“기업은 개인 데이터 전송 위치와 유형을 투명하게 관리하고, 데이터 전송이 이뤄지는 국가의 법을 준수해야 한다. 데이터를 최소화하고 비즈니스 연속성 관리도 필요하다.”

화웨이의 개인정보보호책임자인 조어그 토마스 화웨이 데이터보호오피스 디렉터가 최근 화웨이가 텔레컴스닷컴(Telecoms.com)과 공동으로 개최한 데이터보호 주제 웨비나에서 이같이 강조했다.

지난 19일, 데이터 보호 관련 2020년 이슈를 리뷰하고 2021년 트렌드를 전망하기 위해 열린 이 행사에는 ▲조어그 토마스(Joerg Thomas) 화웨이 데이터보호오피스 디렉터(Director of DPO, Data Protection Office)뿐 아니라 ▲팰릭스 위턴(Felix Wittern) 다국적 로펌 필드피셔(Fieldfisher) 파트너 변호사 ▲람세스 갈레고(Ramses Gallego) 마이크로포커스 인터내셔널 최고기술책임자(CTO)가 발표자로 참가했다.

이들은 개인정보보호(이하 데이터 보호) 관련 법이 갈수록 더욱 엄격하게 시행되면서 기업이 이에 대한 포괄적인 대응 방안이 필요하다고 제언했다. 또 기업이 협력, 기술, 투명성을 중심으로 늘어나는 데이터 보호 관련 소송에 대비해야 한다고 강조했다.


코로나19, 5G, AI가 촉발하는 예측 불허 데이터 보호 환경


지난해 코로나19 팬데믹이 장기화되면서 방역 일환으로 도입한 확진자들의 동선 추적과 공개가 개인의 인권을 해치고 개인정보보호법에 위배된다는 논란이 벌어졌다. 국내에서도 이같은 논란이 불거지면서 개인정보를 보호하기 위해 정보 수집과 공개를 최소화하고 QR코드 인증 방식을 도입했지만 여전히 개인정보 침해와 악용에 대한 우려가 있는 것이 사실이다.

해외에서도 관련 이슈가 큰 만큼, 이날 행사에서도 정부의 방역 정책과 법 충돌 상황 대한 언급이 나왔다. 또한 지난해 나온 슈렘스II(Schrems II) 판결과 올해 발효되는 브렉시트 앞으로 큰 변화를 가져올 것이란 예상도 나왔다.

팰릭스 위턴 필드피셔 파트너 변호사는 “작년 7월에 발표된 슈렘스 2차 판결은 유럽경제지역(EEA) 밖으로의 국제 데이터 전송에 대한 인식을 바꿨다. 당국은 규제를 준수하지 않는 다국적기업에 대한 제재를 가할 것이며 비록 지난해 코로나19로 인해 법집행 속도는 늦어졌지만 올해에는 국제 데이터 전송 관련 많은 소송이 발생할 전망이다. 기업은 당국과 협력하는 것이 바람직하다”고 말했다.

그는 데이터 주권 관련 정부 정책과 더불어 5G, 인공지능(AI) 등의 영향으로 한층 강화된 유럽연합(EU) 일반개인정보보호법(GDPR)도 올해 다양한 영향을 미칠 것으로 전망했다. 이와 관련해 필드피셔 변호사는 “데이터가 EU에서 전송되지 않더라도 다른 국가에서 자회사를 관리하는 기업들은 여전히 주의해야 한다. 브렉시트는 적합성 조건이 시험대에 오르면서 최종 해결책이 나오기까지는 최소 6개월이 소요될 것”이라고 전했다.


도전 과제 많지만 기술이 신뢰 환경 구축 도울 것…‘시이버복원’ 전환 필요



람세스 갈레고 마이크로포커스 인터내셔널 최고기술책임자(CTO)는 “데이터 보호는 누가, 무엇을, 어떻게, 언제 접근권한을 부여받는 지에 대한 것”이라고 규정했다.

