[보안리더] 염흥열 CPO협의회장 "개인정보 지키면서 활용하는 PET 주목"

“기업에서 개인정보가 유출되면 전체 매출액의 최대 3%를 과징금으로 내야 합니다. 다만, 전체 매출액에서 위반 행위와 관련이 없는 매출액을 제외합니다. 매우 중요한 개인정보가 빠져나갔으니 벌을 받는 셈이죠. 그만큼 기업이나 기관의 개인정보보호책임자(CPO) 어깨가 무겁습니다.” 염흥열 한국개인정보보호책임자협의회장은 최근 서울 강남에서 지디넷코리아와 만나 “개인정보보호책임자 모임이 이제 막 첫발을 떼었다”며 이같이 말했다. 개인정보보호책임자는 영어로 CPO(Chief Privacy Officer)라고 부른다. CPO는 조직에서 개인정보 보호 계획을 세우고 시행하는 책임을 진다. 개인정보 처리 실태를 조사하고, 개인정보가 새어 나가지 않도록 내부 통제 시스템을 만든다. 기업과 공공기관 등에서 개인정보 처리를 책임질 CPO를 정해야 한다. 소상공인기본법에 따른 소상공인은 사업주 또는 대표자가 CPO가 된다. 이들이 모인 한국CPO협의회는 지난해 9월 출범했다. 112개 기업과 기관의 CPO들이 개인정보 보호 정책을 나누며 활동하고 있다. 부회장사는 21개다. LG유플러스, 우아한형제들(배달의민족), 카카오, 쿠팡, 삼성서울병원, 국립암센터, SK텔레콤, 한국전력공사, 삼성전자, 기아, 비바리퍼블리카(토스), KB국민은행, 국민건강보험공단, 넷마블, 한국교통안전공단, LG전자, 현대자동차, 삼성화재, 메타코리아(페이스북), KT, 한국인터넷진흥원이다. 염 회장은 순천향대 정보보호학과 명예교수이기도 하다. 전자공학과 교수로 지내다 2001년 정보보호학과를 만들었다. 한국정보보호학회 명예회장과 더불어 국제전기통신연합 전기통신표준화부문(ITU-T) 전기통신자문반(TSAG) 부의장도 맡고 있다. 아래는 염 회장과의 일문일답. -개인정보가 유출되면 CPO는 어떤 제재를 받나? “기업에서 개인정보가 유출되면 전체 매출액의 3%까지 과징금으로 내야 한다. 전체 매출액에서 위반 행위와 관련 없는 매출액은 제외되지만, 관련 없다는 사실을 기업이 자료로 입증해야 한다. 2020년 이래 카카오 등 국내 기업과 구글·메타 등 많은 해외 기업이 한국에서 수십억~수백억원 과징금을 부과 받은 적 있다. 유럽연합(EU)에서는 기업의 국내외 전체 매출액의 최대 4%를 과징금으로 물게 한다. 한국은 이보다 약한 편이다. 그래도 기업은 몇백만원 과태료보다 부담이라는 입장이다. 그만큼 CPO 역할이 중요하다. 공공기관·비영리법인·비영리단체 등은 매출액을 산정하지 않는다. 정확하게 매길 수 없어서다. '법인세법'에 의한 소득이 없으면 위반 행위 중대성에 따라 ▲500만원 이상 5천만원 이하 ▲5천만원 이상 2억원 미만 ▲2억원 이상 7억원 미만 ▲7억원 이상 18억원 등으로 구분해 기준 금액을 산정해 과징금을 낸다. 위반 행위 중대성은 개인정보보호위원회가 판단한다. 이렇게 거둔 과징금을 인재를 가르치고 연구개발(R&D)하는 데 써서 한국 개인정보 보호 수준을 더 높이면 좋겠다.” -한국의 개인정보 보호 수준이 어떤가? “세계적인 수준이다. 미국이나 EU보다 투명하고 구체적으로 기준을 정해 지킨다. EU도 어떤 기업이 소비자로부터 개인정보를 받아 적법하게 제3자에게 줄 수 있게끔 한다. 