• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

해외여행객 1,000만 시대, 개인정보 해외 이전 안전장치 마련해야 2018.11.07

개인정보 국외이전 유형 : 정보주체 직접 이전, 국외 업체 제공, 처리 위탁
개인정보 이전할 수밖에 없어... 법의 사각지대, 사회적 합의 등 고려돼야

[보안뉴스 김경애 기자] 최근 서비스 분야에 외국인 투자가 증가하고, 여러 상품과 서비스가 글로벌화 하면서, 이 때문에 서비스를 이용하는 사용자들의 개인정보가 국외 사업자에게 이전되는 현상이 심화되고 있다. 이에 따라 개인정보의 이동은 합리적으로 허용하되, 이전된 개인정보를 보호하기 위한 안전장치 마련이 필요해졌다.

[이미지=iclickart]


행정안전부가 이번에 발표한 ‘개인정보 국외이전 유형 및 사례 조사’에 따르면, 업무 특성상 고객의 개인정보가 국외로 이전되는 분야는 온라인(SNS, 포털, 게임사 등 5개사)/금융(은행, 카드, 보험 등 4개사)/쇼핑(해외, 면세, 유통, 택배 등 6개사)/여행(여행사 3개사)/인사노무(글로벌 기업 6개사) 등 5개 분야를 꼽을 수 있다.

특히 행정안전부는 2018년 4월 27일 ~ 8월 25일까지 약 4개월간 이러한 5개 분야 24개 업체의 현장 담당자를 심층 인터뷰한 결과 4가지 국외이전 유형을 정리했다. 행정안전부가 정리한 4가지 국외이전 유형은 ①정보주체가 직접 이전 ②국외업체에 제공(본사지사, 위․수탁 등 포함), ③처리 위탁, ④기타 등으로, 이중에서 가장 큰 비중을 차지하는 것은 해외 서비스를 제공받기 위해 정보주체가 본인 개인정보를 직접 이전하는 경우로 조사됐다.

업종별 사례 분석을 살펴보면, 먼저 온라인 업종의 경우 국내 서버가 없는 해외 업체에서 개인정보의 국외이전이 빈번하게 발생하는 것으로 조사됐다. 특히 본인 동의하에 접속내역, 서비스 이용내역 등 다양한 정보를 이전한 것으로 나타났다. 반면 온라인 업종의 경우라도 국내에서 서버를 운영할 경우에는 해외 이전이 거의 없는 것으로 조사됐다.

이어 여행업의 경우 여행사가 자체적으로 필요하다기 보다는, 고객편의를 위해 항공사, 호텔 등 협력업체에 제공해야 할 개인정보를 수집하는 경우가 대부분으로 드러났다. 항공사가 가장 많은 정보를 요구했는데, 이는 테러방지, 마일리지 제공 등을 위해 타 항공사 등과 정보를 공유하기 위함이었다. 호텔 등은 이름과 연락처 등의 정보가 이전되고 있는 것으로 조사됐다.

쇼핑업종의 경우 온라인 업종과 유사했다. 해외업체 대부분은 국내 서버를 운영하지 않기 때문에 국외이전이 발생했다.

택배업종은 우체국을 기준으로 연 100만건의 개인정보가 국외로 이전된 것으로 확인됐다. 특히 수취인 정보(이름, 주소)의 표기는 불가피하며, 이는 국제적으로도 인정하는 부분이다.

금융업종은 현지화가 중요한 업종으로 본사와 지사간 고객정보 공유 필요성이 낮고, 국제 송금시에도 계좌번호와 이름 정도만 이전되는 등 국외로 이전되는 정보가 제한적이었다.

인사노무의 경우 근로관계 설정 및 유지를 위해 다양한 개인정보 이전이 발생했다. 해외 지사 보유 업체는 공통적으로 발생했으며, 상호 공유하는 형식이 대부분이었다.

이와 관련해 행안부 관계자는 “개인정보 이전은 국외 이전의 유형 및 빈도 등에 따라 업종별로 큰 차이를 보였다”며, “데이터 분석, 가공, 편집 SW를 국외 클라우드 기반 서비스로 제공하는 경우, 분야별 이전 빈도는 온라인 > 여행 > 쇼핑 > 금융 > 인사노무 순으로 나타났다. 향후 기술 발전에 따라 새로운 유형의 국외이전 발생 가능성이 높은데, 특히 서비스 분야에 외국인 투자가 증가하고, 서비스의 글로벌화 등에 따라 국내 개인정보가 국외 사업자에게 이전되는 현상은 심화될 것”이라고 전망했다.

이에 따라 우리나라도 국가간 인적·물적 교류 활성화를 위해 개인정보 국외 이전을 합리적으로 허용하되 이전된 개인정보보호를 위한 안정장치 마련이 필요하다는 주장이 제기됐다.

이에 대해 익명의 한 기업 CISO는 “SaaS와 같이 클라우드 기반의 인공지능 서비스 활용이 증가함에 따라, 의도하지 않은 개인정보의 해외이전은 증가할 수밖에 없다”며, “이러한 해외이전을 기존 법규범의 잣대로 일괄 ‘개인정보해외이전 및 개인정보 위수탁’으로 처리하는 경우, 관리감독의무 내지 교육의무 이행 등은 불가능할 수밖에 없다. 이러한 법의 사각지대에 대한 고려까지도 이번 기회에 법제에 반영하는 기회로 삼을 필요가 있다”고 말했다.

행안부 관계자는 “최근 해외에서 직접 물건을 구입하는 건수가 2,000만건을 넘고 있으며, 해외여행 이용자가 1,000만명을 넘고 있다”며, “해외 서비스 업체로부터 직접 상품과 서비스를 받는 경우가 많아짐에 따라 개인정보 처리가 많아지고, 이전할 수밖에 없는 구조로 변화하고 있다”고 설명했다.

이어 “정보통신망법에서는 개인정보 유출 시 법적 책임을 질 수 없는 문제가 있어 국내 대리인을 지정하고 있고, 또한 과거 정통망법 개정안에서 문제 발생시를 대비해 사업자에게 국외이전 중단 명령법안이 발의됐지만 아직 계류중이다. 하지만 개인정보 이전이 산업에 직접적인 영향을 미치는 만큼 실질적 문제와 여러 가지 방안을 검토하고, 사회적 합의 도출을 위해 노력할 계획”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>