최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

갈수록 복잡해지는 데이터 프라이버시 규정에 대한 소고

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

​전 세계 인구의 65%가 2023년까지는 현대화 된 프라이버시 보호법 아래서 사생활을 보호받을 것이라고 한다. 확실히 사람의 사생활이라는 것이 이렇게까지 강력하게 보호된 적도 없고, 그것이 이렇게까지 중요한 가치를 가지게 된 적도 없다. 미국의 경우 ‘미국데이터프라이버시보호법(ADPPA)’을 비롯해 각 주의 프라이버시 관련 법들이 통과되면서 상황이 매우 복잡해지고 있다. 이 때문에 데이터를 다루는 모든 기업들이 고려해야 할 것이 기하급수적으로 늘어났다.

 


[이미지 = utoimage]

 

항상 바뀌고, 지역마다 새롭게 생기는 프라이버시 관련 규정들을 파악하고, 그 규정들이 지금 우리 회사에 얼마나 어떻게 적용되는지를 이해한다는 건 상상을 초월할 정도로 어려운 일이다. 그래서 기업들은 그런 쪽의 동향을 상당히 면밀하게 지켜보는 편인데, 사실 지켜봐야 할 것이 더 있다. 그건 바로 소비자들과 직원들의 데이터다. 이 데이터들이 네트워크 어디에 저장이 되어 있고, 어떤 경로로, 어떤 상황에서 움직이며 활용되는지, 어떤 리스크를 떠안고 있는지를 파악해야 하는 것이다. 결국 데이터 보호 체계를 근본적으로 강화해야 어떤 법에도 걸리지 않을 수 있기 때문이다.

 

항상 염두에 두어야 할 것은, ‘어떻게 하다가 프라이버시가 이토록 중요한 가치가 되었는가?’이다. 제일 먼저는 소비자들과 개개인들이 자신의 개인 권리에 대해 더 많은 정보를 갖게 됐고, 그러면서 개인정보라는 개념에 점점 익숙해지고 있다는 게 크다. 이 지점을 이해하는 게 중요하다. 프라이버시라는 게 단순히 기업들 사이에서만 수근수근 논란이 되는 주제가 아니라, 일반 대중들 사이에서 널리 퍼지는 지식이 되어가고 있다는 뜻이다. 이 때문에 얕은 수로 무거운 법망을 빠져나가는 게 쉽지 않은 일이 되고 있다. 까딱 잘못했다가는 천문학적인 벌금을 물어야 할 상황에 놓이게 된다.

 

개인 식별 정보(PII)와 의료 건강 정보(PHI)를 결합했을 때에도 문제가 될 수 있다. 예를 들어 보험금 청구서를 통해 지불 정보가 노출된 상태에서, 이메일 등 또 다른 개인정보가 여러 다른 경로를 통해 공격자의 손에 들어가면 어떻게 될까? 이 두세 가지 조각난 정보들을 결합해 공격자는 신원 정보를 훔치거나 추가 데이터 침해 공격을 할 수 있게 된다. 정보를 보호한다고 했을 때 여기 저기 조각 단위로 흩어져 있는 정보들을 공격자들이 부지런히 모아 이어 맞춰 하나의 큰 그림을 완성시킬 수 있다는 것도 염두에 두어야 한다는 소리다.

 

또 하이브리드 근무 체제가 오랜 시간 지속되면서 생산성 독려 및 확인 차원에서 직원들에게 여러 가지 상세 보고서를 작성해 제출하라고 하는 기업들이 생기고 있기도 하다. 그런데 여기서 기업이 어떤 정보를 어느 정도의 수위까지 요구하느냐에 따라 프라이버시 침해가 발생할 수도 있다. 아무리 근무 시간이라고 하더라도 직원이 그 시간 동안 했던 모든 행위를 다 알려고 든다는 것이 꽤나 위험해질 수 있는 시대다.

