카드사 개인정보 유출 사고 이후, 이러한 사고를 일으킨 기업/기관의 CEO 해임 등 중징계를 할 수 있도록 규제가 강화되고 있다. 그러나 현행 개인정보보호 관련 법규에서도 CIO·CISO 등 보안 전담 임원을 두고 보안 조직의 위상을 강화하며, 사고 시 임원에 대한 강력한 처벌이 가능하도록 규정하고 있다.
구태언 테크앤로 법률사무소 대표변호사는 “사고시 무조건 임원을 문책한다면, 임원들은 사고를 은폐하려고 할 것이다. 경영진에 대한 중징계만으로는 개인정보 유출 사고를 막을 수 없다”고 말했다.
구 변호사는 “사고가 일어났다는 사실만에 대해 강력한 책임을 묻는 ‘결과 책임주의’로는 악순환의 고리를 끊을 수 없다. 범죄가 발생했으면 범죄자를 잡아 처벌하고 재발을 방지하기 위한 대책 마련에 집중해야 한다”고 말했다.
그는 이어 “개인정보를 유출한 사람은 범죄자이다. 현행법 상 범죄자에 대한 처벌 규정은 이미 충분히 마련돼 있다. 경찰 10만명이 있어도 범죄를 막을 수 없듯, 아무리 철저하게 보안 정책을 지킨다 해도 정보유출 범죄를 완벽하게 막을 수 없다”며 “사고가 발생한 기업/기관의 임원이 총사퇴한다고 해서 문제를 해결할 수 있는 것은 아니다”라고 덧붙였다.
전사적인 보안역량 강화해야
정부는 개인정보 유출사고를 막기 위해 규제를 더욱 강화하고 있지만, 강력한 법규만으로 사고를 막을 수 없다. 보안 솔루션이나 시스템으로도 공격을 완벽하게 막을 수 없다. 내부자가 모니터를 사진 찍거나 수기로 적어 개인정보를 하루 100여건씩 수개월동안 빼가는 간단한 방법으로 보안 시스템을 우회할 수도 있다.
개인정보 유출사고 방지를 위해서는 전사적인 보안역량을 강화해야 하며, 전 임직원의 보안 생활화가 필요하다. 건강을 위해 신체의 각 부분이 제 역할에 충실해야 하듯, 모든 조직과 시스템이 보안을 제대로 지켜야 정보를 안전하게 보호할 수 있다.
“모든 업무는 연속적으로 이어지게 돼 있다. 외주인력이 회사 내로 출입할 때에는 출입시스템을 관리하는 총무부에서 책임을 져야 하지만, 업무 수행 과정에서 보안 규정을 위반하는지는 해당 사업을 주관하는 부서에서 책임을 져야 한다. 보안을 보안조직에만 맡겨서는 광범위하게 퍼져있는 보안위협을 막을 수 없다.”
구 변호사는 이렇게 말하며 “정보보안과 관련된 각 부서별 R&R을 마련해 반드시 지키도록 하는 등 전사적인 정보보안 거버넌스를 수립한 후 보안조직 및 전 임직원에 대한 교육과 훈련을 실시해야 한다. 그리고 보유하고 있는 정보 중 불필요한 것은 확실하게 삭제하고 중요한 정보는 더욱 철저하게 지킬 수 있도록 해야 한다”고 강조했다.
