Home > 전체기사
개인정보 보호와 활용 동시에 추진하는 정부의 정책방향
  |  입력 : 2019-06-25 13:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR로 촉발된 개인정보의 ‘재화 가치’ 활용과 보호...한국도 좇고 있어
현재는 교통정리와 미래 방향성 수립이 동시에 이뤄지고 있는 과도기


[보안뉴스 문가용 기자] 작년 유럽에서 GDPR이 시행된 이후 사실상 전 세계가 ‘개인정보’라는 것에 대한 개념을 재정비하기 시작했다. 물론 처음에는 ‘세력이 강한 유럽과 사업적 관계를 맺기 위해서 반드시 필요하니까’, ‘지키지 않으면 사업이 망할 정도 수준의 벌금을 내야 해서’ 울며 겨자 먹기 식으로 알아보던 건데, 시간이 흐르다보니 개인정보가 가진 사업 및 재화의 가치가 다시 조명을 받는 모양새다. 벌금 무서워 준비를 하다 보니, EU가 말하던 “2020년까지 7,390억 유로의 경제효과를 기대한다”는 것의 뜻이 와 닿기 시작했다는 것이다.

[이미지 = iclickart]


한국 정부가 한 일, 먼저는 ‘교통정리’
그러면서 벌금과 유출로부터의 ‘보호’에서, 다시금 ‘활용’까지 아우르는 정책과 방안들이 우리나라 안에서도 활발하게 논의되기 시작했다고 김용학 행정안전부 개인정보보호정책과 사무관은 25일 삼성 코엑스에서 열린 개인정보보호페어(PIS FAIR)의 키노트를 통해 알렸다. “4차 산업의 핵심 재화는 데이터이고, 그 중에는 개인정보도 포함되어 있다”는 김용학 사무관은 “개인정보의 보호와 활용을 동시에 추진하는 것이 필요해 2018년 2월과 4월, 대통령 직속의 ‘4차 산업혁명특별위원회’ 주관 하에 개인정보보호법 개정안을 마련했다”고 말했다.

“또한 개인정보를 관리하는 부분에 있어서 행정력 낭비를 줄이기 위해 여러 감독기구를 개인정보보호위원회로 일원화하기로 했습니다. 그 동안 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등이 영역별로 담당하고 있었거든요. 그래서 규제가 중복되고 혼란이 있었던 게 사실입니다. 현재 이러한 일원화의 내용은 개인정보보호법 개정안에 포함되어 있고, 심의를 받는 중입니다.”

일원화 한 것이 또 있다. 인증 제도다. 개인정보의 보호와 일반 정보의 보호가 유사한 인증 제도를 가지고 있었는데, 이를 통합하는 방법을 마련한 것이다. “개인정보보호와 관련된 인증은 PIMS라고 알려져 있었고, 정보보호와 관련된 인증은 ISMS였습니다. 하지만 둘 사이에 겹치는 부분이 많아 중복 투자로 이어진다는 지적이 있었습니다. 그래서 이 둘을 합쳐 ‘정보보호 및 개인정보보호 관리체계 인증(ISMS-P)’을 만들었습니다.”

뿐만 아니라 개인정보를 보호하는 업무도 개인정보보호위원회로 일원화할 계획까지 마쳤다. 이를 위해 위원회를 앙행정기관으로 격상할 것으로 알려졌다. 업무 일원화를 돕기 위해 관련 법도 일원화 한다. “개인정보보호법, 정보통신망법, 신용정보보호법 등 여러 가지로 분산되어 있는 것을 개인정보보호법 하나로 통합할 예정입니다. 다만 특별한 경우를 위해 개별법을 존치할 계획입니다.”

▲강연 중인 행정안전부 김용학 사무관[사진=보안뉴스]


앞으로의 과제, 활용과 보호의 양방통행
개인정보에 대한 새로운 개념이 GDPR로 인해 거세게 몰아닥치자 일단 어수선한 국내 상황을 정리하는 데 힘쓴 정부는 이제 새로운 과제들을 눈앞에 두고 있다. 가장 중요한 건 역시나 ‘보호’다. “개인정보보호법 개정안에도 포함된 내용인데, ‘개인정보의 개념을 명확하게’ 하는 것입니다. 보호의 대상부터 분명하게 하자는 것이죠.” 김용학 사무관은 “개인을 알아보는 데에 소요되는 시간과 비용, 기술 등을 합리적으로 고려하도록 제시했다”고 설명을 덧붙였다.

