홈 > Privacy Guide >Privacy 컬럼
제목 정보기술이 개인정보 보호에 미치는 영향과 과제
닉네임 주용회 작성일 2015-10-08 오후 5:03:50 인기도

정보기술이 개인정보 보호에 미치는 영향과 과제

 

 

정보기술 발전과 정보보호 필요성 대두

 

80년대 말 직장 초년, 전산실 근무였는데도 불구하고 개인용컴퓨터(PC)가 고가의 장비로 사무실에 1~2 대 있고, 서무 담당하는 직원이 모든 문서를 복사하고 회람하는 시절이었다. 지금 생각해 보니 PC 가격이 신입직원 2~3개월치 월급의 고가였지만, 그 용도는 한 없이 초라했다. 문서 작성 정도 그리고 PC 게임, 조금 세련되게 활용하면 표 계산(지금의 MS EXCEL과 유사)도 사용했다.

 

그 당시에도 얼리 어답터가 있어 PC 를 개별 구매하여, 컴퓨터 원서잡지 등을 통해 프로그램 개발해 보고 향후 PC의 무한한 가능성을 주위에 알려주었다. 하루는 PC Magazine 에서 PC 바이러스 소개 기사를 보고, 이것에 감염되면 PC 가 성능이 떨어지거나 정도가 심하며 PC가 먹통이 될 수 있다는 내용을 전했다. 초기 버전의 바이러스 인데, 그 당시에는 향후 벌어질 심각성보다는 이런 프로그램을 착안한 기술에 경탄했다.  

 

Computer Science, 전산과학 명칭의 학문으로 시작한 정보기술은 PC를 통해 사람들에게 더욱 친숙하게 된다. 90년 초부터 PC 가 널리 보급되고 성능이 획기적으로 좋아지면서, 호스트 메인 컴퓨터 중심에서 분산처리(Client/Server) 형으로 진화된다. 이것이 가능하게 된 것은 컴퓨터 제조사의 특화된 기술에서 벗어나 표준기술이 개발되면서 이 기종 컴퓨터간에 제약 없이 연결할 수 있는 개방형시스템 구조로 발전되었기 때문이기도 하다. 이 표준화된 기술의 허점을 역으로 악용하는 집단(해커)이 생기게 된다. 기술적으로 막을 수 있는 수단으로   네트워크에서 보안장치인 방화벽 등의 기술도 함께 발전하게 된다. 여기까지는 시스템 전문가들의 영역 안에서 정보기술과 보안은 서로 창과 방패의 역할 수준으로 움직였다.

 

하지만 90년 중반 이후에는 인터넷이 상용화되면서 정보유통의 혁명을 맞이하게 된다. 모든 사용자들이 웹을 통해 정보를 쉽게 보관하고 공유하고 전송하면서 상대적으로 정보 유출, 변조, 훼손 등이 위험이 일반사용자까지 정보보안이 이슈화가 되기 시작한다. 이 시점에 정보를 지키기 위해 방법으로 문서 암호화(DRM, Digital Rights Management), 네트워크 암호화 기술이 등장한다. 정보를 주고 받을 때 매번 암호화/복호화 해야 하는 불편함이 있지만, 그래도 내 정보를 지킨다는 점에서는 받아들인다. 이때 까지도 개인정보 보호가 크게 부각되지는 않았다.

 

그 이후 무선 통신환경의 발전하면서, 2010년 이후 스마트폰의 폭발적 증가로 언제 어디서나 필요한 정보를 활용할 수 있는 모바일 세상이 열린다. 모든 사람이 스마트폰을 통해 통신망에 항시 연결되어, 일 처리에서 보면 근무시간, 회사와 가정의 경계가 없어진 상황이다. 또한 일상 생활은 카카오톡, 밴드 등의 소셜네트워크(SNS)를 통해 혈연, 지연, 학연에 이어 새로운 사회적 관계를 맺으며 살고 있다. 비즈니스 현장에서는 프로세스 혁신의 도구로, 더욱 스피드한 업무처리, 의사결정 등으로 스마트워크 혁신이 이루어진다. 그 동안에 수많은 시스템에 개인정보가 엄청난 데이터로 누적되어 있다.

