로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    CPO가 개인정보처리의 마에스트로가 되어야 하는 이유

    페이지 정보

    profile_image
    작성자 김형준
    작성일Date 21-05-07 13:20

    본문


    안랩 김형준 서비스사업부문장


    요새 유튜브 클래식 연주 동영상에서 심심치 않게 눈에 띄는 아마추어 지휘자가 있다. 개그맨 출신 김현철씨가 그 주인공이다. 1996MBC공채 개그맨으로 데뷔했던 그는 클래식 음악 애호가로도 꽤 알려져 있었는데 본업에서 멀어진 후 아예 클래식 지휘자로 나서게 되었다. (그의 표현을 빌면 정식 지휘자와는 격이 다를 수밖에 없기에 지휘 퍼포먼서로 불러달라고 한다.) 전공자들로부터도 꽤 한다는 소리를 듣고 연주회 티켓 파워도 좋은 그가 지휘자라는 호칭에 몸을 사리는 이유는 오케스트라 지휘자가 그만큼 대단한 전문가이기 때문이다. 오케스트라는 단원 수가 적은 쳄버 오케스트라부터 100여명에 이르는 심포니 오케스트라까지 규모가 다양하지만, 지휘자는 단 한 명이며 임무와 책임 또한 동일하다. 연주하고자 하는 음악의 흐름과 목적에 맞게 각 파트를 조율하는 일-그것이 지휘자의 주요 임무다. 오케스트라 지휘자는 모든 악기의 악보를 알고 외우고 있고 본인의 의도에 따라 해석하며 연주자의 소리를 듣고 자기가 의도한 흐름에 맞도록 통제를 한다.


    개인적으로, 한 기업의 개인정보보호책임자(CPO)는 오케스트라 지휘자와 비슷하다는 생각을 종종 하곤 한다. 전체를 아우르는 목적을 갖고 조직의 여러 파트를 조율하는 책임은 CEOCIO도 마찬가지 아니냐 하겠지만, CEOCIO는 어떤 체계를 관리할지언정 특정한 데이터의 흐름을 통솔한다고 보긴 어렵다. 그에 반해 CPO는 기업의 모든 업무와 시스템에서 처리되는 개인정보 흐름을 파악하고 관리한다는 점에서, 오케스트라 지휘자가 각 악기 파트에서 처리되는 음계를 통제하는 일과 비슷하다고 보는 것이다. 이렇게 비유한다고 해서 정말 각 기업의 CPO가 개인정보 현황을 다 이해하고 잘 통제하느냐 하면 반드시 그렇다고 볼 수는 없다. 모든 지휘자가 음악을 꿰뚫고 전체 연주를 잘 끌어가는 것은 아니 듯, 기업의 개인정보보호 책임자 역시 개인정보 흐름을 세세히 알고 있지 못한 경우가 흔하기 때문이다.


    어떤 기업을 방문해 본다고 치자. (이 글을 읽는 독자분의 기업이라 상상해 보시라) 전산실을 찾는다. DBA를 인터뷰 하면서 메인 DB의 테이블 명세를 보여달라고 요청해 본다. DBA에게 물어보자. ‘DB에 저장된 테이블들이 어떤 용도이며 개인정보로 볼 수 있는 속성은 무엇인가요? DBA가 뭐라 대답할 듯 싶은가? 필자가 만나본 DBA들이 대부분 하는 답변은 나는 DB 시스템을 관리하는 사람일 뿐이며 테이블 명세를 파악할 이유는 없다. 그런 건 개발자에게 물어보라라는 것이었다. 그렇다면 개발자를 만나보자. 그는 뭐라고 할까? ‘내가 개발한 시스템에 관련된 DB 스키마에 대해서는 알고 있지만 다른 테이블에 대해서는 그걸 만든 개발자한테 물어봐야 한다라고 말할 가능성이 높다. 그렇게, 한 기업의 DB 테이블 명세는 그걸 개발한 팀 또는 사람을 일일이 찾아다니며 파악해야만 대충 윤곽이 나온다. 개인정보가 저장된 데이터베이스 하나만 보았을 때도 전체를 아는 사람은 없고 그것이 대부분 기업 현실에 가깝다.


