Home > 전체기사
개인정보보호 국가자격증 추진, DPO 활성화 변수 되나
  |  입력 : 2019-05-10 11:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 핵심인 DPO, 사내 법률전문가 중심으로 DPO 임명중
KISA가 추진하는 개인정보보호 분야 국가자격증, DPO 임명요건 반영될 수 있나


[보안뉴스 원병철 기자] EU의 개인정보보호법으로 불리는 GDPR(General Data Protection Regulation)이 시행된지 벌써 1년이 다 되어 간다. GDPR은 최대 2,000만 유로(4일 기준 약 261억원) 또는 전 세계 매출액의 4% 중 높은 금액을 과징금으로 부과하는 조항 때문에 EU 내 기업은 물론 EU 국민들이 이용하는 해외 기업들 모두에게 초유의 관심사가 됐다.

[이미지=iclickart]


GDPR의 핵심조항, DPO
벌금 못지 않게 이슈가 됐던 조항 중 하나가 바로 DPO(Data Protection Officer) 임명이다. DPO는 기관·기업의 개인정보보호를 위해 직접 정책 등을 컨트롤하고 관리하는 것은 물론, 관련 정보와 조언을 제공해야 한다. 또한, GDPR과 국가별 관련법의 준수 여부를 모니터링하고 보호책임을 할당하는 한편, 인식 제고와 교육 및 훈련을 실시해야 한다. 특히, DPO는 강력한 업무 독립성을 가지며, 업무로 인한 불이익을 받지 않아야 한다.

EU 국민의 개인정보를 처리하는 기관과 기업은 반드시 DPO를 선정하고 EU에 신고해야 하기 때문에 많은 기업들이 DPO를 찾았지만, 개인정보보호 지식은 물론 EU의 법률에도 능통한 사람을 찾기 쉽지 않아 큰 고민거리로 떠올랐다. 실제로 페이스북 등 글로벌 기업조차 DPO를 찾지 못해 큰 이슈가 되기도 했고, 국제프라이버시전문가협회(IAPP)는 유럽 내에서만 최소 2만 8,000명의 DPO가 필요할 것이라고 발표하기도 했다.

GDPR 시행과 함께 DPO는 CISO와 함께 정보보호 담당자가 올라갈 수 있는 또 다른 최고전문가로 기대가 커졌다. 하지만 개인정보보호 관련 지식은 물론 EU의 GDPR을 포함한 각종 법률에 정통해야 하기 때문에 기존 CISO나 CSO 역시 감당하기 쉽지 않을 것으로 내다봤다. 게다가 GDPR이 DPO의 독립성을 강조한 만큼 기업 내부보다는 외부의 전문가, 즉 GDPR과 EU 관련 법률에 정통한 변호사들을 중심으로 DPO를 채용할 것으로 예상했다.

이와 함께 발 빠른 몇몇 업체들은 이른바 ‘서비스형 DPO’를 표방하면서 사이버 보안 및 리스크 완화 전문 변호사들로 팀을 꾸려 서비스를 제공하기도 했다.

그런데 GDPR 시행 1년이 지난 지금, 처음 예상과는 다르게 DPO가 임명되고 있다. 유럽에서 진행된 DPO 관련 조사에서, 내부 직원을 DPO로 지정한 기업이 92%였고, 외부계약을 통한 DPO 지정은 겨우 8%로 조사됐다. 이와 관련해 관계자들은 현실적으로 최적의 조건을 갖춘 DPO를 바로 임명하기 어려운 만큼 내부 직원을 중심으로 DPO를 임명하고, 추후 상황에 따라 외부 DPO나 현지 법률사무소의 도움을 받는 방향을 선택한 것으로 봤다.

현재 국내 기업 가운데 GDPR에 가장 적극적으로 대응하고 있는 것으로 알려진 네이버 역시 내부인사를 DPO로 임명했다. 네이버 이진규 DPO는 “저는 CISO 출신이지만, 많은 국내 기업이 법률전문가를 DPO로 임명한 것으로 알고 있다”며, 국내 DPO 임명 현황에 대해 설명했다. 보안전문가들에 따르면 삼성과 LG, 카카오 등 기업에서는 법률부서에서 DPO를 맡았으며, 현대캐피탈은 현지 로펌을 통해 DPO를 임명한 것으로 알려졌다.

