산업계, ‘보안 인재 모시기’ 경쟁도 치열
전문가 "위험 줄이고 산업 진흥하는 법안 돼야"
산업계 내 ‘개인정보 보호’가 뜨거운 감자로 떠오르고 있다. 지난 달 개인정보보호위원회가 ‘개인정보보호법 시행령 개정안’을 입법예고한 상황에서, 기업들은 개정되는 법안에 대한 대응에 나섰다.
개인정보위는 서울시 삼성동 코엑스 그랜드볼룸에서 ‘2024 개인정보보호 페어(PIS FAIR) & 정보보호책임자(CPO) 워크숍’을 5일 진행했다. 이날 행사에는 78개의 개인정보보호 분야 기관 및 기업이 참여했다.
이날 행사에서 기업들은 개인정보위가 입법예고한 ‘개인정보보호법 시행령 개정안’에 대한 각 사의 대응방안을 공유했다. 윤진환 여기어때 사이버보안센터장은 “30조 2항의 ‘개인정보 처리방침의 평가 및 개선권고’가 가장 눈에 띄었다”며 “개인정보 처리방침은 회사의 얼굴이기도 하고, 이 부분을 외부에서 평가한다는 것 자체가 인상적”이라고 말했다. 이를 위해 업무용 개인정보 처리 시스템상 이메일, 이름 등 개인정보를 비식별화하고, 데이터베이스 내 개인정보를 암호화ㆍ비식별화했다고 했다.
지정호 토스증권 이사는 “가장 부담스러운 부분은 과징금”이라며 “이에 대한 실질적인 대책이 필요하다”고 강조했다. 지 이사는 개인정보보호법 제59조(금지행위)를 이행하기 위해 토스증권에서 운영하는 개인정보처리시스템에서 로그인 이력, 권한 부여 이력, 사용해 행위 이력의 형식을 통일하고, 중앙 모니터링시스템을 통해 법 위반 행위가 있는지 점검한다고 설명했다. 개인정보보호법 제59조는 '업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 해서는 안 된다'고 규정하고 있다. 전인복 롯데렌탈 정보보안부문장은 “개인정보보호법 개정안에 이동형 영상정보 처리 기기, 즉 블랙박스에 대한 규제가 반영될 수 있다는 얘기를 들었을 때 긴장을 많이 했다”며 “다행히 개인정보보호법 제15조 1항에 해당하는 기업은 ‘예외’ 처리가 가능해 안도했다”고 말했다.
기업들은 각사의 개인정보보호 전략도 발표했다. 토스증권은 정보보호최고책임자(CISOㆍCPO) 산하의 정보보호 전담 조직 ‘시큐리티 디비전’을 두고, 주요경영진으로 정보보호 위원회를 구성했다. 전 정보보안부문장은 “개인정보 업무는 개인정보보안팀에서 다 할 수 없다”며 “전사적인 개인정보보호를 위해 부서별 보안 담당자 한 명씩을 지정하고 있다”고 했다. 윤 사이버보안센터장은 개인정보 보호 전략으로 ‘개인정보보호 로그 통합화’, ‘개인정보 접근 및 통제 시각화’, ‘개인정보 노출 제로화’를 꼽았다. 여기어때는 향후 인공지능(AI) 데이터를 활용한 보안위협 대응 환경을 구현한다는 계획이다.
개인정보보호의 중요성이 커지는 만큼, 산업계는 보안 분야의 고급 인력을 확보하기 위해 사활을 걸었다. 윤 사이버보안센터장은 “개인정보 관련된 업무 자체가 사람이 하는 것이기 때문에, 회사가 항상 하는 고민은 좋은 사람을 뽑아서 오래 다니게 하는 것”이라고 말했다. 토스증권도 정보기술(IT) 대비 보안인력 비율을 2021년 9.21%에서 2023년 16.2%까지 늘렸다.
전문가들은 데이터의 신중한 활용이 필요하다고 강조했다. 박선동 법무법인 BHSN 변호사는 기조연설에서 “인공지능(AI)의 기술적인 특성상 개인정보 데이터를 학습한 후 AI 모델에 제공될 경우, 정보를 삭제하거나 수정하는 것이 불가능할 수 있다”고 설명했다. 이어 “기술의 발전 속도가 너무 빨라 제도적 허점은 어쩔 수 없이 존재하고 현장의 불확실성을 완전히 해소할 수도 없다”며 “위험은 줄이고 산업을 진흥시키는 방향으로 기업하고 정부와 사회가 생산적으로 논의해야 한다”고 제언했다.