방심은 금물! 개인정보 보안 강화해 리스크 줄인다, DB Inc. 정보보호팀

바야흐로 노출의 시대다. 특히 디지털 공간에서 우리는 모든 정보를 낱낱이 공개한 채로 살아가고 있다. 디지털 경제 자체가 개인정보를 대가로 한 거래로 이뤄지기 때문이다. 이를 제대로 이해하지 못한 사람들은 리스크를 떠안을 수밖에 없다. 개인정보를 수집해 관리하고 활용하는 주체인 기업이 소비자 개인정보보호를 위한 컴플라이언스를 실천하고 강화해야 하는 것은 물론, 소비자 역시 개인 프라이버시 보호를 위해 스스로 요구하고 지켜야 할 것이 무엇인지 알고 있어야 한다. DB Inc. 정보보호팀에서 방심할 수 없는 개인정보보호 문제를 짚어봤다.

 

디지털 시대, 더욱 중요해진 개인정보보호 문제

디지털 시대에 개인정보보호 문제는 가장 중요한 쟁점 중 하나다. 개인의 프라이버시를 존중하고 개인정보자기결정권을 보장해야 것과 동시에 개인정보 침해로 인한 2차 피해를 고려할 때 그 보호와 통제의 필요성은 더욱 커진다.

 

개인정보 문제는 단순히 개인에게만 국한되지 않는다. 현대 사회에서 개인정보는 단순히 개인을 식별하는 차원을 넘어 신용과 의료, 교육 등 개인 신상과 관련된 모든 정보를 의미하기 때문이다. 개인정보가 침해되면 사회 안전에도 구멍이 생긴다. 유출된 개인정보가 도용돼 금융사기 등의 2차 피해를 가져온다면 개인적 손실은 물론 사회·경제적 손실은 막대해질 수 있다.

 

▲ DB Inc. 정보보호팀 이원석 프로

2011년 「개인정보 보호법」이 제정돼 시행에 들어간지 10여년이 지났다. 기업은 규제에 맞춰 꾸준히 개인 권익 보호 강화를 위해 노력해 왔다. 최근에는 기술이 발전하면서 새로운 형태의 개인정보 수집과 처리 방식이 등장하고 있다. 하지만 법 규제가 미처 현실을 쫓아가지 못해 괴리가 생기기도 한다.

 

DB Inc. 정보보호팀 이원석 프로는 “드론이나 자율주행 자동차, 생성형 AI 같은 신기술에 적용할 수 있는 규제 마련이 절실합니다. 반면 신기술 발전을 위해 불필요한 규제는 과감하게 폐지하는 것도 중요하고요”라며 최근 개인정보 관련 쟁점을 지적했다.

 

“예를 들어 드론 촬영이 늘고 있는데, 공중에서 찍힌 사람들에게 어떻게 촬영 사실을 알려야 할까요? 최근에 관련 규정이 만들어졌지만 실질적인 효과가 있을지 의문입니다. 또 개인정보를 기업 사이에 주고 받는 경우가 있는데, 우리나라에서는 갑인 “위탁자”와 을인 “수탁자”를 구분하여 갑이 을에 대한 관리 감독 책임을 지도록 규정되어 있어요. 외국에서는 그러한 구분 없이 개인정보를 받은 주체가 책임지도록 하고 있죠. 구글이나 네이버처럼 ‘슈퍼 을’ 쪽에서 개인정보 문제가 생겼을 때도 이들에게 위탁한 기업에게만 책임지라는 것은 불합리하다고 볼 수 있습니다.”

 

기업과 소비자가 함께 하는 개인정보보호 노력

개인정보보호에 관한 기업의 책임을 강조하면서 2023년 하반기 대폭 바뀐 「개인정보 보호법」은 ‘담당자의 형사적 처벌’에서 ‘기업의 금전적 보상’을 강화하는 방향으로 개정됐다. “벌금, 과태료, 과징금이 커지면서 기업에 돌아오는 리스크 요소도 커졌어요. 관련 법규를 준수하는 것이 기업의 회계 리스크를 줄이는 최소한의 사항이라는 경영진의 인식도 더욱 강화될 필요가 있습니다.”

