국내 최대 개인정보보호 컨퍼런스 ‘G-Privacy 2016’이 지난 4월 6일 양재동 더케이호텔서울 가야금홀에서 정부, 공공, 금융, 교육, 일반기업 개인정보보호 실무자 850여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 박나룡 보안전략연구소 소장(사진)은 ‘개인정보보호를 위한 최선의 솔루션-개인정보보호 관리체계인증(PIMS) 준비하기’란 주제로 발표를 진행해 참관객들의 큰 관심을 끌었다.
 
박나룡 소장은 “기업은 개인정보 보호를 지속적으로 관리하기 위해 정보보호 요구사항, 관련 법적 요구사항 등을 고려한 개인정보보호 관리체계를 구축해 운영하는 것이 필요하다”며 “개인정보보호 관리체계(PIMS, Personal Information Management System) 인증이란 기업이 개인정보보호 관리체계를 수립해 운영하고 있는 서비스 범위가 인증심사 기준에 적합한지 여부를 인증기관이 평가해 인증을 부여하는 제도다. PIMS 인증대상은 업무를 목적으로 개인정보를 처리(취급)하는 공공기관, 민간기업, 법인, 단체 및 개인 등 모든 공공기관 및 민간 개인정보처리(취급)자”라고 설명했다.
 
PIMS 인증은 총 4단계로 구성된다. 준비 및 신청-인증심사-인증심의 및 부여-사후관리로 이루어진다. 인증준비 기간은 2~3개월 정도 소요되며 최소 2개월 이상 PIMS 운영을 하고 인증신청서를 한국인터넷진흥원에 제출한다. 신청서 접수가 이루어지면 서면과 현장심사-결함사항 보완조치-심사결과보고서 작성 등 1.5~3개월 정도 소요된다. 이후 인증위원회가 개최되고 인증서가 부여된다. 인증심의와 부여 기간은 약 1개월 정도 소요된다. 사후관리는 연1회 이상 사후심사가 이루어지고 인증심사후 결함사항 보완조치가 되면 인증유지가 이어진다.

 
인증기준은 올해 1월 1일부터 PIMS와 PIPL이 통합되면서 관리과정, 생명주기 및 권리보장, 개인정보보호대책 등 총 86개 항목으로 구성되어 있다. 인증범위는 인증을 받고자 하는 서비스 단위로 설정 가능하다.  
 
박나룡 소장은 구축을 위한 고민사항에 대해 어느 정도 범위로 인증을 받을 것인가, 인증을 받으면 안전한지, 인증을 받으면 책임을 감염 받을 수 있는지, 어떤 혜택이 있는지, 인증 유지 비용은 얼마나 드는지, 자체적으로 준비를 할 수 있는지, 컨설팅을 맡겨야 하는지 등 신청기관의 고민들에 대해 상세한 설명을 덧붙였다.
 
특히 자체 진행에 대해 “먼저 PIMS 심사원 또는 컨설팅 경험 5년 이상의 전문인력이 필요하고 보안조직 인력과 내부직원의 협조 그리고 필요한 보안솔루션 구축이 이루어져야 한다”며 “관련 조직과의 커뮤니케이션을 잘 유지해야 하고 현황 파악이 안되면 리스크 식별이 어렵기 때문에 인증 준비를 하면서 현황도 파악하고 관련 부서와 친밀한 관계를 유지해야 가능하다”고 조언했다.
 
또 “인력과 예산, 시간, 내부 커뮤니케이션이 충분하다면 자체 구축도 해 볼만 하다. 하지만 이런 부분이 부족하다면 컨설팅을 받아 인증준비를 하는 것이 유리하다”고 덧붙였다.
 
박나룡 보안전략연구소 소장의 상세 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 오는 5월 17일 의료기관 개인정보보호-정보보안 컨퍼런스 MPIS 2016을 개최한다. 올해 3회째를 맞는 MPIS 2016은 국내 최대 의료 정보보호 컨퍼런스로 전국 국공립, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 400여 명이 참석한 가운데 최신 보안정보를 공유하는 자리다. 현재 참가를 희망하는 국내외 보안기업을 모집중에 있다. 참가 문의는 데일리시큐 길민권 기자에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com