"개인정보보호 총괄 컨트롤타워 시급"

[아이뉴스24 양태훈기자] "개인정보보호 업무가 행자부, 과기정통부, 방통위, 개인정보보호위원회 등 4개로 나눠진 것은 사실이다. 너무 많은 게 사실이지만, 진흥과 규제를 같이할 것이냐의 문제는 논의가 필요하다."

김용수 과학기술정보통신부 제2차관은 17일 열린 국회 과학기술정보방송통신위원회 산하기관 국정감사에서 "개인정보 분야를 총괄할 수 있는 정부 컨트롤타워가 시급하다"는 김성태 자유한국당 의원의 지적에 이 같이 답했다.

김성태 의원은 이날 국감에서 "매년 국감을 통해 개인정보 보호실태와 함께 사후관리에 대한 문제가 꾸준히 제기, 지난해 3월 감사원도 개인정보인증체계인 ISMS, PIMS의 심사항목 중 74%가 유사·중복항목이 있다며 통합방안 마련을 촉구한 바 있다"고 강조했다.

이어 "과기정통부(정보보호 및 산업)와 방통위(개인정보 보호)는 각자의 업무영역 고유성을 주장하지만, 이로 인한 피해는 고스란히 관련 기업이 부담하는 실정"이라며 개인정보 관련 정부 통합 컨트롤타워의 필요성을 주장했다.

또 "컨트롤타워 없이 현재와 같은 상황이 장기화된다면, 법률을 통해 통합을 강제적으로도 유도하는 방안도 고민해야한다"고 강조했다.

이에 김용수 차관은 "모든 것은 법정사항"이라며, "법 개정 없이 불가하다"고 답했다.

방통위에 따르면 지난 5년간 개인정보유출 사고는 총 116건을 기록, 이로 인한 유출된 개인정보는 5천300만개에 달하는 것으로 나타났다.

또 감사원은 지난해 3월, 정보통신망법 등 개인정보보호 인증체계 통합 등의 문제와 관련해 정보보호 및 개인정보보호 인증제도 통합 추진에 관한 문제점(ISMS, PIMS 심사항목 중복성)을 지적한 바 있다.

과기정통부와 방통위는 정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS)를 각각 '정보보호'와 '개인정보보호'에 특화, 고유 존재가치를 지닌다 주장했지만, 인증체계에 대한 컨트롤타워 없이 항목별로 구분해 놓은 결과 연계운영 필요성에 대한 검토가 미흡하다는 것.

가령 1천500만원의 비용이 소요되는 ISMS는 인증범위 내 시스템과 서비스 안정성, 신뢰성 차원의 깊이 있는 심사가 이뤄지나 인증범위 밖에서의 개인정보 흐름을 고려하지 못하다는 지적이다.

2천300만원의 비용이 소요되는 PIMS는 전사 범위에서 개인정보의 흐름을 고려하지만, 시스템과 서비스 안정성·신뢰성 측면에서 ISMS 대비 심도 있게 다루지 못한다는 지적이다.

김성태 의원은 "ISMS 규정과 PIMS 규정을 물리적으로 통합해 일원화된 인증을 부여하되 두 부처에서 주장하는 특수성을 고려하는 방법을 함께 고려해 볼 수 있을 것"이라며, "가령 인증내용이 정보보호에 더욱 특화돼 있는 경우 ISMS 우수표시를, 개인정보보호에 특화된 경우는 PIMS 우수표시를 부영하는 추가적 인증항목 구상도 고려할 수 있다"고 말했다.

이어 "정보통신망법상 ISMS를 기반으로 운영되는 정보보호 관리등급제의 실효성에 대해 검토해주기를 바란다"며, "정보보호 관리등급제의 운영취지는 ISMS인증 사업자들의 자발적 보안노력을 이끌어내기 위한 제도적 장치지만, 오히려 사업자들에게 추가적인 비용 부담으로 등장하는 악영향을 끼치고 있다"고 지적했다.

그는 또 " 정보보호관리등급을 부여받고 있는 기업도 많지 않아 실효성 논란이 있는 만큼 실무기관인 한국인터넷진흥원(KISA)에서 해당부분에 대한 적합성 부분을 연구해주길 바란다"고 당부했다.