PIPL(개인정보보호 인증제) 설명회 참석 후기

지난 18일 월요일 서울 한국정보호화진흥원 (무교동) 1층에서 개인정보보호 인증제(PIPL) 설명회가 있었습니다. 이에 참석하기 위하여 부산에서 아침 새벽 5시에 출발하였습니다. 물론 다른 일정도 포함하여 1일 당일로 다녀온 서울 출장이었습니다...이에 개인정보보호 인증제도 설명회 후기를 제 주관적인 관점에 따라 간략하게 블로그에 기록해 봅니다. 의견 있으신 분들은 댓글로 환영합니다. -주인백

1. 하루 스케쥴은 미리 계획하여 스케쥴대로 이동

보통 출장시에는 사전에 이동경로를 파악하여 시간을 설정하여 그 시간대로 움직이게 됩니다. 그렇게 이동을 하더라도 늘 변수가 생길수 있어 최대한 일정에 맞추려 하고 있습니다. 18일 당일에도 무사히 계획대로 잘 움직인듯 합니다. 다만, ISEC2013 참여도 있었으나 시간 관계상 참여 하지 못한 것이 아쉽네요...

2. PIPL 설명회 참석 

서울역에서 급한 마음에 택시를 탔는데, 정보화진흥원을 가자고 했는데 알지 못하고 있었습니다. 그러면 네비라도 검색해서 가야하는데 기사분은 자꾸 어디죠? 차라리 지하철 타고 이동할껄 생각하며 네비 쳐 보세요라고 말하자 그때서야 네비를 찍더군요...

근처에서 내려 걸어서 진흥원에 갔을때 이미 많은 분들이 와 있었고, 눈에 익는 분들도 몇분 계셔서 인사를 나누고 설명회를 들었습니다. 원장님 인사 말씀과 관계자분들의 설명이 이어졌습니다.

                                          ▲  개인정보보호 인증 설명회 책자 

PIPL(피플)이라고 읽더군요...설명회를 듣고 PIPL 특징과 느낌  몇가지를 적어 보겠습니다...

• PIMS와 유사하다. PDCA 사이클을 준수한다.
• 개인정보보호법을 토대로 개발되어 개인정보보호법을 반드시 숙지해야한다.
• 공공기관, 대기업, 중소기업, 소상공인 4개 대상으로 분류하여 차별화 하였다. (이것이 가장 타 제도와 차별점)
• 공공기관이 대상이 되기 때문에 더 활성화가 될 것으로 예측이 된다.
• 제도 마련으로 보안관련 일자리가 창출 된다. 특히 지역 보안 일자리
• 시행초기라서 시행착오를 겪을 것으로 예상된다.

1. PIMS(개인정보보호관리체계)와 유사성

그동안 국제표준을 추진하고 있는 방통위의 민간 개인정보보호관리체계인 PIMS와 유사하게 개발 되었으며, PDCA 사이클을 따릅니다.. 따라서, 제도 한가지를 잘 숙지하면 나머지는 거의 유사하기 때문에 비교하여 숙지 하면 됩니다.. 하지만 정보통신망법의 특별법을 따르는 기업에 일반법으로의 개보법(개인정보보호법)을 따르게 되면 제도 인증시에 구축하는 기관과 기업입장에서는  조금 혼란은 불가피 할 것으로 생각이 됩니다..

예를 들어 A지자체 기관이 지역에 특산물인 농산물을 온라인 쇼핑몰을 이용하여 영리를 추구하는 사이트를 직접 운영한다고 가정을 한다면 이 기관은 공공기관이므로 개인정보보호법 대상이지만 쇼핑몰은 정보통신서비스 제공자가 되고 해당 구매자는 이용자가 됩니다. 이럴때 A지자체는 전사적으로 개인정보보호 인증을 받으려 한다면 어떤 기준으로 할까하는 생각이 듭니다., 물론 , 혼란스러울때에는 전사적으로 받지 않고, 특정 부분이나 서비스를 대상으로 받을수 있으나 대부분 전사로 받으려는 곳이 많기 때문입니다.

2. 개인정보보호법 토대로 개발 되었다.

관계자분 말씀에 따르면 개인정보보호법 토대로 개발이 되어 법에 나온 내용은 대부분 반영이 되어 있다고 합니다. 따라서 앞으로 기관에 개인정보보호 담당자나 컨설턴트 분들은 개인정보보호법에 대한 숙지가 반드시 필요하고 자주 법을 접하게 될 것입니다. 저도 지금까지 164곳의 기관에 개인정보보호 교육을 하다보니 본의 아니게 개보법과 특별법인 의료법, 고등교육법, 여권법등 다양한 법을 접하게 되었습니다. 아마도 관리체계를 준비하거나 공부하시는 분들은 이러한 법,제도를 많이 숙지를 해야 할 것입니다. 또한 시행령, 시행규칙, 그리고 세부적인 고시기준에도 실천해야 할 사항들이 많이 있으므로 잘 챙겨 보셔야 합니다. 특히, 고시는 다양한 세부 내용이 들어 있으므로 망법과 개보법을 잘 비교하여 숙지하는 것이 중요합니다...제가 교육시에는 자주 강조하는 것 중에 하나가 바로 "기준" 입니다. 그 기준이 없으면 무엇을 어떻게 해야 할지를 결정을 하지 못합니다. 어렵다고 회피하거나 사례 위주로만 연구를 하면 그외적인 부분에서 많이 힘들어 집니다.

