[e터뷰]김승주 교수 “데이터3법, 개인정보 등급 분류가 먼저”
by이후섭 기자
2020.06.10 15:09:57
모든 보안의 기본은 데이터 분류부터…“등급별로 보안수준 차등 적용해야”
국내 망분리 규제로 재택근무 `어불성설`…외국은 7개까지 세분화
“사용 편의성 담보되지 않는 보안은 의미없어”
| 김승주 고려대학교 정보보호대학원 교수가 9일 이데일리와의 인터뷰에서 데이터 3법 이슈 등에 대해 설명하고 있다.(사진=이후섭 기자) |
|
[이데일리 이후섭 기자] “데이터3법 시행 이전에 개인정보를 중요도에 따라 분류하고, 등급에 따라 정보보호 기준을 차등해서 적용해야 한다.”
김승주 고려대학교 정보보호대학원 교수는 지난 9일 이데일리와의 인터뷰에서 “4차 산업혁명 시대에서 가장 근본이 되는 것은 데이터 분류 작업이고, 이를 기반으로 보안 정책을 수립해야 한다”고 강조했다.
오는 8월 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법) 시행을 앞두고 가명처리 방법 및 절차, 가명정보 활용 범위 등에 대한 논란이 거세다. 특히 개인정보보호법 시행령의 모호한 가명정보 정의 및 민감정보 활용 여부를 명확히 규정하고, 가명정보 결합 절차를 간소화할 필요가 있다는 목소리가 높다.
김 교수는 가장 쟁점이 되는 가명정보의 비식별화 처리 문제를 논하기 전에 정보 분류가 먼저 이뤄져야 한다고 지적했다. 그는 “의료·금융·공공 정보 등으로 뭉뚱그려서 분류하고 있는데, 예를 들어 의료정보 내에서도 혈액형과 중병·수출 이력을 비교하면 중요도가 다르다”며 “개인정보도 중요도에 따라 등급이 나눠지고, 이에 따라 비식별화 처리나 결합 절차 등에 적용한 보안 수준이 다른데 이에 대한 구분 없이 논의하고 있으니 계속 평행선을 달릴 수 밖에 없는 상황”이라고 진단했다.
모든 보안 대책의 기본은 데이터 분류로부터 이뤄진다는 판단이다. 김 교수는 “데이터 중요도를 모르는데 어떻게 보안 대책을 수립하고 차등화시킬 수 있겠나”라며 “문서나 정보는 1급, 2급, 3급 등으로 구분하면서 대부분의 국내 기업들이나 기관에서 전산데이터는 중요도에 따라 등급을 분류하지 않고 있다”고 일침했다.
핀테크 업체들이 주장하고 있는 망분리 규제 완화도 같은 맥락이라는 설명이다. 망분리 규제는 금융회사 통신회선을 업무용 내부망과 인터넷용 외부망으로 분리하도록 하고 있는데, 핀테크 업계에서는 업무용 시스템이라는 모호한 범위를 명확히 규정하고 세분화해 망분리 대상을 다시 설정할 필요가 있다고 요구한다.
김 교수는 “현재와 같은 망분리 규제를 적용하면서 4차 산업혁명을 논하고, 재택근무를 한다는 것은 어불성설”이라며 “외국은 전산망이 등급별로 다 나눠있고, 이에 맞춰 PC를 7대까지 구분해 놓은 곳도 있다”고 말했다. 등급별로 세세하게 구분돼 있어 외국에서는 해킹 사고가 나도 데이터가 많이 유출되지 않을 수 있는데, 국내에서는 데이터가 섞여 있어 한번 사고가 나면 대형 사고로 이어질 수 있다는 설명이다.
그는 “데이터 분류 작업은 보안 대책의 근간으로, 시일이 많이 소요되겠지만 지금이라도 당장 시작해야 한다”며 “국가안보실에서 전체적인 체계나 분류 방안을 수립하고, 정부부처 시범 운영을 거쳐 전체로 확대하는 식으로 정부가 적극적으로 나서야 한다”고 촉구했다.
코로나19 여파로 재택근무가 확산되면서 화상회의 솔루션 등이 부각되고 있다. 특히 `줌(Zoom)`은 사용자가 일평균 2억명 이상으로 급증하면서 1분기 매출도 전년동기대비 169% 늘었지만, 잇단 보안사고로 논란이 됐다. 그럼에도 줌은 여전히 사용자들이 몰리며 화상회의 1인자 자리를 지키고 있다.
김 교수는 “사용자들이 줌을 쓰는 이유로 사용 편의성을 꼽고 있다. 보안 사고에도 줌이 1등을 고수하는 것은 사용 편의성이 보안성을 압도하고 있다는 것을 방증한다”며 “사용 편의성이 담보되지 않는 보안은 의미가 없어진다”고 진단했다.
앞으로도 IT 제품이나 솔루션의 편의성과 보안은 기업에게 계속된 화두로 자리할 전망이다. 김 교수는 “사용자 편의성을 높이면서도 보안을 강화할 수 있는 기술을 개발하면 좋겠지만, 현실적으로 두 문제는 상충되는 부분이 있다”며 “사용자 편의성을 높이는 대신 사고가 난다면 배상을 해주던가 아니면 다소 불편함이 생겨 고객이 줄더라도 보안을 강화할지 사이에서 비용 대비 효과를 따져 선택하는 것은 기업의 몫”이라고 판단했다.