검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'디지털 개인정보'통합검색 결과 입니다. (5건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

ISMS-P 인증 뭐기에…의무도 아닌데, 하겠단 금융사

금융 정보보호 및 개인정보보호 관리 체계(ISMS-P·Personal Information & Information Security Management system) 인증을 받으려는 금융사가 해마다 늘고 있다. 의무도 아닌데 스스로 까다로운 심사를 통과하겠다고 나선다. 금융 ISMS-P는 금융권에 맞춘 ISMS-P 인증이다. 전자금융거래법, 신용정보법 등 금융 정보보호 및 개인(신용)정보 보호 관련 법령을 반영한다. 금융권은 다른 산업보다 민감한 개인(신용)정보와 금융 정보를 많이 다루기 때문에 침해 사고나 개인정보 유출 사고가 터지면 충격이 상당하다. 보다 높은 수준의 보안과 규제가 요구되는 이유다. 8일 금융보안원에 따르면 금융 ISMS-P 인증은 2015년 27건으로 시작해 지난해 128건으로 5배 성장했다. 금융보안원이 금융권에 알맞은 ISMS-P를 인증한다. 나머지 산업이나 전반적인 인증 품질은 한국인터넷진흥원(KISA)이 관리한다. 오중효 금융보안원 상무는 지난달 27일 서울 여의도 금융투자협회에서 열린 'ISMS-P 인증 설명회'에서 “인공지능이나 가상자산 환경이 바뀌면서 인증 수요가 더 늘 것”이라고 말했다. 의무 아니지만 “이만큼 잘해요” 금융회사는 법적으로 ISMS-P 인증 의무가 아닌데도 은행·증권·카드·보험사 뿐만 아니라 핀테크 기업도 자발적으로 인증 받으려는 사례가 늘고 있다고 금융보안원은 전했다. 최지훈 금융보안원 선임심사원은 지난달 설명회에서 “금융권은 ISMS-P 인증이 의무가 아니다”라면서도 “디지털 금융과 자율 보안이 확산돼 인식 수준이 높아졌다”고 분석했다. 핀테크∙오픈뱅킹, 마이데이터, 간편결제 등 디지털 금융이 자리잡으며 보안을 강화할 필요가 있어서다. 이런 환경에서 '우리 회사가 이만큼 금융 보안에 신경쓴다'고 소비자에게 증명할 수 있다. 금융회사가 자율적인 보안 활동을 하되 결과에 대한 책임은 무거워진 점도 내부 보안 관리 체계를 높이는 이유로 꼽힌다. 금융권 형님답게 은행이 선도 금융보안원은 은행이 금융권 디지털 전환을 이끌면서 ISMS-P 인증도 선도하고 있다고 평가했다. 주요 시중은행은 인터넷뱅킹 말고도 마이데이터, 금고 시스템, 전자 서명 인증 등 주요 서비스에 맞는 인증서 2~4개를 취득∙유지하는 것으로 알려졌다. 최근에는 다른 업권보다 디지털 전환이 조금 늦은 면이 있는 생명보험사도 인증을 취득하고 있다며 금융투자, 카드∙캐피털사가 인증 받는 사례도 늘어나는 추세라고 금융보안원은 설명했다. 실제로 기자가 지난달 27일 금융투자협회에서 열린 설명회에 갔더니 대부분 금융투자회사 담당자들이 참석한 모양새였다. 수집-이용-파기 단계별 정보 보호 금융보안원은 특히 전자금융감독규정과 신용정보업감독규정 등 금융권에 특화한 심사 항목으로 금융 보안 규제 준수 여부를 심사한다. 금융사가 세운 (개인)정보 보호 정책과 지침, 절차 등을 체계적으로 시행하는지 따진다. 개인(신용)정보를 수집-보유∙이용-제공-파기하는 단계별로 보호 조치를 적절하게 하는지, 수탁사 같은 외부 위탁 관리 실효성은 있는지도 확인한다. 최 심사원은 “지난해 128건 심사하면서 기업당 결함을 평균 9개씩 발견했다”며 “기업은 결함 개수에 연연하지 말고, 이 결함이 나온 원인과 재발 방지 대책을 신경써야 한다”고 강조했다. 개발자와 운영자, 개인정보 취급자 직무별로 시스템에 접속하는 방식이 다르면서도 시스템 흐름도를 보면 이런 사실을 알 수 없는 경우가 지적받았다. 정보보호 운영 인력이 정보보호 예외 정책을 스스로 승인해도 잘못이다. 개인정보 열람 요구서와 위임장 등에 주민등록번호를 요구해서도 안 된다. '내 정보 잘 지키나' 소비자 선택 기준 금융소비자 입장에서는 (개인)정보 보호 관리 체계를 제대로 갖췄는지 금융사 선택 기준으로 ISMS-P를 삼을 수 있다. 보안 사고를 예방하고, 사고가 나더라도 빠르게 복구하는 금융사를 이용하면 피해가 최소화될 것으로 금융보안원은 기대했다.

