현대의 개념, 이론, 정의 대부분 유럽에서 출발
개인정보 개념 확장, 굳이 유럽과 사업하지 않아도 중요한 사건
[보안뉴스 문가용] 대기업이나 국제적인 사업을 벌이는 곳이 아니라면 지난 몇 개월 미국과 유럽 사이의 첨예했던 조약 문제에 대해 별다른 관심이 없었을 것이다. 대서양을 사이에 둔 두 대륙이 정보를 주고받을 때 지켜야 할 일에 관한 내용이니, 사실 관련성을 찾는 게 더 힘들 수도 있다. 그러나 조금 더 깊게 들여다보면, 이 서양인들의 조약이 우리의 조약이기도 하다는 걸 알 수 있다. 몇 가지 흔한 질문들을 꼽아보았다.
1. 세이프 하버가 폐지된 이유
세이프 하버(Safe Harbor)란 지난 15년 동안 다국적 기업이 사업을 목적으로 유럽 고객들의 정보를 미국 내에 저장할 수 있도록 허락해주는 근거였다. 물론 해당 기업은 유럽의 데이터 프라이버시 법을 잘 지켜야 할 의무가 있었다. 이 조약이 지난 해 10월 유럽사법재판소에 의해 폐지되었는데, 이는 즉 미국 기업들이 미국 내에 고객들의 정보를 저장할 수 없게 되었다는 뜻이 되었다.
또한 이는 미국의 기업들과 유럽 사용자들 간에 프라이버시에 대한 정서적 차이가 있다는 것을 드러냈으며 동시에 유럽이 더 이상 미국 기업들을 신뢰하지 못한다는 뜻으로도 해석되었다. 미국 정부는 여러 국가들을 겨냥한 무차별적인 감시 행위로 세계적인 지탄을 받은 바 있어 이 해석에는 설득력이 더욱 실린다.
그러므로 미국과 유럽이 데이터 전송이라는 문제를 가지고 아웅다웅 한 것이 자기네들끼리만의 문제라고는 볼 수 없다. 이 때문에 데이터에 대한 미국의 시각과 유럽의 시각이 드러났기 때문이다. 유럽이나 미국 사용자들과 사업할 일이 없으니 별로 중요치 않다고 생각할 수 있다. 그렇다면 다음 사안을 들여다보길 바란다.
2. 세이프 하버고 뭐고 우리 회사와는 전혀 상관이 없는데요?
중요한 질문이다. 유럽인 고객이라고는 단 한 명도 없는 기업이라면 왜 여기에 신경을 써야 하는가? 그런데 우리가 현재 사용하고 있는 많은 외래어 전문용어들이 서양, 그것도 유럽에서 많이 생겨나 건너오는 것이라는 걸 기억해야 한다. 세이프 하버나 프라이버시 쉴드 문제에 있어서 중요한 ‘전문용어’는 바로 개인정보다. 두 대륙의 조약이 하나 바뀌었을 뿐인데, 개인정보라는 용어의 정의 자체가 바뀌기 시작했다는 얘기다.
유럽연합에는 정보보호법(Data Protection Directive)라는 것이 있다. 이는 일반정보보호규정(General Data Protection Regulation, GDPR)으로 대체될 예정으로 2018년부터 발효될 것이다. 세이프 하버의 후계자인 프라이버시 쉴드 조약은 일반정보보호규정을 바탕으로 만들어졌다. 이 새 정보보호법을 통해 ‘개인정보’의 정의를 확대할 예정인데, 여기에는 성별, 심리적 상태, 경제 상태, 문화 배경, 사회적 식별요소 등 개인을 식별 가능하게 해주는 모든 정보가 다 포함되어 있다.
여태까지 사업적인 목적을 가지고 무심코 모을 수 있었던 정보들(혈액형, 신발 크기, 종교 등)이 정보보호법 때문에 특별한 허가를 요하게 되거나 아예 수집금지 처분을 받을 수 있게 되었다. 이것이 처음에야 단순히 미국과 유럽 사이의 문제일 것이나, 현대의 정책이나 철학, 문화적 요소 등이 유럽에서부터 발현해 미국을 통해 전 세계로 퍼져나갔다는 패턴을 생각해봤을 때 장기적으로 모든 기업의 사업운영에 영향을 미칠 가능성이 다분하다.
3. 그러면 개인정보의 새로운 정의만 주의하면 될 일인가?
