행안부, 개인정보 영향평가기관 '부랴부랴' 추가 지정


내년 1월 초 공고 예정…수요예측 제대로 못해

[김수연기자] 지난 25일 개인정보 영향평가기관 1차 선정업체 6곳을 관보에 고시한 행정안전부가 내년 1월 초부터 2차 선정 작업에 들어갈 예정이다. 1차로 6개 업체를 뽑고 보니, 시장 수요를 감당할 수 없을 것이란 판단이 들어 2차 선정 일정을 최대한 앞당긴 것.

앞서 행안부는 27개 신청업체 중 롯데정보통신, 씨에이에스, 안철수연구소, 이글루시큐리티, 인포섹, 한국정보기술단 등 6개 업체를 개인정보 영향평가기관으로 선정한 바 있다.

유영남 행정안전부 개인정보보호과장은 "개인정보 영향평가기관 2차 선정 작업을 위해 내년 1월 초 공고를 낼 예정이다. 심사에 2개월 정도 걸리지 않을까 싶다. 최대한 일정을 당겨볼 생각이다"고 말했다. 이에 따라 내년 3월 정도에는 추가 지정 업체들이 발표될 전망이다.

하지만 아직까지 행안부가 개인정보 영향평가에 대한 내년도 수요를 정확히 파악하고 있지 못한 상황이어서 2차 선정 작업을 통해 지정업체가 추가된다고 해도 영향평가에 대한 '수요-공급 논란'은 쉽게 수그러들지 않을 것으로 보인다.

◆ 수요예측 제대로 못해 두 번 일하는 행안부

영향평가 수요를 제대로 파악하지 못한 행안부는 다시 평가위원들에게 수당을 줘가며 2차 선정 작업을 하게 됐다. 평가위원도, 신청서를 제출하는 업체도 두 번 일하게 되는 셈이다. 문제는 2차 지정을 앞두고 있는 상황에서도 내년도 영향평가 수요조사가 아직까지 진행 중이라는 것이다.

개인정보 영향평가는 공공기관에서 개인정보를 활용하는 신규 정보시스템을 도입하거나 기존에 취급했던 개인정보시스템에 중대한 변경사항이 발생했을 때, 동일한 시스템을 구축·운영·변경 할 때 프라이버시에 어떤 영향을 주는지를 사전에 조사·예측·검토하는 절차다.

지난 9월30일 시행된 개인정보보호법에 따르면 법 시행 이전에 구축됐던 공공기관의 개인정보시스템들에 대해서는 9월30일 이후 5년 이내에 영향평가를 받아야 한다. 또한 9월30일 이후 새롭게 구축되는 시스템의 경우에는 올 연말까지 개인정보 영향평가 계획을 수립하고, 내년 9월 말까지 영향평가를 받아야 한다.

행안부는 기존에 구축됐던 공공기관의 개인정보시스템들, 그러니까 향후 5년 이내에 영향평가를 받으면 되는 시스템들을 대상으로 수요를 추정했다고 주장했다. 그러나 내년도에 도입될 공공기관의 신규 시스템 규모가 어느 정도인지, 그 가운데 개인정보 영향평가를 받아야 하는 것은 얼마나 되는지 등은 고려하지 못했다는 이야기다.

개인정보 영향평가기관 1차 선정 작업이 정확한 수요 예측 없이 이뤄진 셈이다. 이에 행안부는 12월 초부터 각 부처에 공문을 보내 다시 수요 조사를 하고 있으며, 관련 자료 취합작업은 아직 완료되지 못했다.

유영남 과장은 "이번에 수요를 조사하는 것은 구체적으로 각 부처가 내년 예산을 편성할 때 영향평가를 위한 예산을 얼마나 편성할 지를 감안한 것으로, 현재 각 부처의 내년도 영향평가 수요들이 조금씩 취합되고 있다"며 "연말까지 수요조사를 마무리하겠다고 부처에 요구했는데 어느 정도 (회신이)왔는지 확인은 못했으며, 이를 최종 취합해 봐야 영향평가 수요에 대한 윤곽을 잡을 수 있을 것"이라고 밝혔다.

영향평가에 대한 제대로 된 수요 파악이 선행되지 않는 지금과 같은 상황에서는 개인정보 영향평가기관 2차 지정 작업이 끝난 후 얼마 안 있어 또다시 3차 선정 작업을 서둘러야 할지도 모를 일이다.

◆업계 "바람직한 행정은 아닌 듯" 볼 멘 소리

정보보안업체들은 행안부가 내년 초 개인정보 영향평가기관 추가 지정한다는 소식에 "무슨 생각을 가지고 정책을 수행하는지 모르겠다. 업체를 두 번 일하게 하고 있다"는 반응을 쏟아냈다.

이번에 심사를 받은 한 보안 컨설팅 업체 관계자는 "정부가 지난 10월 말 공고를 내어 12월에 급하게 업체를 선정해 놓고는, 수요가 안 맞으니 다음 달에 또 뽑는다고 하는 것인데, 정부가 수요 예측을 잘못하는 바람에 업체가 두 번 일하게 되는 것"이라며 "바람직한 행정은 아닌 것 같다"고 말했다.

한 보안 업체 관계자는 "또 뽑는다니 재신청은 할 것이다"며 "하지만 1차 공고를 냈을 때에는 영향평가 수요가 많아 결격사유가 없는 업체들에 자격을 주는 방식으로, 많은 업체를 선정하려고 했던 것으로 알고 있었는데 전문업체를 지정하는 개념으로 변질된 것 같다. 정책 일관성이 없어 보인다"고 지적했다.

이 관계자는 선정 기준에도 의문을 제기했다. 그는 "우리는 공공, 포털, 기업을 대상으로 개인정보 영향평가를 계속 수행했던 컨설팅업체라서 당연히 선정될 줄 알았다. 우리 말고도 영향평가 레퍼런스를 많이 보유하고 있는 또 다른 업체들도 탈락해 의아한 결과라고 생각하고 있다"며 "이번에 사실상 영향평가와 관련된 사업을 진행하지 않았던 업체도 지정됐다. 어떤 기준에서 선정됐는지 모르겠다"고 말했다.

또 다른 보안 컨설팅 업체 관계자는 "개인정보 영향평가라는 개념 자체가 알려지지 않았을 때부터 관련 사업을 진행해 왔던 업체인데도 탈락했다는 점, 보안업체가 아닌 업체들도 선정됐다는 점에서 당황스러웠다"고 털어놨다.

이에 대해 행안부는 15인의 평가위원들이 정해진 정량평가, 정성평가 기준에 따라 심사했고 기준을 만족하는 기업, 즉 총점 75점 기준을 통과한 업체에 대해서는 컨설팅 업체든, 보안업체든, 시스템업체든 구분을 두지 않고 합격시켰다는 입장이다.

앞으로도 같은 기준으로 신청 업체들을 평가하여 개인정보 영향평가기관을 선정할 것이라고 행안부 측은 밝혔다.

김수연기자 newsyouth@inews24.com







포토뉴스