2020.08.18

강은성의 보안 아키텍트ㅣCPO, DPO, K-DPO?··· CPO에 대한 체계적인 교육과 지원이 필요하다

강은성 | CIO KR
지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다. 
 
ⓒGetty Images

개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다. 

2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다. 

하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다.

개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다.

개인정보보호법 제31조, 시행령 제32조
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기
10. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고


개인정보보호 계획의 수립과 시행, 내부통제시스템의 구축, 개인정보에 대한 안전조치, 개인정보 처리방침의 수립과 시행, 개인정보 파기 등 개인정보보호 업무 전반을 수행하는 책임뿐만 아니라 개인정보 처리 실태의 조사와 개선, 개인정보보호 자료 관리, 수탁자를 포함한 개인정보보호 교육, 심지어 고객 불만 처리와 개인정보 사고가 터졌을 때 형사적 책임에 이르기까지 CPO는 기업의 개인정보보호에 관해 거의 모든 책임을 진다.

GDPR에서 규정한 DPO의 업무는 다음과 같다.

GDPR 제39조
(1) GDPR 등 개인정보보호 법규의 의무 수행에 관하여 개인정보 처리 사업자와 직원에게 고지와 조언
(2) GDPR 등 개인정보보호 법규, 회사 정책을 잘 준수하는지 모니터링
(3) 요청이 있으면 개인정보 영향평가에 관해 조언하고 잘 수행하는지 모니터링
(4) 감독기구와의 협력
(5) 사업자 내에서 감독기구와의 창구 역할


회사에서 급여를 받으면서 수행 책임은 전혀 없고 ‘고작' 고지와 조언, 잘하는지 모니터링, 심지어 감독 당국과의 창구 역할과 협력을 하는 것이 주 업무라니! DPO는 국내 법령과 기업 환경에 전혀 맞지 않는 직책이다. DPO를 도입하려면 국내에 개인정보보호법 대신에 GDPR을 적용해야 한다. 이런 상황에서 작년부터 K-DPO라는 용어가 들린다. ‘K’에 어떤 내용이 포함되어 있는지 불분명하지만, DPO의 의미는 명확해서 국내 현실에서 작동할 수 있는 직책일지 의문이다. 

DPO는 전문성이 있는데 CPO는 전문성이 부족하다는 주장 또한 맥락을 살펴야 한다. GDPR에서 규정한 DPO의 자격요건이 DPO의 업무를 수행하기 위한 것인 것처럼 CPO의 자격요건 역시 개인정보보호법에서 정한 업무를 수행하기 위한 것이다. 

즉 CPO는 개인정보보호에 관한 법규와 정책, 보안 기술, 기획과 관리, 조사, 고객 대응이라는 광범위한 분야의 전문성을 갖춰야 하는데, 그런 인력이 한 기업에 (아니 우리나라에) 얼마나 있는지 모르겠다. 

더욱이 대다수 CPO는 다른 업무를 주 업무로, 개인정보보호 업무를 부 업무로 겸한다. 개인정보보호법에서 CPO의 자격요건을 임원으로 한 것은 그래서 적절하다. 아무리 법적 전문성이 있다 하더라도 기업 내 위상과 권한이 없다면 CPO 업무를 제대로 수행하기 어렵다. 

하지만 임원 요건만으로는 충분하지 않다. CPO와 개인정보보호 조직의 기업 내 위상과 권한을 높이고, CPO의 역량과 경험을 강화하는 데 정부는 좋은 역할을 할 수 있다. 

악마가 디테일에 있다면 천사도 디테일에 있다. 인터넷 게시판에 올린 교육 자료, 실무자들과 함께 모아 놓고 하는 교육은 효용성이 떨어진다. 일면 비슷해 보이는 교육도 누구의 관점에서 하느냐에 따라 결과가 다르다. 

공급자가 아닌 수요자(개인정보처리자), 실무자가 아닌 임원급 책임자, 기술 역량이 부족한 개인정보 안전조치의 책임자, 맡은 다른 업무보다 적은 시간을 배정하고 있는 겸직자, 개인정보보호 거버넌스의 수립과 운용 책임자 관점의 교육이 효과가 있다. 보호위에서 이러한 내용을 포함해 CPO 지원을 위한 종합적인 계획을 세워 몇 년에 걸쳐 추진하면 좋겠다. 

