데일리시큐가 주최하고 안전행정부, 한국인터넷진흥원, 소셜커머스 대표기업 쿠팡 등이 후원한 제2회 ‘G-Privacy 2014’ 공공기관-일반기업 개인정보보호 컨퍼런스가 3월 20일 양재동 더케이서울호텔에서 800여 명의 공공기관, 금융, 기업 개인정보보호 책임자, 실무자, 시스템 운영자 등이 참석한 가운데 성대하게 개최됐다.

 
최근 대형 개인정보 유출 사건들이 무더기로 적발되면서 공공기관 뿐만 아니라 금융기관, 일반기업들도 개인정보보호에 대한 관심이 뜨겁다. 최적의 시기에 개최된 이번 G-Privacy 2014 컨퍼런스는 타 컨퍼런스와는 달리 오후 마지막 키노트 발표였던 안전행정부 개인정보보호과 문금주 과장의 키노트 시간까지 대부분 참석자들이 자리를 뜨지 않고 발표를 경청해 개인정보보호에 대한 뜨거운 관심을 느낄 수 있었던 컨퍼런스였다.
 
첫 키노트는 한국정보화진흥원 김두현 부장의 ‘개인정보보호인증(PIPL) 취득 전략’이란 주제로 발표가 이루어졌다.
 
김두현 부장은 “PIPL 인증은 공공기관 및 민간기업이 자율적으로 선택하는 제도로, 현재 의무화 대상이 아니다. 기관의 자율적인 개인정보보호 활동을 촉진하기 위한 제도이며 인증을 통해 기관의 개인정보보호 수준을 향상기키기 위해 지속적으로 노력하도록 추진중”이라며 “향후 제도의 추진 실효성 및 개인정보보호 환경 등에 대한 종합적인 검토를 통해 의무화 등 다양한 자율규제 활성화 방안의 수립은 가능할 것”이라고 밝혔다.
 
또 “인증 신청 기관의 개인정보보호 관리체계 구축 및 보호대책의 구현 정도에 따라 인증취득 기간의 차이가 발생하지만 인증신청 후 2~5개월 정도면 인증을 취득할 수 있을 것”이라며 “향후 한국정보화진흥원은 인증신청기관이 자체적, 자율적으로 개인정보보호 체계를 구축하고 인증을 준비할 수 있도록 안내서 등을 추가적으로 제작해 배포할 예정”이라고 밝혔다.
 
이어지는 발표에서, 한국인터넷진흥원 김호성 팀장은 개인정보보호법 주요 개정 내용에 대해 집중적으로 설명했다.
 
김호성 팀장은 “주민등록 번호는 올해 4월 7일부터 주민번호 수집 법정주의를 적용해 원칙적으로 수집이용이 금지된다. 또 주민번호를 유출할 경우 과징금이 5억원 이하로 부과되며 다만 주민번호 안전성 확보조치를 모두 이행시 과징금은 면제받을 수 있다. 또 유출시킨 기업은 안행부 장관의 징계권고 대상에 CEO 및 책임있는 임원이 포함될 것”이라고 설명했다.
 
더불어 “향후 개정될 내용으로 주민등록번호 암호화 보관이 의무화될 예정이다. 고유식별정보 중 주민등록번호는 영향평가, 위험도분석에 관계없이 내외부망 저장시 암호화를 해야 한다는 내용이다. 암호화 적용 대상, 대상별 적용 시기 등은 대통령령으로 정하며 대략 시행 시기는 2016년 1월 1일 경으로 보고 있다”고 설명했다. 이외에도 개인정보의 안전성 확보조치에 대한 상세한 발표도 진행돼 참관객들은 집중해서 발표를 경청했다.
 
이후는 2개 트랙으로 나눠 진행됐다. 오전 트랙 발표로는 디에스앤텍 김봉석 과장의 ‘개인정보 유출 방지를 위한 보안적용 트렌드 및 구축사례’, 바넷정보기술 한병창 소장의 ‘최대 보안위협으로 떠오른 개발환경하에서의 개인정보보호 방안’, 나솔 최복희 이사의 ‘대민서비스와 내부업무시스템의 개인정보유출 차단과 웹 서비스 성능향상 방안’, 엔시큐어 박정만 부장의 ‘통합계정권한관리 구축을 통한 개인정보보호 적용 사례’ 등이 발표됐다.
 
오후 트랙 발표로는 이지서티 정용훈 실장의 ‘개인정보 유출 탐지를 통한 보안강화 전략’, 타이거팀 황석훈 대표의 ‘보안위협 및 개인정보 유출 관련 해킹소개’, 센티널테크놀로지 이종규 팀장의 ‘웹 환경에서의 개인정보보호를 위한 기술적 보호조치 방안’, 컴트루테크놀로지 컨설팅팀의 ‘구간별로 살펴보는 개인정보보호 전략 –PC, 출력물, 매체, 웹, DB, 네트워크, 제공위탁-’ 싸이버원 옥은택 수석컨설턴트의 ‘현장 중심의 PIPL컨설팅 방법론과 인증획득 가이드’, 지란지교소프트 박상일 팀장의 ‘공공기관 서버시스템 개인정보보호 방안 및 사례’, 이글로벌시스템 조돈섭 이사의 ‘공공 및 기업 DB암호화를 통한 개인정보보호 구축 사례’, 시만텍코리아 임관수 부장의 ‘개인정보 유출 방지 전략 및 성공구축 사례’ 등입 발표돼 참관객들의 큰 관심을 끌었다.
 