그는 “우리는 데이터 규정 준수 관련 지식이 부족한 상황에서 콘텐츠가 여러 클라우드에서 백업되는 그림자 IT(섀도우 IT)가 증가하고 있는 클라우드 시대에 살고 있다. 기업 법무팀이 이를 제대로 알지 못한다면 효과적으로 회사를 보호할 수가 없다. 기업은 인증, 권한 부여, 적절한 액세스를 자동화하고 조정하는 생태계를 구축해야만 데이터 보호 문제를 위한 체계적이고 조직적인 솔루션을 만들 수 있다”고 강조했다.

이어 “기술 자체가 ‘신뢰의 고리(circles of trust)’를 만드는데 도움이 될 것”이라며 “기업에게 데이터 유출과 같은 사건이 발생할 때 암호화와 토큰화가 기업이 택할 수 있는 효과적인 위기 완화 전략이다”고 말했다.

갈레고 CTO는 “2021년을 맞이하며 기업들은 위험요인을 예측하고, 공격에 맞서며, 빠르게 복구하고, 다음 단계로 발전할 수 있는 역량을 갖출 수 있도록 기존의 사이버보안에서 사이버복원력(resiliency)으로 전환할 필요가 있다”고 지적했다.


개인정보보호 집단소송 증가 전망…기업을 위한 실질적 조언


조어그 토마스 화웨이 데이터보호오피스 디렉터는 “사람들은 자신의 데이터가 침해됐을 때 법적인 피해 보상이 신속하게 이뤄지기를 원하기 때문에 2021년과 2022년에 개인정보보호 관련 집단 소송이 증가할 것”이라고 말했다.

그는 “기업은 개인 데이터의 전송 위치 및 전송되는 데이터의 유형을 투명하게 관리하고, 데이터 전송이 이뤄지는 국가 및 지역의 법을 준수해야 한다. 처리활동기록(RoPa, Records of Processing activities), 개인정보보호 통지, 그리고 쿠키를 항상 최신 상태로 유지하는 것도 필요하다. 장기적인 관점에서 볼 때 기업은 설계시 디폴트로 데이터를 최소화하고, 항상 비즈니스 연속성 관리(BCM, Business Continuity Management) 계획을 수립해야 한다”고 했다.

한국화웨이 이준호 최고정보보안책임자(CSO)는 “우리나라는 지난해 데이터3법 개정안 시행으로 AI 시대와 데이터 경제를 선도할 수 있는 기반을 마련했다. 또 ‘마이데이터(Mydata)’ 사업을 통해 정보주권을 소비자에게 돌려주는 작업을 진행 중이다. 이러한 제도 변화로 인해 앞으로 상당한 변화가 올 것으로 예상된다”고 내다봤다. 아울러 “국내 기업들도 다른 나라들의 데이터보호 성공과 실패 사례를 타산지석으로 삼아 더욱 안전하고 조화로운 데이터 경제를 추진해 나가야 할 것이다”고 강조했다.

한편, 화웨이는 고객 데이터를 안전하게 보호하기 위해 최신 데이터 규정 준수, 데이터 전송 메커니즘에 따른 식별과 매핑, 적절한 지침 및 템플릿 제공, 표준계약조항(SCC)에 대한 지속적인 연구·평가, 보완 조치에 대한 제언 등의 활동을 하고 있다고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network



[온라인 컨퍼런스] 2022 이커머스 비즈니스 인사이트 가을

‘2022 이커머스 비즈니스 인사이트 가을’에서는 업계의 현재 상황과 최신 트렌드, 앞으로의 변화 방향에 대해 공유하고, 참가자들이 앞으로의 전략을 세울 수 있는 인사이트를 제공하고자 합니다.

일시 : 9월 28일~29일 오후 14시 ~ 17시
장소 : 온라인
문의 : byline@byline.network
자세히 보기