[CIO BIZ+]개정 정보통신망법 `혼란` 속 대응...`후속조치 필요`

지난 8월 16일 개정 정보통신망법이 시행됐다. 개정 정보통신망법 적용을 받는 포털, 게임사, 온라인 쇼핑몰 등에서 여전히 주민번호 수집과 입력이 이뤄지고 있거나 개정안에서 요구하는 기술적 조치 내용을 따르지 못하고 있지만 6개월이라는 계도기간이 주어진 만큼 이 기간 내에 상응하는 조치를 취해야 한다.

문제는 법적 처벌이 가능한 내년 2월 18일 이후다. 법이 제시한 시스템적 대응안을 마련하기에 결코 길지 않은 시간이 남았기 때문이다. 기업의 대응은 크게 세 부류로 나뉜다. 법 대응에 맞춰 투자를 서두르는 중인 대기업군, 대응 방안을 마련해야 한다는 것을 알지만 투자할 자금이 없어 고민하는 중견기업군, 그리고 마지막으로 법의 강제성과 내용조차 모르는 많은 중소기업군이다.

◇CIO 최대 고민은 `망 분리`…기술·자금 모두 `골치`=방송통신위원회는 법 시행 이후 세부기준 마련을 위해 고시를 개정하고 23일 시행했다. 인터넷에서 관행적으로 수집·이용해 온 주민번호 사용을 제한하는 것이 법의 가장 큰 취지고 특징이다.

소비자 입장에서 주민번호를 입력하는 일이 줄어드는 것이 정보통신망법의 가장 큰 특징이지만 기업의 대응은 다차원적이다. IT부서에 가장 큰 기술적 문제로 부각되는 것은 `개인정보 취급 PC 망 분리`를 의무화하고 있다는 점이다.

개인정보를 다운로드, 삭제할 수 있거나 개인정보처리시스템 접근권한 설정 등을 할 수 있는 컴퓨터 등에는 물리적·논리적 망 분리 방식을 적용한다는 것이 개정고시의 골자다. `외부 인터넷 망`과 `업무 망`을 분리하라는 것이다. NHN·다음 등 포털, 이베이코리아 등 온라인 쇼핑몰 사업자, 복수종합유선방송사업자(MSO) 등 관리하는 가입자 수가 많고 개인정보도 많은 기업은 대부분 기술적 조치를 완료했거나 마무리 단계다.

개인정보에 접근해야 하는 임직원, 개인정보 관련 시스템을 관리해야 하는 IT 담당자 PC가 `망 분리` 대상이다. 이베이코리아 등은 `물리적` 망 분리 방식을 택했고, CJ헬로비전과 씨앤엠 등은 `논리적` 망 분리를 택했다. 일반 직원의 5%에서 많게는 70%에 해당하며 개인정보 관련 시스템, 즉 가입자관리시스템에 접근하고 있던 기업이 많다. 여기에 콜센터 상담원 PC까지 더하면 적지 않은 수라는 것이 기업 주장이다.

물리적 망 분리를 택한 기업은 개인정보를 다루는 PC에서 아예 인터넷이 안 되도록 했다.

한 복수종합유선방송사업자(MSO) 최고정보책임자(CIO)는 “콜센터는 업무의 90%가 개인정보처리시스템을 다루고, 본사는 부서당 적게는 5%에서 많게는 30%가량에 해당하는 것으로 파악 중”이라면서 “데스크톱가상화(VDI)로 논리적 망 분리를 도입, 필요한 직원이 인터넷에 접속할 수 있도록 추진하고 있다”고 말했다. 임직원 80%가량이 개인정보 시스템에 접속해야 업무 처리가 가능한 사례도 많다.

기업은 다양한 기술적 대응을 하고 있다. 개인정보처리시스템을 많이 다루는 개인 PC에서는 기본적으로 인터넷이 되지 않고 별도 망으로만 개인정보 DB 등에 접속하면서 필요할 때만 VDI를 이용해 인터넷이 가능하도록 하는 방법 등이 주로 도입되고 있다. 개인정보 관련 시스템에서 다운로드 받을 수 없거나 인터넷으로 업로드가 불가능하도록 조치하고 있다. 제로클라이언트도 좋은 대안이다.