 

▲ 개인정보 처리방침 (출처: KISA)

기업은 법규에 맞는 개인정보 보호 정책을 수립해 실천한다. 개인정보 보호 정책에는 어떤 개인정보를 수집해, 어디에 사용하고, 언제까지 보관할 것인지를 정해 놓는다. 또 개인정보 유출 시 소비자 불이익에 따른 기업의 보상·배상 범위도 명시해야 한다.

 

“기업 입장에서 취급하는 개인정보를 보호하는 방법은 법규의 범위와 궤를 같이 합니다. 이용자에게도 개인정보 제공을 거부하거나 삭제를 요청할 권리가 있지만, 기업의 정책에 종속될 수밖에 없는 현실적인 제약이 있어요. 이용자 입장의 한계를 기업이 선제적으로 헤아려 개인정보가 유출 되었을 때, 유출된 정보가 오남용 되었을 때의 영향을 검토하고 보유 항목, 보유 기한 등에서 최소한의 개인정보만 취급하도록 노력해야 합니다.”

 

기업의 개인정보 보호 정책에서 고려해야 할 또다른 중요 요소는 권한에 대한 통제와 보유기간이 지난 개인정보의 삭제 부분이다.

 

“권한이 없는 사람이 개인정보에 접근하지 못하도록 통제해야 하지만 처음부터 불필요한 권한을 주지 않는 것도 중요합니다. 또 보유하고 있는 개인정보를 일종의 자산으로 생각하는 기업문화가 남아 있는 것이 현실이어서 적절한 시점에 폐기하지 않는 경우도 있어요. 최고의 개인정보보호는 개인정보를 보유하지 않는 것이라는 원칙으로 정책을 수립하고 운영하는 것이 필요합니다.”

 

한편 소비자들은 기업 서비스를 이용하기 위해 사이트에 가입하거나 기업이 주최하는 각종 이벤트에 응모하면서 개인정보를 기재하는데, 정작 어떤 정보를 어떤 범위까지 제공해도 되는지 알고 있는 소비자는 드물다.

 

“이벤트가 아니더라도 개인정보를 제공할 때는 “내”가 “나”임을 “확인”하는데 이 정도의 정보가 꼭 필요한지 잠시 고민해 봐야 해요. 실제로 주민등록번호의 경우 법률에서 요구하지 않는다면 기업이 수집해서는 안 되지만 이 사실을 인지하고 있는 이용자는 많지 않아요. 온라인 이벤트에 로그인한 상태에서 응모했다면 로그인 계정 아이디만으로도 본인 확인 용도로 충분합니다.”

 

기업이 지나치게 많은 개인정보를 요구하는 것 같다면 기업이 제공을 요구할 수 있는 개인정보 범위와 구체적인 사용용도를 다시 한 번 확인할 필요가 있다. 기업도 응모자나 당첨자 본인을 확인했다면 개인정보를 바로 삭제해야 한다.

 

▲ DB Inc. 정보보호팀 권성제 팀장(중앙), 정의경 프로(왼쪽)

하지만 기업과 소비자가 주의를 기울이더라도 소셜미디어의 ID 도용이나 대형 사이트조차 해킹돼 개인정보가 유출되는 사건이 종종 발생한다. 이원석 프로에게 소비자 스스로 자기 정보를 통제하고 보호하려면 무엇을 주의하고 어떻게 실천해야 할지 물었다.

 

“대형 사이트 자체가 해킹을 당하는 것 보다는 이용자가 먼저 해킹을 당한 후 거기서 획득한 정보를 이용해 2차 해킹을 하는 경우가 많아요. 이를 예방하기 위해서는 개인 PC의 OS와 브라우저, 소프트웨어 업데이트가 가장 중요한데, 익숙한 프로그램이 낮은 버전의 OS나 브라우저에서 작동한다고 해서 자동업데이트 기능을 차단해 놓으면 위험합니다. IT 서비스에서 제공하는 보안기능은 적극 사용하는 것이 좋아요. 또 여러 사이트에 같은 비밀번호를 사용하는 것을 지양해야 하는데, 같은 비밀번호를 사용하더라도 마지막에 해당 사이트 약어를 추가하는 방식으로 변화를 주면 안전하고 편리합니다. 의심스러운 사이트는 방문하지 말아야 하고요. 미심쩍은 사이트 방문 자제가 피싱 공격의 빌미가 되기 쉽습니다.”

