'네이버'에 해당되는 글 44건

  1. 2019.07.01 우리나라 개인정보보호 법제, 최우선 개선사항 4가지
posted by 알짜 정보 岳岩 2019.07.01 07:26

PIS FAIR 2019에서 현행 개인정보보호 법제 문제점 지적한 네이버 이진규 CPO
국회에 계류 중인 통합 개인정보보호법의 ‘특례 규정’, 재검토 필요성 제기

[보안뉴스 양원모 기자] 개인정보보호법과 정보통신망법이 규정한 개인정보보호 제도들이 현실과 상당히 괴리돼 있다는 주장이 나왔다. 현재까지 가장 강력한 개인정보 규제로 평가되는 유럽연합(EU)의 개인정보보호규정(GDPR)보다도 까다롭고, 복잡하다는 것이다. 글로벌 기업과의 계약 관계에도 적용할 수 없을뿐더러, 과도한 개인정보보호로 관련 산업 발전을 가로막고 있다는 지적이다. 

[이미지=iclickart]


26일 서울 삼성동 코엑스에서 열린 ‘2019 개인정보보호 페어(PIS FAIR 2019)’ 마지막 날. A트랙 5번째 강연자로 나선 네이버 이진규 CPO(개인정보보호최고책임자)는 우리나라 개인정보보호 제도의 문제점을 지적하는데 많은 시간을 할애했다. 강연 제목은 ‘개인정보의 활용을 위한 개인정보 법제개선 논의’였지만, 논의보다는 정부·법원·국회를 겨냥한 비판에 방점이 찍혀 있었다. 
이유 없는 비판은 아니었다. 날선 말들 너머에선 답답함이 느껴졌다. 언론과 학계의 수많은 지적에도 바뀐 게 없다는 것이다. 이 CPO는 “안 그래도 AI, 빅데이터 연구에 쓸 데이터가 모자라다고 하는 나라에서 법제도가 서비스 이용자의 데이터를 더욱 더 쓸 수 없게 만들고 있다”며 “정보 활용주체들이 (법에 저촉되지 않기 위해) 자기 검열을 할 수밖에 없는 상황“이라고 토로했다. 
많아도 너무 많은 개인정보 종류
이날 이진규 CPO는 국내 개인정보보호 제도상 문제점을 다양한 측면에서 제기했다. 첫 번째는 정부와 법원이 인정하는 개인정보의 종류다. 지나치게 다양해 혼란스럽다는 것이다. 우리나라는 개인정보 종류를 16가지로 구분하고 있는데, △일반정보(이름, 주민번호) △가족정보(가족 이름, 출생지) △교육 및 훈련정보(면허증) △부동산정보 △소득정보 등이다. 이 CPO는 “마치 온갖 정보가 개인정보에 해당하는 것처럼 설명하고 있다”며 “(이렇게 되면) 우리 같은 사업체는 어떤 정보를 어떻게 수집하고, 어디까지 보호해야 하는지 명확하게 알 수가 없다”고 말했다. 
반면, GDPR이 제시하는 개인정보의 예시는 구체적이고 명확하다. 예를 들어 성씨와 이름이 포함된 이메일 주소는 개인정보지만, ‘Info’ 같은 일반적 주소는 개인정보가 아니다. 그러나 GDPR과 개인정보보호법, 정통망법에 규정된 개인정보의 정의에는 큰 차이점이 없다. 즉, 해석의 문제라는 게 이 CPO의 생각이다. 그는 “개인정보에 대한 정의는 (GDPR, 개인정보보호법, 정통망법이) 똑같지만 유럽은 좁게, 합리적 수준에서 해석하고 있다”며 “반면 우리나라 법원은 상황과 맥락을 고려하지 않고 웬만한 정보는 개인정보로 해석한다. 정보 활용이 상당히 제한될 수밖에 없다”고 말했다. 
“동의 받았으니 내 멋대로...” 동의 만능주의의 폐해
현행 개인정보보호법, 정통망법은 6가지의 개인정보 수집 기준을 제시하고 있다. △법률에 특별한 규정이 있거나, 법령상 의무를 준수하기 위해 불가피한 경우 △정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우 등이다. 이 가운데 개인정보처리자가 가장 선호하는 건 ‘사용자 동의’다. 간편해서다. 온갖 프로세스에 동의 과정을 삽입해 개인정보 수집의 적법성 요건을 해결한다. 문제는 이런 ‘동의 만능주의’가 부를 수 있는 폐해다. 
이 CPO는 “동의는 형식적인 절차이며, 사용자의 실질적인 선택권이 보장되지 않다는 게 문제”라고 꼬집었다. 그는 “누가 그 빽빽한 개인정보 고지사항을 읽고 회원 가입을 하느냐”고 반문하며, 대충 덮어놓고 동의하는 방식은 개인정보처리자의 정보 활용을 무제한적으로 보장해 개인정보 남용을 초래할 수 있다고 지적했다. 이 CPO는 “온갖 부분에 동의가 들어가 있다 보니 이제 우리나라 이용자들은 동의 항목이 없으면 낯설어 할 정도”라며 “그러나 대다수는 그 동의가 어떤 의미인지도 모르고 쓰는 것”이라고 말했다. 
GDPR은 ‘호환 사용(Compatible use)’이라는 개념으로 동의 문제를 해결했다. 2차 개인정보 수집 목적이 최초 수집 목적과 동일하거나, 양립할 수 있다면 사용자에게 다시 동의를 구할 필요가 없다는 내용이다. 이 CPO는 “동의 이외에 다양한 개인정보 적법 수집 조건을 고려하는 동시에 ‘호환 사용’의 개념 도입도 검토해야 한다”며 “그렇지 않으면 현재 개인정보 수집 기준은 굉장히 왜곡된 법제가 될 수밖에 없다”고 말했다. 
해킹에 취약한 ‘논리적 개인정보 보관 방식’
잊을 만하면 날아오는 이메일이 있다. 개인정보 유효기간 만료 안내 메일이다. 정통망법 29조에 따르면, 사용자가 정보통신 서비스에 1년 동안 접근하지 않으면 제공자는 개인정보보호를 위해 사용자의 개인정보를 ‘파기’ 또는 ‘분리 보관’해야 한다(개인정보 유효기간제). 사용자는 유효기간 만료 30일 전까지 이용자에게 이 사실을 고지해야 한다. 만약 이를 어기면 수백에서 수천만 원의 과태료에 처해질 수 있다. 
분리 보관은 ‘물리적 방식’과 ‘논리적 방식’으로 나뉜다. 물리적 방식은 유효기간이 지난 개인정보를 보관할 서버를 따로 마련하는 것이다. 논리적 방식은 서버 1대에 유효기간이 지난 개인정보와 그렇지 않은 정보를 함께 저장하되, 둘 사이 연결고리를 끊어 마치 2대의 서버처럼 만드는 것이다. 대다수의 업체는 논리적 방식을 택하고 있다. 물리적 방식은 리얼타임(현재) 서버에서 분리 보관용 서버로 개인정보를 옮기는 데 시간이 걸리기 때문. 하지만 논리적 방식은 끊어진 연결고리를 이어주기만 하면 즉시 사용 가능하다. 
그러나 논리적 방식에는 취약점이 존재한다. 해킹이다. 물리적 방식은 해커가 분리 보관용 서버를 직접 노리지 않는 이상 유효기간이 만료된 개인정보를 탈취하는 게 불가능하다. 반면 논리적 방식은 유효기간이 지난 개인정보와 지나지 않은 개인정보가 동시에 탈취될 수 있다. 하나의 서버에 보관되고 있어서다. 이 CPO는 “논리적 보관은 마치 해커에게 해킹을 유도하는 꼴”이라며 “실무적으론 데이터 관리 복잡도가 증가할 뿐더러, 개인정보 파기의 경우 데이터 증발로 인한 데이터 활용가능성이 저하된다는 단점이 있다”고 말했다. 
현실성 떨어지는 개인정보 위수탁제도... 아마존을 교육한다고?
개인정보보호법의 개인정보 위수탁제도 도마에 올랐다. 이 CPO는 아마존, 구글 등 소프트웨어로서의 서비스(SaaS) 제공 기업을 예로 들며 위수탁제의 허점을 지적했다. 현재 위수탁제에 따르면, 국내 기업이 아마존의 SaaS로 개인정보를 처리할 경우 아마존과 기업 간 개인정보 위수탁관계가 성립된다. 아마존은 수탁자, 사용자는 위탁자가 된다. 위탁자는 수탁자를 관리·감독·교육할 의무가 있다. 
이 CPO는 “과연 우리나라 기업이 아마존에 ‘개인정보보호 실태를 확인하겠다’며 관리·감독을 요구하면 아마존이 응할까”라며 “계약 조건을 정하는 현실적인 ‘갑’은 아마존이란 점을 고려해야 한다”고 말했다. 글로벌 기업과의 계약 관계에서 위수탁제를 적용하는 건 현실성이 떨어진다는 것이다. 그는 “아마존의 SaaS를 안 쓰기엔 우리나라에 이에 필적할 서비스가 거의 없다는 게 문제”라며 “위법을 방치할 수밖에 없게끔 하는 게 우리나라 법제도다. 이 문제는 법을 개정하지 않는 이상 해결할 수 없다”고 강조했다.