2025.04.08 15:09유혜진

[기고] 브뤼셀 효과 이면 속 건강한 국내 디지털 시장 발전 위해 고려할 사항은?

챗GPT 등장 이후 인공지능(AI)과 신기술, 혁신적인 서비스의 개발을 해하지 않으면서도 이용자의 권리와 개인정보를 보호하려면 어떤 것을 고려해야 할 지에 대한 논의가 최근 활발해진 분위기다. 급변하는 정보사회에서 AI와 개인정보 보호에 있어 우리 사회가 취해야 할 균형 잡힌 자세가 어떤 것인지에 대해 법무법인 태평양 AI팀에서 [AI 컨택]을 통해 2주 마다 다뤄보고자 한다. 세계가 급격하게 디지털화되면서 혁신, 번영, 개인의 권리를 균형있게 보호할 수 있는 올바른 거버넌스 체계에 대한 논의도 급물살을 타고 있다. 유럽은 디지털 기술 및 정보보호 분야에서 입법의 선도자로 자리매김해 왔다. 유럽연합(EU)의 개인정보보호규정(GDPR)은 세계적인 표준으로 간주되고 있으며 다른 지역에도 영향을 미쳐 왔다. 이는 소위 말하는 '브뤼셀 효과'다. 일반 데이터 보호 규정(GDPR) 제정 이후 EU는 디지털 전략의 일환으로 관련 법령들을 발전시켜 왔다. 그럼에도 유럽 연합의 방대한 디지털 법안 패키지가 부정적인 영향을 미친다는 비판적인 목소리도 있다. 마리오 드라기 이탈리아 전 총리는 최근 EU 집행위원회 '유럽 경쟁력의 미래(The future of European competitiveness)' 보고서에서 "유럽에서 성장하려는 혁신적인 기업들이 일관성 없고 제한적인 규제로 인해 매 단계마다 방해를 받고 있다"고 지적했다. 드라기 전 총리의 말과 같이 '브뤼셀 효과'는 영감의 원천이 될 수 있지만 동시에 주의 깊게 검토해야 할 경고로도 작용할 수 있다. 지난 해 국내에서도 개인정보보호법 시행령을 개정했다. 이는 표면적으로는 개인정보 보호법을 GDPR의 일부분과 더 유사하게 조정하려는 것처럼 보인다. 이번 개정 중 가장 중요한 부분은 국내에서 표준으로 자리 잡아 온 '필수 동의' 사용의 변화다. 새로운 접근 방식에 따르면 개인정보 처리를 위한 동의를 받는 기업은 더 이상 사용자에게 서비스 이용을 위해서는 동의를 해야 한다고 강제하지 못한다. 대표적인 예시로 더이상 필수동의 체크박스는 사용할 수 없게 되는 것이다. 대신 이제는 동의가 개인의 '자유로운 의사'에 따라 이루어지도록 해야 한다. 개인정보 처리가 선택 사항이어야 하며 사용자가 동의를 거부하더라도 여전히 서비스에 접근할 수 있도록 허용돼야 한다. 이는 국내 여러 산업에 광범위한 영향을 미칠 수 있는 중대한 변화다. 이에 따라 GDPR의 동의 개념에서 영감을 받은 이러한 새로운 접근 방식이 미칠 잠재적인 영향을 분석하고자 한다. 지나치게 복잡한 디지털 규제 환경으로 인해 EU에서는 중복된 디지털 법령들의 서로 다른 요구사항들을 어떻게 적용할지에 대한 법적 불확실성이 초래되고 있다. 규제 당국의 보수적이고 제한적인 해석과 맞물려 이러한 상황은 유럽의 글로벌 경쟁력과 혁신에 위축 효과를 가져오고 있다. 앞서 언급한 드라기 전 총리의 보고서는 EU 법령의 빈번한 변경으로 인해 법령이 누적되고 있다고 지적한다. 또 중소기업에 과도하게 높은 준수 비용이 부과돼 결과적으로 소비자들이 서비스 비용을 더 부담하게 될 수 있음을 구체적으로 언급한다. 메릴랜드 대학교의 연구 역시 GDPR로 인해 유럽의 벤처 캐피탈 투자가 미국에 비해 감소했음을 확인해준다. 