지난해 5월 EU는 회원국간 개인정보의 자유로운 이동을 보장하고 정보주체의 개인정보보호 권리를 강화하는 ‘개인정보 보호규정(GDPR)’을 제정했다. 2018년 5월 25일부터 시행되는 GDPR에 따라 EU에 진출했거나 진출을 희망하는 국내기업은 기술·조직적 조치를 통해 개인정보에 대한 보안을 보장해야 한다. 특히 GDPR은 기존 개인정보보호지침보다 처벌을 강화하여, 의무를 심각하게 위반한 기업의 경우 전세계 연간 매출액의 4% 또는 2000만 유로(약 250억원) 중 더 높은 금액의 과징금을 부과 받는다.
국내에서도 올해 3월부터 개정 시행된 ‘개인정보보호법’에서 개인정보처리자의 규모 등에 따른 유형화, 관리용 단말기 보안강화 등 새로운 내용이 추가됐으며, 보유할 수 있는 개인정보 유효기간이 단축되고 과징금이 강화됐다. 민감한 개인정보를 주로 활용하는 금융이나 의료분야의 경우 이미 개정 개인정보보호법에 따른 가이드라인을 발표해 적극적인 움직임을 보이고 있다.
행정자치부에서는 올해부터 개인정보보호 점검대상을 기존보다 2배 수준으로 늘렸다. 기존 점검대상인 300개 기업 이외에, 5대 분야 총 300개 기업을 추가로 선정하고, 상·하반기로 나누어 150개소씩 점검을 실시한다. 이번 상반기 점검대상으로는 대학, 병원, 건설, 제조, 배송, 유통, 숙박, 레저 등 다양한 업종의 기업들이 고루 포함됐다. 국내외 구별 없이 기관 또는 기업이 고객의 개인정보를 활용하는 이상 개인정보보호는 이제 선택이 아니라 필수인 것이다.
안전한 개인정보보호를 위해서는 무엇보다 개인정보에 대한 효율적인 관리가 뒷받침되어야 한다. 효율적인 관리는 기관 또는 기업이 보유하고 있는 개인정보에 대한 정확한 위치를 파악하고 있을 때 가능하다. 따라서 개인정보보호를 위해서는 PC는 물론 관리하고 있는 서버 내의 개인정보 검출이 선행돼야 한다.
정확한 개인정보 검출을 위해 시스템 상에서 반드시 고려해야 할 요소로, 첫번째는 다양한 개인정보 유형을 정확히 검출할 수 있는지 여부이다. 고객의 이름, 주소, 전화번호, 생년월일, 운전면허번호, 여권번호와 같은 일반적인 개인정보 데이터부터 카드번호, 은행 계좌번호와 같은 금융정보 그리고 국가 의료보험과 같은 의료정보 등 다양한 개인정보가 존재하기 때문이다. 국가마다 다른 해외의 개인정보 유형도 마찬가지로 고려돼야 한다.
둘째는 비정형 데이터 내 개인정보 검출이 가능한지 여부이다. 이번 개인정보보호법 개정으로 보호대상의 범위가 DB 뿐만 아니라 로그, 백업, 녹음, 이미지 등의 비정형 데이터까지로 확대되었다. 즉, DB 내 데이터 형태의 개인정보 이외에도 통장사본 이미지, 보험계약서 스캔본과 같은 비정형 데이터 내 개인정보까지도 검출하고 관리해야 한다는 것이다.
다음으로 개인정보 검출시 시간 및 자원(CPU, 메모리 등) 사용을 최소화하는지 따져야 한다. 당연한 말이겠지만, 근무시간 내 개인정보 검출을 위해 소요되는 시간과 자원이 업무에 영향을 미쳐서는 안 된다. 이를 위해서는 대량의 데이터에 대한 검출속도가 빨라야 하고 CPU, 메모리 사용량 제한설정을 통해 자원사용량을 최소화해야 한다.
안전한 개인정보보호는 정확한 개인정보 검출에서부터 시작된다. 개인정보에 대한 검출, 검출된 정보에 대한 보안조치 그리고 지속적인 모니터링으로 이어지는 선순환 구조는 개인정보에 대한 보호사이클을 완성한다. 개인정보를 다루는 기관이나 기업은 이와 같은 개인정보 보호사이클 구축을 목표로, 그 첫 단추인 개인정보 검출부터 새롭게 검토해 개인정보보호에 대한 전체 프로세스를 만들어 나가야 할 것이다.