 

혼란은 가중되고

데이터 프라이버시 보호 규정들은 너무나 많고, 종류가 다양하다. 미국에서만 하더라도 연방 차원의 규정이 있는가 하면, 주마다 각기 보호 규정을 마련해 통과시키고 있다. 그래서 조금만 거래 망을 넓혀도 50개 주의 상황을 다 공부하고 적용시켜야 한다. 게다가 유럽 고객들도 확보한 상황이라면, 유럽연합의 GDPR과 같은 규정도 이해하고 있어야 한다. 아시아 국가들도 점점 프라이버시 규정이 강화되는 추세다. 규정이라는 게 원래 하나도 제대로 이해하기 힘들 수 있는데, 이걸 수십 개 단위로 꿰뚫고 있어야 하니 머리가 안 아프면 그게 오히려 비정상처럼 보일 지경이다.

 

그렇다고 여러 지역에서 사업을 진행하고 있는 큰 기업들만 문제인 걸까? 동네에서 작은 사업을 소소하게 운영하고 있다면 괜찮을까? 사실 ‘프라이버시는 큰 기업들만의 문제'라는 선입견이 꽤나 여러 기업들을 곤란하게 만들고 있기도 하다. 많은 경영인들이 ‘우리 회사는 너무 작아서 데이터 프라이버시 법이 적용되지 않아’라고 생각하는데, 그러다가 철퇴를 맞고 후회하는 경우가 생각보다 많다. 물론 여러 프라이버시 규정들이 정말로 대형 기업들에 초점을 맞추고 있는 건 사실이다. 그러나 그 ‘대형’이라는 기준이 규정마다 달라서 단순히 직원 수만 세고 ‘우리 회사는 작아’라고 결론을 내리다가 큰 코 다치게 된다. 어떤 규정은 연간 수익을 기준으로, 어떤 규정은 고객 수를 기준으로 삼기 때문에 이 지점을 꼼꼼하게 확인하는 게 중요하다.

 

규정은 생각보다 자주 변한다는 속성을 가지고 있다. 그렇기 때문에 한 번 검토하고 ‘우리 회사에 적용되지 않으면' 치워버리고 잊어버려도 되는 게 아니다. 주기적으로 검토하고, 규정 변경 소식에 민감하게 귀를 기울여야 한다. 이전에는 적용되지 않던 법이, 하루아침에 반드시 지켜야 하는 법으로 변할 수도 있다. 예를 들어 최근 유럽연합과 영국의 데이터 프라이버시 프레임워크(Data Privacy Framework) 혹은 프라이버시 쉴드 2.0(Privacy Shield 2.0)에 첩보 수집 활동과 관련된 중대한 변화가 있기도 했다. 여러 사업자들이 검토해야 할 내용이다.

 

변화하는 규정을 어기지 않으려면 이른 바 ‘베스트 프랙티스’라고 하는 바람직한 실천 사항들을 꾸준히 지키는 게 중요하다. 이런 것들을 항상 지킨다는 게 기저에 깔리면 어떤 규정이 도래하더라도 여유롭게 검토하고, 사실상의 큰 변화 없이 준수할 수 있게 된다. 처음부터 모든 것을 완벽하게 예측하여 지킬 수는 없지만 프라이버시 보호 법들마다 공통으로 강조하는 것들을 찾아 미리 지켜내는 게 큰 도움이 된다. 법이라는 것도 얼마든지 능동적으로 지키는 게 가능하다.

 

소비자의 것이든 직원들의 것이든 기업으로서 타인의 데이터를 관리하고 활용한다는 것에 얼마나 큰 책임이 따르는지를 기업들은 천천히 익혀나가고 있다. 지금이 그런 시기다. 익혀나가는 중이기 때문에 미숙할 수 있고 실수할 수 있다. 다만 그런 성장통의 시간이 영구히 허락되는 건 아니다. 지금처럼 규정이 무서워지는 때에 데이터 관리의 책임감이라는 걸 더 빨리 익히는 기업은 그만큼 경쟁력을 갖게 되는 것이고, 언제까지나 배우느라 실수만 하는 회사는 그 만큼 경쟁력을 잃게 된다. 그게 지금 당장은 시장의 원리다.​

  • 보안뉴스 로고
  • 문정후 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기