따라서, 어렵더라도 자주 접하고 또 찾아보고 또 접하고 하면 어느새 익숙해져 있는 자신을 보게 됩니다. 조금 자세히 연구하고 공부하다보면 어려움을 넘어서 조금 재밌게 접할 수 있는 시기도 도래 하게 됩니다. 기왕 하는게 툴툴대면서 하면 결국 할꺼 하면서 늘 지치게 됩니다. 즐기시길 당부드립니다..

3. 대상이 선별적으로 구분되어 있다. 

공공기관, 대기업, 중소기업, 소상공인 등으로 구분되어 있는것이 가장 큰 특징이라 하겠습니다. 소상공인에게 정책까지 요구하는 것은 어쩌면 현실성이 떨어지는 것일지도 모릅니다,. 그러니 개인정보처리단계별 조치사항만이라도 잘 준수하고 있다면 이에 대한 인센티브를 줄 필요성이 있습니다. 특히 PIPL은 의무사항이 아니라 권고 사항이기 때문에 자율성을 띤 제도입니다. 물론 자율성이라고는 하지만 공공기관의 경우 앞으로 의무화 될 가능성이 높다고 봅니다..이러한 대상의 다양성 측면에서는 보다 수준별로 적용 가능한 것은 유연성 있다고 보겠습니다.

4. 공공기관의 대상, 개인정보보호 실태점검, 수준점검 등과 충돌성 여부

PIPL은 공공기관 개인정보보호 관리체계 인증 제도이기 때문에 앞으로 활성화 될 것으로 사료됩니다. 이는 기존에 실태점검이나 수준점검 보다 조금 대외적인 측면과 신뢰도 측면에서 더 큰 제도로 자리 매김 하게 될 것이기 때문입니다.  실태점검이나 수준점검은 그 해당연도의 실태점검 차원에서 진행이 되었지만  PIPL의 인증제도가 정착이 된다면 굳이 2-3가지 제도를 함께 운영할 필요가 없을 것으로 봅니다. 물론 긴급성이나 해당 부처에서 내부적으로 실태점검 할 수있는 있겠지만요. 담당자 입장으로서는 여러가지 준비하려면 그만큼 부담으로 작용되기 때문입니다. 따라서 , PIPL하나만 잘 준비하게 된다면 다른 실태점검이나 수준점검도 이에 합당하는 수준까지 올라 간다고 하면 PIPL에 대한 도입만 신경쓰면 될 것입니다. 정책적인 입장에서는 추후 시행되어 불필요한 이중 규제적인 성격이 된다면 더 합리적인 차원에서의 인증제도만 남을 것으로 사료됩니다. 물론, PIPL을 도입하지 않는 곳이 많기 때문에 확산되기까지는 기존 실태점검이나 수준진단을 진행될 것으로 예상이 됩니다.

따라서, PIPL은 현재는 권고수준이지만 향후에는 의무사항으로 갈 가능성이 높아지지 않을까 예상해 봅니다.

5. 제도마련에 따른 일자리 창출, 지역에 보안 일자리 창출

사실상 하나의 제도 마련하였다고 얼마나 일자리가 창출 될 것인가 의문을 가지는 경우가 있지만 새로운 기술의 발전과 서비스 출현으로 그만큼 위험의 요소도 증가하기 때문에 보안에 대한 요구사항도 많아 지게 됩니다. 이러한 차원에서 관리체계에 대한 도입이 가중될 것으로 생각 됩니다. 이에 따라 수행할 인력도 많이 필요하게 될텐데요..

첫째, 관리체계는 자체적으로 수립하여 진행하는 경우가 극히 드물게 보입니다. 대부분 컨설팅을 받게 됩니다. 이는 자체 구축이 가능하더라도 해당 부서의 예산과 실적과 같은 내부적인 요인으로 전문업체 컨설팅을 용역 발주하게 되는데 이에 대한 컨설팅 인력이 더욱 증가하게 될 것입니다. 특히 공공기관의 개인정보보호 관련 인증이기 때문에 더 많은 인력이 필요로 해 보입니다. 앞으로 지켜봐야하겠지만 말이지요..

둘째, 인증심사원의 증가가 예상이 됩니다. 현장심사를 위해서는 심사원, 선임심사원,책임심사원등 경험있고 유능한 심사원이 많이 필요로 합니다. 그럼 인증신청수에 비하여 과도한 인증심사원이 필요가 있느냐는 반문을 하시는 분이 있을 수 있는데, 실제로 인증심사기간은 5일정도 소요되기 때문에 사실상 재직하면서 심사를 나간다는 것이 그리 쉬운 일은 아닙니다. 또한 다양한 분야에 대하여 심사를 하기 때문에 다양한 분야 심사원 풀(Pool)이 필요합니다. 이에 적어도 약 500명 이상의 인증심사원 풀은 확보해야 하지 않을까 하는 생각이 듭니다. 

