일반기업 대상 각종 개인정보보호 인증제 쏟아져 관련업계 '혼란'
현재 방송통신위원회가 기업들을 대상으로 한 '개인정보보호 인증제도' 도입을 추진하고 있으며 국내 주요 기업·기관의 개인정보보호책임자로 구성된 한국CPO포럼도 최근 개인정보 등급인증제 및 개인정보보호 능력을 평가하는 개인정보보호 자격증을 국내 도입하기 위한 분과 위원회를 발족했다.
여기에는 또한 이미 유사 제도들이 나와 있다. 2002년부터 진행되어 온 KISA의 'ISMS(정보보호관리체계) 인증'을 비롯해, 한국정보통신산업협회(KAIT)의 '개인정보보호마크(e프라이버시마크)', '인터넷사이트안전마크(i-Safe)' 등이다.
◆ 신규 제도들, 기존 제도와 무엇이 다른가= 신규 개인정보보호제도 도입을 추진 중인 방통위나 한국CPO포럼은 기존 제도들과의 차별성을 내세우며 각각 '개인정보보호 인증제도', '개인정보 등급 인증제'의 필요성을 주장하고 있다.
방통위는 e프라이버시마크 제도가 개인정보보호 심사기준을 정해놓고 시작하는데 반해, 개인정보보호 인증제도는 프라이버시관리시스템(PMS)를 통해 개인정보보호의 문제점을 찾고 해결해 주는 컨설팅 개념의 제도라며 차별점을 강조하고 있다.
방통위 관계자는 "자문단 회의를 거쳐 개인정보보호 인증제도의 개정안을 만들고 있으며 제도의 방향 외에 구체적인 방법론이나 절차, 범위 등이 구체화되기 위해 1년 정도의 연구가 더 필요하다고 본다"며 "내년 상반기 정도 셋팅이 되면 시범적용을 할 수 있을 것으로 예상되며 정책적 일정은 연구완료 이후에 결정하게 될 것"이라고 밝혔다.
이 개인정보보호 인증제도는 산하기관인 KISA를 통해 운영될 것으로 보인다. 따라서 기존 KISA의 ISMS인증과의 중복이 예상된다. 이에 대해 방통위는 KISA의 ISMS인증과 50%정도 기술적인 부분이 중첩되지만 인증을 받는 기업들이 선택적으로 받을 수 있도록 한다는 방침이다. 기업들의 개인정보 보유량에 따른 제도의 의무화 방안도 논의 중인 것으로 알려진다.
개인정보 등급인증제를 주장하는 한국 CPO포럼은 이 등급인증제가 실효성이 없었던 기존 유사 제도들과는 다른 제도로 기업들이 지속적으로 개인정보보호에 자발적인 노력을 하게 끔 하는 제도라고 설명했다. 특히, 이 제도가 CPO포럼의 회원사인 국내 56개 핵심 기업들의 의지에 의해 마련되고 있으며 내년 상반기에 시행하는 것을 목표하고 있다고 밝혔다.
한국 CPO포럼 심상현 국장은 "단순히 인증을 받고 받지않은 기업만을 분류할 수 있는 제도로는 부족하다. 이 같은 제도는 전 기업들이 인증을 받는 순간 인증이라는 것 자체의 의미가 없어질 수 있다"고 지적했다. 인증을 받은 기업들이 자격 유지를 위해 지속적으로 활동하도록 지원할 수 있어야 한다는 것이다.
한국CPO포럼은 개인정보 등급인증제와 함께 개인정보보호 자격증을 도입하고 있다. 개인정보보호 능력을 평가할 수 있는 기준이 전무한 상황에서 개인정보보호가 제대로 이뤄지기 위해서는 개인정보보호 자격이 부여되어야만 한다고 강조했다.
◆ 실효성 높이기 위한 방안 검토되어야= 그동안 KISA의 ISMS나 KAIT의 e프라이버시제도 등의 기존 제도들은 전체 기업들을 대상으로 하기에 한계가 있었고 자율규제, 권고 수준에 머물러 활성화하는데 어려움이 많았다. 특히, 사후관리나 인증혜택 측면에서 실효성이 떨어진다는 비난을 받기 일쑤였다.
정보보호관리체계(ISMS) 인증은 조직의 자산에 대한 관리 과정과 문서화, 정보보호 대책이 적절히 수립·관리되는지 평가해 인증을 부여하는 제도이다. 인증유효기간은 3년이며, 인증 수수료는 500만원- 2,000만원(사후관리 비용 포함)에 달한다. 9월말 기준으로 발급된 ISMS인증서 누적건수는 56건으로 대부분의 기업들이 인증을 갱신하고 있는 것으로 파악된다.
KISA의 기업정보보호팀 장상수 팀장은 "인증 비용이 고가인데다 기업 자체적으로 조직을 만들어 운영해야 하므로 작은 기업들이 받기에는 한계가 있어 의무 적용하기 어려운 부분이 있다"며 "ISMS 인증을 받으면 각종 보험료 할인, 국가사업 입찰 시 가산점 부여, 신용평가 가산점, 신뢰도 상승 등 다양한 혜택을 받을 수 있는 것은 분명하다"고 말했다.
개인정보보호 우수사이트 인증마크인 '개인정보보호마크(e프라이버시마크)'는 인터넷사이트의 개인정보보호 정책과 관리수준을 평가해 일정기준을 충족하는 경우 부여하는 제도이다. 해마다 인증을 갱신해야 하며 수수료는 100만원 정도로 인증 갱신 시 심사절차의 간소화로 중소기업은 50만원, 대기업은 70만원의 비용을 지불하게 된다. 현재까지 개인정보보호마크를 부여받은 기업은 170곳이다.
KAIT의 정보보호마크인증위원회 이상호연구원은 "기업들의 개인정보보호관리 정책 및 체계에 따라 스스로 관리하도록 컨설팅을 통해 체크를 해주고 수정사항을 반영하여 합격할 정도의 수준이 되면 인증위원회 심사에 올리는 절차를 거쳐 인증을 부여한다"며 "인증 획득 기업들이 사후관리에 대한 요구가 많아 2006년부터 1년에 2번~3번씩 정기 모니터링을 해주고 있다"고 밝혔다.
한편, 행정안전부는 민간 기업들이 '개인정보보호관리사'를 의무적으로 두도록 하는 방안을 검토 중이다. 개인정보보호법이 활성화 된 이후 본격 추진할 것으로 보인다.
이처럼 개인정보보호 제도 운영 단체, 기관에서는 각각 제도들의 차별점을 주장하고 있으나, 제도를 받아들이는 기업들 입장에서 중구난방 쏟아진 제도들로 인한 적지 않은 혼선을 빚을 것으로 예상된다.
김정은 기자
jekim@itdaily.kr