언론보도

[보안뉴스] GDPR은 개인정보에 ‘개인’들의 자리를 되찾아준다

작성자 최고관리자
작성일 17-07-28 | 373 | 0

본문

GDPR, 개인정보를 접근·이송·삭제하는 데 당사자에게 본질적 권리 부여

개인정보 수집·처리하는 기업과 개인 간 새로운 균형 잡아줄 것으로 기대


[보안 뉴스 오다인 기자] 유럽 일반정보보호규정(GDPR)이 2018 년 5월 25일부터 발효될 예정이다. GDPR은 유럽연합(EU)에 가입한 28개국의 개인 프라이버시 권리를 조화시키는 데 도움이 될 것이다. 개별 국가들은 저마다 갖고 있던 프라이버시 법률을 계속 유지하면서 벌금도 부과할 수 있지만, GDPR은 EU 시민이나 거주자를 위해, 개인정보를 수집하고 처리하는 사람들을 위해 하나의 공통된 보호 기준을 구축한다. 공통적으로 적용되는 의무와 벌금을 한꺼번에 정리해주는 것이다. 벌금은 각국 기업마다 세계에서 벌어들인 수익의 최대 4%까지 책정된다.


dc44877d3c20c87b410c7c4b14cded86_1502708046_3148.jpg


[이미지=iclickart]


누구의 데이터를 말하는 건가?

GDPR이 혁신적인 점 가운데 하나는 누군가 데이터에 대해 갖는 본질적인 권리를 제도화하겠다는 개념이다. GDPR이 시행되면 모든 EU 시민과 거주자는 자신의 데이터에 대해 접근하고, 이동시키고, 삭제할 권리를 갖게 된다. 소비자나 직원의 데이터를 수집하고 처리하는 기업들은 요청이 들어오면 개인별로 데이터를 돌려줘야 할 의무가 생긴다. GDPR은 데이터 소유자와 데이터 처리자 간 권리와 의무에 대해 새로운 균형을 구축한다. 사람들은 자신에 대한 데이터나 자신이 생산한 데이터나 그 모든 데이터에 대한 권리를 영원히 갖게 된다. 대신, 기업들은 데이터의 원래 소유자를 대신해서 데이터를 관리하는 사람, 즉 데이터 관리자로서 새로운 의무를 부여받았다.


이런 새로운 원칙을 설명하는 데 잊힐 권리라는 개념보다 더 적절한 예는 없다. 잊힐 권리는 유럽에서나 다른 곳에서나 GDPR보다 먼저 등장한 개념이다. 그러나 GDPR은 잊힐 권리의 수준을 더 높이는 데다 그 의무를 둘러싼 애매모호함을 제거한다. GDPR 아래 EU 시민과 거주자는 자신의 데이터를 삭제하는 것과 관련해 본질적인 권리를 가진다. 자신의 데이터를 삭제해달라고 요구하는 것이 법적으로 보장된다는 의미다. 데이터가 정확한지 아닌지에 대해서는 검증할 필요가 없다. 데이터는 각 개인에게 귀속되고, 그 데이터가 어디에 적절한지 판단하는 것도 각 개인에게 달렸다.


데이터 제어권 없는 데이터 제어자는 무슨 의미가 있을까?

개인정보를 수집하고 처리하는 기업이라면 데이터에 대한 새로운 권리들이 아마 상전벽해와 같은 변화로 다가올 것이다. 자사가 갖고 있던 데이터를 바라보고 관리하는 방식이 완전히 바뀌기 때문이다. 데이터베이스가 생겼을 때부터 개인정보는 일반적인 상품의 한 종류로 생각됐다. 어디에 보관할지 설명하는 데 사용되는 용어 정도로 간주된 것이다. 데이터 스토어(data store), 데이터 웨어하우스(data warehouse), 데이터 레이크(data lake) 등의 용어를 보라. 이런 것이 존재한다는 사실을 고려하면, 데이터 소유자의 신원을 파악하는 건 무엇보다 데이터를 통해 알 수 있는 바로 그 누군가를 인격화하고 예측하려는 목적에서 이뤄진다는 점을 깨달을 수 있다. 한 마디로, 기업이 개인정보를 갖고 있는 이유는 ‘돈을 벌기 위해 분석’하려는 목적이 전부라고 할 수 있다.