개인정보보호위원회는 지난 20년간 시행돼 온 필수 동의 제도의 변경에 대한 지침을 올해 말까지 발표할 것이라고 밝힌 바 있다. 동의에 대한 추가 지침을 마련할 때는 조직 사업 운영의 자유, 소비자 정보 접근권, 디지털 경제 성장의 혁신에 미치는 영향 등 중요한 사회적 권리들과 프라이버시권 간의 합리적 균형을 보장해야 한다. 입법자와 규제 당국은 기업에 미치는 실질적인 영향과 디지털 서비스의 사용자 경험을 고려해야 한다. 광고 기반 수익으로 제공되는 서비스들이 유료로 전환될 가능성이 크고 중소기업들은 더 높은 비용 부담을 겪게 될 확률이 높다. GDPR의 '자유로운 의사에 따른 동의 요건 해석 방식'을 따르게 된다면 국내 기업들이 고객의 데이터를 처리하는 방식에도 중요한 변화가 발생할 것이다. '필수 동의' 제거에 따라 거의 모든 국내 온라인 사업체가 막대한 비용을 들여 온라인 서비스를 재구성해야 할 것이기 때문이다. 광고 기반 수익에 의존하는 디지털 기업들은 가능한 경우 대체 수익원을 찾아야 할 것이다. 이러한 변화는 소비자에게도 영향을 미칠 것이다. 현재 광고 기반 모델을 사용하는 다양한 기업들은 규모와 관계 없이 소비자에게 무료 서비스를 제공하고 있다. 이는 기업들이 사용자로부터 직접 수집한 개인정보를 활용해 적합하고 흥미로운 맞춤형 광고를 제공할 때만 가능하다. 본질적으로 광고주로부터의 수익이 무료 서비스를 지원하는 재원이 되기 때문이다. 기존 관행에 변화가 생기면 디지털 생태계에 상당한 영향을 미칠 수밖에 없다. 이미 EU 내 일부 사례에서 관찰됐듯이 뉴스 웹사이트, 게임 앱, 소셜 미디어가 제공 서비스를 변경할 경우 국내 소비자에게 비용을 초래할 수 있다. 이 쟁점에 있어서는 규제 당국·기업·정책 입안자·학계 간의 진지하고 건설적인 대화가 특히 중요하다. 현재 제안된 변경사항은 프라이버시의 법률 구조뿐만 아니라 중소기업·대기업 전반의 일상적 비즈니스와 사업 운영의 자유에까지 광범위한 영향을 미칠 것이다. 또 이러한 변화가 개인의 프라이버시 보호에 실제로 더 나은 결과를 가져올지도 명확하지 않다. 기업들이 광고 기반 수익 모델에 의존할 수 있는 능력을 줄인다고 해서 이들이 개인정보를 더 잘 처리하거나 개인정보의 보안을 강화하게 되는 것은 아니기 때문이다. 이는 오히려 기업과 소비자 모두에게 더 많은 어려움을 초래할 수 있다. 이보다는 투명성과 통제를 통해 개인, 경제, 혁신에 과도한 부담을 주지 않으면서도 프라이버시 보호를 달성할 수 있을 것이다. 기업들이 데이터 처리 방식과 시스템을 규제에 맞게 조정하기 위해서는 규제 당국의 실질적인 지침과 합리적인 타임 라인이 필수적이다. 이에 따라 데이터 처리의 다양한 법적 근거에 대한 명확한 기준을 제시하고 여러 사례를 신중하고 포괄적으로 검토하며 문제되는 다양한 기본권 간의 균형을 고려해야 할 것이다. 대한민국은 중대한 기로에 서 있다. 이번에 제안된 변화는 법적 불확실성을 초래했다. 향후 제시될 지침은 국내 소비자들의 프라이버시를 보호하고 이들이 혁신적인 디지털 제품 및 서비스에 공정하게 접근할 수 있도록 해야 할 것이다. 동시에 기업들이 국내 경제를 지속적으로 성장시키게 해석·시행되도록 보장해야 할 것이다. 이 원고는 유럽 소재 개인정보 보호 분야 저명한 씽크탱크인 Centre for Information Policy Leadership (CIPL)과의 공동 연구를 통해 작성됐다.

