그들은 보안조직에게 전화를 건다
무엇인가를 제대로 알고 있는 것 그리고 제대로 알도록 하는 것은 굉장히 중요하다. 잘못 알고 있거나 잘못 이해하고 있음으로 인해 기업이라는 단체 내에서 소통이 원활히 되지 않아 조직 간의 충돌과 분열을 야기하는 경우가 종종 발생하기 때문이다.
보안분야에도 대부분의 기업에서 잘못 이해하고 있다고 미루어 짐작되는 대표적인 사례들이 여럿 있다. 그중 하나가 바로 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"과 "개인정보 보호법"이다. 흔히 망법과 개보법이라고 줄여서 표현한다.
망법은 정보통신서비스 이용촉진, 안전한 이용환경 조성, 이용자 보호, 안정성 확보, 과금 등과 관련해 정부가 수행하고 기업 및 개인들이 지켜야 할 다양한 내용들을 포괄하고 있다. 개보법 역시 보호정책의 수립, 개인정보의 처리 및 처리 제한, 가명정보의 처리, 개인정보의 안전한 관리, 정보주체의 권리 보장 등의 영역에서 정부가 수행하고 기업 및 개인들이 지켜야 할 다양한 내용들로 구성되어 있다. 따라서 기업의 경우 최고경영진을 포함해 인사, 재무, 마케팅, 홍보, 개발, 보안 등 여러 부서들이 망법과 개보법의 적용대상에 포함된다.
짚어봐야 할 점은 실제 망법과 개보법의 내용들과는 무관하게 기업의 일선 현장에서는 망법과 개보법을 보안에 대한 법으로만 인식하는 경우가 대부분이라는 것이다. 따라서 망법 혹은 개보법과 관련된 상황이 발생하면 해당 주관부서가 어디인지를 찾아보는 것이 아니라 그냥 정보보안조직에게 연락하는 경우가 흔하다. 관련 기관에서 발간한 문서들에서 언급된 사례들 역시 정보보안조직의 책임으로 인식하는 경우가 대부분이다. 망법과 개보법은 그냥 정보보안이라는 인식이 고정되어 버린 것이다.
이런 사례는 정부기관에서 추진하는 여러 자료들에서도 찾아볼 수 있다. 대표적인 사례 중 하나로 정부기관에서 발행하고 기업들이 정보보호 인증을 받기 위해 참고하는 "ISMS-P 인증기준 안내서"의 내용 중 "ISMS-P 3.4.2 처리목적 달성 후 보유 시 조치"를 들 수 있는데, "개보법 제21조(개인정보의 파기)"와 관련되어 점검하는 내용이다.
예시에서 나타난 광고, 계약, 소비자의 불만과 같은 기록은 기업의 마케팅부서 및 고객총괄부서, 대금지불에 관한 기록의 경우 재무부서, 컴퓨터 통신이나 로그기록은 IT부서에서 수집, 관리를 수행하는 것이 일반적이다. 보안조직은 이 기록들이 훼손, 멸실, 유출되지 않도록 보호조치를 하고, 보유기간이 지난 기록이 파기되었는지 관리한다. 즉, 최소 보유기간을 인지하고 이를 준수하는 책임은 각 전담부서에게 있는 것이다.
그러나 책임의 주체가 명확하지 않고 두리뭉실하게 표현된 안내서의 내용은 실제 기업에서 광고 기록의 최소 6개월 보관의 책임도, 소비자 불만 기록의 최소 3년간 보관 책임도 정보보안이라는 식의 오해를 불러일으키기에 충분하다.
그리고 이러한 작은 오해와 오해들이 쌓이고 쌓여 망법과 개보법은 모두 정보보안조직 책임이라는 엉뚱한 방향으로 나타나는 것이다.
사정이 이렇게 된 것에는 아마도 두 가지 원인을 지목할 수 있을 것이다.
첫째는 오직 보안조직만을 대상으로 이루어져 온 정부기관의 행사 진행 방식이다. 망법이나 개보법이 개정되면 기업을 대상으로 한 관련 기관의 행사가 뒤따르게 된다. 의견을 듣기 위한 공청회나 개정된 내용을 전파하는 설명회의 성격으로 말이다. 그리고 대체로 이 행사에 참석하도록 초대되는 것은 CISO와 보안조직, CPO와 개인정보보호조직이다. 재무, 인사, 개발, 마케팅과 같은 부서들에게 참석하도록 초대하는 경우는 본 적이 없다. 정부기관이 나서서 망법과 개보법은 모두 보안조직의 책임이라고 부추기는 모양새다.
실제로 기업이 홈페이지를 통해 고객들에게 제시하는 약관에 해당하는 개인정보처리방침 관련 개정안 설명회에도 오직 보안조직만이 초대받아 참석한다. 계약서를 관리하는 부서나 실제 개정작업을 진행할 IT부서는 없다.
둘째로는 보안조직의 수동적인 관행적 업무 수행방식을 들 수 있다. 지금도 마찬가지지만 오랫동안 변방의 북소리만 울리며 힘없는 조직으로 지내온 보안조직은 정부와 회사가 시키면 시킨 대로 묵묵히 일을 해 왔다. 그것이 실제로는 어느 부서의 소관인지 니일내일을 따지지 않고 말이다. 그러한 작업들의 결과가 쌓여서 이것도 저것도 모두 보안조직이 하는 것으로 잘못 인지되게 만든 것이다.
그래서 현재는 이렇다. 마케팅 부서에서 고객들에게 보내는 광고를 잘못 보내서 고객들의 항의가 개인정보보호 위원회나 한국인터넷진흥원 같은 정부기관에게 접수되면 기관 담당자는 마케팅 부서가 아니라 보안조직에게 전화를 건다.