[보안칼럼]인터넷 거버넌스, 개인정보 보호가 핵심이다

[보안칼럼]인터넷 거버넌스, 개인정보 보호가 핵심이다

지난달 스위스 다보스에서 열린 `세계경제포럼(WEF)`에서 가장 치열한 논의가 이뤄진 주제는 개인정보 보호였다. 전직 CIA 요원인 에드워드 스노든의 미국 국가안보국(NSA) 도·감청 폭로는 그 자체로도 충격적이었지만 우리가 인식하지 못한 사이 얼마나 많은 개인의 프라이버시와 정보가 수집되고 있는지를 보여준 단적인 예가 됐다. 이로 인해 개인정보 보호가 전 세계적인 의제로 떠오르는 계기가 됐다.

이 논의를 더욱 활발히 전개하기 위해 이번 다보스포럼에서는 `인터넷 거버넌스 국제위원회`가 출범했다. 각국 정부의 인터넷 개인정보 이용형태를 조사하고 인터넷상에서 시민권리 보호 방안을 마련하는 것이 주요 역할이다.

네트워크 인프라가 점점 진화하고 모든 것이 연결되는 사물인터넷(IoT) 시대가 개화함에 따라 전 세계는 `초연결 사회`로 진입하고 있다. 이러한 환경 속에서 국가 간 데이터 장벽이 점점 낮아져 물리적 국가안보만큼 국민의 개인정보 보호가 중요해지고 해당 국가의 경쟁력과도 직결된다.

개인정보는 디지털 환경에서 인권과도 같은 것이다. 정보의 교환, 지식의 공유는 물론이고 상거래와 금융거래 등 생활 전반이 네트워크를 통해 행해지고 그 중심에는 `디지털 자아(自我)`라 할 수 있는 개인정보가 존재한다.

우리나라는 지난 2011년 개인정보보호법이 발효됐다. 하지만 빠르게 진화하는 디지털 환경으로 인해 법률이 제정한 범위 안에서 보호받지 못하는 문제점들이 지적되기도 했다. 최근 금융사의 대규모 개인정보 유출 사태 이후 관련법 보완 및 정비 논의가 급물살을 타고 있다.

개인정보 보호는 어떤 특정 부처나 위원회의 문제가 아니다. 국가 전반의 핵심 과제라는 전제 하에 장기적이고 통합적인 관점에서 논의돼야 하고 보안전문가와 기업, 민간단체 등 광범위한 전문가 그룹이 참여해 사회적 합의를 이끌어내는 정책 수립이 필요하다.

우선 관련 법률은 개인정보를 수집하고, 활용하는 당사자가 모두 포함되는 범위에서 제정돼야한다. 정부, 민간기관 및 기업 모두에 공평하게 요구사항이 적용돼야 한다. 이미 여러 국가가 개인정보를 유출한 주체를 단순 처벌하기보다는 `데이터 유출 통지 의무제 도입` 등을 정보보호 법안의 핵심 요소로 꼽고 있다. 우리나라 개인정보보호법에도 데이터 유출 사태가 발생하면 개인정보 처리자가 해당 정보주체에 유출된 개인정보의 항목 및 경위, 대응조치 등을 알리도록 명시돼 있다.

그러나 그간 여러 유출 사태에서 목도했듯 유출 여부를 고지하고 확인하는 과정에서 피해자에 대한 세심한 배려와 사회적 파장을 고려해 보다 정교한 체계를 마련하고 법과 제도를 강력히 적용할 필요가 있다.

나아가 데이터 유출 방지를 위한 선(先)보안 방안이 마련돼야 한다. 예를 들어, 민감한 개인정보의 기밀 유지를 보장할 수 있는 합리적인 보안 조치를 의무화함으로써 유출 가능성을 최소화하는 것이다. 또 데이터를 쉽게 확인하거나 사후에 활용할 수 없도록 하는 암호화 등 보안 방안이 선행돼야 하며 불법적으로 취득한 데이터를 공격자가 실제로 사용했는지를 분명하게 파악해 불필요하게 소비자를 불안하게 만드는 것을 막아야 한다.

이제 개인정보의 역할과 의미, 그에 대한 수집과 활용 현황을 제대로 파악해 더욱 정교한 보안 체계를 마련해야 한다. 인터넷 이용의 광범위한 관리 체계를 뜻하는 `인터넷 거버넌스`를 성공적으로 이루기 위한 핵심은 바로 개인정보를 포함한 민감한 데이터의 흐름과 사용과정 전체의 가시성과 안전성을 확보하고 빈틈없이 관리하는 체제를 세우는 것이 될 것이다.

조원영 시만텍코리아 대표 Chris_cho@symantec.com