게시판

Title[인터뷰] 『 핀테크와 GDPR 』 이재영 저자 인터뷰2021-05-28 10:47
Name

 매체

출처

 채널예스

https://bit.ly/38DEitV 


당신의 개인정보는 얼마나 안전한가요?

'핀테크와 GDPR' 이재영 저자 인터뷰

개인정보가 유출되면 보이스 피싱 같은 큰 피해부터, 사용자의 동의 없이 정보가 수집되고 마케팅에 무단 활용되는 것 같은 흔한 피해까지 다양한 형태의 피해를 볼 수 있습니다. (2020.02.11)


mb-file.php?path=2021%2F05%2F28%2FF67_8.png
 


최근 해킹된 개인 아이디가 개당 800원에 팔리고 있다는 기사가 나왔다. 구매한 아이디로 개인의 클라우드에 접속해 마음대로 데이터를 다운로드할 수 있다고 한다. 또 얼마 전에는 유명 연예인들의 사생활이 담긴 개인 데이터가 유출되어 논란이 되었다. 인터넷 기반의 산업이 급격히 성장하면서 앞으로 개인정보 보호 관련 이슈가 더 커질 전망이다. 이러한 분위기 속에서 현재 가장 강력한 개인정보 보호법이자 실질적인 글로벌 개인정보 보호법인 EU의 GDPR을 다룬 『핀테크와 GDPR』 (전2권)이 출간되었다. GDPR 자격증을 보유한 국내 최고 개인정보 보호 전문가인 이재영 저자를 만나보았다.  


mb-file.php?path=2021%2F05%2F28%2FF68_9.png
 

개인정보란 무엇이고, 개인정보가 유출되면 어떤 피해를 보게 되는지 궁금합니다.


국가마다 또는 법령마다 조금씩 다르게 표현하고 있지만, 쉽게 말하면 개인에 관한 모든 정보입니다. 그렇다고 모든 정보가 다 개인정보가 되는 것은 아니고 크게 2가지 요건이 있습니다. 우선 살아 있는 개인에 관한 것이어야 하고, 둘째, 해당 정보로 개인을 식별할 수 있어야 합니다. 개인정보에는 생각보다 광범위한 데이터가 포함됩니다. 예를 들어, 서비스를 사용하면서 발생하는 서비스 이용기록, 인터넷상의 검색기록, 유튜브 시청기록, 내가 하루 동안 움직인 이동 거리, 현재 위치 등 내가 수행한 수많은 기록들이 실시간으로 개인정보로 생성되고 있습니다.

 

개인정보가 유출되면 보이스 피싱 같은 큰 피해부터, 사용자의 동의 없이 정보가 수집되고 마케팅에 무단 활용되는 것 같은 흔한 피해까지 다양한 형태의 피해를 볼 수 있습니다. 또한 개인에 따라 피해 정도에 큰 차이가 있습니다. 만일 휴대폰의 ‘갤러리 사진’이 유출된다면 어떤 사람은 별다른 피해가 없지만, 어떤 사람은 아주 큰 피해를 볼 수 있습니다.

 

개인정보 보호 전문가로 다양한 경험을 쌓아 오셨는데, 개인정보 보호 전문가란 어떤 일을 하는 사람인가요?


정식으로 개인정보 보호 전문가라는 직함이 있는 것은 아니지만, 대부분 기업에 소속되어 기업이 개인정보들을 관련 법률과 규정에 맞게 수집?이용?보관?파기할 수 있게 하는 역할을 합니다. 하지만 관련 기술이 발전하고 법령도 계속 진화하기 때문에 현업에서 일하는 사람들도 전문가라고 말하기에는 항상 스스로 부족함을 느낄 수밖에 없습니다.

 

개인정보가 유출되면 개인은 피해를 보지만, 그것을 유출한 기업은 큰 피해를 보지 않는 것 같은데 현실은 어떤가요?


현재 우리나라는 관련 법령에 따라 고의적인 유출의 경우 5천만 원 이하의 벌금, 적절한 조치를 하지 않은 경우 2천만 원 이하의 벌금을 부과할 수 있습니다. 그런데 아직 개인정보 유출로 기업에 치명적인 벌금을 부과한 사례가 없어 기업의 개인정보 보호 인식 수준이 높지 않은 것이 사실입니다.다만, 핀테크 분야는 금융 서비스라는 특성상, 신뢰가 무너지는 순간 그 기업의 비즈니스도 함께 무너진다고 봐야 합니다. 개인정보를 유출한 기업의 입장에서 가장 큰 벌은 고객이 기업을 불신하고, 그 결과 기업에서 이탈하는 것입니다.

