개인정보의 두 가지 뜻, 여러 단계에서 갈리고 합해져

민관산학이 합동해야 보호가 가능해지는 속성 드러나고 있어

[보안뉴스 문가용] 개인정보라는 단어에는 두 가지 뜻이 들어있고, 말하는 사람마다, 대화가 이루어지는 상황마다 다르게 표현하고 이해하기 때문에 혼선이 오기 일쑤다. 하나는 한 개인을 식별하게 해주는 정보로 여기에는 생년월일, 주민등록번호, 지문, 행동패턴 등이 해당된다. 다른 하나는 개인이 만든 정보로 아직 정보의 소유 개념이 확실하게 정립되지 않아 표현이 조심스럽긴 하지만 간단히 말해 개인이 가진 정보를 말한다. 이는 보안뉴스 문가용이란 사람이 쓴 그저 그런 기사에서부터 개인정보보호 페어와 같은 주요 행사에 참가한 강연자들의 주옥같은 강연 영상 자료나 원고 등을 모두 포함한다.

재미있는 건 법이나 정책으로 갈수록 ‘개인정보’를 개인식별 정보로 정의하는 성향이 강하고 최종사용자 쪽으로 올수록 개인을 식별하는 정보와 개인이 만든 정보를 혼용해서 쓰는 경향이 나타난다는 것이다. 그도 그럴 수밖에 없는 것이 법을 제정하고 제도를 만들 때는 되도록 뜻이 하나로 통일된 분명한 표현을 써야 하고, 다양한 색깔의 사용자들이 존재하는 최종 사용자 층위에서는 비교적 새롭게 만들어진 용어가 한 가지 뜻을 가지고 정착하는 데에 긴 시간이 걸리는 것이 보통이기 때문이다.

1. 개인식별 정보로서의 개인정보

그래서 그런지 김앤장 법률사무소의 이상윤 변호사는 개인정보를 철저하게 개인을 식별하는 정보로서 표현한다. 그는 최근 해외 기사에도 종종 등장하는 ‘써드파티’ 혹은 ‘외주업체’를 통한 해킹사고와 매우 유사한 개념인 ‘개인정보 위수탁’과 관련된 사안들을 다루고 있는데, 이 분야는 최근 법 개정이 활발하게 이루어지고 있기 때문에 직원들의 개인정보를 위탁하거나 수탁하는 사업을 하는 사람들은 꼼꼼하게 조사를 해야 한다고 강조한다.

“업체에서 직원들의 개인정보를 다른 조직에 위탁할 때 직원들의 동의를 필요로 하는 경우와 그렇지 않은 경우가 나뉘어 있고, 개인정보를 제3자에게 ‘위탁’하는 것과 ‘제공’하는 것에도 분명히 법적인 차이가 있습니다.” 여러 판례와 사례를 수집하고 분석하는 이 변호사는 “위탁자는 문서에 의해서만 위탁하고, 위탁 내용을 공개 및 고지하며, 수탁자에 대한 교육 및 관리, 감독 등에 대한 책임을 가진다”고 현재까지 정리하고 있으며 반대로 수탁자는 “수탁 목적 외의 이용 및 제공이 금지되며 개인정보 취급자를 감독하는 책임을 가지고 있다”고 못 박았다.

2. 개인식별 정보건 개인소유 정보건

그러나 정보보안을 전문으로 하는 민간 기업들은 개인정보의 두 가지 뜻을 모두 다루고 있다. 그건 최대한 넓은 통로를 터줘서 최대한 많은 사람들을 유입해야 하는 시장성의 원리 안에서 움직이고 있는 기업의 기본 속성에 기인하기도 한다.

안랩의 이건용 과장은 ‘개인식별 정보’에서 출발해 ‘개인이 가진 정보’에까지 다다르게 된 보안전문업체 실무자로서의 여정을 잘 알고 있는 인물이다. “물론 개인정보보호법에 따르면 개인정보란 살아 있는 개인에 관한 정보로 사실 개인을 식별할 수 있는 정보를 뜻합니다.”

