개인정보보호 국가자격증 추진, DPO 활성화 변수 되나

GDPR 핵심인 DPO, 사내 법률전문가 중심으로 DPO 임명중
KISA가 추진하는 개인정보보호 분야 국가자격증, DPO 임명요건 반영될 수 있나

[보안뉴스 원병철 기자] EU의 개인정보보호법으로 불리는 GDPR(General Data Protection Regulation)이 시행된지 벌써 1년이 다 되어 간다. GDPR은 최대 2,000만 유로(4일 기준 약 261억원) 또는 전 세계 매출액의 4% 중 높은 금액을 과징금으로 부과하는 조항 때문에 EU 내 기업은 물론 EU 국민들이 이용하는 해외 기업들 모두에게 초유의 관심사가 됐다.

[이미지=iclickart]

GDPR의 핵심조항, DPO
벌금 못지 않게 이슈가 됐던 조항 중 하나가 바로 DPO(Data Protection Officer) 임명이다. DPO는 기관·기업의 개인정보보호를 위해 직접 정책 등을 컨트롤하고 관리하는 것은 물론, 관련 정보와 조언을 제공해야 한다. 또한, GDPR과 국가별 관련법의 준수 여부를 모니터링하고 보호책임을 할당하는 한편, 인식 제고와 교육 및 훈련을 실시해야 한다. 특히, DPO는 강력한 업무 독립성을 가지며, 업무로 인한 불이익을 받지 않아야 한다.

EU 국민의 개인정보를 처리하는 기관과 기업은 반드시 DPO를 선정하고 EU에 신고해야 하기 때문에 많은 기업들이 DPO를 찾았지만, 개인정보보호 지식은 물론 EU의 법률에도 능통한 사람을 찾기 쉽지 않아 큰 고민거리로 떠올랐다. 실제로 페이스북 등 글로벌 기업조차 DPO를 찾지 못해 큰 이슈가 되기도 했고, 국제프라이버시전문가협회(IAPP)는 유럽 내에서만 최소 2만 8,000명의 DPO가 필요할 것이라고 발표하기도 했다.

GDPR 시행과 함께 DPO는 CISO와 함께 정보보호 담당자가 올라갈 수 있는 또 다른 최고전문가로 기대가 커졌다. 하지만 개인정보보호 관련 지식은 물론 EU의 GDPR을 포함한 각종 법률에 정통해야 하기 때문에 기존 CISO나 CSO 역시 감당하기 쉽지 않을 것으로 내다봤다. 게다가 GDPR이 DPO의 독립성을 강조한 만큼 기업 내부보다는 외부의 전문가, 즉 GDPR과 EU 관련 법률에 정통한 변호사들을 중심으로 DPO를 채용할 것으로 예상했다.

이와 함께 발 빠른 몇몇 업체들은 이른바 ‘서비스형 DPO’를 표방하면서 사이버 보안 및 리스크 완화 전문 변호사들로 팀을 꾸려 서비스를 제공하기도 했다.

그런데 GDPR 시행 1년이 지난 지금, 처음 예상과는 다르게 DPO가 임명되고 있다. 유럽에서 진행된 DPO 관련 조사에서, 내부 직원을 DPO로 지정한 기업이 92%였고, 외부계약을 통한 DPO 지정은 겨우 8%로 조사됐다. 이와 관련해 관계자들은 현실적으로 최적의 조건을 갖춘 DPO를 바로 임명하기 어려운 만큼 내부 직원을 중심으로 DPO를 임명하고, 추후 상황에 따라 외부 DPO나 현지 법률사무소의 도움을 받는 방향을 선택한 것으로 봤다.

현재 국내 기업 가운데 GDPR에 가장 적극적으로 대응하고 있는 것으로 알려진 네이버 역시 내부인사를 DPO로 임명했다. 네이버 이진규 DPO는 “저는 CISO 출신이지만, 많은 국내 기업이 법률전문가를 DPO로 임명한 것으로 알고 있다”며, 국내 DPO 임명 현황에 대해 설명했다. 보안전문가들에 따르면 삼성과 LG, 카카오 등 기업에서는 법률부서에서 DPO를 맡았으며, 현대캐피탈은 현지 로펌을 통해 DPO를 임명한 것으로 알려졌다.

