[주말판] 2023년, 데이터 프라이버시 규정이 빠르게 늘어난다

재택 근무와 원격 교육의 활성화 등, 이전보다 훨씬 많은 사람들이 훨씬 긴 시간을 사이버 공간에 머무르면서 데이터 프라이버시도 훨씬 엄격해지고 있다. 2023년에도 이 흐름은 지속될 것이며, 심지어 더 빠르고 엄격해질 전망이다.

[보안뉴스 문정후 기자] 2022년 초반을 복기해 보자. 영원히 끝날 것 같지 않은 대재앙인 코로나 때문에 모두가 혼이 나가 있었다. 정신을 차리고 있었더라도, 코로나가 야기한 큰 변화들에 적응하느라 정신이 매우 피곤했다. 누구나 그랬다. 정신없이 1년이 지난 지금, 우리는 IT 기술에 그 어느 때보다 높은 의존성을 갖게 되었고, 그 IT 기술 덕분에 재택 근무를 유지하고, 각종 자동화 기술의 도입으로 효율을 높여가고 있는 중에 있다. 그러한 시끌벅적한 흐름 아래에서 데이터 프라이버시라는 것 역시 변하고 있었다. 모두가 온라인에 접속하기 시작하니, 당연한 변화였다.

[이미지 = utoimage]

그 결과 이전에 비해 많은 소비자들이 개인정보를 적게 제공하면서(되도록 하나도 제공하지 않으면서) 서비스와 제품을 예전 그대로 받기를 원하기 시작했다. 똑같은 편의성이나 즐거움 등을 제공하면서 소비자들로부터 덜 요구하는 것이 경쟁력이 되었다. 이런 방향에서의 변화는 2023년에까지 이어질 것으로 예상되는데, 이런 경우 IT 기능을 담당하는 부서들과 기업들은 어떻게 적응해야 할까? 옴디아(Omdia)의 수석 분석가 한사 아이옝가(Hansa Iyengar)의 조언을 들어 보았다.

프라이버시와 관련해서 2023년 IT 업계에는 어떤 변화가 있을 것인가?
프라이버시 보호와 정보 보호에 대한 우려는 오래 전부터 있어 왔다. 그리고 시장의 이러한 염려를 다루려는 목적으로 등장한 것이 GDPR이다. 미국 정부는 소비자 보호를 위해 기업을 억누른다는 선택지를 꺼려해 왔으나, 최근에는 이 기조에 변화가 엿보이기 시작했다. 하원의 에너지상공위원회(House Energy and Commerce Committee)는 ‘미국 데이터 프라이버시 보호법안(ADPPA)’을 상원으로 올리는 데 찬성했다. ADPPA는 소비자들에 데이터를 수집하는 행위를 강력하게 통제하는 내용을 담고 있다.

ADPPA는 2023년 첫 의회에서 안건으로 올라올 것으로 예상된다. 캘리포니아, 콜로라도, 코네티컷, 유타, 버지니아 등 미국 내 다섯 개 주에서는 이미 독자적인 데이터 프라이버시 보호 법안을 통과시켰고, 2023년에 효력을 발휘할 것이다. 기업들은 이 다섯 개 프라이버시 보호법의 문건을 확보하여 꼼꼼하게 학습해야 할 뿐만 아니라 ADPPA의 초안 역시 세세하게 파악해야 할 것이다. 이미 많은 기업들이 이 작업을 진행하고 있는 것으로 알고 있고, 2023년의 시작 역시 이러한 방향에서 이뤄질 것이다.

원격 근무 체제가 계속해서 늘어나고 있는데, 이런 상황에서 가장 중요한 것은 기민한 대처 능력인가, 생산성 유지 능력인가, 프라이버시와 보안인가?
안전한 시스템과 체제를 통해 높은 생산성을 유지하고 상황에 민첩하게 대처하는 것은 언제나 가능한 이야기다. 따라서 우선순위로 따질 문제가 아니다. 보안을 중시하면 둔해지고 느려진다는 선입견이야말로 가장 시급히 없애야 할 것이다. 꾸준한 교육과 훈련을 통해 온라인 활동 방식을 안전하게 바꾸는 것은 가능한 일이고, 이를 통해 속도나 기능성의 타협 없이 얼마든지 할 일을 할 수 있게 된다. 인터넷이 안전하게 연결되어 있다면, 어디서나 안전하게 각종 업무를 처리할 수 있다.

유럽연합은 데이터 프라이버시를 꼭 꼬집어 내서 강조하려는 경향을 보인다. 이게 전 세계적인 흐름으로 굳어질까?
세계의 주요 시장이라고 볼 수 있는 인도, 독일, 중국, 일본은 소비자의 데이터와 프라이버시를 보호하기 위한 강력한 법을 제정한 상태다. 그에 따라 다른 시장에서도 비슷한 변화가 일어나는 중이다. 2023년에는 이러한 변화의 흐름이 더 빠르게 나타날 것이다. 이 때문에 전 세계에서 사업을 하는 조직들은 적잖은 혼란을 겪을 것이다. 지켜야 하는 여러 규정들이 서로 충돌을 하게 될 수도 있다. 하지만 지금까지는 규정의 충돌보다, 기업들의 데이터 보호 능력과 체계가 수준 미달이었다는 게 자꾸만 드러나고 있다. 흐름에 맞게 기업들의 데이터 보호 능력이 향상되어야 하는 게 지금의 과제다.

이런 국제적인 흐름이 지역적으로까지 영향을 미치는 데에 얼마나 긴 시간이 걸릴까?
지역마다 다를 수밖에 없지만 세계 시장과의 격차를 벌리기 싫다면 빠르게 흐름을 따라잡아야 할 것이다. 각 지역의 입법을 담당하는 자들이 세계 시장과의 격차를 줄이는 데 얼마나 큰 의지를 가지고 있느냐가 관건이 될 것이다. 별 다른 의지가 없더라도 이미 너무나 큰 흐름이 형성되고 있어 무시할 수 없을 것이다. 소비자 개인정보를 다루는 데 있어 아무런 제재가 없는 나라의 기업들은 국제 무대에서 도태될 것인데, 이를 그냥 두고 볼 정부는 많이 없을 거라고 생각한다.

글 : 브랜든 테일러(Brandon Taylor), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)