이진규 DPO는 “DPO 지정요건에 해당업무의 지식과 전문성, 독립성, 이해와 충돌의 방지 등 3개가 핵심인데, 내부에서 선발할 경우 이 요건을 모두 검토해서 문서화해야 한다”고 강조했다. “특히, EU 개인정보와 관련된 사고가 발생했을 경우, 독립성과 이해와 충돌의 방지 등 2가지 요건은 벌금 등 제재에 중요하게 작용할 것입니다. 다만 현재 GDPR에서는 DPO 보다는 다른 항목에 초점을 맞추고 있어 조용한 상황이라고 할 수 있습니다.”

예를 들면, 최근 네덜란드에서 구글의 위치정보에 대한 실태조사에 나서면서 엄청난 분량의 관련 문서를 요구한 것으로 나타났다. 실제로 위치정보를 개인정보와 민감정보로 봐야할 것인지에 대한 판단을 위해 관련 규정 문서 등 세세한 항목까지 요구한 것으로 알려졌는데, 이진규 CISO는 “결국 문서화, 즉 객관적 입증을 위한 증거자료가 핵심”이라고 판단했다. “DPO를 지정할 때, 왜 해당 인력을 DPO로 지정했는지에 대한 객관적인 자료와 DPO 업무시 개인정보 처리활동에 대한 기록문서 등 관련된 자료를 모두 문서화해서 준비해야 합니다.”

개인정보보호 분야 국가자격증 추진하는 KISA, 국내 기업 DPO 임명에 영향 미치나
한편, 국내에서는 KISA를 중심으로 ‘개인정보보호 분야 국가자격증’을 추진하고 있다. 일명 DPO 자격증이라 불리는 이 자격증은 국내에서도 DPO와 같은 개인정보보호 전문인력의 양성 필요성과 지정 여부 등을 공식 논의하자는데 초점을 맞췄다. 즉, GDPR의 DPO를 위한 자격증이 아닌, 우리나라 개인정보보호 전문가를 위한 국가자격증이라 할 수 있다. 그럼에도 향후 추진되는 개인정보보호 국가자격증이 DPO에서 요구하는 임명요건을 어느 정도 반영할 수 있을지도 관심사가 되고 있다.

이미 국회 과방위 소속 이상민 의원이 개인정보보호 분야 국가전문자격 시행 근거 마련을 위한 법률 발의안을 상정해 계류 중이며, 2019년 3월 과방위 전문위원 검토결과 국가차원의 자격제도 신설이 타당하다는 공식 의견을 받은 만큼 앞으로 적극 추진될 것으로 보인다. KISA는 개인정보보호 국가자격제도 운영을 위한 검정체계 및 교육 프로그램 등을 개발하는 한편, 국내 기업의 DPO 임명현황 등 환경 조사에 나선 것으로 알려졌다.

이러한 국가자격증 신설 움직임은 DPO는 물론 GDPR 대응 자체에 관심이 시들해진 국내 기업들에게 좋은 자극이 될 것으로 보인다. 실제 대기업을 제외하고 많은 기업들이 DPO를 비롯한 GDPR에 대응하지 못하고 있는 분위기인데, 이는 EU를 비롯한 해외에서도 DPO보다는 GDPR 위반과 고발에 초점을 맞춰 움직이고 있기 때문이다. 게다가 2018년 7월 우리나라와 함께 적정성평가를 준비하던 일본이 먼저 통과된 이후, 국내에서 GDPR에 대한 관심 자체가 시들해진 상황이다.

이처럼 DPO는 개인정보보호와 관련된 정보보호 지식과 경험은 물론 관련법에 정통해야 하기 때문에 전문가를 쉽게 찾기 어려운 것은 물론, 국내외 사정상 DPO 임명에 적극적이지도 않다. 하지만 GDPR의 강력한 제재가 언제든 DPO나 한국기업으로 향할 수 있는 만큼 관련 기관과 기업들의 적극적인 대응이 요구된다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향