셋째, PIMS는 민간에서 실시하는 개인정보보호관리체계 인증인 반면에 PIPL은 공공기관을 비롯한 3개 대상을 구분하여 진행을 합니다. 따라서, 지역에도 많은 공공기관과 중소기업이 있기 때문에 (개인정보보호법 대상이 되는 기업) 이에 대한 수요로 인하여 지역에 있는 인증심사원과 컨설턴트의 기회가 더 많아 질 것으로 예상을 합니다. 대다수 정보보호 관련 컨설팅 기업은 서울과 수도권에 있기 때문에 사실상 지역에서 적은 비용으로 2-3개월씩 상주하면서 체제비용을 감당할 수 있을까 하는 의문이 듭니다. 그렇다 보면 결국 컨설팅 비용단가가 상승하게 되고, 이는 용역 수주에 대한 비용상승으로 작용하게 됩니다. 지역 업체나 개인정보보호 관련 우수한 인력을 잘 활용하여 로컬라이제이션하게 된다면 지역 보안 일자리 창출과 지역 IT관련 대학의 학생등 참여도 유도 할 수 있고, 장기적인 안목에서 선순환을 가져 올수 있게 될 것입니다. 이런점에서는 관련 부처 담당자분들께서 잘 고민하고 제도 정착이 될 수 있도록 조금 더 배려와 신경을 써 주신다면 제도의 취지를 잘 반영이 될 것으로 사료 됩니다.

6. 시행초기라서 시행착오가 있을 듯.

처음부터 완벽하면 좋겠지만 시행착오가 될 것으로 사료됩니다. 관리체계는 하나의 제도이기 때문에 진흥적인 측면에서의 인센티브 성격도 있지만 대부분 받아들이는 입장에서는 규제적인 성격으로 받아 들이고 있습니다. 따라서 타 기관과의 협조라든지, 혹은 이중규제 그리고 진행하면서의 현장에 대한 여러가지 미비점들이 도출 될 것으로 사료됩니다. 가급적 다양한 목소리를 청취하여 많은 의견 수렴을 적극 반영 하였으면 합니다.

마무리.

국내에는 여러가지 보안관련 법과 제도가 많습니다. 그중에 보안을 체계적으로 관리하는 것은 굉장히 중요한 요소중에 하나라 생각합니다. 소기업이었을땐 주먹구구식으로 그때 그때 상황에 따라 솔루션 도입이나 대응을 하였지만 어느정도 기관이나 기업이 규모가 커지만 이제는 합리적이고 체계적인 관리가 필요합니다. 그중에서 정보주체나 이용자의 개인정보는 기관이나 기업의 자산이 아니라 정보주체나 이용자의 개인정보를 잠시 수집하고 보관하고 이용하고 제공하고 파기 하는 형태이기 때문에 무엇보다 소중하게 다루어져야 합니다.

이에 , PIMS와 PIPL 등이 마련되어 시행을 하거나 시행을 앞두고 있습니다. 무엇보다 중요한 것은 이 제도를 만든 처음에 취지를 잘 이해를 해야 할 것입니다. 기관이나 기업에 규제하려는 접근방식보다는 그동안 너무나 방치되어 있던 개인정보보호에 대한 관행적인 습관을 이제는 법 시행이후에 제대로 관리 해 보자는 취지이며 그렇게 신경쓰는 기업이나 기관에 대해서는 조금 더 인센티브를 주어야 하는 것은 마땅 할 것입니다. 이를 면죄부를 주거나 도피하기 위한 방법으로 사용한다는 것으로 곡해 해서는 안될 것입니다. 그 이유는 법과 제도가 시행이 되더라도 완벽하게 100% 그대로 시행하는 기관이나 기업은 없기 때문입니다. 

물론, 해당 기업이나 기관 담당자분들께서는 많은 애로사항이 있을것으로 사료 됩니다만 이미 최근에 보안 트렌드나 이슈는 그 패러다임의 전환점을 맞이 하고 있습니다. 사전 조기 예방을 위해서는 이러한 제도를 규제보다는 적극적으로 활용하여 보다 안전한 기관과 기업의 신뢰도를 높이는 것이 더 중요한 사명이 아닌가 생각해 봅니다. 의견 있으신 분들은 댓글로 환영합니다. 인격적인 댓글은 사양합니다. @엔시스 .

P.S 참고로 올해 첫눈을 서울 출장중에 맞이하였습니다...그 순간 어느 카페에서 중요한 분들과 담소를 나누던 중이었습니다. 2013년 첫눈 맞이하는 추억으로 남을 듯 합니다. ^^

* 본 포스팅 이후에 따로 설명회를 열어서 설명한 동영상이 유튜브에 올라와 있군요.,.데일리시큐에서 공개해 주셨습니다. 감사드립니다.

동영상링크

http://www.youtube.com/watch?v=ZkgONyGs9BA#t=11