 

최근 발효된 EU의 GDPR이 실질적인 글로벌 개인정보보호법이 되었다고 하셨는데, GDPR은 무엇이고 우리나라 기업에게도 중요한 이유는 무엇인지 간단히 설명해주세요.


GDPR는 2018년 5월 25일부터 시행되고 있는 유럽연합(EU)의 개인정보보호 법령으로, 기존의 권고 차원의 규정에서 한발 더 나아가 모든 회원국이 의무적으로 준수해야 하는 강제 규정입니다. 개인정보 유출 및 피해 사고 발생 시 매출액의 최대 4%까지 벌금을 부과할 수 있으므로 EU와 거래하는 우리나라 기업도 이를 위반하지 않도록 주의를 기울여야 합니다.

특히, GDPR은 EU 회원국 내에서 EU에 사업장을 운영하는 기업뿐만 아니라, EU 지역에 사업장이 없어도 인터넷 홈페이지를 통해 물품이나 서비스를 제공하는 기업에 모두 적용됩니다. 또한 그 물품이나 서비스의 제공 대상이 EU 시민권자가 아닌 EU에 거주하는 주민이라는 점에 주목해야 합니다. 예를 들어, EU에 여행 중인 한국인 거주자의 위치정보를 삼성전자나 SKT가 스마트폰을 통해 수집하면 이는 GDPR의 적용 대상이 됩니다.


또, GDPR은 DPO(Data Protection Officer) 의무 지정, 영향평가 등이 추가되어 기업의 책임이 강화되었고, 정보 이동권 등 새로운 권리들이 추가되어 정보 주체인 개인의 권리가 강화된 것이 가장 큰 특징입니다.

mb-file.php?path=2021%2F05%2F28%2FF69_10.png
 

우리나라에 GDPR 관련 자격증을 보유한 사람이 거의 없는데, 작가님은 CIPP/E(Certified Information Privacy Professional Europe) 자격증을 보유하고 계십니다. 해당 자격증을 보유하면 어떤 일을 할 수 있나요?


국내 여러 기업들이 GDPR이 요구하는 DPO(Data Protection Officer)를 도입할 때 요구할 만한 자격이라고 생각합니다. DPO의 역할은 기관?기업의 개인정보보호 정책을 컨트롤하고 관리하는 것은 물론, 관련 정보를 제공하고 조언하는 것입니다.EU 국민의 개인정보를 처리하는 기관과 기업은 반드시 DPO를 선정하고 EU에 신고해야 하므로 많은 기업이 DPO를 찾았지만, 개인정보 보호 지식은 물론 EU의 법률에도 능통한 사람을 찾기가 쉽지 않습니다. 실제로 페이스북 등 글로벌 기업조차 DPO를 찾지 못해 큰 이슈가 되기도 했고, 국제프라이버시전문가협회(IAPP)는 유럽 내에서만 최소 2만 8천 명의 DPO가 필요할 것이라고 예상하였습니다.현재 우리나라에서는 사내 법률가를 중심으로 DPO를 임명하고 있지만, GDPR이 DPO의 독립성을 강조한 만큼 앞으로는 기업 내부보다는 외부의 전문가, 즉 GDPR과 EU 관련 법률에 정통한 이들, GDPR 관련 자격증을 보유한 이들을 중심으로 DPO를 채용할 것으로 예상됩니다.

 

최근 언론 기사에서 ‘마이데이터’나 ‘개인 데이터 주권’이란 용어가 자주 등장하는데, 어떤 뜻인가요?


앞에서 말한 것처럼 우리는 매 순간 다양한 형태의 개인정보를 생성합니다. 하지만 어떤 정보를 얼마큼 생성했는지, 어떻게 사용되고, 어떤 가치를 창출하는지 알지 못합니다. 그런데 우리의 개인정보를 수집해서 보유하고 있는 기업은 그 개인정보를 광고나 상품 판매에 활용하고, 경우에 따라서는 개인정보 자체를 거래함으로써 많은 이윤을 창출합니다. 이 과정에서 개인에게 어떠한 이익도 공유하지 않습니다. 결과적으로 우리는 개인정보의 주권을 잃어버린 상태입니다.

