엔시스의 정보보호(보안) 따라잡기

정부에서 시행하는 정책이나 국가 기본계획을 검토하는 이유는 미리 사전에 대비를 할 시간을 가지게 되며, 정부는 대부분 이러한 계획에 따라 시행을 집행해 나간다. 따라서, 평소에 정부정책에 대해 관심을 가지고 있으면 어느날 갑자기 시작되는 듯한 정부 정책에 대해 당황해 하지 않는다. 향후 개인정보 관련 개인정보보호위원회가 업무 보고한 국가기본계획 수립 4차년도 정책을 분석해 봄으로써 어떠한 흐름으로 흘러 갈 것인에 대한 전체적인 아웃트라인을 잡아보고 업무 기획이나 자체 정책 수립에 도움이 되길 바란다.

1. 개인정보처리방침 인증제

눈에 띄는 것이 개인정보처리자의 투명성 및 책임성 강화를 위한 개인정보처리방침 인증제를 시행 검토 하겠다는 것이다. 이는 이미 과거에 여러가지 연구용역 주제로도 나왔었다. 개인정보처리방침이 현행화 되어야 하고 일부 외부에서 정보주체가 알권리로 접근하는 첫번째 내용임에도 불구하고 제대로 운영되지 않는 측면이 있다.

예를들면, 개인정보 위탁이나 3자 제공시에는 반드시 공개 하도록 돼 있으나 이를 잘 준수 하지 않고 있다. 공공기관의 경우에는 개인정보보호포털 사이트를 통해 개인정보파일을 열람 할 수 있지만 민간의 경우에는 개인정보처리방침이 제대로 현실적으로 반영돼 있지 않으면 형식적 개인정보처리방침에 지나지 않는다.

이에 개인정보전문 인증심사원이 개인정보처리방침을 분석해 인증을 받은 개인정보처리자는 법에서 요구하는 개인정보 공개를 동의에 준하는 효과를 부여 하겠다는 취지로 해석된다.

2. 개인정보 이동권 (Right to Data Portability)

개인정보 이동권은 GDPR에 영향으로 직접 수령하거나 제3자에게 이동하는 것을 말한다. 여기서 직접 수령하는 것은 정보주체가 직접 다운로드 받는 것을 의미하고, 제3자에게 이전 할 수 있다는 것은 기술적 방법 (API)을 이용해 안전하게 정보주체의 자기결정권에 따라 개인정보처리자간 이동할 수 있는 권리를 말한다. 가장 대표적인 사업중에 하나가 금융권에서 이루어지고 있는 마이데이터(Mydata)사업도 개인정보 이동권중에 하나다. 

전면적으로 실시 될 경우 지금부터 시스템 변경과 인프라 구축에 따른 설계변경이 불가피 하며 담당자는 정부정책에 귀를 기울이고 있다가 시행이 되면 시스템을 변경 준비를 해야 한다. 아마도 시간이 많이 걸릴 것으로 판단이 되며 해당 4차년도 기본계획안에 발을 내딛는 것으로 출발 할 것으로 판단된다.

3. 빅데이터 기술의 발전으로 구체적인 사회학적 가치 연구

필자가 현장에 다니면서 가장 많이 듣는 질문중에 하나가 데이터에 대한 소유권도 그중에 하나다. 여러가지 채널을 통해 수집, 생성된 데이터는 과연 누구의 것인가? 예를들어, 환자에 대한 진료정보는 환자의 것인가? 병원의 것인가? 순수한 환자에 대한 정보는 환자것이라고 하겠지만 진료하면서 생성된 의료진의 진료정보가 함께 포함된 것은 병원것인가? 환자 것인가? 다양한 해석이 필요한 시점이다. 

또한, 한국의 쿠키정책과 미국, 유럽 등 외국의 쿠키 정책은 너무나 다르다. 이에 관해서는 예전에 포스팅한 글을 참고 하길 바란다. 간략하게 설명하면 한국은 개인정보처리방침에 텍스트 형태로 간략하게 언급해야 하는 정도에 그치지만 외국은 직접 사이트에 접속하는 브라우저마다 접속자가 직접 각 사이트 쿠키 정책에 따라 필수적인 부분과 그렇지 않는 부분에 대해 활성화와 비활성화를 직접 설정 가능하도록 설계되어 있다. 훨씬 더 정보주체에 대한 자기결정권을 강화하는 형태라고 보면 된다. 

ADID로 논란이 된 광고 식별자 등도 최근 들어서는 형태 분석 등 빅데이터 분석에 어느 선까지 분석을 해야 하는지에 논란이 되고 있다. 과거 광고 기법에서는 당연시 되던 것들이 이제는 세부적인 법률적 사항까지 적용되고 있어 사생활 침해 논란에서 자유로울려면 사회적 합의가 도출 돼야 한다.

4. 개인정보 인증제도 개선 및 강화

개인정보 인증제도도 손을 볼 것으로 계획이 잡혀 있다. 인증심사원 자격관리를 강화하고 지표 개선등을 마련 한다고 한다 또한, 영세 및 중소기업의 미니 ISMS-P를 만들어 규모에 따른 적절한 인증제도를 도입함으로써 조금 더 유연한 대처를 하는 것으로 해석된다. 또한, 그동안 많은 논란이 있었던 개인정보 보호책임자 제도에 대한 부분이 개선 된다는 것은 GDPR의 영향을 받아 독립성과 예산을 관리 감독하는 형식적인 CPO가 아닌 전문성을 갖춘 CPO로 개선 될 것으로 판단된다. 이에 KISA 연구 용역을 살펴보면 이미 국내 DPO 자격증 제도를 도입하기 위한 연구 용역이 이미 이루어져 있고 시행 시기만 정해지면 된다. 

