[기고]문서 보안, 파기 단계도 필요하다

지난달 31일 정부는 데이터 경제 활성화 규제 완화를 위한 규제 혁신안을 내놓았다. 주민번호와 이름 등을 삭제하고 가상 문자로 대체함으로써 누군지 알아볼 수 없도록 하는 수법으로 가명 정보를 당사자 동의 없이 데이터를 분석 활용할 수 있다는 데 초점을 맞춘 것이다. 이는 4차 산업혁명이라 불리는 미래 먹거리가 아니라 생존 경쟁에 꼭 필요한 산업이라 할 수 있는 인공지능(AI), IoT, 바이오, 로봇 등 빅데이터 분석을 통해 기초가 이뤄지는 기술을 염두에 뒀다.

그러나 현실은 규제에 막혀서 산업을 성장시킬 수 없는 한계에 부닥쳐 있다. 한계를 극복하기 위해 늦었지만 정부가 나서서 규제 완화 칼을 빼든 것에 두 손 들어 환영한다. 이를 악용해 개인 신상 정보가 유출되는 사고가 발생한다면 관련법에 따라 엄중한 처벌이 뒤따라야 할 것이다. 끊임없이 이어지는 정보 유출은 국가 산업은 물론 개인에게도 재정 및 정신에 엄청난 손실을 초래한다.

현행법에 따르면 처벌 규정이 다른 주요 나라와 비교했을 때 너무 약하다. 개인정보를 당사자 동의 없이 유출했다가 법에 저촉되면 기업이 파산해야 할 정도의 과징금과 처벌을 피할 수 없는 게 미국과 유럽 등 주요 국가들이다. 이에 반해 우리나라는 과징금 상한액이 5000만원 미만이고, 그나마 이를 적용해서 처벌하는 일도 미미하다. 이에 따라서 관련법을 위반하면 형사 처벌이나 과징금 한도를 미국이나 유럽 주요 국가 수준으로 상향 조정, 더욱 강화된 처벌 규정이 이번 규제혁신안에 포함되기를 기대한다.

개인정보 보호에는 다음과 같은 단계별 관리가 필요하다. 개인정보에는 우선 '수집' 단계가 있고, 이를 '보유'하고 '활용'하고(출력 포함) '파기'하는 등 4단계가 있다. 각 단계에서는 보안 조치가 필요하다. 수집 단계에서는 당사자 동의가 명확해야 하고, 사용처 동의도 분명해야 한다. 보유와 활용 단계에서는 보유 및 활용 목적을 명확히 하고, 반드시 개인정보 당사자에게 알려야 한다. 문제는 파기 방법과 절차다. 파기 방법 및 절차가 모호하고 불분명해서 파기돼야 할 개인정보 출력물이 유출되는 사고가 전체 사고에 30% 이상을 차지하고 있는 것이 심각한 문제다.

현행법상 개인정보는 보유 기간이 경과하면 목적 달성 후 닷새 이내에 파기 관리 대장을 작성해서 파일 명칭, 파기 방법 등을 기재하고 개인정보 보호책임자 승인을 받아 파기해야 한다. 파기한 개인정보는 복원이 불가능하도록 조치해야 하고, 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인해야 한다고 명시돼 있다.

그러나 파기돼야 할 문서는 매년 유출되고, 이에 따르는 2차 피해가 발생되고 있다. 파기 문서 유출을 해결하는 기술 방안에 관해 연구하고 논의해야 하는 시점에 와 있다. 지금 기술로도 얼마든지 해답을 찾을 수 있다. 문제 본질은 두 가지로 압축할 수 있다. 하나는 기한 내에 파기돼야 할 문서가 이미 출력된 문서(원본)인지 확인해야 한다. 두 번째는 개인정보 책임자가 파기 후 파기 내용을 확인해야 한다. 불행히 두 사안은 사람에게 의존하는 한계가 있다. 이에 따라서 사람이 아닌 기계를 이용해서 원본을 확인해서 파기를 즉시 자동 처리하고 관리 등록하며 복원되지 않도록 하는 등 얼마든지 기술을 적용할 수 있다.

그동안 종이문서 파기 기술 관리 방법이 없었다. 최근 기술 발전으로 인해 정보 유출 사각지대로 남아 있던 종이문서 유출을 방지할 수 있는 새 기술에 관심이 필요한 시점이다. 정보 유출은 국가와 기업의 경쟁력을 떨어뜨리고 국민의 자유 및 권리를 빼앗아서 삶의 질을 떨어트릴 수 있는 심각한 문제임을 알아야 한다.

박기오 벤처협회 ICT벤처포럼 의장 pko@welgate.com