 

이 프로는 이 밖에도 원패스워드 서비스를 이용하는 방법. 아이폰의 애플 패스키처럼 이중 보안을 사용하는 방법, 브라우저에서도 인증해야 사용하도록 설정하는 방법들을 추천했다.

 

보안 강화해 리스크 관리하는 정보보호팀

개인정보보호를 위해 정부에서도 자산 5조원 이상 대기업에는 의무적으로 정보통신시스템 등 보안과 정보의 안전관리 업무를 총괄하는 정보보호최고책임자(CISO)를 두도록 규정하고 있다. IT기업들은 한발 더 나아가 개인정보 처리에 관한 업무를 총괄하는 CPO(개인정보보호책임자)를 임명하기도 한다. CPO는 CISO, 사내변호사, CIO, 공공데이터제공책임관, 청소년보호책임자 등과 협력하고 견제하며 효율적이고 체계적인 컴플라이언스 시스템을 도입해 유지하는 역할을 한다.

 

“CPO는 개인정보 처리에 관한 정책의 수립과 통제, 처리 실태의 조사와 개선, 조직 내 개인정보 보호 교육, 개인정보의 파기 관리, 개인정보 처리에 관한 불만 처리, 피해 구제 등의 업무를 총괄합니다.”

 

▲ 전사 정보보호 조직 (출처: KISA)

▲CPO 의 지위와 역할

DB Inc.의 정보보호팀의 경우, 전사 정보보호 조직을 기반으로 관련 법규의 대응과 침해사고 예방 활동을 강화해 조직과 사업의 보안 위험을 최소화하고 회사의 지속적 성장을 지원하는 역할을 맡고 있다.

 

이를 위해 각 부서별로 정보보호 업무 관련 담당자를 지정하고 회사내 경영진과 위원회를 구성해 전사적 활동을 연계한다. 정보보호팀에서는 무엇보다 개인정보보호와 관련한 인식 확산이 중요하다고 보고 있다.

 

“정보보호 관련 업무는 담당부서의 노력만으로 처리하기 어렵습니다. 관련 법규 적용, 해킹 위험 발굴과 방어 활동은 정보보호팀만의 활동이 아닙니다. 더러 각 부서나 업무 단위에서 개인정보를 보유하고 있는 것을 인지하지 못하는 경우도 있어요. 개인정보보호에 대한 정확한 인식을 확산시키기 위해 홍보와 교육을 진행하고, 각 부서의 개인정보 보유 절차와 체계를 법규에 맞게 개선해 가고 있습니다.”

 

개인정보라면 주민등록번호, 전화번호, 주소만 생각하기 쉽다. 하지만 출산휴가를 신청한 경우 신청 사실 자체도 개인정보로 볼 수 있고, 사내 게시판에 생일자를 공지하는 경우 생일도 개인정보로 볼 수 있다. 정보보호팀에서는 이런 사례를 개인정보보호 차원에서 통제하고 각 부서가 보유하고 있는 개인정보를 삭제하도록 권고하곤 한다.

 

“한 번은 신규 직원을 채용했을 때였어요. 목소리를 녹음하고 근무 각오를 글로 받아서 AI 휴먼을 만들고 스크린을 통해 그리팅 영상을 보여주려는 기획을 했는데 급하게 관련 절차의 적용을 안내했던 경우도 있습니다. 환영하려는 의도와 상관없이 개인정보 침해가 될 수 있던 상황이었어요.”

 

디지털 전환(DT)의 최우선 과제로 떠오른 '보안'

이처럼 산업계에 디지털 도입이 빠르게 이뤄지면서 최근에는 ‘혁신’에 이어 ‘보안’ 문제가 최우선 과제로 떠올랐다.