CPO에 대한 사회적 인식의 변화도 필요하다. 기업에서 CPO는 적은 시간과 권한을 가지고 개인정보보호를 위해 일한다. 개인정보를 활용하는 영업이나 마케팅, 사업부서에서 CPO를 겸하는 경우는 그리 많지도 않고, 바람직하지도 않다. 

따라서 다수 CPO의 핵심 과제는 개인정보의 활용이 아니라 보호다. 보호위가 개인정보(데이터)의 활용과 보호를 함께 하겠다고 밝혔지만, 활용은 법적 틀만 잘 갖추면 기업에서 알아서 열심히 할 분야이므로, 더 적극적으로 힘을 쏟아야 할 부분은 개인정보의 보호이다. 갓 출범한 보호위에 꼭 전하고 싶은 말이다. 


*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털 회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr


 



2020.08.18

강은성의 보안 아키텍트ㅣCPO, DPO, K-DPO?··· CPO에 대한 체계적인 교육과 지원이 필요하다

강은성 | CIO KR
지난 8월 5일 통합 개인정보보호법과 통합 개인정보보호위원회(이하 보호위)가 출범했다. 개인정보보호 분야에서 일하는 사람으로서 기대가 크다. 그동안 별로 다르지 않았던 정보통신망법과 개인정보보호법, 방송통신위원회와 행정안전부의 고시, 해설서, 가이드와 교육 자료, 보도자료, 게시판, 행정처분과는 법 적용이 다른 수사기관 수사와 법원 판결, 서로 다른 규제기관과 사람들… 2011년 개인정보보호법이 제정되면서 개인정보 보호를 규율하는 두 개의 법률, 두 개의 소관 부처가 있어서 발생했던 비효율을 해소할 수 있는 계기가 마련됐다. 아직 갈 길이 남아 있지만 말이다. 
 
ⓒGetty Images

개인정보 보호를 책임지는 중앙부처가 된 만큼 보호위가 당면한 과제는 많겠지만, 필자는 특히 보호위가 개인정보보호책임자(CPO)의 체계적인 교육과 지원에 나서야 한다고 생각한다. 법률에 모든 개인정보 처리 사업자(개인정보처리자)의 개인정보 보호 의무와 강력한 제재를 규정하고 이 의무를 수행할 책임을 CPO에 부과했기 때문이다. 개인정보보호법 제13조에서 정한 개인정보처리자의 개인정보보호 활동에 대한 지원 중 가장 필요한 일이다. 

2018년 5월 유럽연합에서 GDPR(General Data Protection Regulation)이 시행된 이후 정부 안팎의 개인정보보호 관련 회의 자리에 가면 GDPR이 자주 거론된다. 인권과 개인정보 보호에 관한 풍부한 역사를 가진 유럽연합의 법규와 경험은 참고할 만하다. 

하지만 DPO(Data Protection Officer)에 이르면 이야기가 달라진다. CPO와 DPO는 위상과 역할, 업무가 전혀 다르기 때문이다. 이제 좀 국내에도 알려지긴 했지만 CPO와 DPO는 개인정보보호 법규에 나오는 개인정보보호 관련 직책이라는 것 이외에 비슷한 점이 별로 없다.

개인정보보호법에서는 CPO를 “개인정보의 처리에 관한 업무를 총괄해서 책임”(제31조)지는 직책으로 규정한다. CPO의 업무 또한 상세하게 기술해 놓았다.

개인정보보호법 제31조, 시행령 제32조
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유 기간이 지난 개인정보의 파기
10. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고


개인정보보호 계획의 수립과 시행, 내부통제시스템의 구축, 개인정보에 대한 안전조치, 개인정보 처리방침의 수립과 시행, 개인정보 파기 등 개인정보보호 업무 전반을 수행하는 책임뿐만 아니라 개인정보 처리 실태의 조사와 개선, 개인정보보호 자료 관리, 수탁자를 포함한 개인정보보호 교육, 심지어 고객 불만 처리와 개인정보 사고가 터졌을 때 형사적 책임에 이르기까지 CPO는 기업의 개인정보보호에 관해 거의 모든 책임을 진다.