그런 정보들을 보호하기 위해 개발되고 도입된 것이 “암호화, 격리, 삭제, 주민번호 수집 금지라는 제도, 웹 브라우저나 이메일, 메신저 등의 프로세스 감독 솔루션 등”인데, 이는 일반적인 정보를 보호하는 데에도 유용하게 쓰이고 있으니 결국 개인 식별 정보의 보호가 개인이 소유한 일반 정보의 보호로까지 이어지고, 그런 일반 정보의 보호 기술이 다시 개인식별 정보의 보호로 이어지는 상부상조의 흐름이 앞으로도 얼마간 이어질 수밖에 없는 것이다.

3. 변해가는 환경 속 최종 사용자를 보호하라

그런 의미에서 블루코트코리아의 고재훈 부장은 트래픽의 암호화를 위해 등장한 SSL이란 개념이 최근 “역습을 맞아 게임오버 제우스, 샤이락, 스파이아이 등의 악성코드가 등장하고 있으며 2017년까지 SSL을 악용한 공격이 전체 공격의 50%를 차지할 전망”이기 때문에 SSL을 가시화해서 관리하고 보안성을 높이는 방법 역시 중요해지고 있다고 제안한다.

“SSL를 가시화하면 TLS 통신 프로토콜에 정확히 대응할 수 있고, 모든 SSL 트래픽을 관리할 수 있습니다. 될 수 있으면 하나의 복호화로 여러 장비에서 연동이 가능하도록 하는 것도 중요하고, 거기까지 구현이 됐으면 포괄적이고 유연한 카테고리 기반 정책을 적용하는 것도 가능해집니다. 숨겨진 위협도 트래픽을 시각화함으로써 빠르게 방어할 수도 있고요.”

확실히 모든 네트워크를 가시화해서 한 눈에 정보 흐름을 볼 수 있다면 대응과 방어 모두 신속 정확하게 대응이 가능해질 것이다. 가까운 미래에 이게 꿈이 아니게 될 지도 모른다. 하지만 지금 ‘모든 네트워크를 한 눈에’ 보는 걸 어렵게 하는 최종 사용자들 사이의 ‘유행’이 있는데 바로 클라우드다.

닉스테크의 강서일 차장은 “클라우드의 개입으로 변해가는 업무환경의 변화 때문에 보안의 기술도 변화해야 한다”며 “PC, USB, 개인정보 파일에 대한 보안 정책을 달리하듯 클라우드 역시 기술의 특성을 잘 녹여낸 기술과 정책이 필요하다”고 강조한다. 특히 ‘서비스로의 보안(Security as a service, Secaas)’이란 개념이 도입되어야 할 필요가 있다고 주장했다. “이를 테면 이런 겁니다. DLP 기술이 플러그인 되면 인터넷으로 DLP 서비스가 제공되는 DLP 클라우드 보안 서비스가 되기도 하고, 서버 장비로 기업에 판매되던 웹 보안이 플러그인 되면 인터넷으로 서비스가 제공되는 웹 보안 클라우드 보안 서비스가 되는 것이죠.”

4. 변하지 않는 환경에도 최종 사용자는 노출돼

변화되는 환경에 맞춘 새로운 보안 개념의 개발도 중요하지만 누군가는 기존의 것을 더 탄탄하게 다지는 것에 집중해야 한다. 신도리코의 김희수 부장은 “복사기나 팩스머신, 혹은 복합기는 여전히 사무환경에서 널리 사용되고 있으며, 이 오래된 방식의 기기들을 사용하는 사용자의 패턴만 분석해도 문서보안을 강화할 수 있다”고 설명하며 “예를 들면 평균적으로 퇴사하기 전 3개월 동안 직원들은 회사의 문건을 많이 복사해 나간다는 통계자료가 있다. 즉, 평소보다 복사량이 늘어난 직원을 잘 감시하면 정보의 유출을 방지할 수 있다”며 첨단 시대에 놓칠 수 있는 부분을 짚어냈다.

