개인정보영향평가, 공공기관 시행 의무화로 시장 확대 전망 보안컨설팅과 연계해 대형화 추세 지난해 9월 30일 개인정보보호법이 재정됨에 따라 공공기관들의 개인정보영향평가(PIA, Privacy Impact Assessment)가 의무화됐다. 공공기관의 경우 행정목적을 달성하기 위해 민감한 개인정보를 다량 집적·보유하고 있는 경우가 많으므로 특히 필요성이 더욱 높기 때문이다. 이에 따라 소만사, 시큐아이닷컴, 안랩, 에이쓰리시큐리티, 인포섹(가나다순) 등을 포함한 총 18개 업체가 개인정보영향평가 수행기관으로 선정됐다. 이들 개인정보영향평가 수행기관 중 대표업체 다섯 곳을 만나 개인정보영향평가의 구체적인 내용과 관련 시장의 동향, 그리고 각 사별 컨설팅의 특징 등에 대해 알아봤다. 연보라 기자 bora@ciomediagroup.com 개요 1. 개인정보영향평가 개요 2. 시장동향 3. 각 사별 컨설팅 특징(소만사, 시큐아이닷컴, 안랩, 에이쓰리시큐리티, 인포섹) 1. 개인정보영향평가 개요 18개 업체 지정 완료, 레퍼런스 확보 경쟁 돌입 개인정보영향평가(PIA: Privacy Impact Assessment)는 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 이것이 프라이버시에 미치는 영향에 대하여 사전에 조사·예측·검토하여 개선 방안을 도출하는 체계적인 절차를 말한다. 이는 과도한 개인정보 수집 및 오·남용으로 인한 국민들의 프라이버시 침해 위험성이 높아짐에 따라 개인정보 취급이 수반되는 사업을 추진함에 있어 영향을 사전에 분석하고 개선 방안을 수립해 개인정보 침해 발생을 사전에 예방하고자 하는 목적이다. 특히 공공기관의 경우 행정목적을 달성하기 위해 민감한 개인정보를 다량으로 집적·보유하고 있는 경우가 많아 필요성이 더욱 높다. 이에 지난해 9월 30일 재정된 개인정보보호법에 따라 공공기관은 의무적으로 개인정보영향평가를 수행하도록 했다. 각 공공기관은 개인정보영향평가 수행 결과를 행정안전부에 보고하고, 개인정보보호위원회의 심의를 거치게 된다. 개인정보를 포함하고 있고, 새로 구축되거나 변경되는 시스템의 경우 오는 9월 30일까지 수행 결과를 제출해야 하고, 기존의 시스템의 경우 5년 내 영향평가 수행을 완료해야 한다. 평가 수행은 기관 내부적으로 별도의 영향평가팀을 구성해 진행할 수 있으며 필요한 경우 외부 컨설팅 업체에 평가를 의뢰할 수 있다. 그러나 업계에 따르면 조직 내에서 자체적으로 영향평가를 수행하기는 현실적으로 어렵다고 이야기한다. 방인구 안랩 컨설팅사업본부장은 “조직 내에 평가를 수행할 수 있는 자격을 가진 인력을 보유하고 있는 경우도 드물거니와 개인정보보호위원회의 심사를 통과하기도 상당히 까다롭기 때문에 지정 수행기관을 통하지 않고 자체적으로 수행하기는 매우 어렵다”고 말했다. 행안부는 개인정보영향평가를 수행할 수 있는 기관으로 총 18개 업체를 지정했다. 지난해 12월 1차로 선정된 개인정보영향평가 수행기관은 ▲롯데정보통신 ▲인포섹 ▲씨에이에스 ▲안철수연구소 ▲이글루시큐리티 ▲한국정보기술단 등 6곳이다. 지난 3월 2차로 선정된 곳은 ▲금융결제원(금융정보공유분석센터) ▲시큐베이스 ▲시큐아이닷컴 ▲에스티지시큐리티 ▲소만사 ▲싸이버원 ▲A3시큐리티 ▲LG CNS ▲케이씨에이 ▲키삭 ▲한국IT감리컨설팅 ▲한국IBM 등 12곳(기업명 가나다순)이다. 2. 시장 동향 공공기관들, 탐색 마치고 본격 사업 발주 단계 돌입 개인정보영향평가 관련 시장은 18개 지정 수행기관들의 레퍼런스 확보 경쟁이 본격화될 것으로 전망된다. 이들 수행기관에 따르면 공공기관의 구축 프로젝트를 수행하는 SI 업체 등에서 문의가 많다. 그러나 실질적인 시장 수요는 업체들의 기대만큼 늘어나고는 있지 않은 상황이다. 