절대 그렇지 않다. 유럽연합은 여기에 더해 세계적인 연간 수익의 4%까지에 달하는 벌금형을 내릴 수 있다고 결정했다는 사실 역시 꼭 노트필기를 해두어야 할 부분이다. 개인정보의 유출은 발견 후 72시간 내에 보고되어야 하는데, 이 시간을 넘겼을 경우 가해지는 벌금을 말한다. 또한 2년 전부터 뜨거운 감자였던 ‘잊혀질 권리’ 또한 사실상 사용자들의 필수 권리로서 채택되었다. 이 역시 무심코 어기기 쉬운 것으로 그 대가는 연간 수익의 4%가 될 수 있다. 일반정보보호규정은 ‘데이터’의 소유주와 중간처리자를 모두 아우른다.
일반정보보호규정만 새롭게 등장한 것이 아니다. 네트워크와 정보보안법(Network and Information Security Directive)이라는 것도 새롭게 등장했다. 이는 유럽 전역의 치명적인 사회 기반시설에 관한 보안 규정들을 망라하고 있으며, 유럽의 사회 기반시설이 전부 유럽 내에서 만들어지고 관리되는 게 아니기 때문에 알게 모르게 많은 나라와 기관들에게도 영향이 있을 수밖에 없다.
4. 그렇다면 정확히 세이프 하버와 프라이버시 쉴드는 어떻게 다른가?
가장 구체적인 사항은 유럽 시민이 보다 쉽고 간소화된 절차를 거쳐 미국 기업에 항의할 수 있게 되었다는 것이다. 그리고 미국 기업은 45일 내에 어떤 형태로라도 대응을 해야 할 의무를 가져가게 되었다.
또한 미국 연방거래위원회와 상무성이 유럽 표준을 기준으로 하여 데이터의 보호에 대해 더 많은 책임을 가져가게 되었다. 프라이버시 쉴드가 얼마나 잘 지켜지고 있는지 매년 평가를 받게 되며, 세이프 하버보다 조금 더 ‘항상 지켜야 하는 표준’과 같은 위치를 차지하게 되었다.
여기에 더해 미국의 기업이나 유럽의 기업이나 제3자를 통해 데이터를 처리할 때도 조심해야 할 것이 늘었다. 제3자 역시 프라이버시 쉴드의 승인을 받은 자나 업체여야 하기 때문이다. 직접 유럽이나 미국의 고객들과 거래를 하지 않는 기업이라도 중간에서 정보를 처리하는 사업을 하고 있다면 새 조약의 등장에 바짝 긴장을 해야 할 것이다.
5. 그래서 이제 어떤 일이 벌어질까?
다음의 중요한 기점은 4월 12~13일이 될 것이다. 이는 프라이버시 쉴드 조약의 제정에 깊이 관여하고 있는 아티클 29 워킹 파티(Article 29 Working Party)라는 위원회가 프라이버시 쉴드에 대한 의견을 수렴하기로 한 날이다. 이날 이후 또 다른 위원회에서 의견들을 종합해 몇 가지로 축약한 뒤 발표하고, 유럽연합이 최종적으로 프라이버시 쉴드를 채택할 예정이다. 이 모든 과정이 예정대로 부드럽게 흘러간다면 프라이버시 쉴드의 발효는 당장 6월부터 시작될 것이다.
하지만 이 조약을 간절히 바라는 게 유럽이 아니라 미국이라는 사실을 기억해야 한다. 즉 모든 과정이 순탄히 흘러가더라도 유럽 사법재판소가 ‘미국을 여전히 못 믿겠다’며 얼마든지 조약을 무효화 시키는 게 가능하다. 칼자루는 유럽에게 있다.
6. 그렇다면 사법재판소가 무효화 시킬 가능성은 높은가?
이는 예측이 불가능하다. 스탠스가 다 달라서 의견을 묻는 곳마다 다른 예측을 하는 게 지금의 상황이다. 예를 들어 전자프런티어재단과 같은 곳은 ‘프라이버시 쉴드라고는 하지만 여전히 악용될 만한 구멍투성이’라고 평한다. 또한 감시와 검열과 관련된 미국의 법이 하나도 바뀌지 않았기 때문에 프라이버시 쉴드가 통과될 리가 없으리라고 보고 있다.