▲네이버 이진규 CPO가 26일 ‘개인정보보호 페어(PIS FAIR 2019)’에서 강연을 진행하고 있다[사진=보안뉴스]


“통합 개인정보보호법에서 ‘특례 규정’ 전면 재검토해야”
이진규 CPO는 이런 문제들을 해결하려면, 가장 먼저 국회에 계류 중인 통합 개인정보보호법에 언급된 ‘특례 규정’을 전면 재검토해야 한다고 주장했다. 이 법안에는 △개인정보 유효기간제 △개인정보 이용내역 통지제 등 앞서 그가 비판한 제도들이 ‘특례 규정’이란 이름의 예외 대상으로 분류돼 있다. 이 CPO는 “모처럼 크게 법을 개정한다면서 왜 저렇게 문제가 있는 조항들을 남겨놓는지 이해할 수가 없다”며 “이번 기회에 불필요한 부분이 뭔지 다시 검토해야 한다”고 말했다.
원칙 중심으로 개인정보보호 법제를 재편하고, 개인정보 위수탁제를 근본적으로 바꿀 필요가 있다고도 강조했다. 이 CPO는 “미국은 각 주마다 어떤 개인정보가 유출됐을 때 (이용자에게) 통지해야 하는지 대상 항목을 명시하고 있다”며 “그러나 우리나라는 단순 ID가 유출돼도 정부 당국에 신고하고, 사용자에게 이를 통지해야 한다. 사업자나 이용자의 예측 가능성을 높이는 가이드라인 운영이 필요하다”고 말했다. 보안뉴스

댓글을 달아 주세요