개인정보보호법은 암호화, DRM, DLP 등 데이터 보호 솔루션 시장 성장의 중요한 요인이 됐다. 2018년 5월 시행되는 유럽 개인정보보호법(EU GDPR)으로 인해 개인정보 보호와 거버넌스 솔루션이 또 다시 성장의 기회를 받을 것으로 기대된다.
GDPR은 정보주체의 자기결정권을 강화한 것이 주요 골자이며, 위반 시 최대 2000만유로(약 260억원) 혹은 전 세계 매출의 4% 중 더 큰 금액이 과징금으로 부과된다. 한 해 200조원의 매출을 올리는 글로벌 기업이라면 과징금이 무려 8조에 이르는 셈이다. 일반적 위반의 경우라 해도 1000만유로 혹은 전 세계 연간 매출액의 2% 중 더 높은 금액이 부과돼 심각한 비즈니스 피해를 입을 수 있다.
GDPR은 우리나라 개인정보보호법과 접근하는 철학이 다르기 때문에 규제가 요구하는 실제 내용이 무엇인지 확실히 알고 대응해야 한다. 정보주체가 자신의 정보가 어디에 사용되는지 알고자 할 때에는 모든 시스템에서 사용되는 내역을 공개해야 하며, 삭제를 원할 때는 모든 시스템에서 삭제해야 한다.
서비스를 제공하는 기업은 대부분 개인정보 제공 동의를 받은 후 이를 여러 벌 복제해 상품 테스트, 시장조사, 타깃 마케팅용 분석, 신상품 개발 등 다양한 분야에 사용한다. 제3자 제공에 동의한 경우 협력사 혹은 계열사에 개인정보를 제공해 이용하도록 한다. 제공된 정보는 클라우드에 보관되기도 하고, 기업 내 여러 업무 시스템, 파트너 시스템 등에 분산 저장된다.
GDPR 준수를 위해서는 정보주체가 개인정보 이용내역을 알려달라고 하거나 삭제를 원할 때 이 정보가 사용되는 업무를 모두 파악해 요청을 수행해야 하는데, 현재 시스템에서는 완벽한 요청 수행이 어렵다. 데이터 흐름을 투명하게 관리할 수 있는 장치가 마련돼 있지 않으며, 대부분의 경우 주먹구구식으로 데이터를 중복해서 복제하고 유통시키켜 관리가 제대로 되지 않기 때문이다.
섀도우 데이터, GDPR서 심각한 위기 초래
섀도우 클라우드가 증가하는 현재 비즈니스 환경에서는 GDPR이 심각한 위기가 될 수 있다. 현업에서 관리조직의 허가 없이 쉽게 외부 클라우드를 사용하면서 고객 정보를 저장시켰다가 방치하면 GDPR 위반이 된다. 이와 같은 섀도우 데이터로 인해 막대한 과징금을 부과받을 수 있고, 개인정보 유출로 인한 피해, 손해보상 소송으로 이어질 수 있다.
GDPR에 대응하기 위해서는 데이터 거버넌스 관점의 관리체계가 필요하다. 베리타스의 ‘360 데이터 관리’ 솔루션은 GDPR과 같은 국제 컴플라이언스에 도움을 주며, 자문 서비스와 통합 소프트웨어 기술로 구성된다. 자문 서비스 조직은 GDPR 워크숍 개최, GDPR 대비 평가, GDPR 관련 핵심 기술 구현 등을 담당한다. 컴플라이언스 솔루션은 데이터의 위치를 정확하게 파악하고, 해당 정보에 액세스할 수 있는 사용자와 정보 보존 기간을 확인하며 필요에 따라 적법한 조치를 취할 수 있다.
머신러닝 기술을 통해 직간접적으로 식별가능한 개인 데이터를 쉽게 찾을 수 있으며, 이디스커버리 기능을 활용해 관련 데이터를 검색·분석·생성해 모든 규정과 법률 사안에 대한 요청을 신속하게 처리할 수 있다.
또한 클라우드에 저장되는 데이터의 가시성을 확보하기 위해 여러 클라우드 서비스 사업자와 협업해 클라우드 프로바이더 모듈을 개발하고 있으며, 가장 먼저 AWS 인포메이션맵 솔루션과 연동을 마쳤다.
개인정보 보호 관련 규제를 강화하는 것은 전 세계적인 추세이다. 우리나라는 이미 강력한 개인정보보호법이 있으며, 중국은 6월 1일부터 사이버보안법을 시행하고, 사이버공간의 주권 원칙과 개인정보 보호, 데이터 국제 이전, 개인정보 자기결정권 등의 내용을 포함시켰다.
글로벌 단위의 개인정보 보호 규칙도 제정되고 있다. 아시아태평양(APEC) 지역 국가들이 참여하는 국경간프라이버시규칙(CBPR)은 글로벌 기업이 개인정보 유출 등 침해사고를 일으켰을 때 소속된 회원국이 공조해 피해 구제책을 만드는 등의 노력을 한다. 우리나라도 6월 CBPR에 가입 신청을 했으며 승인을 받았으며, 자격요건 심사를 거쳐 2018년 1년간의 준비기간을 가진 후, 2019년부터 활동을 시작할 예정이다.
개인정보 비식별화, 적절한 수준 맞춰야
GDPR을 포함한 개인정보 보호 규제와 관련된 중요한 논쟁 중 하나가 개인정보의 활용이다. 개인정보를 가둬놓고 못 쓰게 만드는 것 만이 보호는 아니고, 적법하게 활용하는 것도 보호의 방법이다. 공익적인 목적으로 활용하는 경우, 비식별화 한 후 사용하는 것은 용인될 수 있다.
우리나라에서도 금융기관은 비식별화 딘 개인정보를 당사자 동의 없이 사용할 수 있다. 이 때 중요한 것은 비식별 수준을 어느 정도로 할 것인가 인다. 비식별 데이터를 결합했을 때 식별할 수 있는 개인정보로 변환된다면 그 데이터를 사용할 수 없으므로 비식별 조치의 방법과 수준에 주의를 기울여야 한다.
비식별 방법 조치는 분석에 필요한 데이터만 남겨두고 삭제하거나 *와 같은 의미 없는 문자로 대체하는 것, 혹은 40대-전문직-여성 등 일반적인 대분류만으로 구분하는 등의 조치를 말한다. 비식별 조치가 너무 강력하면 빅데이터 분석에 사용할 수 없는 의미 없는 데이터가 되며, 너무 낮으면 재식별이 가능해 사용할 수 없다.
비식별화 솔루션으로 파수닷컴의 ‘애널리틱 디아이디’가 있으며, 비식별조치 가이드라인을 모두 준수한다. 국립암센터, 비식별조치 전문기관에 공급했다.
이지서티의 ‘아이덴티티 쉴드’는 개인정보 보호 전문성과 K.L.T 프라이버시 모델 비식별 기법을 적용한 컴플라이언스 솔루션이다. 인메모리 기술로 고속이 비식별 처리를 제공하며, 개인정보 필터링 원천기술을 확보해 비식별조치부터 데이터 결합까지 업무 연계를 통한 최적의 업무 프로세스를 제공한다.