한국에서 그러려면 누가 누구에게 주는지, 왜 주는지, 이 정보를 언제 삭제할지 등을 개인정보처리방침에 세세히 명시해야 한다. 그래서 한국 규제가 깐깐하다고 느끼는 기업도 있다.” -기업이 개인정보 지키면서도 활용할 수 있는 방안이 있나? “그게 CPO들이 요즘 가장 관심 있는 일이다. 개인정보 보호 강화 기술(PET·Privacy Enhancing Technology)로, 개인정보를 최소한 수집하면서도 산업을 활성하는 기술 3가지를 주목한다. 첫째 가명정보다. 개인정보가 모두 공개된 정보라면, 익명정보는 모두 가린 정보다. 가명정보는 이 중간이다. 다른 정보와 맞춰보면 얼추 알 수 있지만 그대로는 알기 어려운 내용으로 꾸린다. 과학·연구·통계적 목적이라면 가명정보를 쓸 수 있다. 정보가 그대로 드러나는 게 아니라 이용자로부터 동의받지 않아도 제3자에게 넘길 수 있다. 둘째 동형암호다. 내 키가 170㎝라는 정보와 다른 사람 키는 165㎝라는 정보가 있다고 예를 들자. 이를 각각 암호로 만들어 결합기관에 주면 결합기관은 이를 더하거나 빼는 연산을 할 수 있다. 다만 결합기관은 이 정보 주인이 누군지 모른다. 정보 제공자가 되돌아온 결과를 보면 된다. 셋째 연합학습이다. 인공지능 시대에 맞게 개인정보도 인공지능을 활용하는 일이 잦다. 어떤 기기가 학습한 내용을 내보내면 안 되지만, 서로 다른 기기가 학습한 정보를 합쳐 또 학습하도록 하는 연합학습은 가능하다.” -정보보호업계 화두 '국가 망 보안 체계'와 '제로 트러스트'는 어떻게 보나? “국가 망 보안 체계는 N2SF(National Network Security FRAMEwork) 약자다. 지금껏 폐쇄된 공공 정보망을 열겠다는 정책이다. 그러니 '절대 믿지 말고 항상 검증하라'는 제로 트러스트(Zero Trust) 개념이 필수다. 외부 망은 당연하고 내부 망도, 모든 망은 해킹됐다고 전제하고 접근을 제한한다. 지금껏 내부 망 사용자는 믿어왔다. 외부 망 사용자는 비밀번호와 문자 인증 등 2가지 이상 인증하도록 했지만 내부 망 사용자는 비밀번호 하나면 됐다. 이제 내부 망 사용자도 이중 요소로 인증하도록 한다. 이에 새로운 보안 통제 도구가 필요하다. 기업에 새로운 시장이 열리는 셈이다.” -올해 협의회 계획은? “정책당국과 회원사가 깊게 논의할 수 있는 세미나 'KPPI(KCPO Prime Privacy Insight)'를 운영하겠다. 개인정보보호위원회와 CPO, 또 분야별 CPO끼리 교류하는 'KCPO 브릿지 포럼'도 열기로 했다. 고위관계자가 모여 정책 동향을 공유하는 'KCPO 프라이버시 서밋' 등도 주기적으로 할 예정이다. 오는 9월에는 서울 삼성동 코엑스에서 제47차 글로벌 프라이버시 총회(GPA·Global Privacy Assembly)가 개최된다. 이 총회는 세계 최대 규모의 개인정보 보호 관련 국제 회의로, 미국·EU·영국·일본 등 89개국 137개 기관이 참여한다. 이에 협의회가 적극적으로 나서 세계 개인정보 보호 전문가와 소통할 예정이다. 예비 CPO를 위한 교육 과정도 개발해 올해 시범 운영하려고 한다. CPO에 대한 자체 정책도 연구할 생각이다. 조직 형태, 예산과 인력 현황, 주요 고충을 들어 CPO 지정 현황 실태 조사를 하려고 한다.”