그에 반해 데이터가이던스(DataGuidance)와 같은 곳은 반대 입장이다. 세이프 하버 때와는 달리 공공 기관들도 포함시켰기 때문에 전혀 다른 효과가 발생할 것이라는 주장이다. 세부내용을 자세히 들여다보면 프라이버시 조약을 지키기 위해 완수해야 할 책임들이 굉장히 ‘강력’하기 때문에 법을 제정한 것에 준하는 효과가 있을 수 있다고도 말한다.
7. 이런 상황에서 내가 할 일은?
가장 중요한 건 데이터의 항목화 작업을 해두는 것이다. 위에서 밝혔다시피 이제 유럽은 개인정보의 범위를 확대하기 직전이다. 개인정보가 아니었던 정보들도 미리 세분화하고 항목화하여 정리해두면 더 넓어지는 개인정보의 범위에 대처하는 게 쉬울 것이다. 주민등록 번호나 사회보장번호처럼 뻔한 것들 외에 신발 치수나 옷 치수와 같은 정보도 있는 대로 모아서 분류해두자.
이런 분류 작업을 하려면 반드시 ‘내가 가지고 있는 정보가 무엇인가’를 먼저 점검해야 한다. 뿐만 아니라 그 정보들이 어디에 있는지도 파악해야 한다. 이런 기본사항들의 파악과 점검이 끝났다면 분류 전에 과연 꼭 가지고 있어야 할 정보가 무엇인지 과감하게 판단해 버릴 건 버려야 한다. 그래야 실수나 망각으로 인한 사고의 확률이 줄어든다.
또 가능한 한 유럽과 관련된 데이터 전송을 하지 않는 편이 좋을 것이다. 물론 장기적인 대책안은 아니다. 현명하지 않은 것일 수도 있다. 다만 작은 편리나 이득을 위해 괜히 시끄러운 일에 휘말릴 필요가 전혀 없다는 것이다. 일단 저쪽 동네가 어느 정도 안정될 때까지 최소한의 필요한 일만 진행하기를 권한다.
무엇보다 미리미리 이런 정보들을 운영진이나 보안 부서, IT 및 프라이버시 부서, 법무부서 등에 미리 알려서 교육을 시켜두어야 한다. 미리 안 사람이 늘 갖게 되는 책임인 ‘전파하기’에 게으르지 않는 것 또한 반드시 지켜야 할 일이다.
[국제부 문가용 기자(globoan@boannews.com)]
개인정보 개념 확장, 굳이 유럽과 사업하지 않아도 중요한 사건
[보안뉴스 문가용] 대기업이나 국제적인 사업을 벌이는 곳이 아니라면 지난 몇 개월 미국과 유럽 사이의 첨예했던 조약 문제에 대해 별다른 관심이 없었을 것이다. 대서양을 사이에 둔 두 대륙이 정보를 주고받을 때 지켜야 할 일에 관한 내용이니, 사실 관련성을 찾는 게 더 힘들 수도 있다. 그러나 조금 더 깊게 들여다보면, 이 서양인들의 조약이 우리의 조약이기도 하다는 걸 알 수 있다. 몇 가지 흔한 질문들을 꼽아보았다.
1. 세이프 하버가 폐지된 이유
세이프 하버(Safe Harbor)란 지난 15년 동안 다국적 기업이 사업을 목적으로 유럽 고객들의 정보를 미국 내에 저장할 수 있도록 허락해주는 근거였다. 물론 해당 기업은 유럽의 데이터 프라이버시 법을 잘 지켜야 할 의무가 있었다. 이 조약이 지난 해 10월 유럽사법재판소에 의해 폐지되었는데, 이는 즉 미국 기업들이 미국 내에 고객들의 정보를 저장할 수 없게 되었다는 뜻이 되었다.
또한 이는 미국의 기업들과 유럽 사용자들 간에 프라이버시에 대한 정서적 차이가 있다는 것을 드러냈으며 동시에 유럽이 더 이상 미국 기업들을 신뢰하지 못한다는 뜻으로도 해석되었다. 미국 정부는 여러 국가들을 겨냥한 무차별적인 감시 행위로 세계적인 지탄을 받은 바 있어 이 해석에는 설득력이 더욱 실린다.
그러므로 미국과 유럽이 데이터 전송이라는 문제를 가지고 아웅다웅 한 것이 자기네들끼리만의 문제라고는 볼 수 없다. 이 때문에 데이터에 대한 미국의 시각과 유럽의 시각이 드러났기 때문이다. 유럽이나 미국 사용자들과 사업할 일이 없으니 별로 중요치 않다고 생각할 수 있다. 그렇다면 다음 사안을 들여다보길 바란다.