또 오후 키노트 발표로 진행된 소만사 김대환 대표의 ‘개인정보보호 컴플라이언스 대응 전략’에 대한 발표도 많은 참관객의 관심이 집중됐다.
 
김대환 대표는 “개인정보보호법 개정 내용에 개인정보처리시스템의 범위가 확장된다. 즉 애플리케이션(WAS, SAP 외) 시스템 등 DB와 연계, 연동된 개인정보시스템도 개인정보처리시스템에 명시적으로 포함된다. 따라서 WAS, SAP 등에 대해서도 개인정보의 안전성 확보조치 기준에 따라 접속기록 저장, 접근통제, 고유식별정보 저장시 암호화 등의 조치를 취해야 한다”고 강조했다.
 
또한 “개인정보에 대한 기술적 통제체제(거버넌스)를 획득하기 위한 조치로 개인정보 무단 보유 현황 분석, 개인정보 과다 조회 및 활용을 통제해야 하며 개인정보 외부 전송, 무단 유출 등에 대한 통제와 감사가 반드시 이루어져야 한다”고 강조하고 “개인정보 라이크사이클에 걸친 선한 관리자의 의무를 다해야 한다. 즉 유출 사고 재발방지, 컴플라이언스 준수, 동종업계 평균 이상 보호조치가 필요하며 사고에 대한 선제대응 및 사후 분석을 위해 개인정보 통합관제 및 빅데이터 처리 체계 등이 필요하다”고 덧붙였다.
 
한편 이번 컨퍼런스의 메인 발표였던 안전행정부 개인정보보호과 문금주 과장의 마지막 키노트 발표는 이례적으로 마지막 발표였음에도 불구하고 800여 명의 참관객이 끝까지 자리를 지켜 개인정보보호에 대한 공공과 기업의 관심이 어느 정도인지를 가늠할 수 있었다.
 
안전행정부 문금주 과장은 “개인정보는 기관 운영의 기반인 동시에 안전한 관리, 보호 대상이다. 하지만 그 중요성은 알지만 현실은 그렇지 못하다. 너무 많은 사고들이 터져나오고 있으며 앞으로도 이러한 사고들은 계속 발생할 것”이라며 “개인정보 취급 기관과 기업들은 개인정보 유출로 인해 손해배상 지급, 소송비용 발생, 기관 이미자 하락, 고객이탈, 잠재고객 외면, 경쟁사의 비방 대상 등 매출감소와 가치하락, 신뢰저하 등 크나큰 위기에 봉착할 수 있다는 것을 뼈저리게 인식해야 한다”고 강조했다.
 
또 문 과장은 “오는 8월 7일부터 주민번호에 한해 정보주체의 동의를 통한 수집도 금지된다. 따라서 I-PIN, 생년월일, 공인인증, 휴대폰 인증 등 대체수단 도입을 검토해야 한다. 그리고 법령에 근거없이 수집된 주민등록번호에 대한 삭제 조치도 2016년 8월 7일까지 완료해야 한다”고 강조했다.
 
한편 “2013년 진단 결과 공공기관의 개인정보 파일 관리 등은 양호하지만 위탁업무에 따른 관리감독, 개인정보처리시스템 정기점검 등은 중점 개선이 필요하다”며 “이를 위해 개인정보 처리업무를 위탁하는 경우, 처리에 관한 사항을 문서화하고 수탁자 교육 및 관리, 감독을 강화해야 한다”고 밝혔다.
 
특히 “3월 21일까지 각 부처가 ‘개인정보보호 실태점검단을 구성해 소속 산하기관 및 공사, 공단 등 모든 공공기관을 대상으로 자체 점검을 실시해 시스템 접속기록 관리 등 13개 분야 64개 항목을 중심으로 점검한 결과 가장 기본적인 부분들이 미흡한 것으로 조사됐다”며 “여전히 개인정보 안전성 조치를 따르지 않는 기관들이 많다. 기본에 충실해 주기 바란다”고 강조했다.

 
더욱이 이날 컨퍼런스장 로비에서는 최신 개인정보보호 솔루션 전시회가 열려 참관객들에게 다양한 솔루션 정보 제공이 이루어졌다.
 
전시부스에는 나솔과 위즈디엔에스코리아, 디에스앤텍, 바넷정보기술, 센티널테크놀로지, 소만사, 시만텍코리아, 에스큐브아이, 이글로벌시스템, 이지서티, 지란지교소프트, 컴트루테크놀로지 등 여러 기업이 참여해 800여 명의 참관객들에게 자사 솔루션에 대해 상세히 소개할 수 있는 시간을 가졌다. 
 
발표내용과 참관객 순도에서 가장 수준 높고 참관객들의 만족도 또한 최고인 G-Privacy 개인정보보보호 컨퍼런스는 매년 3월에 개최된다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com