개인정보보호법 의무적용 대상이 공공·정보통신 사업자에서 민간부문으로 확대되면서 개인정보를 보유하고 있는 제조·유통 기업들이 보안수준 업그레이드에 분주해졌다.
4일 삼성·롯데·NHN·이베이코리아 등 제조·유통·서비스 업계 주요 기업은 강화된 개인정보보호법 수위에 맞춰 개인정보 보안 수준을 대폭 상향조정했다. 별도 안내 없이 CCTV를 가동하고 있던 기업들도 별도 고지 방안을 마련하고 있다.
삼성·롯데그룹은 글로벌 전사자원관리(ERP)의 DB 암호화를 도입하는 등 기술적 조치와 더불어 삼성SDS·롯데정보통신 등 각 IT서비스 기업에 정보보호 관련 컨설팅을 의뢰했다. 삼성전자 등 제조기업은 사내 임직원 정보의 암호화 조치를 강화하고 있으며, 사업장 CCTV 촬영 안내를 고지하는 대책도 수립 중이다.
그동안 정보통신망법 적용 대상이던 NHN·다음 등 포털업계도 강화된 개인정보보호법에 맞춰 추가 대응 전략을 수립하고 있다. NHN 관계자는 “임직원 개인정보 및 신문기사·제3자 등으로부터 수집해온 개인정보 동의 절차를 추가하기로 했다”고 설명했다. 임직원 정보나 회원이 아닌 제3자로부터 수집한 정보는 그동안 법률 규율 대상에서 제외돼 왔던 영역이다. 이 관계자는 “개인정보보호법에서는 서비스 이용자(회원)가 동호회 운영 등 목적으로 타 회원의 정보를 수집, 이용하는 것을 규제하고 있어 주의가 필요한 대목”이라고 설명했다.
홈쇼핑 업계도 바빠졌다. 롯데홈쇼핑은 롯데정보통신과 업계 최초로 개인정보 보안 강화 컨설팅을 완료했다. 이 회사 관계자는 “각 팀 개인정보 취급 인력이 참여해 고객정보를 열람 및 활용·파기하는 업무와 암호화, 저장 여부, 복구 규제를 대폭 강화했다”고 밝혔다.
G마켓·옥션을 운영하는 이베이코리아는 옥션·지마켓 거래 고객에 대한 수집과 폐기 방식을 법 개정에 맞춰 전면 수정하기로 했다. 회원 가입 시 약관 등 주민등록번호 기입 규정, 또 폐기 기준을 개편한다. 거래 기록을 5년간 보관해야 하는 기존 법 규제와 상충되지 않도록 거래 유무 경우를 나눈다. 주민등록번호를 회원 가입 시가 아닌 거래 시에만 기입하도록 하는 방안 등을 검토하고 있다.
이 회사 관계자는 “법적으로 보관해야 하는 정보도 회원 가입·구매 등에 따라 구분하고, 불필요한 정보는 수집하지 않도록 회사정책을 변경하고 있다”고 말했다. 회사는 개인정보보호팀을 주축으로 보안팀, 법무팀 등을 총동원해 대안을 마련하고 있다.
의류·제약·화장품 기업도 대응에 분주하다. 삼성그룹에서 가장 먼저 개인정보보호법에 대응해 삼성SDS와 컨설팅에 착수했던 제일모직은 의류 매장에서 입력되는 개인정보 전송과정도 전면 암호화했다. 이를 활용할 수 있는 임직원 자격도 엄격히 제한, 폐기·수집 규약을 새로 만들었다.
동아제약도 ERP 내의 고객 정보관리의 암호화 및 규정을 새롭게 마련하고 있다. 이 회사 관계자는 “거래 기업의 사업자등록번호와 상호 등 정보, 자사 임직원 정보 보안 규정을 강화하고 있다”고 설명했다.
아모레퍼시픽은 정보보안센터(ISC)가 불시 점검과 모의해킹 등을 통해 취약점을 검토하고 위험도 평가를 진행해 왔다. 매월 특정 주제의 개선 사항을 알리는 ‘보안 마인드 개선 프로젝트’도 연재, 임직원 보안의식 제고에 힘쓰고 있다.
유효정기자 hjyou@etnews.com