정호원 고려대 경영대학 경영학과 교수
산업이나 또는 기술의 발전에 따라 어쩌면 유행처럼 보이는 이슈가 있다. 예를 들면 소프트웨어 품질과 관련해 우리나라에서 1990년대 초반부터는 ISO 9000(9000-3) 표준에 따른 품질시스템 인증을 취득하는 것이 기업의 트렌드 중 하나였고, 정부 또한 법을 만들고 확산을 독려하였다.
2000년 경 부터는 미 카네기멜론대학의 SEI(Software Engineering Institute)가 미국의 국방성 지원으로 개발한 표준인 SW-CMM/CMMI와 국제표준인 ISO/IEC 15504(일명 SPICE)에 따른 소프트웨어 개발 프로세스 능력수준 달성이 IT 업계의 화두였다(CMMI와 SPICE는 프로세스를 심사하여 표준의 이행 수준을 0부터 5까지 등급을 부여). 이 기간에 우리나라는 열정이 넘쳐 복제가 금지된 CMMI와 SPICE 표준의 내용을 조합하여 ISO가 금지하고 있는 파생표준과 유사한 내용을 법으로 만들기도 하였다.
그러나 이상하게도 품질보다 더욱 필요하고 잘못되면 사회적인 파장이나 경제적 손해가 막대한 개인정보보호 부분에서 법률이나 표준 제정, 이에 따른 신뢰할 만한 수준의 인증이나 능력수준 심사 결과 소식은 없는 것 같다. 물론 개인정보보호가 품질보다 사회적 영향이 크고, 또한 위반시 처벌에 관한 내용을 포함하고 있어 법률로 제정하기 전에 사회적인 동의를 구하기 어려운 면에 기인한다고 할 수 도 있다.
그러나 한편으로는 파생표준을 만들때 처럼 번역하여 사용할 수 있는 국제표준 수준의 우수사례(best practices: 누구가 먼저 사용하여 성과를 보았다는 충분한 객관적인 증거가 있어, 다른 사람이나 조직에게 권고 되는 활동)가 거의 없고, 또한 국내에서도 우수사례를 만드는 작업을 하지 않았기 때문이기도 하다.
그렇다고 국회에 몇 년째 계류 중인 개인정보보호법이 통과된다고 해도 법의 준수 정도를 기업 단위 수준에서 객관적으로 알기가 어렵다. 이 법의 원활한 운용을 위해서는 추가적으로 우수사례를 CMMI나 SPICE처럼 제공하는 것이 필요할 것이다.
일반적으로 법률 준수 점검에서 심사 받는 조직은 부족한 점을 숨기고, 반면에 심사자는 숨긴 것까지 찾아내야 하는 '보물 찾기'와 유사하다. 반면에 표준으로 규정된 우수사례의 이행 심사는 자신의 문제점을 가장 잘 아는 심사대상 조직의 직원이 심사팀에 일원이 되어 개선의 기회를 찾아 낸다. 따라서 법률만 갖고는 민간 기업에서 개인정보 보호를 잘 하기 위한 경쟁이 CMMI에서와 같이 벌어질 것으로 기대하기 어렵다.
우수사례 표준의 이행 정도를 갖고 법률의 준수 여부를 판단하는 제도의 운영 역시 고려해 볼 수 있다. 예를 들면 미국 국방성의 예산 및 지출을 규정하는 국방인가법(National Defense Authorization Act)의 804조는 국방성의 IT 획득 프로세스의 개발과 이행을 규정하고 있다. 이 조항의 준수는 SEI의 '획득 CMMI (CMM-ACQ)' 표준 이행으로 판단하기도 한다. 따라서 법에서는 필요 요건을 정의만 해 놓아도, 우수사례의 이행, 개선활동, 심사, 능력 수준 발표가 정부의 개입 없이 무리없이 운영되고 있다.
CMMI나 SPICE와 같은 우수사례 표준의 이행 수준을 결정하는 인증/심사 체계 수립의 시행은 크게 세 가지로 나눌 수 있다. 첫째는 누가 책임을 지고 제도를 운영할 것인가인 '인증체계', 두 번째는 우수사례 표준과 심사절차를 만드는 '표준화', 세 번째는 심사원 자격을 부여하는 교육을 누가 담당할 것인가를 규정하는 '심사원 자격' 제도 운영이다.
첫 번째 인증 체계 운영은 법률 사항이고, 두 번째 표준화 관련해서는 우리나라의 개인정보보호 관련법들은 여러 조항에서 중복되고 있다. 특히, 개인정보보호는 정보보호가 사전에 전제되어야 함으로, 이 부분은 우리나라 전체가 사용할 수 있는 하나의 성공사례 표준을 만들고, 예외적으로 필요한 사항이 있다면 '확대조항'(일명: amplification)을 추가해 해당 부분의 예외를 인정하면 될 것이다.
정보보호의 우수사례 표준은 인터넷 진흥원(KISA)에서 시행하고 있는 '정보보호관리체계'를 수용할 수 도 있을 것이다. 또한 심사 방법은 CMMI의 심사 방법을 준용하고, 다만 등급 부여 방법만 법 정신에 맞추어 객관화하면 될 것이다. 심사원 자격의 부여를 위한 교육은 국제적인 요건을 갖춘 몇 개의 기관을 지정하면 자연스럽게 경쟁이 이루어질 것이다. 마지막으로 인증 체계만 법률사항이고, 나머지 모든 것은 표준이 만들어져야 할 것이고, 만들고자 한다면 국제적인 수준의 표준으로 만들어야 할 것이다.
