| [컬럼] 개인정보보호에 관한 불편한 진실 | 2012.03.23 | |
정보관리에 대한 근본적인 혁신 필요...정보폐기 항상 고려해야
작년 말에 모 게임 회사에서 대량의 개인정보 유출 사건이 발생했는데, 유출된 정보가 암호화 되어 있어 유출정보 악용에 따른 2차 피해는 다행히 덜 우려된다는 시각이 일반적이었다. 그만큼 암호화 저장과 암호화된 데이터의 안전한 관리는 개인정보보호에 있어서 무엇보다도 중요한 사항이다. 하지만 개인정보 보호의무를 올바로 이행하기 위해서는 암호화만으로는 부족하다. 보존기간이 지난 정보에 대한 올바른 폐기가 뒷받침되어야 불필요한 정보의 유출로 인한 피해를 근본적으로 막을 수 있기 때문이다. 그런데 정보 시스템을 운영하는 사람들은 보존기간이 지난 정보의 삭제를 두려워하고 있다. 수집된 개인정보가 정보 시스템 내에서 어떻게 연계되어 사용되고 있는지, 어디에 어떻게 백업되어 있는지 자신 있게 말할 수 있는 사람들이 많지 않기 때문이다. 왜냐하면 그동안 보유한 정보를 추적 관리하고 폐기할 수 있도록 데이터베이스를 설계, 운영해 오지 않았기 때문이다. 따라서 이러한 두려움을 없애기 위해서는 현재의 관행을 벗어난 정보관리에 대한 근본적인 혁신이 필요하다. 그런데 앞서 말한 외면하고 싶은 불편한 진실의 이면에는 우리의 오랜 습관이 있다. 우리는 정보를 축적하고, 축적된 정보를 활용하는 데에만 관심을 기울여왔다. 특히, 정보를 전자적으로 처리하는 세계에서 정보 폐기라는 것은 사실 생각해 본 일이 별로 없었다고 해도 과언이 아니다. 종이로 된 정보는 일정한 시기가 지나면 물리적 공간의 한계로 불필요한 정보를 걸러서 폐기해 왔지만(또는 전자화하거나), 전자 정보를 기록하는 매체의 저장 능력은 기하급수적으로 발전하여 폐기의 필요성을 인식하지 못하도록 만들어 버렸다. 이러한 수십년간의 관습을 ‘법’이 바꾸기에는 어느 정도의 사회적 피해와 시간이 필요할지 모른다. 며칠 전 모 공공기관으로 이메일을 받았다. 사용하지 않은 개인정보를 삭제하겠다는 내용이었다. 법 발효 이후에 개인정보 사용에 관한 사후 동의를 받으려는 텔레마케터의 무수한 전화에 지쳐있던 차에 자진해서 삭제하겠다는 메일을 받는 것은 가뭄날 만난 단비와도 같은 것이었다. 하지만 이는 아직 일부 사례에 지나지 않은 것 같다. 법에서 말하는 개인정보 처리자들이 법을 올바르게 준수하려는 의지가 부족해서가 아니라 법을 준수하기 위해서는 운영 중인 정보 시스템 특히, 데이터베이스를 변경하지 않으면, 위법의 가능성이 너무나 크다. 이는 현재 개인정보를 저장하고 있는 데이터 집합체인 데이터베이스가 전통적으로 저장과 검색을 중심으로 설계, 운영되어 왔기 때문에 발생하는 현실과 법의 괴리 때문이다. 데이터 백업 역시 마찬가지다. 법을 준수하기 위해서는 여러 곳에 분산된 백업 매체를 찾아 보존 기간이 지난 정보를 골라서 삭제를 해야 하나, 현실적으로 정보 폐기를 염두에 두지 않았기 때문에 운영 시스템에서는 삭제되었으나, 백업본에서는 남아 있는 경우가 부지기수다. 올바른 백업 정책 수립을 위한 근간 역시 데이터베이스의 올바른 설계와 운영 없이는 불가능하다. 진실이 불편하여 눈을 감아버릴 수는 없다. 오랜 산고를 거쳐 개인정보보호법이 제정됐다. 늦은 감이 없진 않지만 법 준수를 위해서는 정보 시스템의 설계, 운영자들의 인식 전환과 시스템 개선을 위한 계획이 필요한 때이다. 정보는 단순히 저장, 검색하는 것만이 아닌 폐기를 고려해야 하는 생명주기를 갖는 대상으로 인식하고, 이를 위한 정보 시스템 방법론 개발과 실천이 요구되는 시점이다. 또한, 이것은 단순한 법 준수 차원을 넘어 법 제정의 취지인 사생활의 비밀 보호를 통해 국민의 권리와 이익을 증진하고, 개인의 존엄과 가치를 구현하는데 일조하기 위한 것이다. 결국 이는 정보기술 분야 종사자들이 함께 풀어가야 할 크나큰 숙제이자 의무라고 할 수 있다. [글_ 채규혁 한국IT감리컨설팅 보안사업부 이사(khchae@itall.net)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
