세 개의 정부부처가 개인정보, 정보보호 관리 체계에 대한 법을 마련했거나 도입 예정이라 중복투자라는 지적이 나오고 있다. 결국 여러가지 체계를 모두 따라야 하는 정보통신사업자, 일반 기업 등이 정책 도입에 혼선을 빚게 될 우려가 높다는 지적이다.
20일 정보보안전문가들에 따르면 안전행정부는 올해 말 시행을 목표로 개인정보보호 수준에 대한 인증마크를 부여하는 제도를 추진 중이다. 최근 관계부처와 협의를 거쳐 내달 중 공공, 민간기업 등을 대상으로 공청회를 열 예정이다.
이와 관련 정보보안전문가들 사이에서는 안행부가 추진하는 제도는 기존에 미래창조과학부, 방송통신위원회에서 맡고 있는 정보보호 관리체계 인증과 비슷한 모습을 띄지 않을까하는 우려를 나타냈다.
■ISMS·PIMS...70%가 중복, 안행부까지 가세하나
현재 미래부는 '정보보호관리체계(ISMS)'를, 방통위는 '개인정보보호관리체계(PIMS)' 인증을 각각 관할하고 있다. 기존에도 두 가지 인증체계는 약 70% 가량 중복되는 부분들이 있었는데 최근 안행부에서 또 다시 비슷한 제도를 도입하는 것이 아니냐는 지적이 나온다.
이와 관련 국제표준 전문가인 김정덕 중앙대 정보시스템학과 교수는 국내 개인정보, 정보보호 관리 체계는 글로벌 스탠다드와 달리 개별법이 먼저 나오고 일반법이 나중에 나오는 형태로 진행되다 보니 여러가지 혼선이 오면서 관리체계에서 중복 추진된 부분들이 있다고 설명했다. 교통정리가 필요하다는 설명이다.
실제로 ISMS와 PIMS는 개별법으로 해당 기업, 기관이 정보보호, 개인정보에 대한 관리체계를 갖췄을 경우 이에 대한 인증을 부여하는 기능을 담당한다. 그러나 이보다 상위법인 개인정보보호법은 지난 2011년에 제정됐다. PIMS의 경우 정보통신망법을 통해 관리되고 있다.
최근까지 여러 사이버 보안 사고가 발생하면서 정보보호를 어떻게 관리할 것인지에 대한 골격이 제대로 서지 않은 상태로 각 부처별 대책이 먼저 나오면서 순서가 뒤바뀐 것이다.
■ISMS, PIMS 뭐길래...
정보보호를 위한 대책을 세워야 하는 기업들 입장에서는 ISMS만 준수하면되는지, PIMS까지 수행해야 하는지에 대해 이미 헛갈리고 있는 상황이다. ISMS와 올해 초부터 도입된 PIMS 사이에 혼동이 생기는 것은 두 인증이 대상으로 삼는 영역이 비슷하기 때문이다.
PIMS는 정보통신망법에 따라 개인정보보호 관리가 필요한 기업을 대상으로 하고 있다. 개인정보를 수집해 어떻게 이용하고 관리하며 폐기할지에 대한 일련의 체계를 갖춰야 한다는 것이다. 여기에는 정보통신사업자만 포함된다. 현재 30여개 기업이 이 인증을 받았다.
ISMS는 이보다 포괄적인 관리체계로 정보통신사업자에 더해 일반 기업, 공공, 금융 등을 모두 포함한다. 개인정보보호법에 따라 고객수 100만명 이상, 100억원 이상 매출을 내는 정보통신사업자들은 이 인증을 의무적으로 받아야 한다.
이 같은 복잡한 관리체계에 더해 안행부가 추가적인 개인정보관리에 관련된 인증을 추진하고 있어 정보통신사업자의 경우 두 가지 관리체계와 함께 한 가지 인증을 더 고려해야 하는 상황이다. 현재 ISMS의 경우에만 일부에 한해 인증을 의무적으로 받도록 규정하고 있으며, PIMS는 권고사항이다. 안행부가 추진하고 있는 인증 역시 권고안으로 도입될 예정이다. PIMS와 안행부 인증을 반드시 따라야 할 필요는 없으나 사업자 입장에서 정부가 정하는 모든 요건을 만족시킨다고 하면 복잡한 인증제도를 중복해서 받아야 하는 어려움이 있다.
이와 관련 안전행정부 정보보호과 한순기 과장은 각 기관에서 자율적으로 개인정보보호에 수준에 대한 인증 마크를 부여하겠다는 것이라며 부담이 되지 않도록 최소 수준만 갖추면 되도록 법안을 마련할 계획이라고 밝혔다. 한 과장은 ISMS나 PIMS 등과는 달리 정보통신사업자 외에 공공, 의료, 금융 영역에 적용할 계획이며 관계부처와도 내용이 중복되지 않도록 충분히 논의를 하고 있다고 밝혔다.
■단일 관리체계 아래 분야별 세부대책 필요
안행부의 개인정보보호 수준 인증이 기존에 나와있는 법안들과 중복되지 않기는 힘들 것으로 전망된다. 이에 따라 개인정보, 정보보호라는 영역을 통합해서 관리할 수 있는 단일 창구에 대한 중요성이 높아지고 있다.
관련기사
- 오픈시스템 개인정보유출, 실시간 감시가 답2013.06.20
- 과도한 개인정보보호법, ICT 생태계 해쳐2013.06.20
- 지난해 정보보호 투자↓, 정보보호 인식↑2013.06.20
- "정보보호정책 정부 통합 콘트롤타워 필요"2013.06.20
김 교수는 개인정보의 특성을 고려해 (PIMS)와 같은 특별한 내용이 필요한 것은 사실이나 관할 부처가 여러 곳으로 나눠져 있다보니 중복되는 부분들이 많은 것이 사실이라며 이를 하나의 체계(scheme)로 통일하고 의료, 금융, 공공, 일반 기업 등의 영역별로 나눠서 적용하도록 체계를 정비할 필요가 있다고 말했다.
다시 말해 큰 골격은 하나의 부처에서 관리하되 부문별 영역에서는 이 틀에 맞춰서 특화된 관리체계를 가져가도록 해야한다는 설명이다.
