“개인정보처리방침 외부 평가는 인상적”
산업계, ‘보안 인재 모시기’ 경쟁도 치열
전문가 “위험 줄이고 산업 진흥하는 법안 돼야”
산업계 내 ‘개인정보 보호’가 뜨거운 감자로 떠오르고 있다. 지난 달 개인정보보호위원회가 ‘개인정보보호법 시행령 개정안’을 입법예고한 상황에서, 기업들은 개정되는 법안에 대한 대응에 나섰다.
개인정보위는 서울시 삼성동 코엑스 그랜드볼룸에서 ‘2024 개인정보보호 페어(PIS FAIR) & 정보보호책임자(CPO) 워크숍’을 5일 진행했다. 이날 행사에는 78개의 개인정보보호 분야 기관 및 기업이 참여했다.
이날 행사에서 기업들은 개인정보위가 입법예고한 ‘개인정보보호법 시행령 개정안’에 대한 각 사의 대응방안을 공유했다. 윤지환 여기어때 사이버보안센터장은 “30조 2항의 ‘개인정보 처리방침의 평가 및 개선권고’가 가장 눈에 띄었다”며 “개인정보 처리방침은 회사의 얼굴이기도 하고, 이 부분을 외부에서 평가한다는 것 자체가 인상적”이라고 말했다. 이를 위해 업무용 개인정보 처리 시스템상 이메일, 이름 등 개인정보를 비식별화하고, 데이터베이스 내 개인정보를 암호화ㆍ비식별화했다고 했다.
지정호 토스증권 이사는 “가장 부담스러운 부분은 과징금”이라며 “이에 대한 실질적인 대책이 필요하다”고 강조했다. 지 이사는 개인정보보호법 제59조를 이행하기 위해 로그인 정보ㆍ계정 이력 등을 시스템에 입력해 법 위반 행위가 있는지 모니터링한다고 설명했다. 개인정보보호법 제59조는 ‘업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 해서는 안 된다’고 규정하고 있다. 전인복 롯데렌탈 정보보안부문장은 “개인정보보호법 개정안에 이동형 영상정보 처리 기기, 즉 블랙박스에 대한 규제가 반영될 수 있다는 얘기를 들었을 때 긴장을 많이 했다”며 “다행히 개인정보보호법 제15조 1항에 해당하는 기업은 ‘예외’ 처리가 가능해 안도했다”고 말했다.
기업들은 각사의 개인정보보호 전략도 발표했다. 토스증권은 정보보호최고책임자(CISOㆍCPO) 산하에 정보보호 전담 조직 ‘시큐리티 디비전’을 두고, 정보기술최고책임자(CTO)를 필두로 한 정보보호 조직을 꾸렸다. 전 정보보안부문장은 “개인정보 업무는 개인정보보안팀에서 다 할 수 없다”며 “전사적인 개인정보보호를 위해 부서별 보안 담당자 한 명씩을 지정하고 있다”고 했다. 윤 사이버보안센터장은 개인정보 보호 전략으로 ‘개인정보보호 로그 통합화’, ‘개인정보 접근 및 통제 시각화’, ‘개인정보 노출 제로화’를 꼽았다. 여기어때는 향후 인공지능(AI) 데이터를 활용한 보안위협 대응 환경을 구현한다는 계획이다.
개인정보보호의 중요성이 커지는 만큼, 산업계는 보안 분야의 고급 인력을 확보하기 위해 사활을 걸었다. 윤 사이버보안센터장은 “개인정보 관련된 업무 자체가 사람이 하는 것이기 때문에, 회사가 항상 하는 고민은 좋은 사람을 뽑아서 오래 다니게 하는 것”이라고 말했다. 토스증권도 정보기술(IT) 대비 보안인력 비율을 2021년 9.21%에서 2023년 16.2%까지 늘렸다.
전문가들은 데이터의 신중한 활용이 필요하다고 강조했다. 박선동 법무법인 BHSN 변호사는 기조연설에서 “인공지능(AI)의 기술적인 특성상 개인정보 데이터를 학습한 후 AI 모델에 제공될 경우, 정보를 삭제하거나 수정하는 것이 불가능할 수 있다”고 설명했다. 이어 “기술의 발전 속도가 너무 빨라 제도적 허점은 어쩔 수 없이 존재하고 현장의 불확실성을 완전히 해소할 수도 없다”며 “위험은 줄이고 산업을 진흥시키는 방향으로 기업하고 정부와 사회가 생산적으로 논의해야 한다”고 제언했다.
댓글0