양 정훈

절대적인 시간으로 보면 짧은 기간이지만 정보보호 업무를 필두로 기획, 인프라, 유지보수, 데이터, 고객관리 등 가능한 많은 업무분야를 경험하고 각 분야에서 발생하능한 개인정보 관련 이슈를 이해하고자 하였으며, 업무 관련 분야의 개인정보 처리와 관련된 문제를 연구와 GDPR, CCPA 등 정보보호 기준 동향 등에 대한 꾸준한 학습을 진행하고 있습니다.

1. 개인정보 보호와 관련하여 이러한 업무를 진행해 왔습니다.

- 기관의 정보보호 담당자로 첫 업무를 시작하며 국가정보원의 정보보안 기본지침, 개인정보보호위원회의 개인정보 보호법 및 시행령, 표준 개인정보보호지침, 전자통신망법 및 신용정보법 등을 참고하여 기관 내규를 당시의 법 기준에 맞춰 개정하였으며, 관련 내규의 준수 여부를 보다 더 정확히 확인 할 수 있도록 내부감사 항목을 제/개정한 경험이 있습니다. 비록 사회초년생으로 처음 직장생활을 시작하며 맡은 업무이기에 업무 초기에는 그 중요성을 크게 느끼지 못했으나, 개정 작업을 수행하고 실무에 참여하며 느낀점이 있다면 외부에서 보기에는 단순히 수많은 내규 중 불과할지라도 조직 내에서는 업무 수행의 기준이 됨과 동시에 문제에 대한 가이드라인이 될 수도 있다는 것이었고, 이를 인식하면서 부터 업무를 대하는 태도가 더욱 진중해졌던것 같습니다. 단순한 용어의 정의와 단어의 쓰임, 맞춤법 등까지 표준국어대사전을 참고하여 기존에 있던 거의 모든 오류를 수정하였고, 법령 개정에 따라 추가되는 부분, 법령 해석이 정확하지 않아 잘못 기술되었던 조항 등을 수정하며 조직의 사정에 맞게 개정 작업을 수행하였으며, 이해를 돕기 위해 개정 후 자체 교육등을 수행하는 등의 노력을 했던 것들이 가장 기억에 남는 것 같습니다.

- 개인정보 유출사고에 대응하여 유출 원인 및 사고조치를 지휘하고 법령에 따른 의무사항의 수행 및 유관기관에 신고 및 후속감사 수검을 진행한 경험을 가지고 있습니다. 유출사고가 발생한 사실을 자체를 안좋게 보실 수도 있지만, 저는 유출되었다는 사실을 파악하고 그에 대한 원인 분석과 후속조치를 하는 것이 그 조직의 진정한 정보보호 능력을 확인할 수 있는 지표라고 생각하고 있습니다. 이와 관련해서는 저는 항상 네트워크 보안장비 업체 CISCO의 담당자가 진행하는 교육을 들었을 때, 들었던 말을 떠올리곤 합니다. 전체 보안위협 중 보안장비와 소프트웨어가 막아줄 수 있는 것은 최대 20% 정도에 불과하다는 내용으로 이는 곧 나머지 몫은 온전히 조직의 시큐어코딩 준수 여부와 정보보호 담당자들의 역량에 기댄다는 말과 동일한 말이라고 생각합니다. 정보보호 담당자가 맡은 나머지 80%의 몫에서 단순히 법률을 준수하기 위해 최소한의 점검만 수행하고 증적을 남기는 것만을 업무로 진행한다면 공식적으로는 유출사고가 발생하지 않고, 보안적으로 우수한 조직으로 보일 수는 있습니다. 하지만 일전의 큰 개인정보 유출사고들에서 볼 수 있었듯이 이러한 상황은 실제로 유출은 진행되고 있으나, 인지를 하지 못한 경우 대부분으로 모니터링을 통해 유출 건수가 1천 건 이하일 때, 유출경로와 즉각 적인 후속조치, 행위자의 특정까지 진행한 일련의 경험이 저에게는 가장 큰 무기가 될 수 있다고 생각합니다.

- 기관 내/외부 데이터 수요에 따른 데이터 수집 및 제공 경험을 가지고 있습니다. 중소기업 기술개발사업 종합관리시스템을 운용하며, 타기관 업무 흡수에 따른 개인정보 포함 데이터의 이관과 회원 개인정보 처리 정책에 대한 협의 및 기술적 처리, 데이터기반 행정 및 공공데이터 활용과 관련된 법률에 의해 요청된 개인정보 포함 데이터 제공 시 개인정보의 비식별화, 연구개발 혁신법에 따른 연구자 개인정보 제공 등 다양한 업무 및 법령에 따른 개인정보 처리를 경험하며, 기존에 분리되어 관리되고 있던 개인정보와 관련된 메타 관리를 통합, 적용하여 기관 외부로 나가는 데이터에 비식별화 혹은 난독화가 일괄적으로 적용될 수 있도록 조치하였으며, 기관 내부에서 활용 시 직원의 업무와 연계된 개인정보 조회권한을 부여하여 개인정보 활용 현황 파악을 용이하게 하고, 직원들에게는 조금 더 많은 데이터에 대한 접근을 제공하는 등의 성과를 이루었습니다.

2. 입사 후 이러한 업무담당자가 되고자 합니다.

- 개인(신용) 정보의 보호를 위해 단순히 제한을 하는 사람이 아닌 보다 정확한 가이드라인과 발생한 문제에 대한 해결책을 제시하여 조직이 습득한 정보를 업무에 최대한 활용할 수 있도록 도움을 줄 수 있는 업무 담당자가 되고자 합니다.

- 서류작업을 통해 정형화된 답변을 내놓는 것이 아닌 실무팀의 업무 프로세스를 이해하고, 그 과정에서 발생하고 있는 문제와 발생할 수 있는 문제를 발굴/공유하고 업무를 유지하면서 문제점을 개선해 나갈 수 있는 방안을 제시할 수 있는 업무담당자가 되고자 합니다.

- 단순히 법률을 준수하기 위한 형식적 점검보다는 시간과 노력이 더 필요하더라도 실질적으로 개인정보의 유/노출을 점검할 수 있는 업무 프로세스를 개발하는 업무담당자가 되고자 합니다.

- 조직 내/외부에서 내부감사 혹은 개인정보 관련 유/노출 사고가 발생했을 때만 접촉할 수 있는 담당자가 아닌 조직 내부 고객에게는 업무 수행 전 법률적 해석을 질의할 수 있는, 외부 고객에게는 자기결정권 행사에 도움을 줄 수 있는 업무담당자가 되고자 합니다.

3. 입사 후 이러한 업무를 희망합니다.

- 대내/외 고객과 소통하며 직/간접적인 도움을 줄 수 있는 업무를 희망합니다.

- 능동적으로 연구하고, 개선된 결과를 지속적으로 적용할 수 있는 권한을 가진 업무를 희망합니다.

정보처리기사