현재 우리 사회는 디지털사회로의 진입이 가속화되고 있으며 인공지능, 빅데이터, 사물 인터넷, 5G는 일반인들에게도 익숙한 단어가 되었습니다. 매일 일상처럼 사용하는 디지털 정보는 누군가의 데이터베이스에 차곡차곡 정보로 축적될 것이고, 기업은 해당 정보를 기반으로 개인 맞춤화된 서비스를 제공하거나 빅데이터 분석을 통하여 마케팅, 홍보, 제품 개발 등에 활용하고 있습니다.
기업에게 중요한 자료가 되고 있는 이러한 정보의 활용은 기업의 ‘윤리’에 달려 있다고 할 수 있습니다. 정보를 전달받은 시점부터 어떻게 안전하게 저장하고 접근을 인가하며, 해당정보를 어떠한 방법으로 활용할 것인지는 기업의 몫이기 때문입니다. 물론 정보 주체자가 동의했다고 해서 이 정보가 기업의 자산이 되는 것은 아니며, 어디까지나 정보 주체자는 제공한 사람입니다. 그러므로 기업은 개인정보를 안전하게 보호해야 할 책임과 의무가 있습니다. 이것은 현 시대의 흐름, 즉 기업이 영속하기 위해서는 당연시 되어야 할 기업윤리의 하나가 된 것입니다.
기업은 현 디지털 시대에 정보를 기반으로 더욱 성장할 수 있는 발판이 될 수도 있지만, 그 반대에 처할 수도 있습니다. 즉, 데이터도 기업에 이롭게 사용하면 큰 득이 되지만 도덕적 해이(Moral Hazard)에 사용된다면 반드시 그 책임이 뒤따름을 잊지 말아야 합니다.
빠르게 성장하고 있는 디지털 시대에 맞춰 많은 나라들이 개인정보보호 규정을 강화하고 있습니다. 일례로, 올해 5월25일부터 유럽연합(EU)의 경우 시민의 데이터 활용 시 GDPR(General Data Protection Regulation, 일반정보보호 규정)을 준수해야만 합니다. 그 동안 개인정보 이용과 관련해 사회적으로 논란이 되었던 내용들을 반영하고 개인정보에 대한 통제권을 정보 주체인 시민들에게 돌려주는 것을 골자로 하고 있습니다. 이번 GDPR이 유럽연합 국가들뿐만 아니라 전세계 기업들에게 영향을 주고 있는 만큼 글로벌 서비스를 하는 국내 기업 또한 대상이 됩니다. 여기서 중요한 것은 정보의 통제권이 주체인 개인에게 있고 주체의 권리를 강화한 만큼 크고 작은 변화가 예상되고, 이에 따라 기업의 책임은 더욱 거세게 요구되어 질 것입니다. 기업은 이제 개인정보보호의 중요성을 회사 내의 중요한 과제로 인식해야 하며, 개인정보를 안전하게 보호하기 위한 정보보안 전략이 필요합니다. 디지털 시장이 커지면서 개인정보 유출의 빈도와 대상이 넓어지고 있는 것이 현실입니다. 하지만 크고 작은 개인정보 유출이 발생할 때 마다 지금껏 그래왔듯이 개인정보 유출 관련 사과 안내 공지문 하나 게시하고 책임을 다하는 경우도 많았습니다.
물론, 그때마다 정보보안의 중요성이 부각되지만, 개인정보보호를 위해 보안 제품을 도입했다는 것만으로 책임을 다했다고 할 수는 없습니다. 현재의 지능화되어가는 보안 위협을 막기에는 분명 한계가 있기 때문입니다. 보안 제품의 도입부터 프로세스, 정책, 운영, 개선 등의 더 많은 요구가 뒤따라야하는 것입니다. 보안이라는 것은 보이는 그대로를 믿는 것이 아니라 지속적으로 의심하고 관리해 나가야 하는 것입니다. 뒤늦은 후회는 개인의 피해뿐만 아니라 기업의 신뢰 하락과 경영의 어려움을 가져다 줄 수 있기 때문입니다.
실례로, 작년에 미국 3대 크레딧 평가기관인 에퀴팩스(Equifax)는 해킹으로 인해 1억 4,300만 명의 이름, 생년월일, 사회보장번호, 운전면허, 신용기록 정보 등을 유출했습니다. 기업의 신뢰도 하락은 말할 것도 없고, 기업 가치를 보여주는 주가 또한 크게 떨어졌습니다. 또한 데이터 침해를 인지하고도 공개적으로 발표까지의 시간이 길었던 점(GDPR 은 데이터 유출시 72시간 내에 고지해야 할 의무가 있음)과 고위 임원들이 침해 사실을 알리기 전 주식을 내다 팔았다는 점에서 도덕적 문제와 기업의 윤리를 다시 한번 생각해 볼 수 있습니다.
현재의 개인정보가 갖는 의미는 과거의 그것과 달라지고 있습니다. 기술의 급격한 발전에 따라 정보는 그 가치 이상의 의미를 주고 있어 앞으로의 정보 활용 가능성은 더욱 커질 것이며, 이에 따라 기업이 개인정보를 들여다보는 시각도 달라져야 하는 것입니다. 보안은 완벽할 수는 없습니다. 그러나 개인정보보호를 위한 인식을 달리하는 그 시작점이 바로 중요한 전환점이 됩니다. 보안은 인식의 전환으로부터가 시작입니다.