이는 공공기관들에서 이미 예산 편성이 다 되어있어 개인정보영향평가 수행을 위한 예산을 마련하기가 쉽지 않기 때문이기도 하고 우선 다른 기관의 선례를 보고 결정하려는 경향 때문이기도 하다. 이성호 인포섹 컨설팅사업본부 컨설팅2팀장은 “지난 1~2월에는 공공기관들이 개인정보영향평가에 대한 동향을 파악하는 단계였고, 3~4월은 구체적으로 어떻게 준비해야 하는지 기획하는 단계였다”면서 “이제 5~6월부터 본격적인 사업 발주 단계에 접어들 것”이라고 예상했다. 어찌됐건 올해 수행을 못한 공공기관들도 내년 예산에는 개인정보영향평가 수행 예산을 포함시킬 것이기 때문에 내년에는 수요가 많이 늘어날 것으로 업계는 기대하고 있다. 평가 전 대상·정보량·조직·예산 등 살펴야 공공기관들이 본격적으로 개인정보영향평가를 수행하기 전 어떤 점들을 준비해야 할까? 김경엽 소만사 경영기획실 부장은 사전 영향평가를 반드시 해야 한다고 조언한다. 최소한의 사전조사 과정이 있어야지, 아무 준비도 안 되어 있는 기관을 상대로 개인정보영향평가를 수행하기는 시간상, 비용상 어려움이 있다는 것이다. 김 부장은 “마치 건축가에게 예산만 들고 와서 ‘어떤 집을 지을지는 모르겠으니 알아서 지어라’ 하는 것과 같다”고 비유했다. 수행기관들은 수행 전 자체점검을 통해 파악하고 있어야 하는 사항에 대해 약 세 가지를 제시했다. 첫째, 영향평가 실시 대상 중 어디에 속하는지를 파악해야 한다. 영향평가 대상은 ▲5만 명 이상의 개인정보파일이면서 고유식별정보(주민번호, 여권번호 등)가 포함돼 있는 경우 ▲50만 명 이상의 개인정보 파일을 보유했으며 내·외부의 다른 개인정보 파일과 연계된 경우 ▲100만 명 이상의 개인정보 파일을 보유한 경우 등 세 가지다. 둘째, 개인정보가 어디에 얼마만큼 저장이 되어 있는지 파악해야 한다. 방인구 안랩 본부장은 “영향평가를 들어갔을 때 가장 힘든 점은 수행 대상 기관의 담당자 중 개인정보가 기관 시스템 내에 어떻게 저장되는지 아는 사람이 거의 없다는 점”이라며 “평가 수행에 들어가서 이걸 찾기 시작하면 그 작업에만 거의 한 달이 낭비된다”고 토로했다. 셋째, 전담조직을 구성해야 한다. 기관 내부의 상황과 분위기를 잘 아는 내부직원들이 담당자로 함께 붙어서 협조해가는 체제로 가야지 수행기관에게 모두 전담시키고 나 몰라라 해서는 평가의 품질이 떨어질 수밖에 없다고 업계는 경고한다. 넷째, 예산 확보를 해야 한다. 특히 올 하반기에는 18개 수행기관들이 소화하기 버거울 정도로 많은 의뢰 건이 몰릴 것으로 예상돼 미리 예산을 확보하고 수행일정을 잡아두는 것이 유리하다. 그럼 공공기관들이 개인정보영향평가 수행기관을 선정할 때는 어떤 점을 고려해야 할까? 공공기관인 만큼 회사의 재무상태, 인력 규모, 실적 등 객관적인 지표를 척도로 선정이 되겠으나 가장 중점적으로 고려해야할 점은 ‘풍부한 수행경험’이라는 것이 업계의 공통된 의견이다. 또한 얼마나 검증된 인력을 많이 확보하고 있느냐도 중요한 지표가 될 수 있을 것이다. 수행기관, 예산 비현실성 토로 ■ PIA 포함한 종합보안컨설팅으로 대형화 추세 많은 수행기관들이 피아 수행 예산이 현실적이지 못하다고 불만을 표하고 있다. 개인정보영향평가 수행금액은 행안부가 공공기관에 보낸 지침을 기준으로 산정하면 개인정보파일(테이블) 1개당 3000만 원(VAT 포함)이다. 그러나 시스템의 복잡성 등을 고려하지 않은 일괄적인 금액 산정은 불합리하다는 것이 업계의 주장이다. 이에 업계는 크게 두 가지 전략으로 대응하고 있는데 첫째가 자사가 보유하고 있는 기존 솔루션과 연계해서 수행비용을 줄이는 것이고 둘째는 피아 단독 수행이 아닌 다른 보안 관련 컨설팅과 연계해 프로젝트를 대형화 시키는 것이다. 