정책적 지원안 마련…기업·기관 자율 참여 유도
법률적 판단·검토 필수…법조인 지원·관심 당부
안전행정부 개인정보보호과 한순기 과장
“개인정보 유출은 휴대전화, 인터넷 등 IT서비스를 이용하는 사람이라면 누구에게나 일어날 수 있는데다 사생활 침해는 물론, 경제적 손실까지 유발할 수 있기 때문에 심각한 문제입니다.”
한 조사기관의 결과에 따르면 지난 2008년 옥션, 2011년 SK 커뮤니케이션즈, 2013년 KT올레 등 인터넷서비스업체의 개인정보 유출사고로 피해를 입은 대상자가 1000만명을 넘어섰다고 한다. 이는 휴대전화나 인터넷 등 IT서비스를 사용하지 않는 사람이 극히 드문 점을 고려할 때 인구대비 5명 중 1명은 개인정보 유출 경험이 있는 셈이다.
심지어 인터뷰를 실시하고 있는 필자도, 인터뷰에 응해 준 안전행정부 개인정보보호과 한순기 과장도 개인정보가 유출된 경험이 있을 정도니 스마트폰이나 인터넷을 자주 이용하는 사람이라면 개인정보 유출이 남의 이야기만은 아닐 것이다.
“물론 개인정보 유출 사고가 빈번하게 발생하면서 개인정보보호에 대한 국민의 인식과 관심은 높아지고 있지만 각 기업이나 기관들의 보호수준은 아직 미흡한 상태입니다. 이를 보완하기 위해 정부는 2년전부터 개인정보보호법을 시행하고 있으나, 일일이 규제하고 단속하기에는 한계가 있습니다.”
이에 안전행정부는 개인정보보호 인증제를 통해 민간기업이나 공공기관이 스스로 개인정보보호법상 필수조치 사항을 이행하고 일정한 보호수준을 갖추도록 한다는 방침이다. 한 과장은 개인정보보호 인증제가 정착되면 국민은 정보관리가 안전한 기업이나 기관을 알 수 있어 정보유출에 대한 불안감을 줄일 수 있고, 기업이나 기관은 개인정보 보호를 위해 노력하고 있다는 신뢰감 조성과 함께 기업 이미지 제고에도 도움이 될 것이라고 확신했다.
안전행정부는 이번 인증심사제의 성공적인 도입을 위해 그동안 다양한 준비를 해 왔다. 특히 한 과장은 기업과 기관들의 참여율 제고를 위한 방안 마련에 고심했다고.
“아무리 좋은 제도를 만들고 시행해도 대상자들의 관심이 낮으면 아무 소용이 없습니다. 이에 인증마크를 받는 기업과 기관에 대한 정책적인 지원안을 마련했습니다.”
지원안에 따르면 인증 기업이나 기관은 개인정보보호법에 따라 실시하고 있는 기획 점검 대상에서 제외하고, 고의성이 없는 법위반 사항에 대해서는 과태료와 같은 행정처분도 감경해 줄 예정이다. 또한 교육지원 제공과 개인정보보호 우수기관에 대한 포상도 계획하고 있다고 한 과장은 설명했다.
아울러 인증제도에 대한 홍보를 위해 최근 기업과 기관을 상대로 설명회도 열었다고 한다. 이 자리에서 많은 기업과 기관들이 관심을 보였다고.
“개인정보보호 인증제도 설명회에 참여한 대기업은 물론, 보험·여행·학원 및 교육 기업과 기관들도 큰 관심을 보였습니다. 오는 29일부터 인증심사 신청을 받을 예정인데, 예상 후보군 300여만 기업·기관 중 신청하겠다는 의사를 보인 곳만도 40~50곳에 이릅니다.”
인증제도에 참여하겠다는 수요가 있다면 다음은 이를 객관적으로 평가하고 심사해 줄 심사원의 구성이 중요하다.
이에 한 과장은 최근 인증심사원 신청자 50여명을 대상으로 일주일간 인증기관 교육도 실시했다고 말했다. 그의 말에 따르면 인증심사를 신청한 기업이나 기관을 대상으로 우선 그 규모와 특성을 고려하여 금번 교육과정 이수자들로 인증심사팀을 구성할 예정이다. 인증심사원들은 신청기관의 현장을 방문해 심사항목 및 체크리스트에 따라 인증심사를 진행하게 되고, 적합할 경우에는 해당 기관에게 인증마크를 부여할 계획이라고 한다.
이번 1차 교육 참가자 50여명 중 변호사는 5명이었지만, 향후 인증심사제도가 확대되면 더 많은 변호사가 필요할 것으로 예상된다. 이에 한 과장은 심사원 지원 및 교육에 많은 변호사들이 관심을 가져 주길 바란다는 뜻을 전했다.
“심사항목 중 중요한 부분을 차지하는 것이 법제도적 검토와 판단사항입니다. 특히 개인정보 수집-이용-제공-파기 등 처리단계별 보호조치 이행여부, 정보주체의 권리보장 등의 17개 항목과 함께 관리적, 기술적, 물리적 안전성 확보조치 사항 33개 항목에 대해서는 법률적인 검토와 판단이 반드시 필요한 부분입니다.”
또한 한 과장은 보안업무의 경우 기존에 기술적인 부분들이 주를 이루다 보니 현장에서 기술상의 용어와 법률상의 용어가 일치하지 않아 해석상의 어려움을 겪기도 한다고 설명했다.
이 외에도 개인정보보호법의 가치와 정신이 헌법상 인격권, 자기정보결정권에서 비롯되고 주요한 법상 의무사항이 국민, 정보주체의 권리보장과 관련된 사항인 점을 고려할 때 법조 인력의 식견과 전문성이 필요한 상황이다.
한 과장은 이러한 상황에서 대한변협이 나서 개인정보보호 심사원 자격을 갖출 수 있도록 양성교육 프로그램을 마련해 준 것에 대해 환영의 뜻을 밝혔다.
“급변하는 작금의 현실에서 핵심 트렌드이자 키워드는 창조·혁신·융합이라고 할 수 있습니다. 대한변협의 IT 연수원 개설, 인증심사원 양성 등은 이러한 사회 흐름에 더욱 선제적이고 능동적인 대응이라고 생각합니다.”
한 과장은 대한변협에서 실시할 인증심사원 양성 교육이야말로 법과 기술의 융합으로 새로운 서비스를 창출하는 한편, 국가사회 인프라(Social Capital)로 부각되는 신뢰사회 구현 및 개인정보보호 수준 향상에 법조인이 적극 참여하는 것은 국가경쟁력 향상에 일조하는 것이라며, 이번 대한변협의 교육과정에 많은 변호사들이 참여해 유능한 전문인력이 양성되고, 이들이 IT ·통신분야에서 핵심 주역이 돼주길 바란다는 뜻을 전했다.