2024.09.27 10:50법무법인 태평양 류광현

한은 "정보보호·안정성 강화한 CBDC시스템 만들 것"

우리나라를 포함해 주요 중앙은행이 디지털 화폐(CBDC) 발행을 테스트하면서 동시에 개인정보보호 이슈를 어떻게 해결할 지에 대한 연구도 병행하고 있다. 한국은행도 개인정보를 보호하면서도 안정성이 강화된 CBDC 시스템을 설계하기 위한 연구를 진행 중이라는 점을 강조했다. 24일 서울 중구 한국은행 별관 컨퍼런스룸에서 열린 'CBDC 관련 개인정보보호 강화 기술 활용 방향' 세미나에서 유상대 한국은행 부총재는 "현 시점에서 CBDC 도입 여부 및 시기를 구체적으로 말하긴 어렵지만 한국은행은 CBDC가 개인정보보호와 관련해 이용자들로부터 높은 신뢰를 얻을 수 있도록 영지식증명, 동형암호 등 다양한 기술에 대한 연구를 심도있게 수행하고 있다"고 말했다. 한국은행은 2021년 12월부터 2022년 6월까지 영지식증명 기술을 활용해서 신원 정보를 노출하지 않고 거래 상대방에게 해당 자산의 소유주임을 증명하는 실험, 올해 4월부터 최근까지는 동형암호 기술로 이용자만이 거래정보를 조회하고 이용하는 실험 등을 진행했다. 영지식증명이나 동형암호 등과 같은 개인정보강화기술(PET)이 필요한 것은 CBDC가 분산원장으로 구성됐기 때문이다. 숭실대학교 최대선 교수는 "한국은행의 CBDC가 중앙은행으로부터 허가받은 참가자들만 참여하는 허가형 분산원장에서도 개인정보 보호 조치 이슈가 있다"며 "분산원장은 결국 참가자들이 똑같은 원장을 갖고 있다는 '중복'의 개념이기 때문에 기밀성이나 중복 등의 문제가 있다"고 설명했다. CBDC 시스템 자체가 새롭다 보니 개인정보보호법 상 고려할 문제도 있는 상황이다. 김앤장 김도엽 변호사는 "CBDC 지갑 주소를 개인정보로 볼 것이냐부터 분산원장의 실시간 거래 정보가 보호되지 않을 경우, 분산원장의 내역을 어떻게 삭제하고 개인정보보호법상 개인정보처리자에 대한 정의 등도 논의가 필요하다"며 " 사생활 보호와 투명성의 조화 균형을 위한 정보변환 기술, 동형암호 등 관련 법령에 부합하는 방안으로 시스템을 구축하는 방안을 고려해야 한다"고 조언했다. 이어 김 변호사는 "새로운 개인정보강화 기술 등을 적용한 안전한 데이터 활용 보장하고 이를 뒷받침하는 정책적 접근도 생각해야 한다"고 덧붙였다. 한국은행 이지은 금융결제국 과장은 "CBDC 시스템은 기존 금융시스템과 다르게 신기술 적용 및 활용이 가능하다"며 "이용자가 거래하고 있는 참가기관에서 신원정보를 확인하고 최소한의 정보에만 접근하는 기술 적용 방안을 연구 중이며 CBDC 거래 흐름과 개인정보 생애주기에 따라 최적의 개인정보보호강화 기술을 탐색해 금융거래 안정성을 보장하고 이용자의 정보를 보호하는 시스템을 만들 것"이라고 강조했다.

