[이슈분석]정보보호 분야-흩어진 개인정보보호법을 모으자

올해 초 신용카드 3사는 1억건이 넘는 고객 정보를 유출했다. 충격이 가시기도 전에 최대 통신사 KT가 1200만건에 달하는 개인정보를 해킹 당했다. 개인정보유출 사고는 급증하는 반면에 관련 업무를 진두지휘할 컨트롤타워는 없다.

개인정보보호와 관련된 업무가 거의 전 부처에 산재한다. 안전행정부가 정책 수립과 집행을 하지만 정보통신분야는 방송통신위원회가, 금융과 신용분야는 금융위원회가 담당한다. 교육은 교육부가 보건복지분야는 보건복지부가, 노동·법무분야는 해당부처가 각각 업무를 한다. 개인정보 보호를 규정한 법률로 ‘개인정보보호법’이 있지만 ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’ ‘신용정보의 이용 및 보호에 관한 법률’ 등 각각 분야에 개별법이 있어 혼란을 준다. 근본적인 문제로 보호해야 하는 개인정보 범위와 정의도 모호하다.

기업이 받아야 할 ‘정보보호관리체계’ 인증도 중복규제 논란이 거세다. 주요 기업은 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS), 개인정보보호인증제(PIPL) 등 관련 인증을 받아야 한다. 미래창조과학부는 ISMS를, 방송통신위원회는 PIMS를, 안전행정부는 PIPL를 시행 중이다. 거의 유사한 인증을 3번이나 받아야해 인증을 위한 인증이라는 비판을 받고 있다.

보안전문가는 각종 사고 발생 시 정부가 내놓는 각종 규제가 오히려 정보보호 수준을 떨어트린다고 지적한다. 회사 규모와 다루는 정보가 다른 곳에 일률적인 잣대를 들이대 정보보호 수준을 하향평준화한다. 정부 규제만 지키면 사고 발생 시 면죄부를 받을 수 있다. 보안기업은 CC인증을 받기 위한 평가 적체현상 해소도 반드시 풀어야할 문제로 꼽았다.

김인순기자 insoon@etnews.com