KISA 차윤호 개인정보조사단장

[디지털데일리 이종현기자] 데이터는 4차 산업혁명의 쌀, 석유라고도 불린다. 오늘날 등장할 거의 모든 서비스, 제품의 근간이 된다는 의미에서다. 최근 큰 반향을 일으키고 있는 인공지능(AI)이 대표적이다.

AI를 비롯해 혁신 서비스의 개발·운영에는 방대한 양의 데이터가 필요로 한다. 그리고 여기에는 개인을 식별할 수 있는 정보, 개인정보도 대거 포함돼 있다. 현행 개인정보보호법에서는 개인정보를 처리할 때의 의무사항과 유출사고 발생시 대처 등을 기입하고 있는데, 해마다 법 위반 사례는 늘어나는 추세다.

한국인터넷진흥원(KISA) 차윤호 개인정보조사단장은 “법에서 얘기하는 개인정보 유출이란 개인정보처리자(이하 처리자)가 개인정보에 대한 통제권을 상실하거나 권한이 없는 접근을 허용하는 것 등을 말한다. 만약 유출 사고가 발생할 경우 개인정보보호위원회나 KISA에 신고하고 정보주체에게 유출 내용과 시점, 대응조치 등을 안내토록 하고 있다”고 말했다.

개인정보 유출시 조사절차는 크게 ▲유출신고 ▲정보수집·확인 ▲조사기획 ▲자료제출 요구 ▲제출 자료·시스템·로그 등 분석 ▲유출 경로·원인 파악 ▲증적 확보 ▲피해규모·위반사항 특정 ▲보고서 작성 등으로 이어진다. 조사 내용을 토대로 개인정보보호위원회가 위반 내용에 따라 처분을 결정하게 된다.

KISA에 따르면 2022년 발표된 개인정보보호법 위반 관련 행위의 유형 중 66%는 안전조치 미흡으로 나타났다. 유출통지 의무 미이행이 16%, 개인정보 미파기 10% 등이 뒤를 잇는다. 3건 중 2건은 안전조치를 수행하지 않은 채 데이터를 사용하다가 문제가 생긴다는 의미다.

법령에서 안내하고 있는 안전조치는 데이터 저장·전송시 데이터를 암호화한다거나, 접속기록을 보관하고 점검하는 시스템을 갖추도록 하는 등 기본사항이다. 이와 같은 조치가 갖춰져 있지 않다면 유출사고가 빈번하게 발생할 수 있는 데다 발생하더라도 그 경로나 범위 등을 파악할 수 없다.

과거에는 이와 같은 기술적 보호 조치를 이행했느냐의 여부가 유출사고에 대한 책임에 지대한 영향을 끼쳤다. 충분한 기술적 조치를 이행했음에도 유출사고가 발생할 경우 책임의 대부분을 감경해주는 등의 방식이다. 다만 최근에는 이와 같은 조치가 ‘최소한의 기준’이며, 이상행위에 대한 탐지와 대응 등 실질적인 활동이 필요하다는 설명이다.

그는 “이상 행위 같은 경우 시스템이 자동으로 파악해 알람을 줄 수도 있겠지만 설정에 따라 시스템이 하지 못하는 부분도 있을 수 있다. 정기적인 검사나 관리가 필요하다”며 “개인정보 처리자, 또는 공통 서비스 제공자는 사회통념상 합리적으로 기대 가능한 정도의 실질적 보호조치를 해야 한다”고 당부했다.

개인정보의 중요도가 높아짐에 따라 이를 보호하기 위한 제도도 강화되는 추세다. 다만 여전히 아쉬운 대목도 있다. 개인정보 유출시 신고를 처리자나 유출 피해 당사자만 할 수 있다는 점이 대표적이다. 제3자가 유출 정황을 파악하더라도 이를 신고할 수 있는 창구가 마련돼 있지 않다. 이와 관련 차 단장은 “개인정보보호위원회와 같이 고민을 해봐야 할 부분”이라고 전했다.