    그렇다면 개발 파트로 가보자. 개발자는 DB스키마를 설계할 때 개인정보호법이나 정보통신망법, 신용정보보호법을 두루 숙지하고 설계할 것인가? SMS문자를 보낼 때 송신 이력에 남는 수신인 휴대폰번호를 개인정보라고 이해하고 있을까? 그것이 개인정보라면 보관 기간은 얼마로 설정할까? 어플리케이션에서 현업 담당자들 편의를 위해 엑셀로 DB 레코드를 다운받게끔 클릭 버튼을 화면마다 만들어두었는데, 그 기능을 써서 다운로드가 가능한 모든 개인정보취급자들이 망분리 대상이 되어버린다는 사실을 인지하고 있을까? 아니, 더 원초적인 질문을 해보자. 개발을 순수하게 내부 인력으로만 하는가? 외주를 주고 있진 않나? 큰 기업의 정직원이라면 개인정보보호 교육을 1년에 한두차례라도 심도있게 받았을테지만, 오픈 일정에 급급한 외주업체 개발자, 프리랜서가 개인정보보호법 교육을 그리 잘 받고, 이해하고, 법을 고려하면서 개발할 것인가?


    IT의 핵심인 DB와 개발자 업무만 들여다봐도 개인정보를 법 기준에 맞춰서 어떻게 다루고 있는지 잘 파악이 되질 않는다. 현업까지 가면 그 때는 정말 아사리판일 수 있다. 개인정보 담당 부서에서는 뭔 법이니 처벌이니 하면서 뭘 하라 하지마라 잔뜩 요구하는데, 그 하지 말라는 일들이 모두, 업무에는 지장을 초래하는 것들이다. 예전에 찾아본 한 공공기관은 민원인 대응 시 화면 조회 때마다 조회 목적을 일일이 입력해야 하는데, 하루에 민원이 800건이 넘고 그 때마다 일일이 같은 내용을 넣느라 짜증난다는 담당자 푸념을 들은 일이 있다. 데이터보호를 위한 DRM과 암호화는 평소에도 적용해 놓아야 목적에 맞지만, 그렇게 하면 업무할 때 파일별로 DRM과 암호를 해제하고 승인받느라 지장이 많기 때문에 평소에는 아예 해제해 놓고 쓰다가 보안감사 전에만 설정한다는 담당자도 본 경우가 있었다. 현업의 이런 개인정보 처리 상황을 알고 있는 CPO도 있겠고, 모르는 사람도 없진 않을 것이다.


    IT 개발, DB, 시스템운영, 수많은 현업에서 발생하는 개인정보 처리 현황과 이슈를 다 파악하고 통제하기는 힘들다. 오케스트라로 치면 각 악기의 조율도 안되고 지휘도 안되는 상황이다. 그러나 더 중요한 것은, 그 조율과 통제의 힘든 일을 본인의 책임으로 알고 수행하는 한 사람이 과연 있는가 하는 점일 것이다. 오케스트라에는 그런 존재가 있다. 그는 지휘자로 불리며, 연주의 모든 소리를 듣고 문제를 이해하고 통제함으로써 단원들의 존경과 순응을 얻어낸다. 기업의 개인정보처리도 오케스트라와 유사하다. 개인정보라는 음계가 모든 시스템과 데이터베이스, 프로그램 코드와 개발 프로세스, 현업의 업무 처리 과정에 녹아 있고, 생성과 사멸의 흐름을 갖는다. 개인정보를 다루는 모든 조직 역시 지휘자가 존재한다. 이제 우리는 그를 어떻게 부르는지 알고 있다. 그는 개인정보보호책임자이며, CPO로도 불리며, 조직 각 파트가 어우러진 개인정보처리라는 연주를 이끌어가는, 마에스트로임을.


    같은 조직에서 친구를 얻기는 쉽지 않고 적을 만들기는 쉬운, 노고는 크지만 칭찬받기는 쉽지 않고, 잘 하면 당연하지만 조금의 실수라도 하면 지탄 받는 줄타기를 하는, 모든 CPO님들께 경애와 존경의 념을 전하며 글을 맺는다.