개인정보보호법 통과에 따라 그간 법의 사각지대였던 민간 사업자, 비영리단체, 사법기관, 동호회 등 수백만 사업자, 기관들이 추가적으로 개인정보보호 의무를 새로이 부여받게 된다. 아울러 고객 개인정보에서부터 입사 지원자정보, 임직원정보, 협력회사 인원정보 등 모든 유형의 개인정보가 법 적용 대상이 되기 때문에 모든 기업은 어떤 형태로든지 이 법을 준수해야 한다.
기존 법률에 따라 개인정보보호의 틀이 어느 정도 잡혀있던 포털, 통신사, 쇼핑몰 등 정보통신서비스제공자나 준용사업자의 경우에는 개인정보보호법에 따라 변경되는 부분만 보완하면 된다. 하지만 순수 B2B 성격의 제조 기업 등 개인정보보호 관련 법제도의 사각지대에 놓여 있었던 기업들은 완전히 새롭게 개인정보보호 체계를 수립해야 할 것이다.
기업은 우선적으로 개인정보보호법 내용을 충분히 숙지하고, 머지않아 발표될 시행령·시행규칙 및 정부의 정책방향 등을 모니터링해 회사의 개인정보보호정책·지침을 수립해야 한다. 또 조직체계를 정비하는 등 전사 개인정보보호 관리체계도 수립해야 한다.
다음으로는 전사에 존재하는 개인정보가 어떤 것들이 있으며 그러한 정보들이 수집, 저장, 이용, 제공, 폐기되는 모든 과정의 라이프사이클을 파악해 각 단계별로 어떠한 법적·보안적 리스크가 있는지 분석해야 한다.
마지막으로 이렇게 식별된 개인정보보호 리스크에 대해 개인정보보호법에서 요구하는 최소한의 조치를 우선적으로 적용해야 한다. 여기에는 고유 식별정보에 대한 암호화, 접속기록의 보존, 내부관리계획 수립 등과 같은 기술적·물리적·관리적 보호조치뿐만 아니라, 개인정보 수집 동의 절차 수립, 개인정보처리방침 고지 등과 같은 정보주체의 개인정보 자기결정권을 보장하는 측면들도 함께 고려돼야 한다.
최근에 초대형 보안사고가 잇따라 발생하면서 기업의 보안담당자들이 가장 많이 들었을 말이 “우리는 괜찮은가?”였을 것이다. 그동안 설마 우리는 괜찮겠지 하던 안이한 생각들로 인해 소극적으로 대응해오던 기업들도 최근 발생한 보안사고들을 바라보면서 보안 강화를 위한 긴급조치를 취하고 투자를 검토하고 있다.
개인정보보호법도 조만간 현실이 될 것이다. 철저히 준비하고 기업 환경에 맞는 개인정보보호체계를 수립해 더 이상 소 잃고 외양간 고치는 일이 없기를 바란다.
김경하 LG CNS 보안컨설팅 팀장 excelkim@lgcns.com