[디지털데일리 김보민기자] 공공과 민간을 가리지 않고 개인정보 유출 사고가 발생하고 있다. 계정 정보를 무작위로 대입해 로그인을 시도하거나, 해킹으로 탈취한 정보로 2·3차 피해를 가하는 사례가 등장하면서 기관과 기업 내 정보보호 담당자들의 고민이 깊어지는 분위기다.

개인정보보호위원회(이하 개인정보위)와 한국개인정보보호책임자협의회(KCPO·이하 CPO협의회)는 정보보호 담당자 업무를 지원하기 위해 안내서를 발간했고, 여기에 사이버 공격을 대응하기 위한 체크리스트를 담았다. 안내서에는 개인정보보호중심설계(PbD) 정책 수립, 신기술 위험 식별 체계 마련 등 최근 화두가 된 내용이 담겼다.

22일 관련 업계에 따르면 개인정보위와 CPO협의회는 '개인정보보호책임자(CPO) 핸드북'이라는 이름으로 체크리스트를 담은 안내서를 발표했다. 개인정보위가 올 초 전문 CPO 제도를 도입한다고 밝히고, 7월 CPO협의회가 출범한 이후 첫 번째 가시적인 성과다.

안내서는 기관과 기업에서 활동하고 있는 정보보호 담당자들의 애로사항을 해소하자는 차원에서 마련됐다. 개인정보위에 따르면 개인정보 유출 신고 건수는 매해 증가하고 있다. 2021년 163건이었던 규모는 2022년 167건으로 소폭 올랐다가 지난해 318건으로 약 두 배 증가했다. 유출 사고는 민간뿐만 아니라 공공기관에서도 늘고 있다. 지난해 민간 신고 건수는 277건, 공공은 41건으로 집계됐다.

공공을 겨냥한 사이버 공격이 두드러진 것은 어제오늘 일이 아니다. 국가정보원(이하 국정원)에 따르면 공공분야를 겨냥한 국가배후 및 국제 해킹조직의 공격 시도는 지난해 하루 평균 162만건에 달했다. 전년 대비 약 36% 증가한 규모로, 대다수 위협은 북한 배후 조직이 가하고 있는 것으로 파악됐다.

공공과 민간 현장에서도 대응 체계를 마련하기 까다로워졌다는 목소리가 나온다. 지난 20일 서울 중구 은행회관 '개인정보 정책포럼'에서 만난 기업 관계자는 "보안 체계를 강화하기 위해 적정한 수준은 어느 정도인지, 비용은 합당한지, 조직 규모에 비해 체계가 무겁지는 않은지 등 고려해야 할 부분이 많다"고 분위기를 전했다.

특히 클라우드 및 서비스형소프트웨어(SaaS) 전환으로 공격 표면이 넓어지고 있다는 점이 부담으로 작용하고 있다. 보안 장비를 운용하지 않은 클라우드 시스템을 노리거나, 악의적 해킹코드 SQL을 주입해 데이터베이스(DB)를 장악하고 개인정보를 탈취하는 공격이 대표적이다. 계정 정보를 무작위로 대입해 로그인을 하는 해킹이나, 보안 조치가 미흡한 외주 및 파트너 업체를 공략해 우회 공격을 가하는 경우도 포착되고 있다.

때문에 시스템 접근 권한부터 접속기록 및 취약점 점검까지 전방위적인 보안 체계를 총괄하는 담당자들의 어깨가 무거워지고 있다. 단순 보안 솔루션 및 서비스 도입 여부를 떠나, 실질적으로 각 조직에 맞는 수준의 체계를 갖추는 것이 중요해진 때다.

이번 핸드북은 이러한 보안 현황을 고려해, 담당자들이 살펴볼 CPO 제도와 업무 등을 담고 있다. 체크리스트는 단계별, 상시, 주기적, 성숙도 등 네 가지 측면에서 담당자들이 확인해야 할 점검사항을 제공한다.

각 영역을 관통하는 키워드는 '준비 여부'다.

