[개인정보 보호③] GDPR 적정성 결정 이끌어낼까
상태바
[개인정보 보호③] GDPR 적정성 결정 이끌어낼까
  • 김선애 기자
  • 승인 2020.05.05 08:55
  • 댓글 0
이 기사를 공유합니다

개정 개인정보보호법으로 EU GDPR 적정성 결정 요건 만족
‘안전성’ 확보돼야 비식별 개인정보 활용 가능

[데이터넷] 개정 개인정보보호법에는 개인정보 보호와 활용을 위한 많은 부분에서 진전이 있었다. 대표적으로 생체인식 정보와 인종·민족정보가 보호받아야 할 민감정보에 포함된것을 들 수 있다.

개인을 알아볼 목적으로 사용하는 지문·홍채·안면 등 생체인식정보는 개인 고유의 정보로서 유출 시 되돌 릴 수 없는 피해가 발생할 가능성이 커서 이를 별도로 규율할 필요가 있고, 인종·민족정보는 우리 사회가 다 문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는 데 사용되지 않도록 보호할 필요성이 높아졌다. 이에 따라 생체인식정보와 인종·민족정보를 민감정보 에 새롭게 추가해 별도로 정보주체의 동의를 받아서 처 리하도록 했다.

개인정보 보호 정책 컨트롤타워 역할을 하게 되는 개인정보보호위원회는 민·관 전문기관으로 구성된 ‘개인정보 보호 제도혁신 자문단’을 운영하고, 중앙부처 정보보호 책임자로 구성된 정책 협의회를 만들며, 지방자 치단체 개인정보보호 우수사례 공유를 통한 자율적인 개인정보 보호 강화를 독려한다.

더불어 유럽 일반개인정보보호법(EU GDPR) 적정성 결정을 위한 노력에도 적극 나서고 있다. 적정성 결정이 되면 우리나라 개인정보보호법을 만족하면 GDPR도 만족하는 것으로 인정받으며, 유럽 시민 개인정보의 국외 이전 문제도 해결할 수 있다.

적정성 결정 대상 국가는 전 세계 13개국이며 지난해 일본이 적정성 결정을 받았다. 우리나 라는 개인정보 보호 정책을 총괄하는 독립된 기구가 미비하다는 등의 이유로 적정성 결정이 미뤄졌다. 우리 정부는 데이터 3법이 통과되며 개인정보보호 위원회가 정책을 총괄하는 독립 기구로 격상되면서 적정성 결정 기준을 충족하게 된 것으로 판단했다.

오용석 한국인터넷진흥원 개인정보정책단장은 “개별 기업이 EU와 개인정보 역외이전 협의 시, 컨설팅에만 1억원이 소요되 며 기타 제반비용을 합하면 상당한 부담이 된다. 적정성 결정 이 완료되면 이러한 부담을 줄 일 수 있어 우리 기업의 EU 시장 개척에 도움이 될 것으로 기대 된다”며 “코로나19가 종식되면 3개월 내 적정성 결정이 될 것으 로 예상하고 있다”고 말했다.

▲엔터프라이즈 데이터 보안 도구 구현 현황 (자료: 탈레스 ‘2020 데이터 위협 보고서’)
▲엔터프라이즈 데이터 보안 도구 구현 현황 (자료: 탈레스 ‘2020 데이터 위협 보고서’)

‘안전성’, 개인정보 활용의 전제조건

개인정보를 적법하게 활용하는 것은 개인이나 사회에도 이익이 될 수 있다. 그러나 그 전제인 ‘안전하게’가 반드시 충족되어야 한다. 개인정보 유출 사고는 여 전히 광범위하게 이뤄진다. 최근 사회의 심각한 문제로 부상한 집단 성착취 및 영상거래 사건에서, 공익복무 요원이 피해자의 개인정보를 빼내 범죄자들끼리 공유 했다. 개인정보와 가족정보가 모두 인질로 잡힌 피해 자가 범죄자들에게서 벗어나기가 매우 어려운 실정이 었다.

개인정보 유출 사고는 끊임없이 발생한다. 영상회의 솔루션 ‘줌(ZooM)’의 계정정보 53만개가 다크웹에서 판매되고 있으며, 넷플릭스의 대항마를 자청한 디즈니 플러스는 3월 크리덴셜 스터핑으로 80억건 이상의 정보 를 도난당한 사실이 알려지면서 위기에 빠졌다.

허영일 NSHC 대표가 글로벌 은행을 대상으로 진행 한 쓰렛 헌팅 리포트에 따르면 다크웹과 오픈웹에서 이 메일 비밀번호, 은행 계좌 번호, 기밀문서가 수없이 검 색됐다. 우리나라 금융기관 이메일·패스워드 8만개가 검색됐다. 신용정보는 한 개당 12달러에 판매된다.

한국은행의 ‘주요국의 지급수단 사기(fraud) 동향 및 시사점’ 보고서에 따르면 2018년 전 세계 카드사기 금액은 279억달러에 달하며, 이 중 54%가 비대면 카드거래에서 발생한다. 피싱·파밍을 통한 신용카드 정 보 탈취, 기존에 유출된 카드정보 활용으로 범죄가 이 뤄진다.

사회공학기법을 이용한 피싱메일에 개인정보를 언급 하면서 협박하는 경우도 있다. 안랩이 공개한 협박메일 은 ‘당신의 음란물 이용 사실을 퍼뜨리겠다’는 내용으 로 발송됐으며, 실제 사용자의 계정 비밀번호를 언급하 면서 사용자를 두려움에 빠지게 한다.

탈레스의 ‘2020년 데이터 위협 보고서 글로벌 에디션’에서는 클라우드에 저장된 데이터의 절반이 민감 데 이터인데, 일부 데이터는 암호화하지 않은 채 클라우드에 저장됐다. 그리고 이 조사에 응답한 기업의 49%는 지난해 데이터 유출 사고를 겪었다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.