2020년은 코로나19 팬더믹과 데이터 3법 개정으로 인해 그 어느 때보다 정보보호 이슈가 많은 한 해였다.
조직에서는 언택트 환경에 따른 원격 근무가 확대되면서 관련된 정보보호 활동이 증가했고, 공인인증서에서 ‘공인’이 폐기되면서 다양한 인증서가 사용될 수 있는 기반이 조성되었으며, 관리되지 않는 컴퓨팅 자원에서 랜섬웨어가 감염되어 서비스 연속성에 영향을 주는 사례도 발생했다.
개인정보 관점에서는 개인정보보호위원회가 조직을 통합 정비해 출범했고, 코로나 감염자에 대한 개인정보 공개 논란도 있었다.
특히, 데이터 3법으로 불리는 법률들이 개정되고 규제 샌드박스가 활성화 되면서 개인정보의 보호와 활용에 대한 균형을 찾아야 하는 숙제가 생겼다.
2020년을 보내며, 2021년에는 어떤 이슈들이 있을지 국내 이슈와 글로벌 관점에서 살펴보고자 한다.
1. 개인정보, 보호와 활용에 대한 충돌
앞으로 개인정보는 보호와 활용이라는 중간지점을 찾기 위한 노력이 지속될 것이다.
지금까지는 보호 쪽에 무게중심이 있었다면, 앞으로는 활용 관점으로 무게중심이 이동할 가능성이 높다.
‘보호를 전제로 한 활용’이라는 관점이 얼마나 합리적으로 현실에 적용될 수 있을지에 따라 보호와 활용 두 마리 토끼를 잡을 수 있을지, 두 마리 모두 놓치게 될지 판가름 날 수 있을 것으로 보인다.
2021년에는 본격적으로 핀테크나 빅테크 조직에서 마이데이터나 다양한 혁신금융서비스를 시작할 것으로 보인다.
비단 금융 분야뿐 아니라, 다양한 분야에서 개인정보가 포함된 데이터를 활용하여 새로운 비즈니스나 서비스를 창출하기 위한 시도들이 늘어날 것이다.
다양한 활용 요구에 대한 전제조건은 정보주체들이 느끼는 ‘어느 정도 안전하게 보호할 것이다’라는 보호에 대한 신뢰를 기준으로 삼아야 한다는 사실을 잊어서는 안 될 것이다.
정보주체가 느끼는 보호에 대한 신뢰의 기준은 정보의 민감도에 따라 다르고, 안전과 생명 등 상황에 따라 달라질 수 있기에 이에 대한 이해관계자들의 요구사항을 판단하는 것이 중요할 것이다.
2. 사이버 신원 확인의 불확실성
온라인상에서 신원을 확인할 수 있는 수단은 제한적이고 보안성에 이슈가 있지만, 언택트 사회의 확대로 인해 비대면 신원확인 방식은 확대될 수밖에 없어 보인다.
비대면 신원확인의 취약점을 이용한 피싱이나 다양한 신원 증명의 문제로 2차 피해 가능성이 높아질 수 있다.
조직의 사전 예방적인 대책과 더불어, 피해가 발생할 경우 피해 구제에 대한 기본 원칙에 대한 사회적 합의도 필요해 보인다.
문제의 원인을 정보주체가 입증하기 어렵기 때문에, 기본적으로 비대면 서비스를 제공하는 조직(회사나 국가)에서 피해에 대한 1차 구제와 책임을 가져가는 방식이 우선되어야 할 것이다.
3. 인증서들, 끝나지 않은 혼란
다양한 곳에서 다양한 인증서가 출현하게 되고 이로 인해 서비스 제공자 입장에서는 브라우저 호환성이 아닌, 인증서들 호환성을 신경 써야 하는 상황이고, 이용자 입장에서는 서비스를 이용하는데 필요한 인증서가 무엇인지 알고, 필요한 다양한 인증서를 발급해야 하는 상황이 될 것으로 보인다.
'공인'인증서 유령은 아직 우리 곁을 떠나지 않고, 한동안 귀찮게 할 것으로 보인다.
4. 국가 간 사이버 이슈의 확대
국가 간 사이버 이슈도 지속적으로 발생할 것으로 보인다.
사이버 상에서 공격이 두려운 것은, 그 근원적 실체를 파악하기 어렵다는 것이다.
다양한 소스를 분석해서 ‘증거’를 찾겠지만, 의도를 가진 공격의 경우 그 증거의 확실성(실체)을 보장하기가 쉽지 않다.
의도와 증거를 충분하게 파악하지 못하고 표면적인 증거만으로 판단할 경우 또는 그 반대의 상황에서 국가 간 분쟁의 씨앗으로 사용될 수 있는 위험한 도구가 되고 있다.
5. 글로벌 개인정보 보호주의 확산
GDPR이 촉발시킨 글로벌 개인정보 보호주의가 더 많은 국가에서 출현할 가능성이 크다.
우리나라의 경우 2010년 개인정보보호법이 제정되면서부터 현재까지 국가적인 체계를 수립하여 어느 정도 관리할 수 있는 수준으로 성장했지만, 아직 그렇지 못한 국가가 많다.
이런 국가들에서 개인정보에 대한 인식이 높아지고, 글로벌 기업에 대한 마땅한 통제 수단을 갖지 못한 국가에서 그 들에 대한 통제 수단으로서의 역할과 자국민 보호라는 명분으로 개인정보보호를 위한 제도화를 추진할 가능성이 높다.
자국민의 개인정보 보호라는 명분은 개인정보에 대한 일반적인 보호 가치와 별개로, 국가 간 영향력을 확인하는 또 다른 지표가 될 소지가 높다.
몇 가지 예상을 해보며 정보보호 분야의 역할이 점점 더 커지고 있다는 사실을 새삼 느낄 수 있었다.
정보보호 분야의 사회적 역할이 커짐에 따라 당연한 현상이지만, 이로인해 담당자들의 업무 복잡성은 높아지고 그 양도 더 늘어날 것이다.
2021년은 더 다양한 시각으로 역할을 고민하고 더 발전할 수 있는 한 해가 되길 바라는 마음이다.
[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]
★정보보안 대표 미디어 데일리시큐!★