[ 아시아경제 ] 개인정보 보호에 대한 요구가 높아지면서 국가 차원의 인증 관리를 보다 엄격하게 해야 한다는 지적이 나온다. 기업의 자율적 개선만으로는 개인정보 유출이나 해킹 같은 보안 위협을 방지하는 데 한계가 있어서다. 최근 중국 로보락과 TCL 등 해외 제조사의 개인정보 처리방침이 논란이 되면서 기업 자율에 맡긴 정보보호 관리 체계로는 소비자 보호가 어렵다는 우려가 커졌다.

개인정보 보호 인증제도는 단순히 해킹 같은 외부 공격 방지만 평가하는 것이 아니라, 기업의 개인정보 처리 과정 전반이 법적 기준과 개인정보 보호 원칙에 맞게 운영되는지까지 종합적으로 평가하는 제도다. 즉, 기업의 개인정보 수집·이용·제공 및 해외 이전 절차가 적법한지 여부와 개인정보 처리방침이 국내 법적 요건을 제대로 충족하는지까지 점검한다. 글로벌 사물인터넷 기기를 제조하는 기업들이 개인정보 처리방침을 자의적으로 설정하거나 소비자 동의 없이 국외로 개인정보를 이전할 가능성이 있기 때문에, 미국이나 유럽연합 등 주요국은 국가 차원에서 이러한 인증을 엄격하게 의무화하고 있다.

미국 연방통신위원회는 올해부터 미국 내에서 판매되는 스마트 기기에 대해 '사이버 트러스트 마크' 제도를 시행해 기업들이 미국 정부가 정한 개인정보 보호 기준과 보안 기준을 충족하는지를 종합적으로 평가하고 있다. 2027년 이후부터는 인증받은 제품만 연방 정부가 구매할 수 있도록 행정명령도 추진 중이다.

유럽연합은 더 강력한 기준을 세웠다. 지난해 유럽연합이 승인한 '사이버복원력법(CRA)'을 통해 유럽에서 판매 및 유통되는 모든 디지털 제품의 개인정보 관리 전반을 국가가 의무적으로 평가하도록 하고 있다. 기업들이 이를 준수하지 않으면 전 세계 매출액의 최대 2.5% 또는 1500만 유로(약 210억원)의 막대한 벌금을 부과받는다.

반면 한국 정부는 국가 주도의 정보보호 인증제도를 운영하고 있지만, 기업들에 대한 의무적용이 아니어서 실효성이 낮다는 지적이 많다. 현재 과학기술정보통신부와 개인정보보호위원회가 공동으로 운영하는 '정보보호 관리체계 인증(ISMS-P)'은 개인정보를 처리하는 기업들이 외부 해킹 위험뿐 아니라 개인정보 수집·이용·제공·이전 등 내부 절차가 법적 기준을 준수하고 있는지 종합적으로 평가한다.

이외에도 IoT 보안인증과 개인정보보호 중심 설계(PbD) 인증도 있지만, 기업들이 자율적으로 선택할 수 있는 수준이어서 실효성이 떨어진다는 지적이다. 실제로 지난해 삼성전자의 '비스포크 AI스팀' 로봇청소기 제품만 IoT 보안인증과 PbD 인증을 모두 받은 유일한 사례였으며, 나머지 대다수 기업은 인증을 받지 않고 있다.

업계 한 관계자는 "국가 인증 제도를 이용하려면 복잡한 절차를 거치고 일정 비용을 지불해야 한다"며 "한국 정부는 각 인증 제도를 예전부터 도입했으나, 중국 로봇청소기 업체들에 대한 보안 우려와 개인정보 중국 이전에 대한 의혹이 확산하는 상황에서도 적극적으로 의무화하거나 의혹을 조사하려는 움직임이 없었다"고 말했다. 이어 "소비자 보호를 위해 한국 정부에서 인증 적용 확대에 적극적으로 나설 필요가 있다"고 말했다.

이에 대해 개인정보보호위원회 관계자는 "기업이 비용면에서 부담을 가질 수 있고 인증을 받기 위해 상당한 투자를 해야 하기 때문에 정부 입장에서 강제로 규제하기가 쉽지 않다"고 설명했다.

박춘식 서울여대 정보보호학과 교수는 "국가나 기업별로 정보보호 처리 방침의 내용이 다르고, 특히 중국 업체의 경우 지침상 정보 보안 우려가 제기될 수 있을 것으로 보인다"며 "한국 정부에서 국내 업체들 뿐 아니라 글로벌 업체들에 대해서도 개인정보 보호와 관련해 보다 엄격히 관리 감독을 할 필요가 있다"고 조언했다.

박준이 기자 giver@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>