그런 다음 GDPR에는 도입되어 있지만 우리나라의 법에는 없는 내용들을 추가하는 방안을 검토한다. 바로 개인정보 삭제요구권과 프로파일링 대응권 등이다. 이 두 가지 역시 개인정보를 보호하는 강력하면서 혁신적인 도구가 될 수 있다.

정책을 마련한 다음에는 ‘시행’의 차례다. 정부는 개인정보보호 실태에 대한 점검을 강화할 것이라고 김용학 사무관은 강조했다. “먼저는 분야별 점검대상을 선정할 것입니다. 홈페이지 모니터링, 공공기관 진단 결과, 자율 규제 단체의 점검 결과 등을 토대로 1차 선정이 됩니다. 그 후 관리실태가 미흡하다고 판단되는 자들을 2차로 선별하여 점검을 할 계획입니다.”

행정안전부는 검색 로봇을 활용해 20만개 홈페이지를 검색하고, 노출된 개인정보를 찾아 수정이나 삭제를 요청하는 활동을 이어가고 있는데, 김용학 사무관은 “여태까지 고유 식별 정보인 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 주 대상이었다면, 휴대폰 번호, 신용카드 번호, 계좌번호, 건강보험증 번호까지도 확대할 계획”이라고 설명했다.

“뿐만 아니라 앞으로는 개인정보의 보호 수준을 제고하기 위해 관련 활동과 성적을 기관 평가에 반영할 것입니다. 2019년에는 총 779개 공공기관을 대상으로 진단하고 있는데요, 1) 관리 체계 구축 및 운영 분야, 2) 보호 대책 수립 및 이행 분야, 3) 침해 대책 수립 및 이행 분야로 나눠서 진행할 예정입니다.” 진단 결과는 연말에 최종 확정되며, 미흡한 기관은 내년도 실태점검 때 중점적으로 평가된다고 한다.

한편, 활용의 측면에서는 가명 정보라는 개념을 도입한다고 밝혔다. 개인을 식별할 필요 없이, 개인정보를 과학과 산업 육성의 목적으로 쓸 수 있도록 하기 위함이다. “물론 가명 정보를 처리할 때도 보호 조치를 적절하게 취해야 합니다. 위반할 경우 처벌 대상이 됩니다. 또한 가명 정보를 일부러 식별해 내려고 노력하는 행위는 더 큰 처벌을 받게 될 것입니다.” 처벌은 징역형이나 벌금형으로 받을 수 있다.

“GDPR은 개인정보에 대한 새로운 보호 개념을 정착시킨다는 상징적인 면을 가지고 있지만, 또한 EU 회원국들 간에 법적 구속력이 있는 단일한 규칙을 적용하게 되어 기업이 사업 수행에 따르는 비용을 절약한다는 목표도 가지고 있습니다. 전 세계 데이터 시장을 이끌어 가기 위한 한 수라고 해석할 수 있다는 겁니다. 실제로 마이크로소프트와 IBM 등 글로벌 기업들이 이에 발맞춰 각종 자료와 프레임워크를 무료로 제공하고 있기도 합니다.” 개인정보의 한쪽 측면만 생각해서는 데이터 시장에서의 우위 확보가 힘들다는 것이다.

김용학 사무관은 “이제 국회가 다시 열렸으니, 여야가 발을 맞춰 개인정보보호법 개정안을 하루라도 빨리 검토해 데이터 경제 시대에 대한 대비를 국가적으로 해나가야 할 것”이라고 말하며 키노트를 마쳤다.

3줄 요약
1. GDPR로 다시 한 번 강조된 개인정보 보호와 활용의 중요성.
2. 한국 정부도 이에 대응하기 위한 작업에 착수. 작년까지는 어수선한 것들 정리하기 시작.
3. 이제 남은 것은 개인정보의 개념 정리, 보다 꼼꼼한 시행과 점검, 안전한 활용 방법 마련.

[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)