PIS FAIR 2022 토크콘서트...분야별 대표 기업 CPO들의 현실과 노하우 공유
신용석 비바리퍼블리카(토스) CPO, 김창오 야놀자 CPO, 박의원 엔씨소프트 CPO 등 참여

[보안뉴스 원병철 기자] 데이터의 중요성이 높아지고, 마이데이터 사업 등 데이터를 본격적으로 활용하는 움직임이 본격화되면서 각 기관과 기업의 개인정보보호최고책임자(CPO, Chief Privacy Officer)의 역할 또한 중요해졌다.

특히, 각 국가들이 저마다의 개인정보보호 관련법과 규제 등을 강화하면서 단순히 개인정보보호를 넘어 기관과 기업 활동에 가장 중요한 부분으로 자리매김하면서 CPO들의 고민 또한 깊어졌다. 이러한 가운데 6월 2일과 3일, 양일간 코엑스에서 개최된 ‘제11회 개인정보보호 페어 & CPO워크숍(PIS FAIR 2022)’에서는 이러한 CPO들의 고민과 해법을 나누는 시간이 마련돼 큰 관심을 불러일으켰다.


PIS FAIR 2022 둘째 날 열린 ‘토크콘서트’에서는 신용석 비바리퍼블리카(토스) CPO, 김창오 야놀자 CPO, 박의원 엔씨소프트 CPO가 나와 CPO의 고민과 나름의 해결책에 대해 소개했다.

첫 번째 주자로 나선 박의원 엔씨소프트 CPO는 CPO로서의 가장 큰 고민 2가지로 ‘글로벌 개인정보 컴플라이언스 충족’과 ‘개인정보 보호와 활용의 밸런스 유지’를 들었다. 특히, 글로벌 서비스가 가장 활발한 게임산업에서의 각 국가별 개인정보 관련 법 준수는 정말 힘들다고 고민을 토로했다. 특히, EU의 GDPR이나 APEC의 CBPR, 미국 캘리포니아의 CCPA 등 국가별 개인정보보호법이 강화되고 있는 추세인데다, 경제 블록을 만드는데 이를 활용하는 경우도 있어 더욱 어려워졌다는 것. 이 때문에 박의원 CPO는 ‘협업’과 ‘정보공유’가 가장 중요하다고 강조했다.

엔씨소프트는 게임에 따라 40여 개 이상의 국가에 서비스를 하기 때문에 각 국가별 개인정보보호 규제에 대해 명확하게 파악하고 분석해야 한다. 이에 각 국가별 지사의 법률팀과 협업하면서 관련된 정보를 주고받는다. 또한, 관련 정보를 공유할 수 있는 공간을 별도로 만들어 각 지사 및 사업부서별로 공유하고 있다. 개인정보보호 조직이 일방적으로 정보를 수집하고 기준을 만드는 것이 아닌, 부서나 관계자들끼리 협업한다는 설명이다.

김창오 야놀자 CPO는 이번 행사의 이름인 ‘PIS FAIR’를 머리말로 야놀자의 개인정보보호를 위한 3가지 전략과 4가지 역할에 대해 설명했다. 야놀자는 개인정보를 처리함에 있어서 반드시 공식적인 ‘절차(Process)’를 통해 처리하며, 저장한 개인정보는 안전하게 ‘격리(Isolation)’해 보관한다. 또한, 저장한 개인정보를 관리할 땐 ‘표준(Standardization)’을 정해 놓고 관리하며, 활용할 때는 ‘기준(Foundation)’을 갖고 처리한다. 아울러 개인정보가 포함된 업무처리에서는 개인정보보호 담당부서가 ‘합의(Agreement)’를 담당하며, 정확한 ‘식별(Identification)’을 통해 고객 개인정보 데이터를 관리한다. 마지막으로 개인정보를 처리할 때에는 ‘책임(Responsibility)’ 소재도 명확하게 분석해 챙긴다.

