| [PIS FAIR 2024 토크콘서트] 업종별 대표기업 CPO 3인의 ‘개정 개인정보 보호법’ 대응 분투기 | 2024.06.05 |
“개정 개인정보 보호법, 우리는 이렇게 대비하고 적용했다” 주제로 토크콘서트 열려
여기어때 윤진환 사이버보안센터장, 올해 ‘개인정보 노출 제로화’ 목표로 뛴다 토스증권 지정호 이사, 개인정보보호 5대 핵심원칙 기반으로 업무 수행 롯데렌탈 전인복 정보보안부문장, 개인정보 수집 및 권한 최소화와 비식별화 원칙으로 업무 세분화 [보안뉴스 김영명 기자] ‘개인정보’ 보호의 중요성은 한마디 말로 표현하기에는 부족하다. 개인정보는 현 시대를 살아가는데 있어 필수불가결한 요소가 되고 있기 때문. 특히 데이터 경제 시대에 개인정보의 자산가치는 더욱 높게 평가되고 있다. 이에 따라 관련 법률인 개인정보 보호법도 끊임없는 개정 과정을 거치고 있다. 그렇다면 기업들은 어떻게 해야 법을 철저히 준수하면서 고객들의 개인정보를 효과적으로 보호할 수 있을까?  ▲토크콘서트에 참여한 권준 보안뉴스 편집국장, 롯데렌탈 전인복 정보보안부문장, 토스증권 지정호 이사, 여기어때 윤진환 사이버보안센터장(좌부터)[사진=보안뉴스] 이러한 가운데 6월 4~5일 코엑스 그랜드볼룸에서 개최된 국내 최대 개인정보보호 콘퍼런스 ‘제13회 개인정보보호 페어&CPO 워크숍(PIS FAIR 2024)’의 토크콘서트 시간에는 △여기어때 윤진환 사이버보안센터장 △토스증권 지정호 이사 △롯데렌탈 전인복 정보보안부문장 등 세 명의 CPO(개인정보보호최고책임자)/CISO가 ‘개정 개인정보 보호법, 우리는 이렇게 대비하고 적용했다’를 주제로 발표하고, 함께 토론하는 시간을 마련했다. 보안뉴스 권준 편집국장이 진행을 맡은 가운데 먼저 각 CPO들의 발표가 이어졌다.  ▲여기어때 윤진환 사이버보안센터장[사진=보안뉴스] 윤진환 센터장은 “회사는 개인정보 암호화 및 비식별화와 함께 고객 통지 시 가명 사용으로 개인정보 노출을 최소화한다”고 강조했다. 이어 “여기어때 사이버보안센터는 SRMIT(Security Risk Management Insight Tech)를 통해 보안을 시각화함으로써 보안은 ‘지출’이 아니라 미래를 위한 ‘투자’임을 경영진한테 확고히 인식시키고 있다”며 발표를 마쳤다.  ▲토스증권 지정호 이사[사진=보안뉴스] 또한 토스증권은 ‘개인정보보호의 날’ 사내 캠페인과 인센티브 제공 등 임직원의 고객정보 보호 인식제고를 위한 다양한 활동을 펼치고 있다. 지정호 이사는 “회사는 ‘기획은 치밀하게, 수집은 최소한만, 저장은 안전하게, 이용은 투명하게, 파기는 지체없이’라는 개인정보보호 5대 핵심원칙 아래 업무를 수행하고 있다”고 설명했다.  ▲롯데렌탈 전인복 정보보안부문장[사진=보안뉴스] 롯데렌탈은 개정 개인정보 보호법 적용 현황에 대해 재수탁 및 국외이전 관련해서는 2023년 8월에 완료했으며, 고객들이 보고 쉽게 이해할 수 있도록 디자인 등이 개선된 개인정보 처리방침을 다시 게시하는 작업은 6월 중 마무리될 예정이다. 이어 유효기간제 반영과 필수동의 제거도 7~8월까지는 완료할 계획이다. 전인복 부문장은 “개인정보 보호조치는 개인정보 수집 및 권한 최소화와 비식별화를 원칙으로 각 사안마다 세분화해 적용하고 있다”며 말을 마쳤다. CPO 3인의 주제발표가 끝난 다음, 보안뉴스 권준 편집국장은 “개정 개인정보 보호법을 적용하는데 있어 가장 까다로운 조항이 무엇이었는지”에 대해 질문하며 본격적인 토크콘서트의 시작을 알렸다. 이에 대해 여기어때 윤진환 센터장은 “개인정보 처리방침 평가제와 관련해 외부에서 평가하다는 것에 대해 신경을 많이 쓰고 있다”며 “개인정보 처리방침도 가독성을 고려해 개정하고, 개인정보 실태점검의 경우도 자동화 적용과 함께 주기적으로 점검하고 있다”고 밝혔다. 