[헤럴드시사] 고도화된 ‘데이터 시대’, 실질적 정보보안제 논의돼야

데이터의 시대다. 인터넷통신망의 확대와 검색엔진의 등장을 통해 데이터에 대한 접근 및 활용이 크게 확대됐다. 이러한 경향은 데이터센터 및 클라우드라는 인프라를 통해 그리고 모바일 및 스마트기기 등 다양한 정보통신기기를 통해 더 가속화되고 있다. 소셜네트워크나 콘텐츠 공유 플랫폼의 등장으로 누구나 데이터를 생산하고 공유할 수 있게 됐고, 인공지능(AI)과 데이터 분석기술의 발전은 데이터가 다양한 형태와 목적으로 활용될 수 있는 기반을 제공하고 있다. 최근 폭발적인 관심을 받는 AI 기반 챗봇은 이용자의 질문을 분석하고 관련된 데이터를 검색 및 가공해 제공하는 단계에 이르렀다.

데이터들은 그 처리 및 이용 과정에서 침해 위험에 노출된다. 다양한 매체를 통해 수집되고 전송되는 과정과 서버나 매체에 저장되고 유지되는 기간에도 그러한 위험은 항상 도사리고 있다. 수많은 이용자의 개인정보가 외부 해커에 의해 혹은 관리 미비로 인해 유출되는 데이터 침해 사고는 우리나라뿐 아니라 세계적으로도 다수 발생했다. 디도스나 랜섬웨어 등 사이버 공격으로 서버가 다운되고 서비스가 중단된 사례도 적지 않다.

고도화된 데이터 시대에 데이터 생성과 접근 및 이용이 질적·양적으로 확대될수록 보안 위험은 더 증가한다. 다양한 경로와 방식으로 데이터가 수집되고 전송되면서 보호 조치들에 허점이나 결함이 발생하거나 이를 우회한 접근에 취약해지는 경우가 드물지 않다. 데이터 처리 규모와 이용 범위가 확대될수록 보안 사고로 인해 발생하는 피해는 걷잡을 수 없이 커진다. 기업은 제공하고 있는 서비스의 중단 및 관련된 데이터 유출이나 침해에 대해 막대한 배상 책임을 부담하게 될 수 있다. 이용자 등의 데이터 소유자들은 데이터의 성격에 따라 금전적으로 회복할 수 없는 피해를 보기도 한다.

정보보안 확보를 위해서 사업자들을 비롯한 데이터 처리자의 자발적인 노력이 핵심이다. 하지만 이를 위한 법적·제도적 기준과 장치 역시 중요하다. 이를 통해 관련 사업자들은 데이터 처리를 위해 필요한 최소한의 요건을 인식하고 이를 갖출 수 있다. 또한 정보보안 사고가 발생했을 때 사업자나 서비스 제공자가 사고를 방지하기 위한 합리적인 조치를 충분히 취했는지 판단하는 중요한 기준이 되기도 한다. 이를 통해서 정보보안 리스크에 대한 예측 가능성을 제공한다는 점은 지속적인 산업발전 측면에서도 중요하다.

우리 법은 정보보안과 관련된 다양한 제도와 장치를 마련하고 있다. 정보통신망법은 일정 매출, 이용자 규모 이상의 서비스를 제공하는 사업자가 해당 서비스를 제공하기 위해 운영하는 정보보호 처리 시스템인 ‘정보보호 관리 체계(ISMS)’에 일정한 관리적·기술적·물리적 보호 조치를 갖추도록 요구하고 있다. 또한 이에 대해 보안 인증을 받도록 요구하고(제47조), 보안 사고 발생 시에 신고 및 조치 의무를 규정하고 있다(제48조의2). 개인정보 보호법은 개인정보 침해 등을 방지하기 위한 기술적·관리적 보호 조치 및 안전성 확보 조치를 고시를 통해 상세히 제시하고(제29조), 개인정보 유출 시 해야 하는 대응 조치를 규정하고 있다(제34조, 제39조의4).

데이터산업이 확대되고 발전할수록 정보보안에 대한 법적·제도적 장치도 계속 보완 및 개선해야 한다. 특히 정부가 특정 보안기술이나 방식의 적절성을 일률적으로 평가하고 요구하는 방식은 지양하거나 최소화될 필요가 있다. 어떤 보안 조치가 정보보호를 위해서 가장 효과적이고 적절한지 평가하고 판단할 수 있는 주체는 사업자와 현업의 정보보안 담당자들이기 때문이다. 다양한 정보보호 및 보안기술을 포용하면서 이를 도입하는 사업자의 조치와 노력을 지원하고 유도하는 방식으로 실질적인 정보보안제도가 논의되기를 기대한다.

노태영 김앤장 법률사무소 변호사

jakmeen@heraldcorp.com