홈 > Privacy Guide >Privacy 컬럼
제목 반보만 더 빨리 가줬으면 하는 변화
닉네임 정찬규 작성일 2018-05-11 오후 2:19:37 인기도

반보만 더 빨리 가줬으면 하는 변화  




무엇이’ ‘어디에’ ‘얼마나있으며 누가’ ‘’ ‘어떤 방법으로 사용하는가를 알아야 한다는 것이 중요하다는 것을 개인정보를 관리하는 담당자는 누구나 알고 있다.

 


개인정보 관리의 영역에서 볼 때,

무엇은 꼭 필요한 것인가?를 세부적으로 검토하고 최소화하는데 노력하는 것을 의미하고,

어디는 가시성 있는 특정한 곳에 집중할 필요가 있으며,
얼마는 유효성을 검토해서 꼭 필요한 정도에 집중한다.

누가는 업무에 맞도록 특정하는데 집중하며,

는 필요한 목적에 부합하도록 선별하고,

어떤 방법은 정해진 규칙 범위를 지정해야 한다는 것을 의미한다.

 


기술 영역은 위에 파악된 정보를 기반으로 인프라 및 프로세스 구조를 만들고 규칙을 정하여 이를 벗어난 부분의 탐지와 차단을 Automatic하게 구현하는 것이다.

 


이를 Cycle로 돌리면 P-D-C-A가 되고, 가치를 부여하면 Risk management가 된다.

여기까지는 이전과 현재까지 우리가 어렵지 않게 해 왔던 일이다.

 


그리고 현재,

정보가 주()가 되는 4차 산업시대의 (개인)정보는 다른 정보와 결합되어 더 부가가치 있는 정보로 변화했고, 변화한 정보를 주도적으로 이용했던 여러 분야에서(심지어 정치에서도) 성공 사례가 많아지기 시작하면서 사업자, 마케터들의 정보에 대한 기대는 한껏 높아졌다.

 


위의 성공 기대의 당연한 사업 행위과정 중 정보의 통합, 공유, 이동이 빈번하게 발생하고 있고, 당연한 사업 행위는 국가와 IT 플랫폼에 국한되지 않고, 사업 필요에 의해 모든 지역, 모든 플랫폼으로 확장되고 있다

 


사업자가 정보의 통합, 융합 그리고 경계 없는 이동을 경쟁력으로 생각하는 반면 정보를 제공하는 이용자는 자신의 정보가 어떻게 취급되고 관리되며 공유되는지를 알고 싶어하는 권리를 요구하고 있다. 또한 한 번의 수고로 쉽게 잊혀질 권리를 주장하는 환경이며 이를 법에서 수용하는 추세이다.


위의 두 측면을 놓고 볼 때
다변화된 사업 환경과 요구 그리고 이용자의 권리 보호를 위해서 서두에 언급한 ‘현재까지 우리가 하고 있었던 개인정보의 관리, 기술 방법론이 여전히 개인정보를 보호하는데 유효할까?


개인적인 의견은 개인정보를 활용하고 이용하면서도 잘 보호할 수 있다고 보지만 합법이지는 않을 수 있다고 생각한다.

합법적이지 않을 수 있다고 생각하는 이유는

국내법을 해석하고 적용하는 데 있어 유연성이 부족하고 국가 간 개인정보 보호에 대한 법령의 미묘한 차이가 있다고 보기 때문이다.

 


현장에서 느끼는 유연성 부족의 예로는

우리나라는 국내법 준수 여부를 보안제품중심으로 해석하는 경향이 높다.

방화벽, IDS, 백신 등등의 솔루션을 구축해야 한다고 명시하고 있으며, 이 같은 개별 보안장비 역할을 통념적인 방법으로 구현하지 않으면 법 위반이며 그것을 해명해야 하는 수고를 해야 한다.


 


특히 법 위반이라고 굳게 믿는 사람들에게 통념적인 방법이 아닌 다른 방안으로 구현한 이유를 설명하려면 그 기업의 특성과 보안담당자가 가진 노하우와 인사이트를 모두 설명해줘야 한다. (경험상 그럼에도 안 받아들여질 확률이 높다.)

 


위와 같은 획일화된 법 규정을 클라우드 플랫폼으로 옮겨보면 앞서 말한 합법적이지 않은일로 규정될 사안이 매우 많으며 가능성 또한 매우 크다.

 


클라우드에도 S/W로 위의 기능을 할 수 있는 써드파티 제품들이 많이 있지만 사용 규모가 크면 클수록 비용은 기존 Legacy 장비에 대비해 수배에서 수십 배까지 상승하게 되며, 이는 곧 사업 경제 경쟁력을 저하시키기에 보안담당자는 통념적이지 않은 적절한 다른 수단을 모색할 수 밖에 없다.

 


또한 클라우드 서비스의 큰 장점인 재해복구를 위한 리전(region)간 이중화, 보안 탐지를 위한 리전(region)간 정보의 이동과 그 로그 정보의 집중화 등에 따라 개인정보 국외이전은 발생할 수 밖에 없고 이와 같은 정상적인(?) 사업활동 조차 법에 저촉 될 여지가 충분히 높다.

 

현재 널리 이용되는 이러한 기술들은 국내 법 제도로 해결될 수 없는 한계점이 분명히 있고, 그 한계는 기업 및 나라의 경쟁력을 약화시키는 벽을 만들고 있기에 이제는 우리나라도 사업자에게 자율성을 부여하면서 그에 대한 책임은 강하게 부여하고 해석은 타당성을 반영할 수 있는 유연한 법 제도로의 변화가 필요한 때가 오지 않았나 싶다.

 


동일한 관점에서 GDPR을 보면 많은 이들이 구체적이지 않아 어려워하고 있지만, 한편으로는 보호와 이용 관점에서 양쪽을 다 고려하면서 기업에게 자율성을 부여하고 그 행위의 책임을 명시한 것은 개인정보를 보호할 수 있는 방법론의 변화, 기업 보안이 다양하게 적용 될 수 있는

꽤 매력있는 변화를 가져 볼 기회가 제공된 측면도 있다는 생각도 든다.







정찬규 본부장 / 넥슨코리아 글로벌 보안본부

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  220   놓치기 쉬운 단계별 실무자 정보..   박철광   2018-09-19  
   
  219   본인확인기관, 더 단단한 잠금장..   장석은   2018-08-10  
   
  218   남북화해 시대의 개인정보보호   박종섭   2018-07-11  
   
  217   다가온 GDPR, 우리에게 어떤 영..   정아름   2018-07-06  
   
  216   4차산업혁명의 시대, 차세대 보안..   윤혜정   2018-06-04  
   
  215   고객 신뢰 확보! 개인정보의 안전..   배상호   2018-05-17  
   
    반보만 더 빨리 가줬으면 하는 변..   정찬규   2018-05-11  
   
  213   인공지능(AI)발전을 위한 개인정..   조진호   2018-05-11  
   
  212   개인정보보호 교육, 어떻게 무엇..   신용석   2018-04-16  
   
  211   기업의 효과적인 개인정보 관리 ..   김재용   2018-04-05  
   
  1   2   3   4   5   6   7   8   9   10