2022-12-09 12:15 (금)
[박나룡 보안칼럼] 국가의 개인정보 흐름도가 필요하다
상태바
[박나룡 보안칼럼] 국가의 개인정보 흐름도가 필요하다
  • 길민권 기자
  • 승인 2022.09.30 17:15
이 기사를 공유합니다

정보보호 담당자들이 개인정보 흐름을 파악할 수 있는 가장 좋은 방법
국가에서 관리하는 모든 개인정보에 대한 흐름도 작성 필요
신뢰할 수 있는 데이터 활용을 위한 기반
업무별 개인정보 흐름도 : ISMS-P 인증 가이드
업무별 개인정보 흐름도 : ISMS-P 인증 가이드

개인정보보호나 정보보호 업무를 수행하기 위해서는 ‘식별’, 가시성이 가장 중요하다.

개인정보보호 담당자들이 가장 어려워하는 부분중에 하나가 현업에서 알려주지 않는, 알고 있지 않은 부분에서 발생할 수 있는 리스크를 보호해야 하는 일일 것이다.

조직이 가지고 있는 자산을 파악하고, 중요 서비스나 개인정보가 어디에 어떤 방식으로 사용되고 있는지 알아야 보호해야 할 가치가 있는지 판단하고, 어느 정도 수준으로 보호해야 하는지 파악할 수 있다.

실제 업무를 담당하는 조직에서 충분한 설명을 해주지 않거나, 개인정보보호 담당자가 현황에 대한 이해가 부족할 경우, 그 빈공간은 보호된다고 보기 어렵다.

건물을 지을 때도 지반 조사를 통해 지하수가 흐르고 있는지, 어떤 암반이 있는지, 토질의 상태는 어떤지 등의 다양한 환경들을 조사한 후에야 기초 설계를 진행하고 골조가 올라간다.

하지만 조직의 규모가 크거나, 서비스가 복잡할수록 정보보호 담당자들이 현황을 파악하기란 쉽지 않다.

그렇기에 개인정보를 식별하고 현황을 파악할 수 있는 흐름도가 필수적이다.

이를 위해, ISMS-P 인증 기준 ‘1.2.2 현황 및 흐름 분석’에 “관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다.”고 규정하고 있다.

이런 근거를 바탕으로, 담당자들이 파악하기 어려웠던 조직의 네트워크 구성이나 개인정보 처리 현황, 업무 절차, 세부적인 서비스 흐름을 확보할 수 있고, 정보보호를 위한 리스크 파악이 가능해진다.

국가의 개인정보보호를 위해서도 정확한 판단을 위해 흐름도 작성도 필요하다.

중요도와 보유량이 비교할 수 없을 정도로 높고, 전 국민에게 영향을 미칠 수 있는 정보들이 많은 만큼 이를 파악하지 않고 정책을 수립하기란 쉽지 않다.

ISMS-P 인증을 받는 기관의 경우, 인증기준 요구사항에 흐름도를 파악하도록 하고 있어 활용할 수 있지만, 그렇지 않은 경우가 대부분이라는 점에서 실질적인 보호조치를 위한 현황 분석이 충분한지 알 수 있는 방법이 마땅치 않다.

개인정보보호법 제32조에 따라 개인정보 파일을 식별한다고 하지만, 그 개인정보가 내부에서 어떤 기술적 방식에 따라 활용되고 있는지, 또는 어디에서 어디로 흘러가는지 파악하는 부분은 또 다른 영역이기 때문이다.

또한 직무 변동이나 인사이동을 통해 담당자가 바뀔 수 있는 환경에서 흐름도와 같은 현황 관리가 적절하게 이루어지지 않을 경우, 개인정보 운용 현황을 파악하기는 더 어려워질 수 있다.

정보시스템이나 개인정보에 대한 흐름을 파악하고 가시성을 확보해야 하는 일은 그 업무를 담당하는 인력이나 조직에게 반드시 필요한 부분이다. 

가장 기본적인 식별이 되어 있지 않은 상황에서, 정책을 결정하고 보호 대책을 마련하는 것은 백사장에서 굳건한 모래성을 쌓고자 하는 욕심과 같다.

박나룡 소장
박나룡 소장

지금부터라도 국가에서 관리하는 모든 개인정보의 흐름도를 작성하고 그 내용을 기반으로 보호 대책을 수립해야 신뢰할 수 있는 데이터 활용도 가능해질 것이다. 

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★