5. 개인정보 전문인력 양성

대다수 국가기본 계획이나 정부 정책 업무 보고서를 읽어 보면 꼭 빠지지 않는 것이 있다. 바로 전문인력 양성 정책이다. 어떤 분야든 전문인력이 있어야 확대 대중화가 되기 때문에 전문인력 양성에 대한 정책은 늘 있다고 보면된다. 

개인정보 전문 관리자 국가 자격증 제도 도입 검토도 물론 언급이 돼 있고, 개인정보 전문인력 양성 사업도 추진 할 계획으로 잡혀 있다. 아마도 국내 대학을 통한 여러가지 실무 과정이 개설 될 것으로 보이며, 일반적인 학원이나 직업전문학교 등 국비 지원에 대한 사업도 많이 생긴 것으로 판단된다.

눈여겨 봐야 할 것 중에 하나가 법.제도 및 기술 담당등 업무 특성에 맞는 재직자 전문인력 프로그램을 운영한다는 것이다. 이는 법만 알아서도 안되고 기술도 알아야 하며 , 기술을 아는 사람은 이제 법도 알아야 한다는 의미로 해석된다. 또한, 해당 분야 도메인 지식에 맞게 업무 특성과 연관성을 높여야 하는 커리큘럼으로 변경 돼 운영 될 것이다.

최근에 배포되는 개인정보 가명처리 익명 가이드 안내서 등을 살펴 보면 일반적인 개보위에서 배포한 가이드가 있고, 금융분야에 맞는 가이드, 보건 의료분야에 맞는 가이드, 교육분야에 맞는 가이드 등 각 분야에 맞는 가이드 를 배포하고 있어 분야별 특성에 맞는 가이드를 하고 있음을 알 수 있다.

기타 더 자세한 내용은 첨부하는 기본 계획서를 참고 하길 바라며 이제는 데이터 시대다. 테이터의 핵심은 개인정보다. 빅데이터든 인공지능이든 데이터를 제대로 관리해야만 앞서 나가는 시대가 도래했다. 이에 맞는 데이터 관리와 개인정보에 대한 개보위 기본 계획을 분석해 보고 사전에 대응을 하면 좋겠다. 혹시 궁금한 사항이 있는 분들은 블로그 댓글을 남겨 주면 확인하는대로 답변 드리겠다. 

웹 사이트의 기능을 보장하고, 콘텐츠 및 광고를 개인화하고, 소셜 미디어 기능을 제공하고, 트래픽을 분석하기 위해 쿠키를 사용합니다. 귀하가 그렇게하도록 허용하는 경우, 당사는 또한 귀하의 당사 웹 사이트 사용에 대해 당사의 소셜 미디어, 광고 및 분석 파트너에게 알립니다. 거부하거나 허용 할 범주를 직접 결정할 수 있습니다. 
설정에 따라 사이트의 모든 기능을 사용할 수있는 것은 아닙니다.

외국에서는 쿠키 정책에 대해 방문자가 여러가지 옵션을 두고 선택 가능하게 한다. 대표적인 쿠키 정책이 아래 그림에서 보는 내용과 같다. 자신의 쿠키 활용 여부를 읽어 보고 방문자가 주체가 된다. 쿠키 하나에도 아주 디테일한 정책을 적용하고 있다. 이는 최근 광고나 행태정보 등 개인정보 침해가 쿠키와 밀접한 상관관계를 가지고 있기 때문이다. 

한국은 개인정보처리방침에 다음 몇줄만 업로드 해 놓고 , 이를 정보주체나 이용자에게 쿠키 정보에 대한 선택적 결정을 하는 것이라고는 느껴지지 않는다. 

제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.  <개정 2016. 3. 29., 2020. 2. 4.>

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.  <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

N사 -자세한 설명이 없음. 

서비스 이용 과정에서 IP 주소, 쿠키, 서비스 이용 기록, 기기정보, 위치정보가 생성되어 수집될 수 있습니다.또한 이미지 및 음성을 이용한 검색 서비스 등에서 이미지나 음성이 수집될 수 있습니다.

구체적으로 1) 서비스 이용 과정에서 이용자에 관한 정보를 자동화된 방법으로 생성하여 이를 저장(수집)하거나, 2) 이용자 기기의 고유한 정보를 원래의 값을 확인하지 못 하도록 안전하게 변환하여 수집합니다. 서비스 이용 과정에서 위치정보가 수집될 수 있으며, 네이버에서 제공하는 위치기반 서비스에 대해서는 '네이버 위치정보 이용약관'에서 자세하게 규정하고 있습니다.이와 같이 수집된 정보는 개인정보와의 연계 여부 등에 따라 개인정보에 해당할 수 있고, 개인정보에 해당하지 않을 수도 있습니다.

K사

 그나마 여긴 자세하게 설명은 있으나 외국처럼 직접 처리 하는 것이 아닌 가이드 정도로 안내하고 있다. 

위 내용대로 크롬 브라우저에서 살펴 보면 크롬이 보안에 상당히 신경 쓰고 있다는 사실을 알 수 있다.

인터넷 익스플로러

데이터가 점점 중요시 되는 시대에 데이터 독점으로 이용자의 행태 분석 등을 통해 사생활을 추적 가능하고 맞춤형 광고와 개인정보 침해하고의 연관 관계는 트레이드 오프 관계가 된다. 그런 측면에서 한국에서 쿠키 정책과 외국에서 쿠키 정책을 비교해 정보주체와 이용자가 선택권을 가질 수 있는 정보주체 권리 강화가 반영돼야 할 것이다.