다수 공공기관이 법적 완료시점을 얼마 남겨 놓지 않은 상황에서 개인정보 암호화를 추진해 자칫 부실 프로젝트로 이어질 수 있다는 우려가 높아졌다. 시·군·구 등 지방자치단체는 개인정보 암호화를 어떻게 적용할지를 몰라 중앙부처의 구체적인 가이드라인을 기다리고 있는 실정이다.
5일 공공기관 및 보안업계에 따르면, 개인정보보호법에 명시된 고유식별번호 암호화 완료 시점인 연말을 앞두고 최근 국방부·법제처·고용정보원·국민연금관리공단·한국철도공사 등 중앙부처와 공기업이 개인정보 암호화 프로젝트를 연이어 발주했다. 주민등록번호 등 고유식별번호는 물론이고 전사 데이터베이스(DB) 암호화를 하는데 6개월 이상이 소요된다는 점을 고려하면 개인정보 대응이 뒤늦게 이뤄지고 있다는 지적이다.
일부 대형 기관을 제외한 상당수 기관은 개인정보보호법에 명시된 인터넷망에 연동된 고유식별번호 데이터만 우선 암호화를 진행한다. 향후 단계적으로 DB 암호화를 추진할 계획이지만 예산 확보 등이 쉽지 않을 가능성도 있다. 후속 프로젝트를 진행하지 않으면 외부 해킹이 아닌 내부에 의한 개인정보 유출에 대해서는 속수무책이다.
DB 관리시스템이 메인시스템과 연동된 경우는 암호화가 더욱 어려운 상황이다. 메인시스템 노후화로 하드웨어(HW)를 교체해야 하는 경우가 발생하기 때문이다. 한 대형 공공기관은 이러한 이유로 프로젝트를 진행하다 최근 중단했다.
시·군·구 등 기초 자치단체는 더욱 심각하다. 기초 자치단체의 개인정보 암호화를 위해 정부통합전산센터 주도로 한국정보통신기술협회(TTA)에서 관련 제품을 복수로 선정, 추천하는 방안도 마련했다. 보안업계 한 관계자는 “기초 자치단체 중 개인정보 암호화를 진행한 곳은 30% 정도에 불과하다”며 “대부분 연내 암호화 적용이 어려울 것 같다”고 말했다.
연말 공공기관 개인정보 암호화 사업이 몰리는 것도 문제다. 국내에는 개인정보 암호화 사업을 수행할 수 있는 보안업체는 7~8개에 불과하다. 관련 사업발주가 많아지면서 사업 품질이 낮아질 수도 있다는 지적이다. 또 다른 보안업체 관계자는 “다른 기관에서 먼저 하기만을 기다렸다가 마지막 시점이 돼서 모두들 한꺼번에 사업을 발주하는 전형적인 공공사업의 형태를 보여주고 있다”며 “프로젝트 수행 경험이 있는 인력은 한정돼 있어 자칫 표면적인 사업 수행만으로 그칠 수 있다”고 우려했다.
이에 대해 행안부 관계자는 “앞서 두 차례 실태조사를 진행한 결과 공공기관의 개인정보 암호화에는 큰 문제가 없다”며 “기초 자치단체는 최근까지 공통기반시스템에 대해 암호화를 누가해야 하느냐는 이슈가 있었지만 지금은 모두 해결된 상황”이라고 다소 상반된 입장을 밝혔다.
신혜권기자 hkshin@etnews.com