이진규 DPO는 “DPO 지정요건에 해당업무의 지식과 전문성, 독립성, 이해와 충돌의 방지 등 3개가 핵심인데, 내부에서 선발할 경우 이 요건을 모두 검토해서 문서화해야 한다”고 강조했다. “특히, EU 개인정보와 관련된 사고가 발생했을 경우, 독립성과 이해와 충돌의 방지 등 2가지 요건은 벌금 등 제재에 중요하게 작용할 것입니다. 다만 현재 GDPR에서는 DPO 보다는 다른 항목에 초점을 맞추고 있어 조용한 상황이라고 할 수 있습니다.”

예를 들면, 최근 네덜란드에서 구글의 위치정보에 대한 실태조사에 나서면서 엄청난 분량의 관련 문서를 요구한 것으로 나타났다. 실제로 위치정보를 개인정보와 민감정보로 봐야할 것인지에 대한 판단을 위해 관련 규정 문서 등 세세한 항목까지 요구한 것으로 알려졌는데, 이진규 CISO는 “결국 문서화, 즉 객관적 입증을 위한 증거자료가 핵심”이라고 판단했다. “DPO를 지정할 때, 왜 해당 인력을 DPO로 지정했는지에 대한 객관적인 자료와 DPO 업무시 개인정보 처리활동에 대한 기록문서 등 관련된 자료를 모두 문서화해서 준비해야 합니다.”

개인정보보호 분야 국가자격증 추진하는 KISA, 국내 기업 DPO 임명에 영향 미치나
한편, 국내에서는 KISA를 중심으로 ‘개인정보보호 분야 국가자격증’을 추진하고 있다. 일명 DPO 자격증이라 불리는 이 자격증은 국내에서도 DPO와 같은 개인정보보호 전문인력의 양성 필요성과 지정 여부 등을 공식 논의하자는데 초점을 맞췄다. 즉, GDPR의 DPO를 위한 자격증이 아닌, 우리나라 개인정보보호 전문가를 위한 국가자격증이라 할 수 있다. 그럼에도 향후 추진되는 개인정보보호 국가자격증이 DPO에서 요구하는 임명요건을 어느 정도 반영할 수 있을지도 관심사가 되고 있다.

이미 국회 과방위 소속 이상민 의원이 개인정보보호 분야 국가전문자격 시행 근거 마련을 위한 법률 발의안을 상정해 계류 중이며, 2019년 3월 과방위 전문위원 검토결과 국가차원의 자격제도 신설이 타당하다는 공식 의견을 받은 만큼 앞으로 적극 추진될 것으로 보인다. KISA는 개인정보보호 국가자격제도 운영을 위한 검정체계 및 교육 프로그램 등을 개발하는 한편, 국내 기업의 DPO 임명현황 등 환경 조사에 나선 것으로 알려졌다.

이러한 국가자격증 신설 움직임은 DPO는 물론 GDPR 대응 자체에 관심이 시들해진 국내 기업들에게 좋은 자극이 될 것으로 보인다. 실제 대기업을 제외하고 많은 기업들이 DPO를 비롯한 GDPR에 대응하지 못하고 있는 분위기인데, 이는 EU를 비롯한 해외에서도 DPO보다는 GDPR 위반과 고발에 초점을 맞춰 움직이고 있기 때문이다. 게다가 2018년 7월 우리나라와 함께 적정성평가를 준비하던 일본이 먼저 통과된 이후, 국내에서 GDPR에 대한 관심 자체가 시들해진 상황이다.

이처럼 DPO는 개인정보보호와 관련된 정보보호 지식과 경험은 물론 관련법에 정통해야 하기 때문에 전문가를 쉽게 찾기 어려운 것은 물론, 국내외 사정상 DPO 임명에 적극적이지도 않다. 하지만 GDPR의 강력한 제재가 언제든 DPO나 한국기업으로 향할 수 있는 만큼 관련 기관과 기업들의 적극적인 대응이 요구된다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)