40. 개인정보 영향평가 실무를 하면서 느낀, 일의 난이도보다 “조율”의 난이도

요즘 하고 있는 일의 큰 축은
개인정보 영향평가다.

새로운 서비스를 기획하거나,
시스템을 개선할 때
개인정보 처리 흐름과 보호조치를 점검하고
보고서를 작성하는 일이다.

법령이나 가이드라인을 맞추는 것도 물론 중요하지만,
몇 년 정도 하다 보니
“기술 난이도”보다 “조율 난이도”가 더 크다는 생각이 들 때가 많았다.

개인정보 영향평가 실무를 하면서
개인적으로 느꼈던 부분들을
가볍게 정리해본다.

기획, 개발, 인프라, 법무 사이에서 말을 바꿔가며 설명해야 하는 일 같았다

하나의 서비스만 봐도
관여하는 팀이 많다.

• 서비스를 기획하는 팀
• 화면과 기능을 만드는 개발팀
• 서버와 네트워크를 관리하는 인프라팀
• 약관·동의서와 법령을 보는 법무/컴플라이언스팀

개인정보 영향평가는
이 사이를 왔다 갔다 하면서
각각의 언어로 같은 내용을 설명하는 일에 가깝게 느껴졌다.

예를 들면,
동일한 이슈라도

• 기획자에게는
  사용자 경험과 동의 화면 구조 관점에서,
• 개발자에게는
  API 파라미터, 로그, 예외 처리 관점에서,
• 인프라 담당자에게는
  망 구조, 접근 경로, 방화벽 정책 관점에서,
• 법무팀에게는
  조문과 가이드라인, 약관 문구 관점에서

다시 풀어서 얘기해야 했다.

기술적인 지식만으로 해결되지는 않고,
“누구에게 어떻게 말할지”를 고민하는 시간이
생각보다 많이 들어가는 업무라는 걸 뒤늦게 깨닫고 있는 중이다.

“무조건 안 됩니다”보다는, “이 정도는 지켜야 할 것 같다”를 제안하는 쪽이 현실적이었다

실무에서 개인정보 이슈를 얘기할 때
가장 피하고 싶은 말이
“그럼 서비스 못 합니다”였다.

물론, 정말로 막아야 하는 경우도 있지만
대부분은

• 수집 항목을 조금 조정하거나
• 보유 기간을 합리적인 선으로 조정하거나
• 암호화·로그·인증 절차를 보완하는 식으로

타협점을 찾을 수 있는 것 같았다.

그래서 개인적으로는

• 이 이슈가 법·가이드라인 상 어느 정도까지 허용되는지
• 비슷한 레퍼런스(국내/해외 서비스)가 어떻게 하고 있는지
• 우리 조직 안에서 과거에 어떻게 판단했는지

를 먼저 찾아보고,
그 위에서 “이 정도는 최소 기준으로 가져가자”라고
제안하는 편이 조금 더 받아들여지는 느낌이었다.

문서를 잘 남겨두는 것이 결국 나를 지켜주는 일 같았다

영향평가 보고서는 물론이고,
그 과정에서 오갔던 논의와 결정도
가능하면 간단히라도 문서로 남기려고 한다.

예를 들면,

• 초기 기획안에서 어떤 개인정보 항목이 논의되었는지
• 평가 과정에서 어떤 대안을 검토했는지
• 최종적으로 어떤 기준에 따라 결정을 내렸는지

이런 것들을 메모 수준으로라도 남겨두면,
나중에 비슷한 프로젝트를 할 때도 도움이 되고,
만약 문제가 발생했을 때도
“그 당시 이런 식으로 판단했다”라는 설명이 가능해진다.

팀 인원이 많지 않은 조직일수록
어떤 결정을 누가 왜 했는지
알 수 없게 되는 경우가 많아서,
문서를 남기는 습관이 중요하다는 걸
조금씩 체감하는 중이다.

관제·인프라 경험이 영향평가에 조금씩 도움이 되는 부분

개인정보 영향평가를 전담하기 전에
보안관제와 인프라 쪽을 경험한 게
완전히 다른 일은 아니었던 것 같다.

• 로그를 봤던 경험 덕분에
  “이 정도면 나중에 사고 조사에 도움이 되겠다/부족하겠다”를
  어느 정도 감으로 짚을 수 있었고,
• 방화벽, WAF, DLP, NAC 같은 솔루션을
  운영/모니터링 측면에서 한번 겪어본 덕분에
  평가 보고서에서 이름만 적는 장비가 아니라
  실제 쓰임새를 떠올리면서 쓸 수 있었다.

아주 깊게 아는 건 아니더라도,
한 번이라도 만져본 경험이 있으면
개인정보 보호조치를 설계하거나 설명할 때
조금 덜 막막한 것 같다는 느낌이 있다.

마무리

개인정보 영향평가는
기술적인 지식, 법·제도 이해,
그리고 여러 팀 사이의 조율까지 같이 필요한 일 같아서
해보면 해볼수록 어렵다는 생각이 든다.

그래도 정리해보면,

• 각 팀이 이해할 수 있는 언어로 설명하려고 노력하고
• “안 된다”보다는 “이 선은 지켜야 할 것 같다” 쪽으로 제안하고
• 논의와 결정을 문서로 남기고
• 과거의 관제·인프라 경험을 적당히 끌어다 쓰는 것

이 네 가지가
지금 단계에서 가 붙잡고 있는 작은 기준들이다.

앞으로 더 경험이 쌓이면
또 다른 고민이 생기겠지만,
적어도 현재 시점에서는
이렇게 일하고 있다고 기록해두고 싶었다.