인포섹의 이성호 팀장은 “개인정보영향평가 단독으로는 수익성이 그리 좋지 않은데다 새로운 사업이다 보니 기관들이 새로 예산을 편성하기가 힘들어 개인정보영향평가를 단독으로 진행하는 경우는 드물고 종합보안컨설팅 내에 개인정보영향평가를 포함시켜 발주가 나오고 있다”고 말했다. 영향평가 후 솔루션 제안으로 매출 확대 모색 통상적으로 개인정보영향평가 시장 규모는 240억 원 정도로 거론되고 있다. 이는 건당 수행예산 3000만 원에 예상되는 대상 시스템 개수 800을 곱해 산출된 값으로 근거가 미약하다는 것이 업계의 중론이다. 앞서 언급했듯 예산 3000만 원도 현실적인 수준으로 받아들여지지 않는데다 개인정보영향평가 수행이 필요한 대상 시스템의 개수와 규모가 정확히 파악이 안 된 까닭이다. 아직은 시장이 크게 움직이고 있지는 않지만 어찌됐건 의무화돼 있는 제도이기 때문에 신규·변경 시스템의 수행 마감 시점인 9월이 다가오면 의뢰가 한꺼번에 몰릴 것이라고 업계는 전망한다. 방인구 안랩 본부장은 “개인정보영향평가를 통해서 솔루션에 대한 수요가 늘어나는 건 분명하다”고 긍정적인 전망을 내놓았다. 개인정보영향평가 결과에 따라 기술적, 관리적인 후속 대책이 나오게 되는데 이 때 자사의 각종 솔루션 도입을 제안할 수 있기 때문이다. 이와 관련 방 본부장은 정확한 평가 결과 수치를 가지고 제안하는 것이기 때문에 매출로 이어질 수 있는 기회가 더 넓다고 설명한다. 개인정보보호법이 행정안전부의 국민 개인정보보호에 대한 강력한 의지를 가지고 시행되는 만큼 개인정보영향평가 제도 역시 빠른 시일 내 안착되어 취지대로 실효성을 거두려면 예산 부분이나 상세 지침에 있어 보다 상세하고 현실적인 가이드라인이 요구됨은 물론 대상기관에서도 해당 컨설팅에 대한 적극적인 의지가 필요할 것이다. 3. 각 사별 컨설팅 특징 소만사 - “자체 솔루션 활용, 자동화된 방법론 각광” 소만사는 대표의 강력한 의지에 따라 최근 정보보호 컨설팅에 많은 중점을 두고 있다. 특히 인력적인 측면에서 많은 투자를 하고 있는데 현재 소만사에 개인정보영향평가 수행인력으로 등록돼 있는 인력은 43명이다. 김경엽 부장은 “신입사원 입사 후 6개월 내에 개인정보관리사(CPPG) 자격증을 따지 못하면 입사를 취사시킬 정도”라고 밝혔다. 소만사는 개인정보영향평가 수행에 있어 자동화된 방법론으로 높은 평가를 받고 있다. 자체 솔루션들을 활용해 자동화로 기관 내 개인정보 보유 현황을 파악하는 것. PC 내부에 저장된 개인정보는 DB-i를 통해, PC 외부로 유출·전송되는 부분은 Mail-i라는 제품으로는 탐색해내고 있다. 또한 소만사는 영향도를 평가하는 데 있어 가중치를 적용해 보다 세분화된 평가가 가능하도록 하고 있다. 이 가중치에는 침해가능성과 컴플라이언스 요소를 반영한 수치이다. 김경엽 부장은 개인정보영향평가가 단순한 평가로만 그치는 것이 아니라 평가 결과에 적합한 자사의 보안툴을 제안함으로써 안정성 확보조치로 연계할 수 있는 방향으로 포커스를 맞춰 개인정보영향평가 사업을 진행하고 있다“고 밝혔다. 시큐아이닷컴 - “차등화 단가 체계로 비용 최소화 이점” 시큐아이닷컴은 대기업, 포털을 포함한 PIA 프로젝트 수행을 경험하였고, 대상 시스템의 규모에 따른 차등화된 단가 체계를 갖고 있어 정확한 규모산정 및 인력 투입으로 비용을 최소화할 수 있다. 소규모 평가기관에 가격적인 이점이, 대형기관에서는 대기업, 포털 등의 사업수행 경험으로 전문적이고 안정적인 사업수행이 가능하다는 것이 강점이다. 특히 소규모 기관일 경우 1000~1500만 원까지도 대응하고 있다. 