인체의 면역체계는 박테리아, 바이러스, 기생충, 독성 등 외적 위협과 내적장애에 대한 신체반응을 조절·대응하는 매우 복잡한 기제(시스템)를 말한다. 이러한 면역체계가 무력화된다면 각종 질병에 무방비로 노출되어 인체는 심각한 위험상태에 놓일 수밖에 없다는 것이 일반적인 상식이다. 그래서 사람들은 운동, 예방접종, 식이요법 등 다양한 방법의 면역체계 강화 활동을 하고 있으며 여기에 시간과 돈을 아낌없이 투자하는 것이다.

기업도 인체와 마찬가지로 각종 악성코드, 블랙해커(크래커), 직원 불만 및 실수, 개인·정보보호 관련 법률 미인지 등의 다양한 위협에 노출되어 있다. 기업이 이런 위협요인으로부터 적절한 면역체계를 갖추고 있지 않다면 전산망 마비, 중요정보 유출, 과징금·과태료 처분 등의 사태를 막을 수 없으며 이로 인한 금전적 손실, 집단 소송, 기업의 이미지 및 브랜드 가치 하락으로 최악의 경우 폐업까지 갈 수도 있다.

실제로 1·25 대란, 7·7 DDoS 공격, 3·20 및 6·25 사이버 공격 등 정보보호 관련 사고가 지속적으로 발생하여 국가의 인터넷망과 기업 전산망이 마비되고, 고객의 개인정보가 대량으로 유출 되는 등의 피해 사례가 발생하고 있는 것은 시사하는 바가 크다.

그렇다면 기업이 이러한 개인·정보보호 위협요인으로부터 면역체계를 갖출 수 있는 방법은 없을까?
기업이 다양한 위협요인으로부터 개인·정보보호 관련 위험을 사전에 파악하여 그에 대응하는 면역체계를 갖출 수 있도록 도와주는 위험관리(Risk Management) 모델이 바로 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS)라 할 수 있다.

위험관리를 우리가 사는 집과 비유하여 좀 더 쉽게 설명하자면 우선 위협은 집의 재산(현금, 물건, 사람 등)을 노리는 도둑(강도)에 비유할 수 있고 잠겨지지 않은 대문, 창문, 낮은 담 등은 집의 취약한 부분이라고 할 수 있다. 집에 취약한 부분이 많이 존재할수록 위협인 도둑(강도)이 절도(상해)할 수 있는 가능성이 높아진다고 할 수 있으며 이러한 분석과정을 통해 발생 가능한 절도(상해) 위험 시나리오를 도출하고 그에 대한 적절한 대책을 마련하여 위험을 감소시키는 것이 위험관리 활동이다. 대책으로는 대문, 창문 등에 잠금장치 설치, 무인 경비 서비스 도입 등이 있으며 잠금장치 구입, 서비스 도입을 위한 예산, 일정 등 구체적인 계획을 세워 이행하는 것도 위험관리 활동에 포함된다.

즉, 기업은 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS) 구축·운영을 통해 침해사고 및 개인정보 유출 위험을 사전에 줄일 수 있으며 사고가 발생하더라도 신속한 탐지 및 대응 체계를 갖추게 되어 그 피해를 최소화 할 수 있는 것이다. 또한 개인·정보보호 관련 법적 요구사항 미준수에 따른 위험을 사전에 인지하지 못한 상태에서 보안사고가 발생한 경우 과태료 뿐만 아니라 상당한 과징금이 부과될 수 있으므로 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS) 구축을 통해 법적 준거성 점검체계를 갖추어야 할 필요가 있다.

따라서 기업들이 개인정보보호 및 정보보호 면역체계를 강화하기 위해 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS) 구축 및 운영에 관심을 갖고 투자할 것을 권고해 본다.

한편 정부에서는 정보보호 관리체계(ISMS) 및 개인정보보호 관리체계(PIMS)가 적절하게 구축·운영되고 있는지 심사를 통하여 인증을 부여하는 제도를 운영 중에 있다.
 

저작권자 © 법조신문 무단전재 및 재배포 금지