문제는 VDI 라이선스 비용이다. 물리적 망 분리에 의한 PC 비용, 신클라이언트 혹은 제로클라이언트도 부담이다. 특히 사용자당 연 70만~90만원에 이르는 VDI 라이선스 비용은 콜센터 직원 수백명을 포함하면 연간 수억원은 소요된다는 것이 기업 주장이다.

한 IT 책임자는 “공공기관과 대기업이야 비용 부담없이 물리적 망 분리를 하겠지만, 그렇지 않은 기업이 많다”면서 “PC를 새로 구입해 모든 애플리케이션을 설치하는 물리적 망 분리 방식보다는 VDI를 이용한 논리적 방식이 비용 부담이 덜한 편이지만 여전히 투자비 부담이 있다”고 토로했다. 또 “마킹된 정보를 내려받는 상담원이 볼 수 있는 정보는 제한돼 있기 때문에 정보 유출 가능성이 적은데도 다 적용하려니 부담”이라고 말했다.

또 개인정보를 일부 공유하는 직원 10명 이하 규모 영세 협력업체까지 포함하다 보니 더욱 문제가 된다는 곳도 있다. 고객 정보를 다루면서 스마트폰과 스마트패드로 모바일 업무를 하는 현장 기사 등 3G·4G 망 접근을 해결해야 하는 과제도 남아있다. 이 문제를 해결하기 위해선 역시 `모바일 가상화`를 도입해야 한다.

◇개인정보 사용 이력 통지…방식과 범위 `혼란`=개정 정보통신망법에 따르면 100만명 이상 이용자의 개인정보를 보유한 정보통신서비스 제공자는 연 1회 이상 이용자에게 개인정보 이용 내역을 통지해야 한다. 이 조항은 시스템적으로 준비가 필요하지만 일부 정보보호책임자에게 혼란을 주고 있다는 것이 이들의 설명이다.

기업 대부분은 각 개인정보의 제공 및 사용 이력을 관리하고 이를 시스템적으로 분류해 이메일 등으로 고지할 수 있는 시스템을 개발했거나 남은 계도 기간 중 개발을 완료할 예정이다. 국내 온라인 쇼핑몰 보안 책임자는 “근거를 남겨 놓았다가 1년에 정례 통지해줄 수 있는 시스템을 개발하고 있다”고 말했다.

일부 기업은 아직 방통위에서 내놓은 안에 구체적 기준이 모호하다는 분석을 내놓고 있다. 한 정보통신 기업 관계자는 “누가 개인정보를 열람했다는 것까지 알려줘야 하는지, 위탁하고 제공하는 기업 등 어느 수준까지 사용자에게 고지해야 하는지 명확한 가이드라인이 없어 담당자는 혼선이 있다”면서 “정부기관 등에서 더 명확한 가이드라인을 주면 현장 업무가 수월할 것”이라고 말했다.

또 `3년 이상 장기 미사용자`의 개인정보를 삭제해야 하는 것도 기업에는 고민이다. 한 IT기업 홈페이지 보안 관계자는 “접속 이력이 없다고 해서 사용하지 않는 가입자가 아닐 수도 있다. 사실상 장기 미사용자 기준이 모호하다”면서 “사용자 불만과 민원을 기업이 감당해야 하다 보니 정확히 어떤 때에 삭제를 해야 하는지 명확한 판단 기준이 있으면 좋겠다”고 밝혔다.

더 자세한 기준에 대한 요구도 많다. 망 분리 PC를 설정하려니 취급자 범위가 애매하다는 의견도 있다. 개인정보 직접 취급자, 즉 DB관리시스템(DBMS)을 직접 접속하는 사람 이외에 그저 애플리케이션 접속도 포함되는 것인지 명확한 기준이 필요하다는 것이다. 콜센터와 협력업체 등 사내 직원은 물론이고 사외 직원 적용 범위도 관건이다.

법 대응을 준비 중인 한 기업의 IT 담당자는 “기업 입장에서는 가입자 및 개인정보 보유건수가 많은 중견 및 소규모 업체의 비용 소모와 추가적 부담, 기술적 어려움을 이해하지 못한 탁상행정이라는 비판도 있다”면서 “가이드라인과 대안에 후속 조치가 반드시 필요하다”고 말했다.

개정 정보통신망법 시행에 따른 기업들의 주요 고민


M

유효정기자 hjyou@etnews.com