Breaking
사이버 보안(Cybersecurity)
'개인 정보' 얼마나 알까?…"민감한 데이터 숙지할 것"
2019-05-28 23:52:02
조현
▲사람을 식별할 수 있는 모든 정보는 개인 정보로 간주된다(사진=ⓒ셔터스톡)

[라이헨바흐=조현 기자] 최근 개인 데이터에 대해 숙지해야 한다고 전문가들이 당부에 나섰다.

유럽 연합(EU)의 개인정보보호법(GDPR) 시행 이후 '개인 정보'의 정의와 종류란 과연 무엇인지 많은 의문이 제기됐다. 대부분의 유럽인들이 새롭게 구현된 데이터 보호법의 특성을 이해하는 데 어려움을 겪었다. GDPR 법에 따르면 첫 번째 장에 각 용어에 대한 명확한 정의가 실려 있다.

개인 데이터 정의

EU GDPR 제 4조 제 1항에 명시된 바에 따르면 개인 데이터란 개인을 식별 가능한 해당 자연인과 관련된 모든 정보다. 즉 개별적인 인물을 식별할 수 있는 모든 정보는 개인 정보로 간주된다. GDPR은 이런 유형의 정보를 '개인 식별 정보' 또는 PII라고 언급했다. 그러나 여기서 혼란스러운 점이 생긴다.

모든 사소한 정보가 특정 개인을 정확하게 묘사할 수 있는 것은 아니다. 즉 정보가 명확한 정도는 각기 다르다. 따라서 GDPR은 개인 데이터를 직접 또는 간접적으로 개인에 대한 정보를 줄 수있는 것으로 정의한다.

이런 개인 데이터에는 신원 정보, 주민 등록 번호, 사는 곳, IP 주소, 신체적 및 생리적 정보, 경제 정보, 문화 정보, 사회적 정보와 같은 개인 정보 등이 속한다. 이런 정보는 가장 일반적인 유형의 개인 데이터다. 물론 어떤 한 정보가 무조건 한 사람에게만 국한되는 것은 아니다. 그래서 많은 조직이 카테고리를 나눠 주제에 따라 개인 정보를 수집하고 이것을 조합해 한 사람의 개인을 특정한다.

예를 들어 이 세상에는 같은 이름을 가진 사람이 많기 때문에, 이름만으로 특정 개인을 구분하기란 어렵다. 개인을 구분하기 위해서는 이름보다 더 신뢰할 수 있는 정보가 필요하다. 이름만으로 개인을 특정했다가는 동명이인일 가능성이 높기 때문이다.

영국 정보위원회(ICO)에 따르면 존 스미스라는 이름은 매우 흔하기 때문에 개인을 특정할 수 있는 데이터로 보기 어렵다. 그런데 이 존 스미스라는 이름이 주소, 직장, 전화 번호 등의 정보와 조합된다면 개인을 식별하기에 충분하다. 바꿔 말하면, 특정 개인의 이름을 모르더라도 그 사람을 특정할 수 있는 여러 정보를 알고 있다면 그 사람을 식별할 수 있다. 예를 들어 우리는 이웃의 이름은 몰라도 얼굴과 주소 등은 알고 있다.

▲이름만으로는 개인을 특정하기 어렵다(사진=ⓒ셔터스톡)

민감한 개인 정보

GDPR이 정의한 민감한 개인 데이터 카테고리에 속한 정보를 처리할 때는 특별한 주의를 기울여야 하며 모든 개인은 이런 속성을 보유한 정보를 철저하게 보호해야 한다.

이런 민감한 개인 데이터에는 인종 정보, 민족적 기원, 정치적 견해, 종교적 신념, 철학적 신념, 노동 조합 가입 여부 및 생체 인식 데이터 등이 포함된다. 이런 유형의 데이터는 중요한 개인 정보이기 때문에 개개인이 철저히 보호해야 한다. 전문가들은 이런 민감한 개인 데이터를 랩톱이나 하드 드라이브 등의 장치에 보관하는 것은 바람직하지 않다고 말했다. 이런 데이터는 인쇄물로 만들어 안전한 캐비닛이나 금고 등 물리적인 장소에 보관해야 한다.

개인 정보 처리 동의

GDPR에 의해 부과된 6가지 지침 중 하나는 개인 데이터 처리에 대한 동의가 필요하다는 것이다. GDPR은 개인이나 단체가 다른 사람의 개인 정보를 처리해야 할 때는 해당 내용을 정확하게 명시하고 데이터 처리 과정을 투명하게 해야 한다고 전했다.

포브스의 보도에 따르면 GDPR은 개인 정보 처리 동의에 대해 매우 엄격한 정책을 제정했다. 어떤 기업이 개인 고객의 데이터를 수집, 처리 및 저장하고 사용하는 한, 개인 정보 처리 동의법은 비즈니스에 영구적으로 영향을 미칠 것이다. 일부 기업은 이 가이드라인이 지나치게 엄격하기 때문에 애초에 개인 정보를 수집하지 않고 서비스를 제공하기도 한다.

또한 조직은 어떤 개인 정보 처리 도구가 자사의 입장에서 편리한지와 관계 없이 민감한 개인 데이터를 다룰 때는 개인 정보 처리 동의법을 철저하게 따라야 한다. 즉 조직은 개인에게 정보 처리 동의를 받아야 하며 GDPR이 정한 규칙에 따라 정보를 다뤄야 한다.

EU에서 새로 실시된 GDPR은 다소 구식인 데이터 보호법을 대신하기 위해 만들어진 것이다. EU 28개국은 EU 시민들이 자신의 민감한 정보에 대해 더 많은 통제권을 행사하도록 하기 위해 이 법률을 지지했다.

점점 더 많은 기업과 조직이 소비자들의 개인 정보를 활용하기 시작하면서 모든 시민들은 자신의 데이터 보안에 대해 신경을 쓰고 기업이나 조직이 자신의 소중한 개인 정보를 멋대로 활용하지 못하도록 해야 한다. 이제 EU 시민들은 GDPR의 도움을 받아 더 쉽게 자신의 개인 정보를 보호할 수 있을 전망이다.

[라이헨바흐=조현 기자]