2. 세이프 하버고 뭐고 우리 회사와는 전혀 상관이 없는데요?
중요한 질문이다. 유럽인 고객이라고는 단 한 명도 없는 기업이라면 왜 여기에 신경을 써야 하는가? 그런데 우리가 현재 사용하고 있는 많은 외래어 전문용어들이 서양, 그것도 유럽에서 많이 생겨나 건너오는 것이라는 걸 기억해야 한다. 세이프 하버나 프라이버시 쉴드 문제에 있어서 중요한 ‘전문용어’는 바로 개인정보다. 두 대륙의 조약이 하나 바뀌었을 뿐인데, 개인정보라는 용어의 정의 자체가 바뀌기 시작했다는 얘기다.
유럽연합에는 정보보호법(Data Protection Directive)라는 것이 있다. 이는 일반정보보호규정(General Data Protection Regulation, GDPR)으로 대체될 예정으로 2018년부터 발효될 것이다. 세이프 하버의 후계자인 프라이버시 쉴드 조약은 일반정보보호규정을 바탕으로 만들어졌다. 이 새 정보보호법을 통해 ‘개인정보’의 정의를 확대할 예정인데, 여기에는 성별, 심리적 상태, 경제 상태, 문화 배경, 사회적 식별요소 등 개인을 식별 가능하게 해주는 모든 정보가 다 포함되어 있다.
여태까지 사업적인 목적을 가지고 무심코 모을 수 있었던 정보들(혈액형, 신발 크기, 종교 등)이 정보보호법 때문에 특별한 허가를 요하게 되거나 아예 수집금지 처분을 받을 수 있게 되었다. 이것이 처음에야 단순히 미국과 유럽 사이의 문제일 것이나, 현대의 정책이나 철학, 문화적 요소 등이 유럽에서부터 발현해 미국을 통해 전 세계로 퍼져나갔다는 패턴을 생각해봤을 때 장기적으로 모든 기업의 사업운영에 영향을 미칠 가능성이 다분하다.
3. 그러면 개인정보의 새로운 정의만 주의하면 될 일인가?
절대 그렇지 않다. 유럽연합은 여기에 더해 세계적인 연간 수익의 4%까지에 달하는 벌금형을 내릴 수 있다고 결정했다는 사실 역시 꼭 노트필기를 해두어야 할 부분이다. 개인정보의 유출은 발견 후 72시간 내에 보고되어야 하는데, 이 시간을 넘겼을 경우 가해지는 벌금을 말한다. 또한 2년 전부터 뜨거운 감자였던 ‘잊혀질 권리’ 또한 사실상 사용자들의 필수 권리로서 채택되었다. 이 역시 무심코 어기기 쉬운 것으로 그 대가는 연간 수익의 4%가 될 수 있다. 일반정보보호규정은 ‘데이터’의 소유주와 중간처리자를 모두 아우른다.
일반정보보호규정만 새롭게 등장한 것이 아니다. 네트워크와 정보보안법(Network and Information Security Directive)이라는 것도 새롭게 등장했다. 이는 유럽 전역의 치명적인 사회 기반시설에 관한 보안 규정들을 망라하고 있으며, 유럽의 사회 기반시설이 전부 유럽 내에서 만들어지고 관리되는 게 아니기 때문에 알게 모르게 많은 나라와 기관들에게도 영향이 있을 수밖에 없다.
4. 그렇다면 정확히 세이프 하버와 프라이버시 쉴드는 어떻게 다른가?
가장 구체적인 사항은 유럽 시민이 보다 쉽고 간소화된 절차를 거쳐 미국 기업에 항의할 수 있게 되었다는 것이다. 그리고 미국 기업은 45일 내에 어떤 형태로라도 대응을 해야 할 의무를 가져가게 되었다.
또한 미국 연방거래위원회와 상무성이 유럽 표준을 기준으로 하여 데이터의 보호에 대해 더 많은 책임을 가져가게 되었다. 프라이버시 쉴드가 얼마나 잘 지켜지고 있는지 매년 평가를 받게 되며, 세이프 하버보다 조금 더 ‘항상 지켜야 하는 표준’과 같은 위치를 차지하게 되었다.
