개인정보보호 위한 5가지 핵심 원칙으로 기획·수집·저장·이용·파기 단계별 원칙 제시
보안에 있어 가장 취약한 경로는 ‘사람’...고객 신뢰 확보 위해 ‘데이터 거버넌스’ 강화
[보안뉴스 이소미 기자] “보안에 있어 가장 위험한 요소는 ‘사람’ 입니다. 보안 자체를 사람이 하는 것이기 때문에 관리 과정에서의 실수 등이 그 예입니다. 이 때문에 토스는 그동안 고객 신뢰 확보를 위해 다양한 노력을 기울여 왔습니다. 이 과정에서 깨달은 것은 ‘신뢰’는 한 번에 얻을 수 없으며, 차곡차곡 시간을 쌓아야만 얻을 수 있는 ‘자산’이라는 겁니다.”
▲김성태 비바리퍼블리카(토스) CPO가 9일 ‘PIS FAIR 2023’ 키노트 세션에서 강연하고 있다[사진=보안뉴스]
김성태 비바리퍼블리카(토스) CPO는 PIS FAIR 2023 행사 둘째날인 9일 키노트 세션에서 고객의 개인정보보호를 위한 핵심 원칙과 고객 신뢰 확보를 위한 노력을 주제로 강연했다.
김성태 CPO는 ‘토스’가 스타트업 금융권에 대한 선입견과 우려를 극복하기 위해 어떤 노력을 펼쳐왔는지, 그리고 위험 요소 제거, 고객 신뢰 확보를 통해 빠른 성장세를 거둘 수 있었던 비결은 무엇인지 설명했다.
“개인정보보호는 시작 단계인 ‘기획’ 단계부터 마지막 ‘파기’ 단계에 이르기까지 ‘원칙’을 가져야 합니다. 고객의 신뢰를 쌓기까지는 많은 노력과 시간이 걸리지만 그 신뢰를 잃는 것은 한 순간이기 때문입니다.”
이에 김 CPO는 개인정보보호를 위한 토스의 5가지 핵심원칙을 중심으로 설명을 이어갔다. △기획 단계에서는 ‘치밀한’ 진행을 위해 금융권이 따라야 하는 법과 제도·규제 및 여러 리스크를 점검할 수 있는 프로세스를 마련했다. △수집 단계에서는 ‘최소한의 법칙’으로 고객의 필수적인 개인정보만 받기 위해 고객 맞춤형 서비스를 제공하고 사용자의 개인정보 타깃팅 정보에 대한 선택 동의를 받도록 했다. △저장 단계에서는 ‘안전하게’ 보관·관리가 가능하도록 내부적으로 만든 ‘암호화 개인정보’와 ‘암호와 키 관리’를 철저히 했다. △이용 단계에서는 고객에게 ‘투명하게’ 제공될 수 있도록 주요 내용 요약과 함께 가독성을 높여 고객 입장을 최우선적으로 생각했다는 설명이다. △마지막 파기 단계에서는 ‘지체없이’ 이루어질 수 있도록 했다고 김 CPO는 강조했다.
또한, 개인정보 처리에 대한 ‘단계별 검증 프로세스’를 마련해 동의 접수 및 처리부터 개인정보 미사용 여부 등을 월 1회 점검하고 있다. 서비스 종료 이후에는 제3자 제공, 위탁 계약 종료 시 이에 대한 파기도 별도의 프로세스를 마련해 진행한다는 설명이다.
이어 그는 고객 신뢰 확보를 위한 방법으로 ‘지속적인 투자’를 꼽았다. 토스의 정보보호 투자비율은 2021년 기준 매출액 대비 2.41%를 차지해 기존 은행권 대비 7.5배로 나타났다. 지난해 기준 정보보호부문 전담인력 역시 26명으로 전체 IT 인력 중 10.37%를 차지하고 있다. 이 외에도 외부 전문가가 참여하는 ‘데이터보호 준법자문위원회’ 신설을 통해 데이터 거버넌스를 강화했다. 이를 통해 고객 데이터 처리의 관련 법령 준수 여부를 확인하고 감시하는 역할을 담당하도록 했다.
한편, 김성태 CPO는 “생성형 AI, 챗GPT 등은 더 이상 거스를 수 없는 대세이기 때문에 이에 따른 보안정책을 잘 마련해 위기를 기회로 만드는 전략이 필요하다”면서, “단순히 규제 강화를 통한 제한보다는 산업군별, 그리고 민관 협력을 통해 좋은 개인정보보호 모델을 만들어 나가면서 컨설팅 중심의 규제 도입이 필요하다”고 전했다.