이러한 상황에 문제의식을 느끼고, 개인정보의 통제 및 관리 주체를 기업에서 개인으로 바꾸려고 하는 움직임이 바로 ‘마이데이터’와 ‘개인 데이터 주권’입니다. ‘마이데이터’는 일반 명사로도 쓰이고 국내 특정 산업을 지칭하는 말로도 쓰이는데, 쉽게 말해서, 개인이 자신의 정보를 적극적으로 관리?통제하여 주체적으로 활용하는 모든 과정을 포함합니다. 또, 이러한 과정을 지원하는 산업, 구체적으로 금융기관이나 통신사 등에 수집된 자신의 개인정보를 다른 기업이나 기관 등으로 이동할 수 있도록 지원하는 것을 ‘마이데이터 산업’ 또는 ‘본인 신용정보 관리업’이라고 부릅니다.


이는 큰 틀에서 개인정보 주권을 회복하는 과정으로 볼 수 있습니다. 즉, 개인정보 통제권을 개인이 갖고, 기업이 사용하는 개인정보에 대해 개인의 허락 및 이익을 공유받는 것을 뜻합니다.

 

개인이 자신의 정보와 데이터를 보호하기 위해 생활 속에서 실천할 수 있는 일에는 어떤 것이 있나요?


각 개인이 자신의 정보가 어디에 저장되어 있고 어떤 목적으로 얼마큼 사용하는지 알아야 합니다. 물론 쉬운 일은 아니지만, 다음과 같은 몇 가지는 실천하면 좋을 것 같습니다. 먼저, 앱 사용 시 ‘연락처, 위치, 메시지’ 등의 정보를 수집하는 앱은 주의해야 합니다. 과도하게 정보를 수집한다면 대체할 수 있는 다른 앱이 있는지 찾아보고, 되도록 개인정보에 접근하지 않는 앱을 사용해야 합니다.둘째, 앱이나 웹을 사용할 때 개인정보 이용 동의 요청에 무심코 ‘모두 동의’를 누르는데, 그 내용을 주의 깊게 살펴보고, 필수가 아닌 동의는 누르지 않아야 합니다. 셋째, 네이버, 구글, 페이스북 등 자신이 사용하는 플랫폼에 개인정보 이용 내용을 요청해서 내 개인정보가 얼마나 수집되는지, 어떻게 이용되는지 주기적으로 확인하고, 만일 불필요한 서비스에 가입된 이력이 있다면 삭제를 요청하거나 탈퇴하는 것이 좋습니다.

 

* 이재영


서울대학교 전기공학부를 졸업한 뒤 병역특례 기간 동안 삼보정보통신(삼보컴퓨터 자회사)에서 유선통신 분야 기술 기획을 담당했고, 국내 최초로 PON(Passive Optical Network) 기술을 이용한 상용 서비스를 구축했다. 이후 모바일 분야로 옮겨 GSM 프로토콜 스택 및 모바일 단말 소프트웨어 플랫폼을 제공하는 영국 회사 TTPCom에서 휴대폰 하드웨어 및 소프트웨어 개발 프로젝트를 총괄했다. TTPCom이 모토로라에 M&A된 이후에는 책임연구원으로 국내향 피처폰 및 스마트폰 소프트웨어 개발 프로젝트에 참여했고, 모토로라가 구글에 M&A된 이후에는 미주향 안드로이드 스마트폰의 디바이스 드라이버 및 OS 업그레이드 프로젝트에 참여했다. 이후 삼성전자로 옮겨 무선사업부 개발실 수석연구원으로 소프트웨어 보안 및 개인정보 보호 업무를 담당했고, 사내 벤처 프로그램인 C-Lab의 크리에이티브 리더로 1년여간 활동했다.국제공인 GDPR 개인정보보호전문가(CIPP/E), 국제공인 보안전문가(CISSP), 국제공인 윤리적 해커(CEH) 등 보안 및 개인정보 관련 다수의 국제공인 자격과 재무설계사(AFPK(R)) 등 다양한 자격을 보유하고 있다. 개인 데이터 이용 메커니즘의 패러다임을 바꾸는 데 관심이 많고, 현재 한양대학교 블록체인융합학과에서 블록체인 기반 개인정보 플랫폼을 연구하고 있다.