산업이나 또는 기술의 발전에 따라 어쩌면 유행처럼 보이는 이슈가 있다. 예를 들면 소프트웨어 품질과 관련해 우리나라에서 1990년대 초반부터는 ISO 9000(9000-3) 표준에 따른 품질시스템 인증을 취득하는 것이 기업의 트렌드 중 하나였고, 정부 또한 법을 만들고 확산을 독려하였다.
2000년 경 부터는 미 카네기멜론대학의 SEI(Software Engineering Institute)가 미국의 국방성 지원으로 개발한 표준인 SW-CMM/CMMI와 국제표준인 ISO/IEC 15504(일명 SPICE)에 따른 소프트웨어 개발 프로세스 능력수준 달성이 IT 업계의 화두였다(CMMI와 SPICE는 프로세스를 심사하여 표준의 이행 수준을 0부터 5까지 등급을 부여). 이 기간에 우리나라는 열정이 넘쳐 복제가 금지된 CMMI와 SPICE 표준의 내용을 조합하여 ISO가 금지하고 있는 파생표준과 유사한 내용을 법으로 만들기도 하였다.
그러나 이상하게도 품질보다 더욱 필요하고 잘못되면 사회적인 파장이나 경제적 손해가 막대한 개인정보보호 부분에서 법률이나 표준 제정, 이에 따른 신뢰할 만한 수준의 인증이나 능력수준 심사 결과 소식은 없는 것 같다. 물론 개인정보보호가 품질보다 사회적 영향이 크고, 또한 위반시 처벌에 관한 내용을 포함하고 있어 법률로 제정하기 전에 사회적인 동의를 구하기 어려운 면에 기인한다고 할 수 도 있다.
그러나 한편으로는 파생표준을 만들때 처럼 번역하여 사용할 수 있는 국제표준 수준의 우수사례(best practices: 누구가 먼저 사용하여 성과를 보았다는 충분한 객관적인 증거가 있어, 다른 사람이나 조직에게 권고 되는 활동)가 거의 없고, 또한 국내에서도 우수사례를 만드는 작업을 하지 않았기 때문이기도 하다.
일반적으로 법률 준수 점검에서 심사 받는 조직은 부족한 점을 숨기고, 반면에 심사자는 숨긴 것까지 찾아내야 하는 '보물 찾기'와 유사하다. 반면에 표준으로 규정된 우수사례의 이행 심사는 자신의 문제점을 가장 잘 아는 심사대상 조직의 직원이 심사팀에 일원이 되어 개선의 기회를 찾아 낸다. 따라서 법률만 갖고는 민간 기업에서 개인정보 보호를 잘 하기 위한 경쟁이 CMMI에서와 같이 벌어질 것으로 기대하기 어렵다.
우수사례 표준의 이행 정도를 갖고 법률의 준수 여부를 판단하는 제도의 운영 역시 고려해 볼 수 있다. 예를 들면 미국 국방성의 예산 및 지출을 규정하는 국방인가법(National Defense Authorization Act)의 804조는 국방성의 IT 획득 프로세스의 개발과 이행을 규정하고 있다. 이 조항의 준수는 SEI의 '획득 CMMI (CMM-ACQ)' 표준 이행으로 판단하기도 한다. 따라서 법에서는 필요 요건을 정의만 해 놓아도, 우수사례의 이행, 개선활동, 심사, 능력 수준 발표가 정부의 개입 없이 무리없이 운영되고 있다.
CMMI나 SPICE와 같은 우수사례 표준의 이행 수준을 결정하는 인증/심사 체계 수립의 시행은 크게 세 가지로 나눌 수 있다. 첫째는 누가 책임을 지고 제도를 운영할 것인가인 '인증체계', 두 번째는 우수사례 표준과 심사절차를 만드는 '표준화', 세 번째는 심사원 자격을 부여하는 교육을 누가 담당할 것인가를 규정하는 '심사원 자격' 제도 운영이다.
첫 번째 인증 체계 운영은 법률 사항이고, 두 번째 표준화 관련해서는 우리나라의 개인정보보호 관련법들은 여러 조항에서 중복되고 있다. 특히, 개인정보보호는 정보보호가 사전에 전제되어야 함으로, 이 부분은 우리나라 전체가 사용할 수 있는 하나의 성공사례 표준을 만들고, 예외적으로 필요한 사항이 있다면 '확대조항'(일명: amplification)을 추가해 해당 부분의 예외를 인정하면 될 것이다.
정보보호의 우수사례 표준은 인터넷 진흥원(KISA)에서 시행하고 있는 '정보보호관리체계'를 수용할 수 도 있을 것이다. 또한 심사 방법은 CMMI의 심사 방법을 준용하고, 다만 등급 부여 방법만 법 정신에 맞추어 객관화하면 될 것이다. 심사원 자격의 부여를 위한 교육은 국제적인 요건을 갖춘 몇 개의 기관을 지정하면 자연스럽게 경쟁이 이루어질 것이다. 마지막으로 인증 체계만 법률사항이고, 나머지 모든 것은 표준이 만들어져야 할 것이고, 만들고자 한다면 국제적인 수준의 표준으로 만들어야 할 것이다.
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0