먼저 단계별 점검에서는 ▲기획·설계 ▲개인정보 수집·이용·제공 ▲개인정보 보관·파기 등 세 가지 분야에 대한 체크리스트가 포함됐다. 특히 당국에서 추진하고 있는 개인정보보호중심설계(Privacy by Design·PbD) 시범인증 제도에 대한 정책 및 절차를 마련했는지가 포함됐다. PbD는 제품 또는 서비스의 기획, 제조, 폐기 등 전 과정에서 개인정보 보호 요소를 고려해 사고를 사전에 예방하는 설계 개념으로 개인정보위는 관련 시범인증 제도를 운영하고 있다.

가명정보 관리와, 신기술 대응 방안 마련 여부도 확인할 부분이다. 인공지능(AI) 기술을 개발하거나 도입할 때 데이터 수집, 저장, 전처리, 학습, 제공 등의 과정을 생명주기별로 위협 요인을 도출했는지 등을 확인해야 한다는 취지다.

위반 시 법적 처벌 수위가 높은 개인정보 수집·이용·관리 적법성 관리, 국외 이전 법적의무 관리, 시스템 보호조치 수립, 파기 관리 등에 대한 내용도 포함됐다. 일례로 중국 온라인 쇼핑몰 업체 알리익스프레스는 별도 보호조치 없이 해외 판매업체 약 18만곳에 한국 고객 정보를 제공했다는 이유로 과징금 19억원을 부과받은 바 있다.

상시 점검에는 ▲개인정보 취급자 및 위탁 관리 ▲이용자 보호 및 피해구제 등 두 가지 분야에 대한 체크리스트가 담겼다. 특히 민원 영역에서는 '신속 전달' 요소가 포함됐는데, 사고를 인지한 이후 피해 사실에 대한 내용을 사용자에게 바로 알려야 한다는 점을 강조한 것으로 풀이된다. 최근 개인정보 유출 사실이 알려진 모두투어의 경우 유출 사실을 3개월이나 늦게 인지했고, 홈페이지 공지 외 문자를 통한 개발 알림 등도 늦었다는 점을 고려해 '늑장 대응'이라는 비판을 받은 바 있다.

주기적 점검에는 ▲개인정보 처리환경 분석 및 관리 ▲개인정보 처리 실태 현행화 등 두 가지 분야에 대한 점검사항이 포함됐다. 오래된 보안 솔루션, 패치가 필요한 시스템 등 외부 공격자가 악용할 만한 취약점을 사전에 차단하자는 취지다. 체크리스트에 따르면 담당자는 개인정보 파일에 대한 접근 권한 현황, 개인정보처리시스템 내 정기 업데이트 여부, 각 파일에 대한 보유기간 설정 등도 확인해야 한다.

개인정보 보호 체계에 대한 주요 임원진의 이해 수준도 이번 체크리스트에서 핵심으로 다뤄졌다. 외부 인증과 평가 제도에 대해 최고경영자(CEO)·CPO·관련 부서 등이 이해하고 있는지, 외부 인증 및 평가 심사를 대응하기 위한 협력 체계가 구축돼 있는지도 보안 체계 수준을 가를 요인으로 꼽혔다.

성숙도 점검에는 ▲개인정보 거버넌스 ▲위험 관리 및 점검 ▲개인정보 자율보호 활동 등 세 가지 분야가 담겼다. 여기에도 임원진 이해 수준과 조직 체계가 핵심으로 다뤄졌다. CPO가 CEO 또는 이사회에 직접 보고할 수 있는 체계를 갖추고 있는지, CPO 뿐만 아니라 최고투자책임자(CIO)·최고정보보호책임자(CISO)·최고재무책임자(CFO) 등도 개인정보 거버넌스 내 역할과 책임을 인식하고 있는지도 확인할 내용 중 하나다.

한편 CPO협의회는 이번 핸드북을 시작으로 책임자 중심 네트워크를 형성하고, 정책 당국과 소통해 중요 정보를 공유하는 플랫폼으로서 활동을 본격화할 예정이다. 협의회에 대한 인지도가 아직 부족하고, 관련 구체적인 활동에 대한 로드맵도 필요해 실제 정보보호 담당자 환경 개선에 대한 성과는 지켜볼 부분이다.