 

보안측면에서는 정보시스템을 동작하지 못하게 하거나 정보 유출을 목적으로 하는 악의적인 공격 기술인 정보기술발전보다 앞서 지능형 지속공격(APT, Advanced Persistent Threat), 분산처리공격(DDoS, Distributed Denial of Service) 등 새로운 수단과 수법이 등장하고, 이것은 개인과 회사뿐만 아니라 사회를 재앙상태로 빠트릴 수 있는 큰 위험요소가 되었다.

 

불과 한 세대 동안 놀라운 정보기술의 발전은 일상생활에서부터 업무처리에 큰 변화를 가져왔지만, 보안관련 문제는 그 당시의 해결책이 나오기 전에 추가적으로 새로운 형태의 공격이 발생하여 기술진화보다 앞서 가는 것을 볼 수 있다.  

 

정보기술활용이 개인정보에 미치는 영향

 

기업에서 정보시스템을 도입하면, 먼저 자동화하는 업무로 사무부문의 인력을 줄일 수 있는 경영관리 업무부터 한다. 초창기 호스트 메인 컴퓨터에서 급여계산을 한 후 월급봉투를 인쇄하여 봉투의 겉면에 급여/공제액, 계좌이체 통장번호가 누구나 볼 수 있게 적혀있었고, 서무가 분리해서 개인별로 나누어주었다. 개인정보 보호란 개념조차 낯설었던 시대가 있었다.

 

그 이후에도 인터넷에서 필요한 정보나 서비스가 필요하게 되면, 무조건 회원가입을 해야 하고 주민번호, 연락처 심지어 취미 등의 정보를 필수적으로 요구하였다. 이것은 On-Line시스템뿐만 아니라, Off-Line에서도 보면, 나름 보안이 잘되어 있다는 기관을 방문하게 되면, 방문 신청 절차가 있고 그 속에는 주민번호 등 방문자의 개인정보를 요구한다. 심지어 보안강화를 위한, 외부 보안서약서 제도를 시행하는데 그 내용 속에도 개인식별을 위해 주민번호를 요구한 것을 보았다. 그 당시에는 이것이 큰 문제로 보이지 않고 단지 조금 불편하다 혹은 과하다 정도로 느꼈다.

 

되돌아 생각해 보면, 과거에는 개인정보가 중요하지 않았고, 현재에만 개인정보가 중요해 진 것일까? 아니다. 개인정보는 과거나 현재 다 중요하지만, 가장 큰 이슈는 파급 영향력 때문으로 생각된다. 개인에 관한 모든 사항이 데이터화 되고 시스템에 쌓여가고 있고 시스템 간의 연결을 통해 실시간으로 내용을 전달, 공유가 가능한 정보 인프라가 구현되어 있는 시대에 살고 있다. 이것을 악의적으로 사용한다면, 범죄 등 그 여파는 이루다 표현할 수 없을 것이다.

 

정보기술의 진화발전은 계속된다. 최근 시스템 장치를 직접 구매하여 소유하지 않고 임대하여 서비스 형태로 사용하는 클라우드 환경으로 변화되고 있으며, 모든 장치, 기기가 인터넷 환경에 연결되는 (사물인터넷, Internet of Things) 세상으로 바뀌고 있다. 그리고 시스템의 성능, 저장장치의 한계로 불가능했던 빅데이터 처리가 실시간으로 분석 가능한 시대가 되었다. 더 많은 개인정보가 사물인터넷을 통해 수집될 수 있고, 외부 클라우드 환경에 쌓이고, 빅데이터 형태로 분석될 수 있는 환경에서 개인정보보호 대책이 더욱 더 중요한 시점이다.          

