[SaaS 보안 03] 개인정보보호 법규 준수, 천리 길도 한 걸음부터
출처: pexels.com
개발자가 Java API 중 어떤 암호 API를 사용하는데 그 API가 사용하는 암호 알고리즘이 개인정보보호 법규에서 명시한 ‘안전한 알고리즘’에 포함되는지 문의하는 메일을 받았다. 얼마 전에 필자 강의를 들은 한 개인정보보호 담당자가 보낸 메일이었다. 필자가 강의에서 말했던 「암호 알고리즘 및 키 길이 이용 안내서」(한국인터넷진흥원, 2018.12)에 나오지 않는 암호 알고리즘인데, 법규 준수나 기술적 안전성에 문제가 없느냐는 것이었다.
스타트업들을 만나보면 개인정보 보호에 대한 고민이 많다. B2C, B2B 서비스 모두 개인정보를 보유하는 경우가 많은데, 우리나라 개인정보보호 규제가 강력하다는 말을 듣긴 했지만, 무슨 내용인지, 어떻게 대응해야 할지 알기 어려워서다.
개인정보 보호가 어렵게 느껴지는 출발점이 바로 개인정보보호법이다. 법이라는 게 일단 어렵게 느껴지는 데다 사업과 개발에 바쁜 사람들이 개인정보보호법을 따로 공부하기도 쉽지 않고, 꼬치꼬치 물어볼 곳도 마땅치 않다. 실무적으로는 개인정보보호법을 준수하기 위해 회사 정책과 서비스를 어떻게 수립, 운용해야 하고, 법에서 규정한 ‘안전조치의무’를 다하려면 어떤 보안솔루션을 구매·운용해야 하는지 판단하는 것 또한 간단하지 않다.
사실 이러한 고민은 스타트업뿐 아니라 개인정보보호 담당자가 한두 명 있는 중견기업에서도 갖고 있다. 사내 역량 있는 법무팀과 법령과 기술에 친숙한 개인정보보호팀을 보유한 대기업이 아니라면, 웬만한 기업과 공공기관에 있는 문제다.
개인정보보호에서 개인정보보호법이 근간이 되는 가장 큰 이유는 바로 개인정보의 속성 때문이다.
그림. 개인정보의 소유와 활용
기업은 사업을 위해 영업정보, 마케팅정보, 개인정보, 산업기술, 특허 등 많은 정보를 보유한다. 다른 정보와 달리 개인정보는 기업의 소유가 아니라 정보주체의 것인데, 정보주체가 바로 대다수 국민이어서 국가가 ‘개인정보보호법’이라는 법률체계와 중앙행정부처의 하나인 개인정보보호위원회를 만들어 개인정보를 보호하는 것이다.
개인정보보호법의 내용은 한 마디로 “사업자(개인정보처리자)가 정보주체의 개인정보를 처리(수집, 이용, 제공)할 때 법규에 따라 안전하게 하고, 모든 단계에서 정보주체의 권리를 보장하라”는 것으로 요약할 수 있다.
그런데 개인정보보호 법규는 단일한 규정이 아니라, 법률과 하위 시행령·시행규칙, 그것들의 위임을 받은 하위 고시(행정규칙)로 ‘꾸러미 규제’다. 이들은 개인정보보호위원회가 발간한 수백 쪽에 이르는 법령 및 고시의 해설서, 뭐가 있는지도 다 찾기도 어려운 각종 안내서로 확장된다.
법령 | 행정규칙(고시) | 해설서, 안내서의 예 |
개인정보보호법,같은 법 시행령, 시행규칙 | – 개인정보의 안전성 확보조치 기준- 개인정보의 기술적·관리적 보호조치 기준- 표준 개인정보보호 지침- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시- 가명정보의 결합 및 반출 등에 관한 고시- 개인정보 처리 방법에 관한 고시 | [해설서]– 개인정보 보호 법령 및 지침·고시 해설서- 개인정보의 안전성 확보조치 기준 해설서- 개인정보의 기술적·관리적 보호조치 기준 해설서[안내서]– 업종별 개인정보보호 가이드라인- 개인정보 처리방침 작성지침- 알기 쉬운 개인정보 처리 동의 안내서- 암호 알고리즘 및 키 길이 이용 안내서- 개인정보 처리 위·수탁 안내서- 가명정보 처리 가이드라인 [해석]– 개인정보 보호법 표준 해석례 |
표. 개인정보보호법 관련 법령과 고시, 안내서 예시
더욱이 법률은 계속 개정되고, 그에 따라 하위 시행령과 시행규칙, 고시, 이들에 대한 해설서, 안내서 역시 계속 개정될 수밖에 없다. 개정법의 공포일과 시행일 사이의 과도기적 상황이나 개정법이 시행됐지만, 하위 고시나 안내서가 바뀌지 않는 상황도 발생한다. 특히 지난 3월처럼 법이 대폭 개정되면, 그 후속 조치의 변화 폭은 훨씬 커진다. 회사의 정책과 서비스에서 법규를 준수한다는 말이 기업 실무자들에게 무겁게 다가오는 이유다.
개인정보호위원회에서는 개인정보처리자에 개인정보에 관한 온·오프라인을 통해 다양한 ‘무료 교육’을 제공한다. 개인정보를 다루는 스타트업들이 손쉽게 개인정보보호 법규에 대해 접할 수 있는 경로다. 100% 이해하지 못하더라도 일단 법의 세계에 반걸음이라도 들여놓아야 전문가에게 물어볼 수 있는 재료가 생긴다.
스타트업이나 중소기업, 중견기업을 고려하면, 사업자가 개인정보보호 법규나 보안기술을 잘 모르더라도 개인정보를 잘 보호하여 사업을 해 나갈 수 있는 환경을 마련하는 것이 중요하다. 하지만 그런 상황에서도 회사의 정책과 서비스에 개인정보보호 규제를 반영하기 위해서는 경영진, 서비스기획자, 개발자, 마케터, 인사담당자 등 관련 담당자들이 법규 최소한의 내용은 알고 있어야 한다. 천리 길도 한 걸음부터다.