[기획]출력물 보안의 짙은 그림자 (중)끊이지 않는 종이 문서 보안의 허점
페이지 정보
작성자 ldskorea 작성일 23-02-23 09:39 조회 2,376 댓글 0본문
[기획]출력물 보안의 짙은 그림자 (중)끊이지 않는 종이 문서 보안의 허점
| 디지털전환(DX)의 가속화로 민·관이 페이퍼리스 업무 환경 도입을 앞다퉈 도입하고 있다. 이러한 변화 흐름은 경제적 비용 절감, 환경오염 감소, 업무 협업 효율성 등 우리 사회에 미치는 긍정적 영향이 큰 탓이다. 하지만 페이퍼리스 단점도 존재한다. 보안 사고 위협이 항상 존재하기 때문이다. 특히 페이퍼 리스 단점을 극복하기 위해 사이버 보안에만 신경을 곤두세우다 보니 상대적으로 종이문서 보안 위협을 간과한다는 점이다. 페이퍼리스 시대일지라도 출력물 보안 사고 위협의 사각지대는 넓어지면 넓어졌지 결코 사라지지 않는다. 국내제지산업연도별 수급현황(한국제지연합회)자료에 따르면 2021년 인쇄용지 내수 물량은 142만461톤으로 전년 대비 4.6% 증가했다. 2019년 인쇄 용지 내수(145만1127톤)와 비교해도 약 2% 줄어드는데 그쳤다. 페이퍼리스 시대를 자처하고 있지만 종이문서는 사무실 곳곳에서 여전히 친숙하게 생성되고 있다. 자칫 기업의 생존을 위협할 개인정보·기밀 문서 유출 위협은 터질 틈새만을 노리고 있다. 우리 사회에서 개인정보, 기술·영업 정보 등을 담은 출력물 보안 사고가 매년 끊이지 않는 이유는 내부 인적 물적 보안체계 미비가 한몫한다. 하지만 무엇보다 오프라인에서 민감한 정보를 안전하게 관리하기 위해 출력물 파기 단계에서 현행 개인정보보호법이 그 절차를 명확하게 규정하지 못한 제도적 장치 결함이 더 크다. 현행 개인정보보호법이 종이문서를 법적 보호대상으로 지정해 소각·파쇄 등 파기를 의무화했지만 정보보호지침 등 하위 법령에서 출력 문서 파기·이력 관리 감독 절차가 명확하지 않다. 개인정보보호법과 정보보호지침이 종이문서 파기 처리 행위를 놓고 엇박자를 내고 있다. 민감한 정보를 담은 출력물의 파기·이력 관리 소홀로 인해 정보 침해사고가 지속하는 빌미를 제공하고 있다는 지적이다. 이에 국회에서도 이같은 문제점을 인식하고 지난 2021년 개인정보보호법 일부 개정법률안을 제출한 상태다. 국회 개정법률안은 △종이 출력물에 관한 사항 기록·관리 의무 △파기 후 파기 결과 확인 의무 △파기 대상 개인정보의 항목, 파기 사유 등을 대통령령으로 정하는 사항 등으로 보다 구체적으로 실행 방법을 정하는 것을 골자로 한다. 개인정보 출력에 대한 이력을 관리함으로써 오프라인 상에서 개인정보를 더욱 안전하게 관리할 수 있도록 개인정보보호책임자가 개인정보 출력과 이로 인해 산출된 개인정보가 포함된 종이 인쇄물의 관리실태를 정기적으로 조사하거나 보고받도록 규정했다. 또한 개인정보가 포함된 종이 인쇄물의 유출로 인해 발생한 개인정보 침해사고를 방지하기 위해 파기 단계에서 안전 조치를 강화함으로써 개인정보 보호를 위한 실효적인 방안을 마련해 놓았다. 그렇지만 국회의 개인정보보호법 일부 개정법률안은 정무위원회에서 올해 2년째 계류 중에 있다. 법률 개정안 처리 우선 순위·빅테크 기업 반발 등 여러 이유로 답보 상태에 머물고 있다. 한국인터넷기업협회는 파기 사항의 기록·관리 관련 수많은 개인정보 파기가 기술·자동적으로 이뤄지는 상황에서 그 이력을 모두 기록하고 결과를 확인토록 의무를 부과하는 것은 기업에 기술적·재정적 부담으로 작용할 수 있다는 의견을 제출, 난색을 표하고 있다. 정보보안전문가는 종이 인쇄물이 제대로 파기되지 않고 버려지는 등 외부에 드러나지 않는 출력물 관리 소홀 사례가 빈번한 것으로 예측했다. 행정안전부와 개인정보보호위원회는 지난 2020년 총 35차례 '개인정보보호 법규 위반·기획 조사' 과정에서 3건의 파기 의무 미준수 사례를 적발한 바 있다. 파기·이력 관리가 제대로 이뤄지지 않으면 언제든 외부에 유출될 수 있음을 방증하고 있다. 따라서 출력물 보안 관리의 문제점을 개선하기 위해선 개인정보 파기에 대한 기록을 전자적으로 엄격하게 체계적으로 관리하는 제도 정비가 시급하다. 또한 개인정보처리시스템과 업무용 단말기에서 출력에 대한 관리를 일원화하는 출력로그 이력관리와 모니터링 시스템 구축이 필요하다. 유진호 상명대 교수는 “정보 침해 사고는 내부 직원에 의한 유출이 가장 큰 유형인 만큼 직원관리를 위한 기술적 장치를 도입해야 한다”면서 “특히 대기업과 달리 중소기업은 정보유출을 막기 위한 관리에 어려움을 호소하는 만큼 보안시스템 등 보안 장비구축에 정부 지원이 필요하다”고 말했다. |
댓글목록 0
등록된 댓글이 없습니다.