필자는 기업들을 힘들게 하는 많은 감독기관과 기업의 관계를 '시어머니'와 '며느리'에 빗대어 평한 적이 있다. 그보다 더 기업들을 힘들게 하는 또 하나의 '시어머니'가 존재한다. 정보보안과 관련된 각종 법률들이 그들이다.

흔히 기업들에게 적용되는 기본적인 정보보호 관련 법률만 살펴봐도 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법), 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률(신용정보법), 전자거래법, 전자금융거래법, 위치정보의 보호 및 이용 등에 관한 법률(위치정보법), 정보통신기반 보호법 등이 있다.

임홍철 사이버안전팀장

해당 법률에 따른 시행령, 시행규칙, 고시, 해설서, 가이드라인까지 감안하면 그 수는 더욱 많아진다. 이쯤 되면 대부분의 기업들이 정보보안과 관련된 중요 작업들을 직접 수행하지 못하고 보안전문가에게 위탁하고 있는 현실이 이해가 됨 직도 하다.

각 법률에 해당하는 기업의 특성에 따라 조금씩은 차이가 있지만, 대부분의 정보보호 관련 법률들이 요구하는 내용을 보면 대체로 대동소이하다. 즉, 한두 개의 법률에 대해 충실히 만족하고 있다면 타 법률의 요구사항을 만족하는 데에도 문제가 없다는 것이다.

하지만 몇 가지 차이점이 생겨나게 된다. 같은 요구사항에 대해 각 법률에서 표현하는 명칭 등이 다르다는 점이다. 대표적인 예로 기업이나 기관들에게 홈페이지에 공개하도록 요구하는 '개인정보취급방침' 은 정통망법에서 표현하는 명칭이다. 개인정보보호법에서는 '개인정보처리방침' 이라고 표현하고 있다.

이런 전차로 일부 기업 및 기관들은 '개인정보처리(취급)방침'과도 같이 처리해 이에 대처하기도 한다. 이와 비슷한 상황이 법률 여러 곳에서 나타나고 있다. 이보다 더 심한 경우는 같은 사안에 대해 각 법률이 서로 다른 요구기준을 제시하고 있어 기업들이 어느 기준을 따라야 할지 우왕좌왕하게 만드는 경우이다. 그리고 이런 경우에는 대부분 더 강한 기준을 요구하는 법률을 따르도록 하는 것이 일반적이다.

가장 중요한 것은 왜 이렇게 되었는가 하는 점이다. 일전 필자의 칼럼에서 보안 총괄기관은 없고 감독기관들만 다수 존재하는 현실을 '시어머니'에 빗대어 꼬집은 적이 있는데 법률도 역시 마찬가지다. 정보보호와 관련된 감독기관들이 다수 존재하다 보니 각 감독기관들이 서로 법률을 제정하고 있고, 동일한 내용들을 담은 형제 성격의 여러 법률이 존재하게 된 것이다. 이왕 그렇다면 기관끼리 소통이라도 잘해서 명칭도 통일시키고 요구기준도 어긋나지 않게 맞추면 좋으련만 아쉽게도 그렇게 되지 못해 작금의 상황까지 오고야 말았다.

그런데 이보다도 더욱 필자를 암울하게 만드는 현실이 있다. 사방팔방 아무리 둘러보아도 이 문제가 해결될 기미가 보이지 않는다는 것이다. 그리하여 앞으로도 기업들은 여러 법률들과 그 하위 규정들을 시어머니로 모시고 살아야 할 딱한 팔자인 것이다.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지