GDPR에서 규정한 DPO의 업무는 다음과 같다.

GDPR 제39조
(1) GDPR 등 개인정보보호 법규의 의무 수행에 관하여 개인정보 처리 사업자와 직원에게 고지와 조언
(2) GDPR 등 개인정보보호 법규, 회사 정책을 잘 준수하는지 모니터링
(3) 요청이 있으면 개인정보 영향평가에 관해 조언하고 잘 수행하는지 모니터링
(4) 감독기구와의 협력
(5) 사업자 내에서 감독기구와의 창구 역할


회사에서 급여를 받으면서 수행 책임은 전혀 없고 ‘고작' 고지와 조언, 잘하는지 모니터링, 심지어 감독 당국과의 창구 역할과 협력을 하는 것이 주 업무라니! DPO는 국내 법령과 기업 환경에 전혀 맞지 않는 직책이다. DPO를 도입하려면 국내에 개인정보보호법 대신에 GDPR을 적용해야 한다. 이런 상황에서 작년부터 K-DPO라는 용어가 들린다. ‘K’에 어떤 내용이 포함되어 있는지 불분명하지만, DPO의 의미는 명확해서 국내 현실에서 작동할 수 있는 직책일지 의문이다. 

DPO는 전문성이 있는데 CPO는 전문성이 부족하다는 주장 또한 맥락을 살펴야 한다. GDPR에서 규정한 DPO의 자격요건이 DPO의 업무를 수행하기 위한 것인 것처럼 CPO의 자격요건 역시 개인정보보호법에서 정한 업무를 수행하기 위한 것이다. 

즉 CPO는 개인정보보호에 관한 법규와 정책, 보안 기술, 기획과 관리, 조사, 고객 대응이라는 광범위한 분야의 전문성을 갖춰야 하는데, 그런 인력이 한 기업에 (아니 우리나라에) 얼마나 있는지 모르겠다. 

더욱이 대다수 CPO는 다른 업무를 주 업무로, 개인정보보호 업무를 부 업무로 겸한다. 개인정보보호법에서 CPO의 자격요건을 임원으로 한 것은 그래서 적절하다. 아무리 법적 전문성이 있다 하더라도 기업 내 위상과 권한이 없다면 CPO 업무를 제대로 수행하기 어렵다. 

하지만 임원 요건만으로는 충분하지 않다. CPO와 개인정보보호 조직의 기업 내 위상과 권한을 높이고, CPO의 역량과 경험을 강화하는 데 정부는 좋은 역할을 할 수 있다. 

악마가 디테일에 있다면 천사도 디테일에 있다. 인터넷 게시판에 올린 교육 자료, 실무자들과 함께 모아 놓고 하는 교육은 효용성이 떨어진다. 일면 비슷해 보이는 교육도 누구의 관점에서 하느냐에 따라 결과가 다르다. 

공급자가 아닌 수요자(개인정보처리자), 실무자가 아닌 임원급 책임자, 기술 역량이 부족한 개인정보 안전조치의 책임자, 맡은 다른 업무보다 적은 시간을 배정하고 있는 겸직자, 개인정보보호 거버넌스의 수립과 운용 책임자 관점의 교육이 효과가 있다. 보호위에서 이러한 내용을 포함해 CPO 지원을 위한 종합적인 계획을 세워 몇 년에 걸쳐 추진하면 좋겠다. 

CPO에 대한 사회적 인식의 변화도 필요하다. 기업에서 CPO는 적은 시간과 권한을 가지고 개인정보보호를 위해 일한다. 개인정보를 활용하는 영업이나 마케팅, 사업부서에서 CPO를 겸하는 경우는 그리 많지도 않고, 바람직하지도 않다. 

따라서 다수 CPO의 핵심 과제는 개인정보의 활용이 아니라 보호다. 보호위가 개인정보(데이터)의 활용과 보호를 함께 하겠다고 밝혔지만, 활용은 법적 틀만 잘 갖추면 기업에서 알아서 열심히 할 분야이므로, 더 적극적으로 힘을 쏟아야 할 부분은 개인정보의 보호이다. 갓 출범한 보호위에 꼭 전하고 싶은 말이다. 


*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털 회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr


 

X