2024.09.24 15:59손희연

KT 전국 매장에서 휴대폰 저장된 개인정보 완벽히 지운다

KT가 전국 매장에서 휴대폰에 저장된 개인정보를 완벽히 삭제할 수 있는 서비스를 도입한다. KT M&S는 올해 상반기 중에 개인정보 완전삭제 서비스 '굿바이 클리너'를 직영 매장 뿐만 아니라 전국 통신 판매점까지 확대 추진키로 했다. '굿바이 클리너' 서비스는 현재 약 270여개의 KT M&S 직영 매장과 KT닷컴에서 중고폰 보상서비스 이용자 대상으로 제공되고 있다. 이를 자체 통신유통플랫폼인 '코코넛을 통해 전국 통신 판매점까지 확대한다는 방침이다. '굿바이 클리너'는 디지털 포렌식 원천 기술을 보유한 국내 스타트업과 기술을 제휴한 KT M&S의 독자적인 완전삭제 솔루션 브랜드다. 기존의 데이터를 덮어씌우는 방식이 아닌 데이터 영역 헥사값들을 모두 제로필(00)로 채워 넣은 방식으로 스마트폰에 존재하는 전화번호부, 통화내역, 녹음, 문자, SNS, 금융인증서, 각종 로그인 정보 등 중요한 휴대폰 데이터를 복구가 불가능해진다. 이를 통해 정보유출의 근원을 원천 차단하고, 안심하고 단말기를 매매 또는 증여할 수 있는 해결책을 제시한다. 또한 삭제 후 삭제확인서도 발급해 주는 서비스도 제공된다. '굿바이 클리너'는 중고폰 성능을 검사하고 진단하는 서비스도 동시에 제공한다. 단말을 겉으로 볼 때 CPU, 메모리 성능, 배터리 효율, 스피커, 카메라, 와이파이 등 약 20여개 이상의 성능 전문 검수 서비스다. 검수 완료 후에는 리스트 형태로 작성된 공식 검수 결과 보고서를 제공한다.

2024.05.16 11:30박수형

1천억대 과징금 부과...구글·메타 VS 개인정보위 공방 올해 본격 진행

개인정보 침해와 관련해 과징금을 부과받은 글로벌 빅테크 기업과 국내 규제 당국의 공방전이 올해 본격적으로 진행될 전망이다. 이미 과징금 부과 관련 행정소송이 지난해부터 진행되고 있는 만큼 이르면 연내 1심 선고도 판가름이 날 것으로 전망된다. 지난 2022년 개인정보보호위원회는 구글과 메타가 이용자의 동의 없이 온라인 맞춤형 광고에 개인정보를 이용했다는 이유로 약 1천억원의 과징금을 부과했다. 당시 개인정보위는 구글과 메타가 개인정보 보호법을 위반해 이용자의 권익을 부당하게 침해했다며 과징금 부과 배경을 설명한 바 있다. 해당 사건은 구글과 메타가 지난해 2월 과징금 부과 취소 행정소송을 제기하면서 법적 공방으로 넘어갔다. 쟁점은 개인정보 수집 주체가 구글·메타이냐는 것이다. 실제 두 기업은 다른 사업자들이 수집한 개인정보를 단순히 위탁받은 입장에 불과하다는 법리를 펼치고 있는 것으로 전해졌다. 반면 개인정보위는 과징금 부과 당시에 동일하게 이용자의 동의 없이 상업성 있는 광고에 개인정보를 이용했고 두 기업이 실제 개인정보 수집 주체가 맞다는 입장을 고수하고 있다. 양측의 행정소송은 지난해 9월 첫 변론기일을 거쳐 이르면 연내 행정소송 1심 선고 결과가 나올 전망이다. 개인정보위 관계자는 "통상 행정소송 1심 선고에 걸리는 기간이 1년이 넘지 않는 만큼 올해 안에 1심 선고 결과가 나올 가능성이 크다"고 전했다. 개인정보위는 승소를 자신하는 입장이다. 고학수 개인정보위 위원장은 지난해 한 매체와의 인터뷰에서 "(구글 ·메타와의 소송에서)100% 우리가 승소한다"고 언급한 바 있다. 개인정보위는 비단 이번 송사 뿐만 아니라 늘어나는 빅테크 기업과의 행정소송을 위해 예산도 대거 증액했다. 앞서 개인정보위는 지난해 국정감사에서 소송 수행예산이 2억 여원이 불과하다는 지적을 받고 올해 전년 대비 2배 증액된 4억2천만원을 소송 예산으로 확보했다. 대형로펌과의 대결 뿐 아니라 3심까지도 이어질 수 있는 지리한 법적 공방에 대비하기 위한 조처다. 한편 이번 행정소송의 1심 선고 결과는 빅테크 기업의 개인정보 행태 수집에 관한 첫 번째 법리적 판결로 업계에 미치는 파장 역시 클 전망이다. 온라인 맞춤형 광고 플랫폼의 행태정보 수집 관련 첫 번째 제재이자 개인정보보호법 위반으로는 가장 큰 규모의 과징금이라는 이유에서다. 한편 통계 사이트 스태티스타에 따르면 지난 2022년 기준 메타와 구글의 총수익에서 디지털 광고수익이 차지하는 비중은 각각 97%, 81%다.

2024.01.22 11:22이한얼