[이소미 기자(boan4@boannews.com)]
보안에 있어 가장 취약한 경로는 ‘사람’...고객 신뢰 확보 위해 ‘데이터 거버넌스’ 강화
[보안뉴스 이소미 기자] “보안에 있어 가장 위험한 요소는 ‘사람’ 입니다. 보안 자체를 사람이 하는 것이기 때문에 관리 과정에서의 실수 등이 그 예입니다. 이 때문에 토스는 그동안 고객 신뢰 확보를 위해 다양한 노력을 기울여 왔습니다. 이 과정에서 깨달은 것은 ‘신뢰’는 한 번에 얻을 수 없으며, 차곡차곡 시간을 쌓아야만 얻을 수 있는 ‘자산’이라는 겁니다.”
▲김성태 비바리퍼블리카(토스) CPO가 9일 ‘PIS FAIR 2023’ 키노트 세션에서 강연하고 있다[사진=보안뉴스]
김성태 비바리퍼블리카(토스) CPO는 PIS FAIR 2023 행사 둘째날인 9일 키노트 세션에서 고객의 개인정보보호를 위한 핵심 원칙과 고객 신뢰 확보를 위한 노력을 주제로 강연했다.
김성태 CPO는 ‘토스’가 스타트업 금융권에 대한 선입견과 우려를 극복하기 위해 어떤 노력을 펼쳐왔는지, 그리고 위험 요소 제거, 고객 신뢰 확보를 통해 빠른 성장세를 거둘 수 있었던 비결은 무엇인지 설명했다.
“개인정보보호는 시작 단계인 ‘기획’ 단계부터 마지막 ‘파기’ 단계에 이르기까지 ‘원칙’을 가져야 합니다. 고객의 신뢰를 쌓기까지는 많은 노력과 시간이 걸리지만 그 신뢰를 잃는 것은 한 순간이기 때문입니다.”
이에 김 CPO는 개인정보보호를 위한 토스의 5가지 핵심원칙을 중심으로 설명을 이어갔다. △기획 단계에서는 ‘치밀한’ 진행을 위해 금융권이 따라야 하는 법과 제도·규제 및 여러 리스크를 점검할 수 있는 프로세스를 마련했다. △수집 단계에서는 ‘최소한의 법칙’으로 고객의 필수적인 개인정보만 받기 위해 고객 맞춤형 서비스를 제공하고 사용자의 개인정보 타깃팅 정보에 대한 선택 동의를 받도록 했다. △저장 단계에서는 ‘안전하게’ 보관·관리가 가능하도록 내부적으로 만든 ‘암호화 개인정보’와 ‘암호와 키 관리’를 철저히 했다. △이용 단계에서는 고객에게 ‘투명하게’ 제공될 수 있도록 주요 내용 요약과 함께 가독성을 높여 고객 입장을 최우선적으로 생각했다는 설명이다. △마지막 파기 단계에서는 ‘지체없이’ 이루어질 수 있도록 했다고 김 CPO는 강조했다.
또한, 개인정보 처리에 대한 ‘단계별 검증 프로세스’를 마련해 동의 접수 및 처리부터 개인정보 미사용 여부 등을 월 1회 점검하고 있다. 서비스 종료 이후에는 제3자 제공, 위탁 계약 종료 시 이에 대한 파기도 별도의 프로세스를 마련해 진행한다는 설명이다.
이어 그는 고객 신뢰 확보를 위한 방법으로 ‘지속적인 투자’를 꼽았다. 토스의 정보보호 투자비율은 2021년 기준 매출액 대비 2.41%를 차지해 기존 은행권 대비 7.5배로 나타났다. 지난해 기준 정보보호부문 전담인력 역시 26명으로 전체 IT 인력 중 10.37%를 차지하고 있다. 이 외에도 외부 전문가가 참여하는 ‘데이터보호 준법자문위원회’ 신설을 통해 데이터 거버넌스를 강화했다. 이를 통해 고객 데이터 처리의 관련 법령 준수 여부를 확인하고 감시하는 역할을 담당하도록 했다.
한편, 김성태 CPO는 “생성형 AI, 챗GPT 등은 더 이상 거스를 수 없는 대세이기 때문에 이에 따른 보안정책을 잘 마련해 위기를 기회로 만드는 전략이 필요하다”면서, “단순히 규제 강화를 통한 제한보다는 산업군별, 그리고 민관 협력을 통해 좋은 개인정보보호 모델을 만들어 나가면서 컨설팅 중심의 규제 도입이 필요하다”고 전했다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
