2011년부터 시행된 개인정보보호법 적용으로 공공기관과 기업은 업무를 위해 보유한 민원인 또는 고객의 개인정보를 보호해야 한다. 이를 위반하면 형사 처벌을 받을 수도 있다. 반면 개인정보를 위협하는 다양한 시도들은 점차 교묘해진다. 허술한 대비는 자칫 잘못하면 개인정보 유출과 예상치 못했던 민·형사상 소송에 직면할 수 있다. 이는 비즈니스에 심각한 영향을 준다.
개인정보를 보호하기 위해 접근 제어, 데이터베이스 암호화와 같은 단일 솔루션이 도입돼 일부 역할을 담당하고 있다. 해당 단일 솔루션들은 정보 보호를 위한 기본적인 대처를 제공한다. 하지만 근본적인 해결책은 제시하지 못한다. 정보를 사용하는 사람이 누구인지 파악이 없다면 더 큰 사고를 막을 수 없고 책임 소재의 확인도 불가능하다.
정보 보호를 위한 근본적인 해결책을 위해 아래 세 가지가 충족돼야 한다. 우선 △누가 사용하는가 △어떤 작업을 하고자 하는가 △수행한 작업의 기록이 남아 있는가다. 세 가지 조건을 충족한다면 기업은 사용자별로 정보 접근 권한을 세분화한다. 접근 권한이 제공됐다 하더라도 필요한 경우에 사용할 수 있게 통제한다.
마지막으로 사용자가 허가를 받고 어떤 일을 했는지 기록할 수 있어 책임 소재를 분명히 할 수 있다. 이번 2013년도 한국 CA 테크놀로지스의 지식방송은 개인정보보호법에 충분한 대비를 갖추는 시간이 될 수 있다.
송혜영기자 hybrid@etnews.com