 

“업무를 혁신하려는 디지털 전환 과정에서 사용되는 빅데이터, 딥러닝 등 새로운 기술과 도구는 필연적으로 기존보다 더 많은 양의 정보를 필요로 해요. 모든 산업계에서 정보의 가치가 증대했고, 이로 인해 각 기업에서는 정보를 이전보다 더 중요한 자산으로 인식하고 보호하려는 노력을 기울이고 있습니다.”

 

모든 산업 전반에서 디지털 전환이 이뤄진다는 것은 침해사고로 이어지는 여러 유형의 해킹 공격 역시 디지털 전환을 이뤄 진화하고 있다는 것을 의미한다. 이원석 프로는 보안 공격의 빈도와 강도가 크게 증가하고 그 방법도 빠르게 발전할 것으로 내다보고 있다.

 

클라우드 서비스의 경우 모든 회사들이 자신의 물리적 테두리 안에서 “내”가 직접 운용하던 서비스가 “남”이 운영하는 방식으로 넘어간 형태로 볼 수 있다. 보안에 취약할 수 있고 실제로도 더 취약하다. 예를 들어 예전에는 당연하게 구축했던 방화벽이 클라우드 서비스에서는 유료 옵션으로 적용되는데, 비용 절감을 이유로 기업이 사용하지 않는 경우가 있다. 보안에 오히려 취약한 환경이 된 것이다.

 

미비한 법 규정도 시급히 개선해야 할 부분으로 지적된다. “새로운 기술과 도구가 활용되면서 그에 적용할 새로운 법규가 지속적으로 만들어지고 있지만 여전히 미비한 상황이에요. 정보보호팀에서는 새로운 기술과 도구를 학습해 그 특성을 파악하고, 가용성, 기밀성, 무결성이라는 정보보호의 3원칙을 달성할 수 있는 방법을 능동적으로 찾고 있습니다.”

 

 

한편 정보보호팀은 지난 1월 정보보호 인식 제고 차원에서 ‘정보보호 침해사고 비상대응 훈련’을 실시한 바 있다. 이미 일상화 된 생성형 AI를 이용한 정교한 악성메일 공격을 가정했다. 공격자는 대상의 흥미를 끌 수 있는 주제를 내세워 피해자가 메일 첨부파일이나 악성 링크를 열람하도록 유도한다.

 

이번 훈련에는 생성형 AI를 이용해 연말정산과 관련된 피싱 문구를 만들어 원문 그대로 사용했다. 메일 발송 시점을 회사 연말정산 시스템 오픈 기간에 맞춰 링크 클릭을 유도했다.

 

정보보호팀은 이번 정보보호 침해사고 비상대응 훈련 결과를 바탕으로 문서형태의 교육 자료를 배포하는 한편 이러닝 시스템을 활용해 악성메일 관련 교육을 필수 수강토록 하는 등 적극적으로 정보보호 인식을 높여갈 계획이다.

 

정보보호팀 권성제 팀장은 “데이터 경제 시대에는 신뢰를 기반으로 한 디지털 대전환을 위해 일상 업무처리의 ‘편의성’ 가치만큼이나 ‘정보보호’ 가치에도 주목하는 마인드 제고가 요구됩니다. 자칫 소홀하기 쉬운 부분부터 시작해 체계적인 정보보호 수준을 높여가는 데에 모두의 참여와 지원을 이끌어내는 첨병의 역할에 집중하겠습니다“라고 강조했다.

 

새로운 규제나 제도가 도입되면 초기의 혼란은 피할 수 없다. 최첨단 정보화 사회로 치닫고 있는 시장에서 정보 시스템 안에 개인정보를 전혀 수집하지 않거나 보관하지 않고 비즈니스를 수행하는 것은 불가능하다. 편리와 효율을 위해서는 개인정보를 안전하게 유지해야 하는 책임감을 우리 모두가 가져야 한다. 기업은 고객의 개인정보를 보호하는 것이 가장 우선적인 의무라는 점을 인지하고, 개인 역시 올바른 판단에 따라 개인정보 제공 등 스스로 자기 정보를 통제하고 보호해야 한다. 기업과 공공, 개인이 힘을 모아 사회 전반에서 개인정보보호에 대한 인식을 높여가는 노력이 더욱 필요한 시점이다.