지난달 29일 개최된 데일리시큐 주최 PASCON 2014에서 한국정보화진흥원 김두현 부장(사진)은 오후 키노트로 ‘개인정보보호 인증(PIPL) 부적합 사례를 통한 인증준비 전략’에 대해 공공-민간 개인정보보호 실무자 700여 명이 참석한 가운데 발표를 진행했다.
 
한국정보화진흥원 김두현 부장은 “개인정보보호 인증(PIPL)은 2013년 10월 28일부터 법적 근거를 마련해 시행중이며 현재 개인정보보호법 개정을 통해 법적 근거를 마련중”이라며 “인증위원회를 구성하고 현재 인증심사원 324명을 보유하고 있다. 지난 9월에 최초 인증 수여가 이루어졌고 현재 다수의 공공 및 민간 영역 대상으로 인증심사가 진행중”이라고 소개했다.
 
개인정보보호 인증(PIPL)은 개인정보보호법의 도입 취지에 따라 공공기관과 민간기업의 개인정보보호 수준을 점검해 인증마크를 부여하는 제도다.
 
절차를 살펴보면, 신청기관이 개인정보보호 인증 준비후 인증심사 신청 서류 접수를 하면 인증심사 전에 인증 준비 상태 점검을 하게 된다. 이후 인증심사 실시 계획 협의를 하고 제출 문서의 검토 및 현장 점검이 이루어지고 부적합 사항에 대한 개선조치가 진행된다. 마지막으로 인증심사 결과 및 보완사항 심의·의결이 이루어진다. 최종 인증결과 통보와 인증서 발급으로 마무리된다. 인증서 유효기간은 3년이다.
 
개인정보보호 관리체계 심사영역은 총 15개로 이루어져 있으며 개인정보보호 대책구현 심사영역은 50개 항목으로 구성돼 있다. 인증유형별 심사항목은 소상공인 33개, 중소기업 44개, 대기업 및 공공기관은 50개로 차별 적용된다.
 
PIPL 인증 취득에 따른 혜택으로는, 개인정보 유출·침해 사고에 대한 능동적 예방 및 대응체계 마련 그리고 각종 개인정보보호 관련 법적 요구사항의 자율준수가 가능해지고 개인정보보호법에 따라 실시되는 기획점검 대상 제외 또는 실시유예, 행정처분 감경 등의 혜택을 받을 수 있다. 또 인증 취득기관 현황 공개, 우수기관 포상, 개인정보보호 인증 교육기회 및 정보제공도 받을 수 있다.

 
김두현 부장은 이날 발표에서 PIPL 인증 주요 부적합 사례를 발표하고 향후 PIPL 인증을 준비하는 참관객들에게 주의를 당부했다. 주요 부적합 사례를 다음과 같다.
 
우선 개인정보보호 관리체계 구축 부문에서는 △개인정보보호 관련 지침(규정), 매뉴얼(가이드) 등에서 개인정보보호 활동, 처리기준에 대한 일관성, 정합성 부족 △개인정보 및 관련 자산에 대한 중요도 평가 미흡(개인정보취급자의 일부 자산(PC 및 노트북)이 관리대장에서 누락) 등이 지적됐다.
 
또 △위험평가 결과에 따른 개선과제의 우선순위 등을 부적절하게 산정해 운영(위험관리의 긴급성, 예산, 소요기간 등을 고려한 우선순위 선정 미시행) △개인정보보호 관리체계에 대한 내부 점검계획 수립이 미흡하고 관련 지침에서 내부 점검항목이 일부 누락되는 경우도 지적됐다.
 
개인정보보호 대책구현 부문에서 부적합 사례는 △개인정보 수집 동의 원칙 및 절차의 부적절한 경우가 많았다. 마케팅 목적의 개인정보 처리 고지 및 동의절차 부적절, 명시적 동의없이도 개인정보 수집이 가능한 시스템 체계 구축, 보유·이용기간 산정의 부적절 등이 거론됐다.
 
△주민등록번호 처리의 제한 및 민감정보 수집 동의원칙 부적절 사례도 많았다. 특히 민감정보를 다른 개인정보와 구분하지 않고 일괄 동의를 받아 수집하거나 법령에 근거 없이 주민등록번호를 정보주체로부터 직접 수집하는 경우가 여기에 해당된다.
 
△법적 요구사항에 대한 미 포함 및 운영사항의 미흡사례도 있었다. 주로 개인정보처리방침의 이력 관리 미흡, 내부시스템의 임직원에 대한 개인정보처리방침 부재, 연계기관 정보, 개인정보의 이용기간 등 내용이 부적절한 사례다.
 
△개인정보 문서 및 저장매체의 파기 계획이 없고 적시에 삭제절차 미진행 사례도 거론됐다. 개인정보파기대장에 대한 기록 관리 미흡, 수탁업체의 개인정보 파기 관리감독 미철저, 파기대상 개인정보파일의 분리보관 미흡 등이 해당된다.
 
△개인정보취급자를 개인정보 파일별, 부서별로 구분해 관리하지 않고 있으며, 일부 직원을 취급자로 식별하지 않는 경우도 주의 해야 한다. 또 개인정보취급자의 이력관리 미흡 및 관리자용 계정관리 부적절 사례도 있다. 예를들어, 접근권한에 대한 기준 미설정, 퇴직자 계정의 미삭제, 관리자용 계정(admin)의 공동 사용, VPN 계정을 전직원에게 디폴트로 부여하는 등 접근권한 관리 미흡 사례가 주로 지적됐다.
 
△개인정보취급자 접근권한 검토 및 조치 미이행 경우도 있다. 접근권한에 대한 정기적인 점검을 미이행하고 퇴사자 계정, 임시 생성된 권한 계정 등의 관리 미흡 사례도 있다.
 
이외 부적합 사례로는 △열람 및 접속기록의 주기적인 검토 미이행 △비밀번호 작성 규칙 미준수 △중요 개인정보(주민등록번호, 비밀번호, 패스워드) 암호화 적용 미흡 △개인정보처리시스템 개발시 적절한 보호조치 미흡 △보호 및 통제구역에 대한 출입권한 관리 미흡 △휴대용 저장매체에 대한 승인 및 사용에 대한 관리 미흡 등도 거론됐다.

 
김두현 부장은 “인증심사 프레임워크는 개인정보보호 관리체계 수립후 실행 및 운영, 검토 및 모니터링, 교정 및 개선 순으로 순환 진행된다”며 “인증을 통해 개인정보 유출, 침해사고에 대한 능동적 예방 및 대응체계를 마련할 수 있고 기관의 개인정보보호 노력에 따른 그 수준을 객관적으로 확인할 수 있는 계기가 될 것”이라고 말했다.
 
한국정보화진흥원 김두현 부장의 발표자료는 데일리시큐 자료실에서 다운로드 할 수 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com