여기에 더해 미국의 기업이나 유럽의 기업이나 제3자를 통해 데이터를 처리할 때도 조심해야 할 것이 늘었다. 제3자 역시 프라이버시 쉴드의 승인을 받은 자나 업체여야 하기 때문이다. 직접 유럽이나 미국의 고객들과 거래를 하지 않는 기업이라도 중간에서 정보를 처리하는 사업을 하고 있다면 새 조약의 등장에 바짝 긴장을 해야 할 것이다.
5. 그래서 이제 어떤 일이 벌어질까?
다음의 중요한 기점은 4월 12~13일이 될 것이다. 이는 프라이버시 쉴드 조약의 제정에 깊이 관여하고 있는 아티클 29 워킹 파티(Article 29 Working Party)라는 위원회가 프라이버시 쉴드에 대한 의견을 수렴하기로 한 날이다. 이날 이후 또 다른 위원회에서 의견들을 종합해 몇 가지로 축약한 뒤 발표하고, 유럽연합이 최종적으로 프라이버시 쉴드를 채택할 예정이다. 이 모든 과정이 예정대로 부드럽게 흘러간다면 프라이버시 쉴드의 발효는 당장 6월부터 시작될 것이다.
하지만 이 조약을 간절히 바라는 게 유럽이 아니라 미국이라는 사실을 기억해야 한다. 즉 모든 과정이 순탄히 흘러가더라도 유럽 사법재판소가 ‘미국을 여전히 못 믿겠다’며 얼마든지 조약을 무효화 시키는 게 가능하다. 칼자루는 유럽에게 있다.
6. 그렇다면 사법재판소가 무효화 시킬 가능성은 높은가?
이는 예측이 불가능하다. 스탠스가 다 달라서 의견을 묻는 곳마다 다른 예측을 하는 게 지금의 상황이다. 예를 들어 전자프런티어재단과 같은 곳은 ‘프라이버시 쉴드라고는 하지만 여전히 악용될 만한 구멍투성이’라고 평한다. 또한 감시와 검열과 관련된 미국의 법이 하나도 바뀌지 않았기 때문에 프라이버시 쉴드가 통과될 리가 없으리라고 보고 있다.
그에 반해 데이터가이던스(DataGuidance)와 같은 곳은 반대 입장이다. 세이프 하버 때와는 달리 공공 기관들도 포함시켰기 때문에 전혀 다른 효과가 발생할 것이라는 주장이다. 세부내용을 자세히 들여다보면 프라이버시 조약을 지키기 위해 완수해야 할 책임들이 굉장히 ‘강력’하기 때문에 법을 제정한 것에 준하는 효과가 있을 수 있다고도 말한다.
7. 이런 상황에서 내가 할 일은?
가장 중요한 건 데이터의 항목화 작업을 해두는 것이다. 위에서 밝혔다시피 이제 유럽은 개인정보의 범위를 확대하기 직전이다. 개인정보가 아니었던 정보들도 미리 세분화하고 항목화하여 정리해두면 더 넓어지는 개인정보의 범위에 대처하는 게 쉬울 것이다. 주민등록 번호나 사회보장번호처럼 뻔한 것들 외에 신발 치수나 옷 치수와 같은 정보도 있는 대로 모아서 분류해두자.
이런 분류 작업을 하려면 반드시 ‘내가 가지고 있는 정보가 무엇인가’를 먼저 점검해야 한다. 뿐만 아니라 그 정보들이 어디에 있는지도 파악해야 한다. 이런 기본사항들의 파악과 점검이 끝났다면 분류 전에 과연 꼭 가지고 있어야 할 정보가 무엇인지 과감하게 판단해 버릴 건 버려야 한다. 그래야 실수나 망각으로 인한 사고의 확률이 줄어든다.
또 가능한 한 유럽과 관련된 데이터 전송을 하지 않는 편이 좋을 것이다. 물론 장기적인 대책안은 아니다. 현명하지 않은 것일 수도 있다. 다만 작은 편리나 이득을 위해 괜히 시끄러운 일에 휘말릴 필요가 전혀 없다는 것이다. 일단 저쪽 동네가 어느 정도 안정될 때까지 최소한의 필요한 일만 진행하기를 권한다.
무엇보다 미리미리 이런 정보들을 운영진이나 보안 부서, IT 및 프라이버시 부서, 법무부서 등에 미리 알려서 교육을 시켜두어야 한다. 미리 안 사람이 늘 갖게 되는 책임인 ‘전파하기’에 게으르지 않는 것 또한 반드시 지켜야 할 일이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