 

개인정보보호 어떻게 할 것인가

 

앞서 언급한 것과 같이 개인정보 이슈가 정보기술로 인해 크게 문제가 된 만큼 정보 보안기술을 통해 해결책이 있지 않는가 이다. 당연히 기술로 막을 수 있는 부문은 있다. 하지만 문제는 완벽하지 않다는 것이다. 기술은 계속 진화하지만 보안은 먼저 기본에 충실해야 한다.

 

개인정보데이터는 전량 암호화하여 보호하고, 유출방지시스템 (DLP, Data Loss Protection) 을 통해 외부에 나가지 못하도록 방지 등 솔루션을 적용한다. 단 알아야 하는 것은 상당한 효과는 있지만 완벽할 수는 없다는 것이다. 일상에서 자동차를 안전하게 관리하기 위해 잠금장치, 경보장치 등이 도난방지를 완벽하게 못 막는 것과 같은 원리이다.

 

더 많이 힘써야 하는 부문은 기업 내에서는 먼저 개인정보에 대한 임직원의 보안인식이다. 보안사고를 분석한 결과는 내부인에 의해 통상 80% 이상이고, 외부인은 20% 이내 라고 한다. 개인정보도 마찬가지 일 것이다. 내부를 잘 알고 있는 관계자가 다른 마음을 가지게 되면, 내부 취약점과 방법을 찾게 되는 데, 아무리 보안을 강화해도 여전히 잠재적 문제를 가지고 있다.

  

개인정보는 원칙적으로 최소화 보관하고 암호화한다. 좀 더 관리를 세분화하는 방안으로 보안 등급과 보존기간 설정 등 취급 방법에 대해서도 프로세스화한다. 그리고 모니터링 할 수 있는 체계는 일상에서 CCTV와 같은 역할을 함으로 매우 중요하다. 또한 주기적인 진단을 통해 취약점을 지속 발굴하고 개선하는 활동 필요하다. 자체적으로 진행하기 힘든 경우에는 외부 공인기관을 활용하는 것도 방법일 수 있다.

 

특히 개인정보관련 업무를 자회사 등에 위탁운영 관리하게 되는 경우에 위탁사가 전적으로 책임관리 해야 한다고 생각할 수도 있다. 개인정보 유출 등 사고는 위탁사뿐만 아니라 수탁사도 함께 책임이 있으므로 반드시 관리범위에 포함되어야 한다

 

끝으로 지금까지 말씀 드린 사항은 회사의 업종, 규모 등에서 정도의 차이가 있겠지만, 비단 개인정보에만 해당되는 사항이 아니고 경영정보, 기술정보, 도면, 문서 등 정보형태로 존재하는 모든 것에 해당되는 사항이다. 다만 누구에게나 해당되는 개인정보를 좀 더 집중적으로 보았을 뿐이다. 보안의 위협은 사 내외뿐만이 아니라 글로벌하게 더욱 심각해 질 것이다. 정보 보호를 어떻게 전임직원이 함께 신뢰 플랫폼을 만들 수 있을 것인가에 대한 지혜가 요구된다.













             주용회 / 포스코 정보기획실 부장

파일
 
 
번호 제목 작성자 작성일 인기도 파일
  226   개인정보보호를 위해 내부 고객을..   신종회   2019-04-25  
   
  225   화웨이 사태를 바라보며 5G시대..   유창하   2019-02-12  
   
  224   공공부문에서 CISO의 시대를 열..   김대환   2019-01-10  
   
  223   데이터 경제 시대에서의 정보 활..   류재수   2019-01-08  
   
  222   스타트업과 개인정보보호   이준호   2018-11-29  
   
  221   사이버보험, 개인정보유출사고에..   유진호   2018-11-27  
   
  220   놓치기 쉬운 단계별 실무자 정보..   박철광   2018-09-19  
   
  219   본인확인기관, 더 단단한 잠금장..   장석은   2018-08-10  
   
  218   남북화해 시대의 개인정보보호   박종섭   2018-07-11  
   
  217   다가온 GDPR, 우리에게 어떤 영..   정아름   2018-07-06  
   
  1   2   3   4   5   6   7   8   9   10