[아이뉴스24 박진영 기자] 토스·야놀자·엔씨소프트 등 각 업계를 대표하는 개인정보보호 최고책임자(CPO)가 데이터 경제 시대에 개인정보 보호 체계 정립의 필요성에 공감하지만, 보다 편리한 서비스 개발을 위해 데이터 활용을 높일 수 있는 제도적 기반과 분위기가 형성돼야 한다고 강조했다.
3일 개인정보보호위원회가 주최한 '개인정보보호 페어 2022'에 토스, 야놀자, 엔씨소프트 등 각 업계를 대표하는 CPO들이 참석한 가운데 'CPO들의 최대 고민, 데이터 활용과 개인정보보호'를 주제로 토크콘서트가 열렸다. 핀테크·IT기술 스타트업·게임 등 개인정보가 중요한 각 업종별 기업들의 개인정보보호 노하우와 함께 개인정보 보호와 활용의 현실적 어려움을 공유하는 자리였다.
현재 각 기업들은 개인정보 보호를 위해 개인정보 수집 및 보관 최소화, 철저한 비식별 및 암호화 처리, 접근권한 통제 시스템 구축 등 체계적 노력을 기울이고 있다. 이에 반해, 현재 국내 법제도 상 데이터 규제와 활용에 있어서 상충되는 지점이 많고, 개인정보보호법 등 국내 법체계가 강력해 데이터를 적극 활용하는 데 어려움이 크다고 지적했다.
박의원 엔씨소프트 개인정보보호실장(DPO)는 "아직 국내는 개인정보 활용에 대해 보수적인 분위기라 관련 분야가 활성화되지 않았다. 특히 최근 국내에서 인공지능(AI) 윤리원칙이 중요해지면서, 관련 연구원들이 데이터를 활용하는 데 두려움이 많다"면서, "인류를 발전시킬 수 있는 기술개발을 위해 개인정보 보호 만이 아니라 데이터 활용에 대한 사회적 공감대가 형성되길 바란다"고 말했다.
신용석 토스 CPO도 "데이터 활용을 통한 혁신적인 서비스 제공은 수많은 기업들의 챌린지이지만, 이를 위해서 개인정보보호가 반드시 전제돼야 한다"면서, "개인정보보호전문가가 서비스 기획단계부터 투입돼 개인정보 동의 등의 절차를 철저히 설계하고, 데이터 분석가, 사업 기획자 등 다양한 직무와 의사소통이 무엇보다 중요하다"고 개인정보 보호의 필요성을 강조했다.
이어 "하지만, 현행법을 다 지키면서 업무량을 소화하기에 현실적으로 어려운 부분이 많아 개인정보보호 담당자의 사기가 떨어지는 경우도 종종 발생한다"면서, "보호를 소홀히 한 기업에 대한 사후적 처벌과 책임성을 강화해야 한다는 데 동의하지만, 이에 적극적으로 임한 기업에는 인센티브를 주거나, 관련 전문가 육성 프로그램을 신설하는 등 제도적 지원이 필요하다"고 덧붙였다.
특히, 국내 대표 핀테크 기업인 토스는 금융업의 성격이 강해 개인정보보호와 관련해 엄격한 법적 규제를 받고 있다. 금융업의 특성을 고려해 어느정도의 규제는 필수적이지만, 현행 법체계에서는 활용과 규제 측면에서 상충되는 부분이 많다고 지적했다. 대표적인 예로 '금융 마이데이터'를 꼽았다.
신 CPO는 "금융 마이데이터의 초기 목적과는 달리, 현행 금융소비자보호법 상에서 마이데이터를 통해 시도하려 했던 여러 서비스들이 금지되는 경우가 많다. 고객을 위한 혁신적 실험들이 시작조차 못하고 있는 현실"이라면서, "세계 최초로 한국 정부 차원에서 마이데이터 전분야 확산을 주도했지만, 시장에서 성공하려면 이제는 민간이 주도하고 정부가 이를 뒷받침하는 방향으로 가야 한다"고 전했다.
◆ 각 기업의 개인정보 보호 전략 공유…해외진출 대응 방안도
이날 개인정보 보호를 위한 각 기업들의 구체적인 전략이 공유됐다. 이들은 최소수집 원칙을 기본으로, 수집된 정보의 경우에도 누군지 알아볼 수 없도록 비식별 과정을 철저히 준수하고 있다. 또한 정보가 외부에 유출됐을 만일의 사태를 대비해, 데이터의 완전한 암호화 등을 통해 2차 피해를 최소화하고 있다고 전했다.
김창오 야놀자 CPO는 "회사는 개인정보의 안전한 처리를 위해 ▲절차에 따른 데이터 활용 ▲중요정보 접근 제한 및 따로 보관 ▲개인정보 유무 판단을 위한 표준기준 정립 등을 실현하고 있다"면서, "또 개인정보 처리 담당자들은 개인정보에 대한 명확한 기준을 가지고 있어야 하고, 고객의 입장을 대변해 회사와 합의한다는 마인드를 갖춰야 한다. 또 개인정보가 모호한 부분이 많기 때문에 무엇을 보호할 지 식별할 수 있어야 한다"고 설명했다.
이어 숙박업의 특성상 데이터가 유출된 경우 2차 피해가 큰 업종임을 고려해 정보 수집과 보관을 최소화하고 있다고 강조했다. 그는 "최소수집 원칙은 물론이고, 서비스 제공에 있어서 필수적으로 수집해야 하는 정보의 경우, 해당 데이터는 접근이 엄격히 통제된 프라이버시 존에 보관함은 물론, 완전한 암호화를 통해 직접적 식별이 불가능하도록 조치했다"고 말했다.
이와 함께 해외 각국의 개인정보보호 법체계가 다른 상황에서 글로벌 진출을 준비하고 있는 기업을 위한 현실적인 조언도 제시됐다. 최근 글로벌 개인정보보호 컴플라이언스가 지속적으로 강화되고 있고, 여러 국가에서 데이터를 기반으로 한 경제 블록을 형성하고 있는 추세다.
글로벌 사업을 활발히 추진 중인 엔씨소프트의 박 DPO는 "국제적으로 개인정보보호가 강화되고 있는 가운데 특히, 러시아, 중국, 베트남 등 공산국의 경우 자국민의 개인정보를 자국에만 저장해야 한다는 독특한 법률을 가지고 있어, 기업들이 해당 국가에서 시스템을 만들기 어려운 상황"이라면서, "해외지사 현지 담당자들과의 협업과 쉐어링(공유)이 무엇보다 중요하다. 개인정보보호 조직은 일방적으로 정보를 제공하는 것이 아니라 다양한 사업부와 쌍방향 의사소통을 통해 체계를 만들어 가는 곳"이라고 강조했다.
이어 "이에 엔씨소프트는 개별 국가마다 다른 부분을 중심으로 위키 방식의 가이드라인을 만들어 공유하고 있다. 50여개국의 개인정보보호체계가 매트릭스 형식으로 정리돼 있으며, 각각의 담당자가 댓글이나 의견을 자유롭게 게시할 수 있어 원활한 정보공유가 가능하다"고 덧붙였다.
신 CPO는 "전세계에서 가장 강력한 컴플라이언스는 대한민국 법률"이라면서, " 국내 보안관리 체계인 ISMS-P 인증을 받고 국내법을 준수하면, 글로벌에서 아무 문제 없을 것"이라고 전했다.
/박진영 기자([email protected])
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기