그러나 GDPR은 개인정보에 ‘개인’의 자리를 찾아준다. GDPR은 기업들에게 데이터가 각 개인에게 속한다는 사실을 상기시킨다. 기업이 책임져야 하고 회계도 공개해야 하는 그 개인들 말이다. 개인들의 데이터를 아는 것은 지식(intelligence) 그 이상의 가치를 갖는다. 알려지지 않은 데이터는 보이지가 않는다. 도난당하고, 오용되고, 침해되는 데 매우 취약하다. 새 GDPR 규정을 충족하기 위해서 기업들은 각 개인별로 데이터를 찾고 목록화해야 한다. 이런 작업은 데이터 보호, 컴플라이언스, 거버넌스의 측면에서 새로운 기회들을 만들어준다. 잊힐 권리는 궁극적으로 모든 사람의 정보가 잊히지 않는다는 점을 명확히 드러낸다. 간접적으론, 사회보장번호든 IP 주소든 개인정보를 더 안전하게 지키는 데 새로운 개인정보 권리들이 큰 도움이 될 것이다.


데이터가 주도하는 개인정보 거버넌스와 보호

역사상 새로운 규제가 생기면 기업들은 자사의 관심사나 예산에 더 집중해왔다. 사베인즈-옥슬리 법(Sarbanes-Oxley Act), 미국 건강보험 양도 및 책임에 관한 법(HIPAA: Health Insurance Portability and Accountability Act), 결제 카드 산업 데이터 보안 표준(PCI DSS: Payment Card Industry Data Security Standard)과 같은 몇 가지 미국 규제만 살펴봐도, 이런 규제가 시행되면 기업은 우선순위를 다시 정하고 데이터와 그 적용 문제도 재고하는 것으로 나타났다. 미국은 산업화에 집중하기 때문에, SIEM, SSO, DLP, DAM, DRM 등의 약어로 표현되는 새로운 기술 자동화를 적용하게 됐다. 그러나 모든 혁신이 고유의 문제를 풀기 위해 설계됐듯, 이런 혁신들은 모두 특정 지점의 특정 고통을 제때 해소하기 위해 기획됐다. 개인이 자신의 정보에 접근하거나 이를 옮기고 삭제할 수도 있는 권리는 새로운 일련의 규정을 낳고, 새로운 데이터 거버넌스, 보호, 컴플라이언스 규정도 요구하고 있다.


GDPR이 개인 프라이버시 규정에 대해 새로운 기준을 정의하는 중이지만, 개인정보 거버넌스와 보호를 둘러싼 새 시대를 이끄는 것은 GDPR 말고도 더 있다. 중국을 포함한 수많은 국가가 비슷한 권리를 제도화해왔다. 미국의 여러 주(state)에서도 개인정보에 대한 새로운 권리를 성문화하기 위한 법안들이 논의되고 있다. 기업에 이런 사실이 뜻하는 바는 개인정보의 소재를 확인할 수 있는 새로운 유형의 데이터 거버넌스, 보호, 컴플라이언스가 요구된다는 것이며, 각 개인에 대한 정보 책임성을 보장해야 한다는 것이다. 당연한 말이지만, 기업은 고객 정보를 보호하는 방식에 있어 더 책임감을 갖고 투명하게 운영해야 할 것이다.


글 : 디미트리 시로타(Dimitri Sirota)

[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC

<저작권자: 보안 뉴스(www.boannews.com) 무단전재-재배포금지>

 오다인기자 작성 기사보기

댓글목록 0

등록된 댓글이 없습니다.