KISA, 글로벌 개인정보 보호 규제 준수 지원
상태바
KISA, 글로벌 개인정보 보호 규제 준수 지원
  • 김선애 기자
  • 승인 2017.04.25 10:18
  • 댓글 0
이 기사를 공유합니다

KISA, EU GDPR·APEC CBPR 지원으로 기업 해외진출 지원 … 한국 주도하는 국제표준 마련

정부가 개인정보 보호와 활용, 빅데이터 산업 활성화를 위해 국내 규제를 개선하는 한편, 해외 규제 준수 지원 방안을 마련해 해외 진출 기업을 돕겠다는 방침을 밝혔다. 한국인터넷진흥원(KISA)은 EU가 내년부터 시행할 새로운 개인정보 보호 규제 GDRP를 위해 적정성 평가를 추진하고 있으며, 유럽 진출 기업에 대한 규제대응 역량을 강화할 계획이다.

아시아태평양지역 국가들이 체결한 ‘APEC CBPR’ 가입을 추진해 타국 기업에 대한 간접규제와 내국민 피해를 규제하도록 할 방침이다. 또한 한국 주도의 협의체인 ‘아시아 프라이버시 브릿지 포럼’을 운영해 우리나라가 국제적인 개인정보 보호 규제를 이끌고 나갈 계획이다. 더불어 개인정보 보호 종합 지원 체계를 구축해 EU 및 주요 교역국에서 개인정보 보호 법제 분석 및 가이드라인 개발, 침해사고 시 사후 대응 컨설팅 등을 제공할 계획이다.

김원 한국인터넷진흥원 개인정보보호본부장은 “세계적인 추세는 개인정보의 무조건적인 보호가 아니라 ‘안전한 활용’이다”라며 “해외의 달라지는 개인정보 보호 규제로 인해 국내 기업의 해외 진출 기회가 제한을 받지 않도록 적극적으로 지원할 것”이라고 말했다.

▲국내외 개인정보보호 법제 비교(KISA)

개인정보 유출 사고, 전 세계에서 발생

개인정보 보호 규제 강화는 전 세계적인 트렌드다. 수시로 대규모 개인정보 유출 문제가 발생하며, 유출된 개인정보는 사생활 침해 피해를 입히고, 타깃 공격을 위한 정보로 사용돼 인터파크 해킹사고와 같은 또 다른 대규모 공격으로 이어지게 된다.

국내 O2O 기업 여기어때에서 개인정보 유출 사고가 발생한 후, 피해자들은 수치심을 느낄만한 문자를 받고, 스팸, 광고성 전화 등의 피해를 입었다. 여기어때는 초보적인 해킹 수법인 SQL 인젝션 공격으로 323만여건의 고객정보 유출 사고를 당했다. 여기어때는 지난해 미래부장관상을 받았으며, ‘e프라이버시’ 인증을 받기도 했다.

해외에서는 야후가 2014년 개인정보 해킹사고로 아직까지 몸살을 앓고 있다. 15억명에 이르는 개인정보를 유출당한 햐후는 아직도 수사를 받고 있으며, 야후를 인수하기로 한 버라이즌은 인수 계획을 하반기로 연기했으며, 인수를 철회하거나 인수 가격을 낮출 것이라는 전망도 나왔다.

강화되는 개인정보 보호 규제

개인정보 유출 피해가 눈덩이처럼 커지면서 개인정보 보호 규제는 지속적으로 강화되고 있다. 가장 강력한 개인정보 보호법으로 꼽히는 우리나라 법에서는 법에 근거하지 않고, 본인의 동의 없는 주민등록번호 수집을 금지하고 있으며, 개인정보 수집에 관한 내용은 약관, 계약서 등에 사용자가 잘 보이도록 크고 굵은 글씨체로 표기하도록 되어 있다.

이처럼 엄격한 개인정보 보호 규제로 인해 정보 수집이 어려워지고 새로운 시장을 창출하는데 어려움을 겪게 되며, 빅데이터 산업 활성화의 걸림돌이 된다는 지적이 이어지자, 비식별화된 개인정보는 본인 동의 없이 사용하도록 규제를 완화했다. 단 활용 과정에서 비식별 정보가 식별할 수 있는 정보로 바뀌면 사용이 금지된다.

개인정보 안전하게 활용해야

국제 규제에서도 비식별 정보의 활용이 허용되지만 우리나라에서 추진하는 것과 인식의 차이가 있으며, 위치정보 등 새롭게 제기되는 개인정보에 대한 보호 수준을 정하는 것도 풀어야 할 숙제이다. 특히 해외 진출 기업이 각 국가별로 규제준수를 위한 조치를 취하는 것은 비용과 시간이 많이 소요되면 현지 법을 잘 알지 못해 규제를 위반할 경우 엄청난 과태료·과징금을 물어야 하고 심각한 경우 소송을 당할 수 있다. 그래서 정부가 나서서 글로벌 개인정보 보호 협의체에 가입하고 세계 주요국의 개인정보 보호 규제를 지원하기 위한 활동을 전개하고 있는 것이다.

김원 본부장은 “유럽 고객의 정보를 가져와서 한국에서 필요한 분석을 하려고 한다면, EU와 우리나라의 개인정보 보호 수준이 유사하다는 것을 입증해야 한다. 개별 기업이 이 활동을 하는 것은 비용이 많이 들기 때문에 국가 차원에서 협정을 맺고자 EU GDPR 적정성 평가를 추진하고 있다. APEC CBPR은 아태지역 국가들의 개인정보 보호 협정으로 여기에 가입된 국가들은 해외로 개인정보 이전이 가능해진다”고 설명했다.

그는 이어 “IoT로 전환되면 모든 서비스에서 정보주체의 동의를 얻기가 현실적으로 어려워진다. 개인정보 보호 규제는 변화하는 환경에 맞춰 개선되고 있다. 그래서 개인정보의 ‘안전한 할용’에 더욱 무게를 두고 있는 것”이라며 “최근 개인정보 유출사고는 내부자에 의한 것 보다 외부 해킹에 의한 것이 더 많기 때문에 개인정보를 보유하고 있는 기업/기관의 보안을 강화하기 위한 노력도 꾸준히 전개해야 할 것”이라고 강조했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.