[개인정보 보호와 활용③] 강력해지는 개인정보 보호 규제
상태바
[개인정보 보호와 활용③] 강력해지는 개인정보 보호 규제
  • 김선애 기자
  • 승인 2018.08.10 17:24
  • 댓글 0
이 기사를 공유합니다

글로벌 개인정보 보호법, 개인정보 보호 책임 강화…개인정보의 안전한 활용도 보장

개인정보의 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치려는 사이버 범죄자들이 늘고 있다. 이에 대응하기 위해서는 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다.<편집자>

강화되는 글로벌 개인정보 보호 규제

개인정보 유출로 인한 사회적인 피해가 극심해지면서 각국 정부는 개인정보 보호 규제를 강화하고 기업/기관에게 강력한 개인정보보호 책임을 묻고 있다. 그 대표적인 규제가 우리나라 개인정보보호법이며, 5월 정식 발효된 GDPR도 매우 강력한 규제로 꼽힌다.

GDPR은 유럽 시민의 개인정보를 보호하기 위한 것으로, 개인정보 수집 동의·열람·정정·반대 권리, 개인정보 이동권과 삭제권, 프로파일링 등 자동화된 의사결정 관련 거부권 등을 포함하고 있다. DPO 지정 의무, 개인정보 영향평가, 개인정보 처리활동 기록 등 기업 책임을 강화하고 있으며, 위반 수준에 따라 전 세계 매출액의 4% 또는 2000만 유로 중 높은 금액을 과징금으로 부과할 수 있도록 했다.

중국에서는 지난해부터 ‘네트워크 안전법’이 시행되고 있으며, 개인정보와 중요정보는 반드시 중국 내에 저장해야 하고, 해외로 이전할 경우에는 안전평가를 진행해야 한다. 네트워크 사업자의 개인정보 보호 조치 의무화를 명기했으며, 수집한 이용자의 비밀을 유지해야 하고, 수집한 개인정보를 사용할 때 합법적이고 정당한 원칙을 준수하며 당사자의 동의를 받아야 한다.

글로벌 규제의 특징 중 하나는 개인정보보호 책임을 강화하면서도 안전하게 활용할 수 있는 길을 마련하고 있다는 것이다. 비식별화, 가명화, 익명화 등의 방법으로 안전하게 보호된 개인정보는 본인 동의 없이 포괄적으로 활용할 수 있는데, GDPR은 공익적인 목적 뿐 아니라 사적인 목적으로도 활용할 수 있도록 개방했다.

각국의 개인정보 보호 규제가 강화되면서 규제의 상호 호환성을 인정하는 추세도 본격화되고 있다. 아시아태평양경제협력체(APEC) 회원국들은 국경간 프라이버기 규칙(CBPR)을 마련, CBPR을 만족하는 수준으로 보호된 개인정보는 국경을 넘어 이동할 수 있도록 하고 있다. CBPR에는 우리나라와 미국, 일본, 멕시코, 캐나다 등이 가입했으며, 애플, IBM, 박스 등이 인증을 받았다.

EU GDPR에도 이와 유사한 협력체계가 있다. EU 집행위원회(EC)는 GDPR과 동일한 수준의 개인정보 규제가 마련된 국가에 대해 해당 국가의 규제를 만족하면 GDPR도 만족하는 것으로 인정하는 적정성 평가를 하게 된다.

EC는 지난해 초 우리나라와 일본을 적정성 평가 대상으로 지목했으며, 일본이 우리나라보다 먼저 적정성 인정을 받게 됐다. EC는 일본에 ▲민감정보의 확대 ▲정보주체의 개인정보 접근·수정 권리 보장 장치 마련 ▲제3국에서 EU로 데이터를 전송할 때 보호수준 강호 ▲일본 개인정보보호위원회와 같은 데이터 보호 기관 감독 하에 EU 시민의 데이터 접근관련 민원 조사 방법 마련 등을 요구했다. 일본이 이 요구를 수용하고 필요한 행정절차를 마무리하면 적정성 평가를 받을 수 있을 것으로 보인다.

우리나라 정부도 적정성 평가를 위해 다방면의 노력을 기울이고 있으며 조만간 가시적인 성과가 나올 것이라고 공식적으로 밝히고 있다. 적정성 평가를 위해 우리나라 개인정보 보호 관련 규제도 일부 개정이 필요할 것으로 보인다.

박천오 피앤피시큐어 대표이사는 “GDPR 시행과 함께, 적정성 평가를 위해 우리나라 개인정보 보호 규제도 개정이 불가피하게 될 것이다. 개인정보보호법 개정 시 GDPR을 참고하게 될 것이며, 규제준수를 지원하는 컨설팅과 서비스 시장, 그리고 전문 보안 솔루션이 성장 기회를 맞게 될 것”이라고 내다봤다.

▲GDPR 및 개인정보 보호 컴플라이언스 대응을 위한 섀도우 IT·섀도우 데이터 리스크 평가 모델 예시(자료: 시만텍코리아)

‘데이터 중심 보호’ 전략으로 보안 관점 바꿔야

우리나라 개인정보 보호 솔루션은 2011년 개인정보보호법이 시행되면서 괄목할만한 성장을 보여왔다. 초기에는 DB 암호화와 접근제어 시장이 폭발적으로 성장했으며, 로그, 녹취, 이미지, 문서 등 비정형 데이터에 존재하는 개인정보까지 암호화하도록 개정되면서 비정형 데이터 암호화 시장도 호황을 누려왔다.

이러한 솔루션이 개인정보의 불법적인 유출과 도용을 막는데 상당한 도움을 주지만, 보안 솔루션만으로는 완벽하지 않다. 개인정보 유출 사고를 일으킨 대부분의 기업은 보안 시스템을 잘 갖춘 곳이었으며, 우리은행의 경우 가장 최근 대규모 차세대 사업을 진행하면서 보안 시스템을 전면적으로 개비한 상태였다.

이헌주 인포블록스 지사장은 “전 세계 보안 벤더가 400개 이상이며, 한 기업이 사용하는 보안 솔루션의 종류는 50가지가 넘는다. 그럼에도 불구하고 보안 사고는 계속 이어지며, 특히 개인정보 침해 사고는 쉴 새 없이 발생한다”고 지적했다.

김대환 소만사 대표이사는 “솔루션만으로 개인정보를 보호할 수 없다. 데이터 중심 보호 전략을 통해 통제되지 않고 외부로 유출되거나 방치되는 데이터가 없도록 해야 한다”며 “개인정보 보호 규제의 핵심을 잘 살펴보면 ‘데이터 중심 보호’ 전략이 중요하다는 것을 알 수 있다”고 덧붙였다.

‘데이터 중심 보호’ 전략 기반의 데이터 보호 프로세스를 세운다면 ▲보호해야 할 개인정보의 종류와 저장된 위치 파악 ▲데이터 보호 상태 평가 ▲데이터 보호 기술 적용 ▲개인정보 리스트 종합 관리 ▲클라우드 등 외부 전송 제어 ▲보안 사고 발생 시 즉각적인 대응 등을 고려해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.