행안부 주관으로 정부중앙청사에서 8일 ‘위험도 분석 점검표’ 관련 관계기관 검토회의가 개최됐다.
 
이번에 논의된 ‘위험도 분석 점검표’는 행정안전부고시 제2011-제43호 ‘개인정보의 안정성 확보조치 기준’ 제7조 개인정보의 암호화 5항에 의해 만들어진 것이다.
 
내부망에 고유식별정보를 저장하는 경우 암호화 적용 여부를 정하기 위해서는 2가지 방안이 있다. 개인정보영향평가 결과와 이번에 마련될 위험도 분석 결과에 따라 암호화 적용 여부가 결정되는 것이다.  
 
더불어 내부망에 대한 고유식별정보에 대한 암호화 적용 여부를 검토해 올해 12월까지 적용하도록 규정되어 있다.
 
그러나 개인정보영향평가 대상이 아닌 시스템의 경우 위험도 분석 결과를 바탕으로 판단해야 하나 이에 대한 세부 지침이 없었기 때문에 이번에 이러한 위험도 분석 점검표를 만들기 위해 관계기관 검토회의를 가진 것이다.  
 
이날 논의된 위험도 분석 점검표 초안은 행안부와 KISA에서 작성했다. 논의 내용은 총 4개 분야25개 항목에 대해 논의됐다. 구체적으로는 네트워크 기반(6개), 정책기반(4개), DB기반(13개), 웹 기반(2개) 등이다.
 
현재 점검표 세부 내용은 아직 확정이 되지 않은 상태이며 8일 검토회의 내용을 토대로 2월말경 위험도 분석 점검표가 확정될 예정이다. 행안부에서는 위험도 분석 점검표 해설서도 만들어 배포할 것으로 보인다.
 
이번 사전 논의에 참석한 한 관계자는 “내용에는 큰 문제가 없는 것 같다. 하지만 점검 내용중에 ‘주기적’ ‘상시적’이라는 표현이 사용되고 있는데 이런 애매한 표현들에 대해 보다 구체적인 수치로 명시하는 것이 바람직할 것”이라고 제안했다.  
 
행안부의 기본방침은 이렇다. “내부망에 대한 암호화를 적용하지 않기 위해서는 제시한 점검표의 모든 항목을 만족해야 한다는 것을 기본으로 하고 있다”는 것이다.
 
결국 점검표에서 단 하나라도 만족하지 못할 경우에는 반드시 암호화를 적용해야 한다는 것이 행안부의 입장이다.
 
기관이나 기업들은 점검표에 근거해 자체적으로 조사를 실시한 후 위험도 분석 점검표의 모든 항목을 충족한다면 이를 근거로 내부망 고유식별번호에 대한 암호화 조치를 하지 않아도 된다.
 
모 업체 관계자는 “개인정보영향평가에 비해 자체적으로 점검이 이루어질 수 있기 때문에 별도의 비용이 발생하지 않아 긍정적으로 보인다”면서도 하지만 “점검 항목이 어느 정도 수준인지 나와봐야 알겠지만 암호화를 하는 비용과 위험도 분석 점검표를 만족시키는 비용을 비교 고려해 어느 쪽이 유리한지는 기업 환경에 따라 달라질 것”이라고 밝혔다.
[데일리시큐=길민권 기자]