마지막으로 신용석 비바리퍼블리카(토스) CPO는 개인정보의 활용과 보호는 너무나 어려운 문제로 혼자서는 절대 할 수 없는 것이라며, 보호를 원칙으로 데이터 활용도 잘 해서 임직원들도 신나게 일할 수 있고 고객에게도 혁신적인 서비스를 제공할 수 있도록 돕는 것이 개인정보보호 부서의 역할이라고 설명했다. 특히, 개인정보가 포함되는 사업의 경우 기획 단계에서부터 개인정보보호 담당자가 참여해 어떤 데이터를 어떤 목적으로 사용하는지 명확하게 분석하고, 활용하는 데 도움을 줄 수 있어야 한다는 것이다.

이어 권 준 보안뉴스 편집국장의 사회로 토크콘서트가 진행됐다. 권 준 편집국장은 첫 번째 질문으로 박의원 CPO에게 게임사에서 수집하는 개인정보와 보호원칙에 대해 물었다. 박 CPO는 “게임사에서 수집하는 개인정보는 게임 플레이를 위한 꼭 필요한 정보, 예를 들면 이름과 이메일 등”이리며, “최근에는 구글이나 네이버 등 서드파티를 이용한 간편로그인이 활성화되어 그마저도 거의 없다”라고 설명했다. 대신 사용자의 행위기반 정보를 수집하는데, 예를 들면 게임 캐릭터가 어떤 행위를 하고, 아이템을 구입하는지 등을 바탕으로 새로운 서비스를 제작한다는 설명이다.

김창오 야놀자 CPO에게는 “숙박정보 등이 포함돼 프라이버시가 중요한 정보를 수집하고 있는 데 보관이나 활용에 더 신경 쓸 것 같다”고 물었다. 김 CPO는 “그래서 야놀자는 수집 단계에서부터 정보를 최소화해 수집하며, 보관도 최소화하고 있다”면서, “특히, 데이터도 암호화해서 보관하기 때문에 정상적인 시스템에서의 접근이 아니면 식별할 수 없다”고 설명했다.

금융 서비스 토스를 운영하는 비바리퍼블리카의 신용석 CPO에게는 금융과 핀테크 산업에서 법 제도와 상충되는 문제에 대해 물었다. 신용석 CPO는 “사실 기업은 개인정보의 보호와 활용의 밸런스를 맞추는 게 중요하지만, 정부 입장에서는 개인정보를 보호하기 위한 규제 측면에 좀 더 초점을 맞출 수밖에 없다”면서, “이 과정에서 물론 어려움도 존재하지만, 현재의 법제도 하에서 최선의 대안을 찾기 위해 다각도로 협력하고 있다”고 답했다.

이어 권 준 편집국장은 “개인정보과 관련된 고객의 항의가 있을 경우 CPO로써 어떻게 대응하냐”고 공통 질문을 던졌다. 먼저 박의원 CPO는 “앞서 설명한 것처럼 게임사는 개인정보를 많이 수집하지 않아 개인정보 관련 항의는 거의 없다”면서, “대신 고객센터의 임직원들은 어쩔 수 없이 수많은 고객정보를 볼 수밖에 없어서 이들에 대한 교육을 강화하고 있다”고 답변했다. 특히, 코로나19가 진정되면서 온라인 교육보다는 더욱 효과가 높은 오프라인 교육으로 진행하는 경우가 많아졌다고 언급했다.

김창오 CPO는 “개인정보 관련된 고객 항의가 있을 경우 반드시 핫라인을 통해 개인정보 담당자가 함께 답변하도록 하고 있다”면서, “앞서 설명한 3가지 전략과 4가지 역할을 바탕으로 원칙적으로 처리하고 있다”고 답변했다.

마지막으로 신용석 CPO는 “개인정보에 대한 민원은 가끔 회사가 아닌 기관으로 하는 경우가 있는데, 이럴 경우 신원 보호를 위해 민원인의 정보가 삭제된 채 내용만 전달되는 경우가 있다”면서, “그럴 경우 처리하는 데도 시간이 많이 소요되고, 정확한 대응도 어려울 수 있다”고 답했다. 아울러 “대부분의 기업이 개인정보와 관련된 민원에는 적극 대응한다”면서, “이에 해당 기업에 직접 말씀해 주시는 게 보다 빠르고 정확한 해결에 도움이 될 것”이라고 설명했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>