[디지털데일리 이유지기자] 개인정보보호법 시행에 따라 공공기관 개인정보영향평가 사업이 최근 속속 발주되고 있다.
지난해 9월 30일 개인정보보호법 시행일 이후, 처음 사업을 발주한 경찰청을 시작으로 올해 들어 공공기관들이 잇달아 단독 사업으로 개인정보영향평가 용역을 발주하고 있다.
25일 정부및 관련업계에 따르면, 올해 한국환경공단을 비롯해 18개 개인정보 영향평가기관이 지정된 지난 3월부터 광명시, 서울시, 인천국제공항공사, 국방부, 한국장학재단, 기획재정부, 식품의약품안전청, 국민연금공단, 국민건강보험공단 등이 개인정보영향평가 사업을 잇달아 개시했다.
일단 올해 9월 30일까지 5만명 이상의 개인정보파일을 신규 구축하는 경우에는 개인정보 영향평가를 받아야 하기 때문이다.
개인정보보호법에서는 국가기관, 지방자치단체, 정부투자기관 등 공공기관에서 일정규모 이상의 개인정보파일을 처리하는 정보시스템을 구축·운영·연계·변경할 경우, 지정된 평가기관을 통해 개인정보보호영향평가가 의무화됐다.
▲100만 명 이상의 개인정보파일을 구축해 운용하거나 변경하는 경우 ▲50만명 이상의 개인정보파일을 내외부와 연계 혹은 연동하는 경우 ▲개인 고유식별정보인 주민번호 등 5만명 이상의 개인정보파일을 구축해 운용 또는 변경하는 경우에 행정안전부 장관이 지정한 평가기관으로부터 의무적으로 개인정보 영향평가를 받아야 한다.
행안부가 지정한 개인정보영향평가 수행기관은 금융결제원, 롯데정보통신, 소만사, 시큐베이스, 시큐아이닷컴, 씨에이에스, 안랩, 에이쓰리시큐리티, 이글루시큐리티, 인포섹, 한국정보기술단, 한국IBM, LG CNS 등 보안업체, 감리업체 18곳이다.
앞서 수요조사를 실시한 행정안전부는 올해 300개 공공기관에서 개인정보영향평가를 받을 것이란 예측을 내놨다. 하지만 법에서는 기존 시스템은 5년간 유예기간을 둬 이 정도로 관련사업이 봇물처럼 발생할 지는 미지수다. 업계의 의견도 아직은 엇갈리고 있다. 올해 50개 안팎의 사업이 추진될 것이란 보수적인 예측까지 나온다.
개인정보영향평가가 법적으로 의무화되긴 했지만 타기관의 사례를 보고 전면적인 영향평가를 수행하고자 주춤하는 분위기도 있기 때문이다.
더욱이 개인정보영향평가 수행시 담당자들이 업무 흐름이나 데이터 흐름에 따라 개인정보 침해요인을 사전 분석해 그 대상과 범위를 선정하는 것에서부터 개선대책 등 수행결과를 제출하는 것까지 처음 수행하는 담당자들은 부담감을 느낄만한 요소가 많은 것도 사실이다.
물론 수백개의 사업이 한꺼번에 발주되더라도 지정된 평가기관들이 이를 수용하기에는 역부족이란 관측도 업계에서 나오고 있다. 평가기관마다 인력이 한정돼 있는 탓이다.
현재 발주되는 개인정보영향평가 사업은 대상에 따라 3000만원에서 1억원 이상 규모까지 다양하다. 단독 사업 외에도 개인정보보호컨설팅이나 종합컨설팅, 인증컨설팅, 또는 타 사업에 포함되거나 병행 발주되는 경우도 있다.
하지만 규모가 큰 사업은 대상 시스템이 많고, 타 사업에 포함되거나 병행될 시엔 적정 개인정보영향평가 적정대가 확보가 어려워 자칫 품질 저하에 대한 우려의 목소리도 벌써부터 나오고 있다.
이경호 시큐베이스 대표는 “9월 30일까지 개인정보영향평가를 받으려는 기관은 2분기와 7월까지도 사업을 꾸준히 발주할 것으로 예상된다”며, “개인정보영향평가는 지난 3월 30일부터 개인정보보호법이 본격 발효된 상황에서 법 준수 여부를 점검하고 효과적으로 대응할 기반을 마련해 주기 때문에, 충분한 법적이해를 바탕으로 적정품질을 확보하는 것이 관건”이라고 강조했다.
현재 18개 영향평가 수행기관은 시행 첫해인 올해 개인정보영향평가 사업 수주에 박차를 가하고 있다. 현재 시큐베이스, 씨에이에스, 안랩, 인포섹, KCA, 한국IT감리컨설팅 등이 개인정보영향평가 사업 레퍼런스를 확보한 상태다.