[해킹 일상화 시대, 빠른 회복체제가 핵심]③
윤수영 개인정보보호책임자協 사무국장 인터뷰
현장에선 과징금 상향 '책임 전가' 우려
CPO 조직적 지원·처우 개선 필요
윤수영 개인정보보호책임자協 사무국장 인터뷰
현장에선 과징금 상향 '책임 전가' 우려
CPO 조직적 지원·처우 개선 필요
[이데일리 안유리 기자] 올해 SK텔레콤, KT, 쿠팡, 신한카드 등에서 대규모 개인정보 유출이 잇따르면서 정부의 ‘과징금 강화’ 논의도 속도를 내고 있다. 다만 처벌 수위를 높이는 것만으로 사고를 막기에는 한계가 있다는 지적이 나온다. 사고를 100% 차단하기 어렵다면, 피해 확산을 최소화하고 빠르게 정상화하는 ‘회복 탄력성’을 높일 수 있는 현장 거버넌스가 함께 작동해야 한다는 취지다.
윤수영 한국개인정보보호책임자협의회(KCPO) 사무국장은 이데일리와의 인터뷰에서 “과징금 강화 움직임만으로는 부족하다. 현장에서 실질적으로 작동하는 개인정보보호최고책임자(CPO) 권한 강화 정책이 병행돼야 한다”고 말했다.
KCPO는 공공·민간 CPO들이 참여하는 단체다. 현업에서 26년간 개인정보보호 업무를 맡아온 윤 사무국장은 올해 1월 협의회에 합류했다. 그는 “CPO가 문제를 인식하고 요구하더라도 예산과 인력, 조직 내 권한이 뒷받침되지 않으면 개선이 현장에서 실행되기 어렵다”며 “기업의 인식 변화와 함께 거버넌스 구조 자체를 바꿔야 할 시점”이라고 강조했다. 이어 “CPO가 현업 부서를 쫓아다니며 ‘이것도 해야 한다, 저것도 해야 한다’고 설득하는 방식은 한계에 왔다”며 CPO 권한 강화를 핵심 과제로 꼽았다.
윤수영 한국개인정보보호책임자협의회(KCPO) 사무국장은 이데일리와의 인터뷰에서 “과징금 강화 움직임만으로는 부족하다. 현장에서 실질적으로 작동하는 개인정보보호최고책임자(CPO) 권한 강화 정책이 병행돼야 한다”고 말했다.
 |
윤수영 한국개인정보보호책임자협의회(KCPO) 사무국장이 19일 서울 성수동 모처에서 이데일리와 인터뷰를 하고 있다 (사진=안유리 기자) |
KCPO는 공공·민간 CPO들이 참여하는 단체다. 현업에서 26년간 개인정보보호 업무를 맡아온 윤 사무국장은 올해 1월 협의회에 합류했다. 그는 “CPO가 문제를 인식하고 요구하더라도 예산과 인력, 조직 내 권한이 뒷받침되지 않으면 개선이 현장에서 실행되기 어렵다”며 “기업의 인식 변화와 함께 거버넌스 구조 자체를 바꿔야 할 시점”이라고 강조했다. 이어 “CPO가 현업 부서를 쫓아다니며 ‘이것도 해야 한다, 저것도 해야 한다’고 설득하는 방식은 한계에 왔다”며 CPO 권한 강화를 핵심 과제로 꼽았다.
CPO ‘권한·독립성’ 강화 논의…CEO 책임 명문화가 관건
개인정보위원회는 CEO가 최종 개인정보 보호 책임자라는 점을 법·정책적으로 명확히 하고, CPO(개인정보보호최고책임자)가 CEO·이사회 직속 컨트롤타워로 기능하도록 하는 제도 개선을 논의 중이다.
윤수영 KCPO 사무국장은 “현재도 CPO에게 예산과 인력, 조직이 임원급으로 주어지지만, CEO가 대표자로서 책임을 지고 CPO 권한을 인정하는 법적 근거가 마련되면 그 권한이 현장에서 훨씬 실질적으로 보장될 것”이라고 말했다.
그는 권한 강화의 핵심 조건으로 ‘독립성’도 꼽았다. 윤 사무국장은 “개인정보를 적극 활용해야 하는 마케팅 부서 임원이 CPO를 겸직하면 이해충돌이 발생할 수밖에 없다”고 지적했다. 다만 “전담 CPO가 이상적이지만, 조직 특성과 사업 영역이 다양하고 법·기술 체계를 함께 이해하는 임원급 인력이 많지 않아 겸직이 일정 부분 일반적일 수밖에 없다”며 “결국 중요한 것은 CPO의 전문성과 실질적 역할 수행”이라고 강조했다.
윤 사무국장은 “정보보호를 사전 예방적 투자로 보는 인식이 CEO와 경영진 차원에서 확고해지고, CEO 책임이 제도적으로 명문화되면 CPO의 권한 역시 자연스럽게 인정받고 강화될 것”이라고 말했다.
“과징금 상향, 현장에서는 우려 커”
최근 개인정보 유출 사고 발생 시 과징금 상향 논의가 이어지는 가운데, 현장에서는 우려가 적지 않다. 윤수영 KCPO 사무국장은 “중대·반복적 유출에 한정된다고는 하지만, 제도가 안착되기 전에 과징금이 과도하게 강화되면 오히려 CPO에게 책임만 전가되는 결과를 낳을 수 있다”고 말했다.
그는 “아직 많은 조직에서 개인정보 보호가 최우선 경영 과제로 완전히 자리 잡지 못한 상태”라며 “이런 상황에서 ‘과징금이 높아졌으니 더 잘 막으라’는 방식은 현장을 위축시킬 수 있다”고 지적했다. 이어 “실질적인 보호 노력을 다하고 선량한 관리자의 주의 의무를 이행한 기업에 대해서는 CPO에게 불이익이 돌아가지 않도록, 선언적 수준이라도 제도화가 필요하다”고 덧붙였다.
ISMS 인증 강화 “실무 의견 반영이 핵심”
정보보호 및 개인정보보호 관리체계(ISMS-P)인증 제도와 관련해서는 심사 과정에 현장 의견을 더 반영해야 한다고 강조했다. 윤 사무국장은 “ISMS는 본질적으로 샘플링 기반 제도라 100% 사고를 막는 장치는 아니다”라며 “향후 인증 기준과 점검 방식이 강화된다면, 세부 기준을 마련하는 과정에서 기업 실무자들의 의견을 충분히 들어야 한다”고 말했다. 취약점 점검 방식, 모의해킹 범위 설정 등 구체적 방법론에서 현장성과 현실성이 관건이라는 설명이다.
윤 사무국장은 CPO 전문성 강화를 위한 정책적 지원 필요성도 언급했다. KCPO 협의회도 포럼과 세미나를 통해 역량 강화를 지원하고 있다. 그는 “CPO는 법률 해석, IT 시스템 이해, 위험 관리, 커뮤니케이션, 비즈니스 이해까지 요구되는 고도의 전문·고위험 직무”라며 “전문성 강화 교육과 직무 특성에 맞는 처우 개선, 조직적 지원 체계가 함께 마련돼야 한다”고 말했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.