인터뷰

“세세한 개인정보보호기준, 오히려 기업 면피(免避) 부른다”…김경환 변호사

이민형

[디지털데일리 이민형기자] 일반적으로 규정과 기준은 세밀한 것이 좋지만 정보보호에 있어서는 이야기가 다르다. 시시각각 변화하는 기술과 침해환경을 고려해야 제대로 대응할 수 있는 만큼 세밀한 규정은 오히려 보안의 발목을 잡을 수 있어서다. 특히 체크리스트로 정형화된 점검은 시간과 인력만 소모할 뿐 큰 효과가 없다는 것이 일반론이다.

김경환 법무법인 민후 대표변호사는 “현재 개인정보보호에 대한 기준은 너무 세부적이고 열거형으로 만들어져 있다. 이는 오히려 면피를 쉽게하는 요소”라며 “최근 발생한 개인정보유출 사건에서 기업이 책임을 지는 경우가 거의 없는 것도 여기에 기인한다”고 강조했다.

가령 현행 개인정보 안정성 확보조치에는 외부침입에 대응하기 위해 방화벽이나 침입방지시스템(IPS) 등을 설치하라고 규정하고 있다. 해당 항목만 준수하면 모든 침해사고 대응이 가능할 것처럼 보이나 현실은 그렇지 않다. 앞서 언급한 것처럼 하루가 멀다하고 발전하는 기술로 인해 예외사항이 다수 생길 수 밖에 없다.

이를 개선하기 위해서는 규정을 ‘목표지향적’으로 설정할 필요가 있다고 김 변호사는 설명한다. 그는 “세부적인 항목 대신 목표 달성을 위한 규정을 만드는 것이 필요하다”며 “가령 방화벽, IPS를 설치하라는 규정대신 ‘접근통제’라는 큰 목표를 세워두면 기업들이 최선의 방법을 찾아서 적용할 것”이라고 설명했다.

김 변호사는 현재 사업장 규모로 설정돼 있는 ‘개인정보 안정성 확보조치’도 변화가 필요하다고 말했다. 현재는 보유한 개인정보 규모가 아닌 사업장 규모로 의무조치사항이 나뉘어진다. B2C 사업자의 경우 중소기업이지만 많은 개인정보를 보유할 수 있고, B2B 사업자의 경우 대기업이라도 개인정보를 거의 보유하지 않을 수 있다.

올해 법무법인 민후는 ‘개인정보 안정성 확보조치’의 기준을 재정립하는 연구과제를 진행했다. 골자는 개인정보보유량에 따라 의무조치사항을 나누고, 의무조치사항은 목표지향적 조문으로 만들어 기업들의 책임을 강화하는 것이다.

이에 대해 김 변호사는 “개인정보보호 조치 강조의 기준은 개인정보보유량”이라며 “연구결과 개인정보가 많으면 규정을 세게 적용하고, 적으면 약하게 할 수 있는 방법이 효과적일 것이란 결론이 도출됐다”고 전했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널