Privacy Desk

개인정보 영향평가 업무를 하다 보면가장 어려운 부분 중 하나가“현업을 설득하는 일”인 것 같다.법·가이드라인을 근거로 이야기를 하더라도,실제 서비스를 운영하는 입장에서는추가 개발, 일정, 사용성 등여러 현실적인 부담을 같이 안고 있기 때문이다.저 역시 아직 설득을 잘한다고 말할 수준은 아니지만,여러 번 부딪히면서그래도 지키려고 하는 태도 몇 가지는 생겼다.“왜 안 되는지”보다 “왜 필요한지”를 먼저 이야기하기처음에는“법에 이렇게 되어 있어서 안 됩니다”라는 식으로설명할 때가 많았다.그런데 시간이 지나면서이 방식은현업 입장에서는 거의 항상 방어적으로 받아들여진다는 걸 느꼈다.그래서 요즘은 가능하면어떤 사고/사례 때문에이런 요구가 생겨났는지이용자 입장에서이 보호조치를 했을 때 무엇이 달라지는지나중에 문제가 ..

지금 맡고 있는 업무는서비스·시스템에 대한 개인정보 영향평가와관련 보안 요구사항 검토다.예전에 시스템팀에서 보안 담당자로 일하면서방화벽, WAF, IPS, DLP, NAC, EDR 같은 장비를 운영하고,계정·권한, 로그 정책을 손봤던 경험이 있어서지금은 그 경험을 평가 관점에서 다시 활용하고 있는 느낌이다.그중에서도암호화, 접근통제, 로그 세 가지는거의 모든 평가에 등장하는 기본 항목이라나름대로 순서를 정해두고 들여다보려고 한다.암호화 – “무엇을, 어디서, 어떻게”까지는 그림이 그려지는지암호화는 평가표에서도 항목이 많지만,결국은 세 가지를 확인하려고 한다.무엇을→ 주민등록번호, 계좌번호처럼법·가이드라인에서 명시된 대상뿐 아니라,서비스 특성상 민감하게 봐야 할 정보까지 포함하는지어디서→ DB, 파일, 백..

지금은 개인정보 영향평가를 중심으로여러 서비스와 시스템을 검토하는 일을 하고 있다.처음에는 체크리스트를 따라가는 느낌이 강했는데,몇 번 반복하다 보니 자연스럽게“어떤 질문부터 던져야 이 서비스가 보이는지”를다시 생각하게 되는 것 같다.완전히 정리된 방법론이라기보다는,개인적으로 영향평가를 할 때항상 다시 꺼내 보는 세 가지 질문을기록 차원에서 정리해 본다.이 서비스가 진짜로 하고 싶은 일은 무엇인가영향평가 서류를 받으면가장 먼저 제목과 화면 캡처, 기능 설명을 본다.이때 스스로에게 먼저 묻는 질문은“이 서비스가 진짜로 하고 싶은 일이 뭘까?”이다.어떤 사용자에게어떤 문제를 해결해 주려고어떤 흐름(화면/기능)으로 구성된 서비스인지이 그림이 안 잡힌 상태에서수집 항목과 보호조치만 들여다보면검토 내용이 자꾸 조..