토스증권 지정호 이사는 “개인정보 유효기간제 폐지와 관련해 고민이 많았는데, 휴면계정을 파기하는 것이 고객의 개인정보를 안전하게 보호하는 것이라는 결론에 도달할 수 있었다”고 밝혔다. 롯데렌탈 전인복 부문장은 “직원들과 소통해 없어도 괜찮은 것들까지 꼼꼼하게 조사해 불필요한 것들을 제거하고 공통권한 부분도 줄였다”고 말했다. 이어 “개인정보 유효기간제 폐지와 관련해 적정기간을 설정하는데 있어 현업부서와의 소통의 시간이 필요했다”고 덧붙였다. 이어 권준 국장은 “생성형 AI 도입과 관련해 내부정보와 개인정보의 유출 차단을 위해 어떠한 절차나 기준을 수립했는지”를 물었다. 먼저 전인복 부문장은 “생성형 AI 가이드라인과 활용 플랫폼을 만들어 직원들이 해당 플랫폼 안에서 활용할 수 있도록 했고. 그 안에서는 개인정보가 자동으로 차단되는 필터를 사용한다”고 소개했다. 또한, 지정호 이사는 “일단 망분리 등을 통해 일반 임직원이 생성형 AI로 개인정보를 활용할 수 없는 환경을 구축해 놓았고, 엔드포인트 DLP 등 보안 솔루션을 통해 데이터가 뜻하지 않게 빠져나가지 않도록 관리하고 있다”고 말했다. 윤진환 센터장은 “DLP나 DRM 솔루션을 활용해 보안 위협이 탐지되는지 파악하고, 생성형 AI를 사용하는데 있어 데이터가 유출되지 않도록 보안 플랫폼을 구축하는 등 개인정보 유출 방지에 만전을 기하고 있다”고 말했다. 다음으로 권준 편집국장은 CISO와 CPO 겸직에 대한 견해를 물었다. 먼저 윤진환 센터장은 “CPO가 감당할 영역이 늘어나며, CISO와 CPO의 구분도 점차적으로 확대될 것”이라고 답했다. 전인복 부문장도 “소규모 보안조직은 겸직하고, 큰 조직은 분리하는 것도 방법”이라면서도 “그 기준은 기업 규모는 물론 업종이나 조직의 특성에 따라 결정될 필요가 있다”고 말했다. 다만 지정호 이사는 “현재까지는 정보보호 업무와 개인정보보호 업무가 상당히 중복되는 경우가 많은 만큼 CISO와 CPO를 무리하게 구분할 필요는 없을 것 같다”면서도 “CISO와 CPO를 함께 맡을 경우 업무량과 책임도 훨씬 커지는 만큼 이에 대한 고민과 부담은 있다”고 말했다. CPO 입장에서 개인정보 유출에 대비하기 위한 보험상품 확대 의견도 들었다. 지정호 이사는 “개인정보 유출기업에 대한 과징금 규모가 커지면서 기업들도 실질적인 대비가 필요하다”며 “고객 손해배상과 과징금 납부 차원에서도 보험은 중요하다”고 말했다. 전인복 부문장도 “회사가 배상할 여력이 안될 수 있기 때문에 관련 보험은 확대돼야 한다”며 “일례로, 보험 인증마크제 등을 통해 보험 가입 기업을 홍보하는 방안도 있고, 정부에서 세제 혜택 등을 주는 것도 보험 확대 방안이 될 수 있다”고 말했다. 마지막으로 권준 편집국장은 “개인정보 보호를 위해 가장 신경을 써야 하는 점”에 대해 질문했고, 전인복 부문장은 “개인정보는 ‘리스크’인 만큼 개인정보보호 업무는 전사적으로 분산할 수 있도록 하는 게 임직원들의 인식 제고 차원에서도 좋을 것”이라고 말했다. 지정호 이사는 “개인정보보호 업무에서도 법제도 이슈 대응뿐만 아니라 엔지니어링 요소를 최대한 활용해 프로세스를 구축하고 효과적으로 관리할 수 있도록 하는 게 중요하다”고 언급했고, 윤진환 센터장은 “능력 있는 사람을 채용해 오랫동안 함께 근무할 수 있도록 하는 것이 최우선 과제”라고 덧붙였다. 권준 편집국장은 “업종을 대표하는 기업 CPO 세 분의 이야기를 통해 개인정보보호 업무 담당자들이 참고하거나 벤치마킹 할 수 있는 건 하면서 회사 특성을 고려한 개인정보보호 노하우를 차곡차곡 축적해 나갈 수 있었으면 좋겠다”는 말로 토크콘서트를 마무리했다. [김영명 기자(boan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