박영진 보안컨설팅 그룹 차장은 “개인정보보호법 발효 이후 공공기관의 개인정보영향평가가 의무화된 이후 공공기관의 구축 프로젝트를 수행하는 SI업체 등에서 많은 문의가 들어오고 있다”며 “아직까지 큰 움직임은 없지만 9월말까지 평가 수행을 완료해야 하는 대상들이 있기 때문에 수요는 점차 늘어날 것이라고 보고 있다”고 설명했다. 한편 박 차장은 “예산 확보의 어려움과 촉박한 시간 등으로 인해 수행을 포기하는 기관들도 나올 것이라는 전망”이라며 “당장 올해만 봐도 수행에 어려움이 있다”며 “행안부에서 업체별 할당제 등 수행 풀(Pool)에 대한 총량을 관리해줄 필요가 있다”는 의견을 내놓았다. 안랩 - “사후 솔루션 구축 원스톱 제공 가능” 안랩은 개인정보영향평가를 수행하는 평가 인력 중에서 고급 인력 비중이 타사 대비 높다는 것을 가장 큰 강점으로 내세우고 있다. 방 본부장은 “초보가 별로 없고 상당히 많은 지식과 경험을 갖고 있는 고급인력이 전체의 65% 정도를 차지하고 있다”고 설명했다. 또한 “개인정보보호 컨설팅에 대한 실적 부분에서 국내 어느 기업에도 뒤지지 않기 때문에 공공기관 보안 담당자들 사이에서 가장 높은 선호도를 갖고 있는 것으로 알고 있다”고 덧붙였다. 또한 안랩은 개인정보영향평가 수행 이후 사후대책에 대한 일괄적인 솔루션 제안이 가능한 것이 특징이다. 방 본부장은 “방화벽, 백신, 망분리까지 보안 관련 솔루션이 타사보다 다양하게 구비돼 있어서 원스톱으로 구축이 가능하므로 컨설팅 후 사후조치를 위해 다른 업체를 굳이 찾지 않아도 된다”면서 “자사 솔루션을 가지고 원스톱으로 진행할 수 있는 업체는 많지 않을 것”이라고 설명했다. 방 본부장은 “개인정보영향평가만 단독적으로 수행하고 끝나는 것이 아니라 개인정보 흐름도를 기반으로 기관이 보유하고 있는 개인정보의 모든 부분을 파악해서 그에 적합한 솔루션을 제공, 종합적인 개인정보보호 시스템을 구축할 수 있도록 할 방침”이라고 밝혔다. 에이쓰리시큐리티 - “업계 최초 개인정보영향평가 시스템 개발” 에이스리시큐리티는 개인정보영향평가가 법제화되기 이전부터 개인정보영향평가를 수행해왔다. 국내 최초의 정보보안 컨설팅 기업인만큼 10여 년 동안 약 1000여 건의 정보보안 실적을 달성해 많은 경험과 노하우를 보유한 것이 강점이다. 특히 에이쓰리는 업계 최초로 개인정보영향평가 시스템을 개발, 통신사 등 민간을 대상으로 수행해왔는데, 이를 새로 법제화된 개인정보영향평가에 초점을 맞춰 새롭게 패키지화한 제품 ‘RFinder PIA’를 오는 6~7월경에 출시할 예정이다. 김춘곤 기획실장은 “대규모 예산을 투입할 수 없는 기관 및 중소기업들의 경우 RFinder PIA로 개인정보영향평가의 대상을 확인하는 등 사전 자체점검을 실시함으로써 개인정보영향평가의 전체 비용을 낮출 수 있을 것”이라고 설명했다. 인포섹 - “대형실적·고급인력 보유로 고품질 컨설팅 제공” 인포섹은 고유의 개인정보영향평가 방법론 및 노하우를 기반으로 개인정보보호 컨설팅 및 개인정보영향평가 경험이 풍부한 인력들이 수행하는 고품질 개인정보영향평가 컨설팅을 제공한다. 이성호 컨설팅사업본부 컨설팅2팀장은 “인포섹은 2억 원 이상의 대형실적을 다수 보유하고 있고 특히 중앙 행정기관을 대상으로 여러 프로젝트를 진행해온 만큼 수행실적에 있어 뛰어난 강점이 있다”는 한편 “개인정보영향평가 수행기관으로 지정되려면 기본적으로 2억 원 이상의 실적이 있어야 하는 것이지만 실제 그런 대형 실적이 몇 건이나 되느냐도 수행경험에 있어 중요한 척도가 된다”고 설명했다. 또 이 팀장은 “개인정보 관련 컨설팅의 경험을 다수 보유한 고급인력이 많다는 것도 인포섹의 강점”이라며 “인력이 많으니 개인정보와 연계된 다른 컨설팅이나 솔루션 구축도 가능해 종합적인 진단과 대책을 제공할 수 있다”고 덧붙였다. 이 팀장은 “공공기관의 수요에 맞추어 단계적으로 개인정보영향평가 컨설팅을 수행 및 지원 예정”이라는 계획을 밝혔다.