아보기]개인정보도 '영향평가' 필요하다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스