복사기만큼은 아니지만 최소 90년대에 인터넷이란 걸 처음 접하고 무료 이메일을 처음 만들어본 사람은 꾸준히 접해온 암호 역시 ‘오래된 것의 보안’에 속한다고 볼 수 있다. 에스지앤의 이재영 이사 역시 암호 보안의 중요성을 강조하는 부류다. “암호 관리의 기본은 관리자의 관심”이라고 하는 이재영 이사의 말은 무슨 뜻일까? “간단합니다. 일단 출처가 불분명한 이메일은 즉시 삭제하고, 의심스러운 자료는 다운로드 하지 않는 건 기본이고요, 흔히들 최악의 암호라고 뽑는 단어들, 사전에 들어 있는 단어들은 사용하지 않는 것이 좋습니다. 모든 계정의 암호를 다르게 하고 가능한한 어렵게 설정해야 하죠. 무엇보다 주기적으로 변경하는 게 중요합니다.”

물론 사람이 암호만 기억하다가 뇌 용량을 다 쓸 수는 없기 때문에 이재영 이사의 권고사항을 다 지키기란 힘들다. “그렇기 때문에 암호관리 솔루션이라는 게 존재하는 것이죠. 물론 암호관리 솔루션 쪽에서도 해킹 사고가 번번이 일어나고는 하지만 이도 차츰 좋아지고 있고 사용자 편의성도 높아지고 있어서 안심해도 됩니다.”

5. 개인정보보호의 핵심은 ‘보호’

결국 그게 무엇이든 ‘정보 자체의 보호’가 관건이라는 게 바넷정보기술 한병창 연구소장의 의견이기도 하다. “2015년 보안의 화두는 데이터 보안이다”라고 말하듯 보호한다는 차원에서는 둘을 굳이 따로 떼어놓을 필요가 없다는 것. 다만 차이점이 있다면 “개인 식별 정보의 경우, 그걸 관리한 사람에게 파기의 의무가 주어진다”는 것이다.

“개인정보보호법 제21조 1항에 의하면 보유기관의 경과, 개인정보 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없이 파기해야 합니다. 보존해야 하는 경우 다른 개인정보와 분리하여서 저장 관리해야 하고요.” 이는 요즘 유럽을 중심으로 작년부터 화두가 되고 있는 잊혀질 권리와도 상관이 있는 부분으로, 일반 다른 정보와는 달리 개인정보만큼은 아직까지 ‘잊혀질 권리’가 분명히 존재한다는 의미도 된다.

결국 개인정보의 두 가지 의미는 법과 제도의 마련에서는 분명히 구분지어지지만 그것을 실제로 보호하는 방법을 마련하는 데에 있어서는 그 경계가 불필요해지는 측면이 있다. 그러나 정보의 파기 측면에 이르러서 다시 둘은 분리가 되는데 현재까지 개인 식별 정보는 파기가 ‘필수’이고 개인 소유의 일반 정보는 ‘잊혀질 권리’ 등의 논제에 의해 활발히 논의되고 있는 중이다.

그렇기에 민과 관이, 산과 학이 같이 ‘보호’를 도모해야 한다. ‘민’은 두 가지 뜻을 분리해 사용하는 ‘관’을 이해하고, ‘관’은 혼용해 사용하는 ‘민’의 입장을 모두 반영해서 법을 정비해야 하며, ‘학’은 ‘산업’ 내 정리되지 않은 문제를 명쾌하게 결론지어줘야 하고 ‘산’은 ‘학’을 향한 끊임없는 문제제기와 수용으로 한 걸음 한 걸음을 견실하게 돌아봐야 하는 것이다. 같은 수레라도 각기 다른 방향으로 가면 거열형이 되고 한 방향으로 가면 꽃가마 부럽지 않게 된다.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>