보안 관리자에게 인력 산정은 단순히 업무량을 계산하는 과정이 아니라, 조직이 감당할 수 있는 '법적·경영적 리스크의 범위'를 확정하는 전략적 의사결정입니다.
1. [법적 근거] 제30조의3(사업주 또는 대표자의 책임)의 엄중함
개정된 제30조의3은 사업주 또는 대표자를 개인정보 보호의 '최종적인 책임자'로 명시하고 있습니다. 특히 "전문 인력과 충분한 예산의 지원 등 총괄적인 관리 조치를 실효성 있게 하여야 한다"는 문구는 인력 확보가 더 이상 인사팀의 재량이 아닌, 경영진의 법적 의무임을 뜻합니다. 따라서 인력 산정의 출발점은 "우리가 이 법적 의무를 다하고 있는가?"라는 질문이어야 합니다.
2. [산정 방법론 1] 직무 기반의 업무량(Workload) 분석
현장의 목소리를 숫자로 바꾸는 가장 객관적인 방법입니다.
방식: 내부 관리계획 이행, 수탁사 점검, 로그 분석, 취약점 진단 등 각 직무별 연간 수행 횟수와 소요 시간을 계산하여 FTE(상근 인력 단위)를 도출합니다.
효과: "사람이 부족하다"는 감정적 호소 대신, "법정 의무 사항을 100% 이행하기 위해 필요한 최소 시간과 현재 가용 시간의 격차"를 시각적으로 보여줍니다.
3. [산정 방법론 2] IT 예산 및 인력 대비 벤치마킹
경영진이 가장 익숙해하는 '상대적 지표'를 활용하는 방법입니다.
방식: 국내외 가이드라인에서 권고하는 IT 인력 대비 보안 인력 비중(예: 5% 이상)을 인용합니다.
효과: 제30조의3에서 말하는 '충분한 인력'에 대한 객관적 기준을 제시합니다. 동종 업계 평균에 미달하는 인력 배치는 사고 발생 시 대표자의 '관리 소홀'을 입증하는 불리한 증거가 될 수 있음을 강조할 수 있습니다.
4. [산정 방법론 3] 리스크 기반의 공백 분석 (Gap Analysis)
인력 부족으로 인해 발생하는 '보안 사각지대'의 위험 비용을 산출합니다.
방식: 인력 부족으로 인해 수행하지 못하는 업무(예: 실시간 모니터링 부재, 퇴사자 계정 삭제 지연 등)와 그로 인한 사고 발생 가능성을 리스크로 정의합니다.
효과: 인력 충원을 비용(Cost)이 아닌, 사고 시 발생할 천문학적인 과징금과 대표자의 법적 책임을 막기 위한 '보험'으로 재정의하게 만듭니다.
"적정 인력 산정은 대표자의 '실효적 관리 조치'를 증명하는 첫걸음입니다"
보안 인력 산정의 목적은 담당자의 업무 편의가 아니라, 조직의 안전과 경영진의 법적 면책에 있습니다. 아벨님이 작성하시는 보고서에 제30조의3(사업주 또는 대표자의 책임)을 명확히 적시하고, 인력 부족이 단순한 '불편'을 넘어 '법적 의무 불이행'으로 이어질 수 있음을 경고하는 것은 매우 중요한 전략입니다.