IT Solutions/Security

EU GDPR, 개인정보 보호는 어떻게?

2018.06.12 09:30

EU GDPR(General Data Protection Regulation)의 시행을 앞두고 이의 적용을 받는 기업•기관들은대응 체계 마련과 함께 법 시행일(5/25) 이후 이에 따른 파급 효과에 대해 초미의 관심을 기울이고 있습니다. GDPR에서 명시된 많은 내용이 국내의 개인정보 관련 법률 수준으로 구체적으로 기술되어 있지 않기 때문에, 국내의 법체계를 참고하여 대응 체계를 수립하고 실제 법이 시행된 이후 법의 적용 방향성에 따라 추가 대응을 신속하게 할 수 있도록 준비하는 추세입니다.



GDPR이 국내의 개인정보 유관 법률과 개인정보를 보호하고자 하는 기본 사상은 다르지 않기 때문에 당장 현실적으로 ‘어떻게’를 고민하는 기업이라면, 이런 대응 방법도 나쁘지 않은 방법이 될 수 있습니다. 하지만, 국내와는 조금 다른 시각으로 접근해야 하는 영역도 있는데, 대표적으로 임직원의 개인정보 보호에 대한 내용입니다. 임직원의 개인정보 보호에 대한 대응방안 수립은 ‘개인정보 보호’에 대한 측면과 ‘프라이버시 보장’이라는 두 가지 측면에서 접근해야 합니다.


특히, 임직원의 프라이버시 권리 침해는 궁극적으로 내부 고발자를 위해 마련된 수단의 효과적인 기능을 방해할 수 있다는 점을 우려한다는 측면에서, 국내와는 다른 시각에서의 EU 문화를 충분히 이해하고 접근할 필요가 있습니다. 임직원의 ‘개인정보 보호’에 대한 측면은 기존의 국내 법체계에서 충분히 다루고 있으니 이번 글에서는 ‘프라이버시 보장’이라는 측면을 중점적으로 살펴보도록 하겠습니다.


 개인정보의 수집 및 처리


임직원 개인정보의 수집 측면에서 가장 명심해야 할 점은 동의를 기반으로 임직원의 개인정보를 수집하였을 경우 그 법적 효력을 인정받지 못할 수도 있다는 점입니다. 동의가 법적인 효력을 가지기 위해서는 자유롭고 구체적이어야 하며, 필요한 정보를 바탕으로 자신과 관련된 개인정보 처리에 동의한다는 뜻을 나타낼 수 있어야 합니다.


하지만, 고용주와 직원 사이의 관계에서 고용주의 동의 요구에 응하지 않았을 시 임직원에게 불이익이 발생하거나 발생할 가능성이 있는 경우, 유효한 동의로 간주하지 않습니다. 임직원의 모든 동의가 유효하지 않은 것으로 간주하는 것은 아니지만, 반대로 유효한 동의로 인정받기 위한 기준도 증명하기가 쉽지 않습니다. 따라서, 일차적으로는 필요한 개인정보만 수집하고, 동의 이외의 수집 근거를 확보하려는 노력이 필요합니다.



개인정보의 처리에서는 임직원을 모니터링 하는 성격의 처리에 대해서 국내의 통상적인 시각보다 더 엄격한 제한이 있습니다.


일반적으로 국내에서는 중요한 정보의 유출을 방지하기 위해서, 특히 회사에서 생성되는 모든 자료는 회사의 자원을 활용해서 생성되는 것들이기 때문에, 제한 없이 모니터링을 적용해도 큰 문제가 없다고 인식되어 있습니다. 하지만, GDPR에서는 근무 환경에서의 개인 프라이버시 영역을 보장해야 하고, 그 필요성이 입증된 최소한의 범위를 벗어난 모니터링에 대해서는 엄격하게 제한하게 되어 있습니다.


투명성의 요건을 매우 중요하게 간주하여, 모니터링에 대해서는 그 존재, 처리 목적 및 공정한 처리의 보장을 위해 필요한 기타 정보들을 (모니터링 대상이 되는) 임직원들에게 반드시 알리게 되어 있습니다. 모니터링을 포함하여 GDPR의 관점에서 임직원의 프라이버시 침해 위험이 있는 개인정보 처리에 대해서 다음 장의 예시들을 통해 알아보도록 하겠습니다.


● 채용 과정에서의 처리 작업


신입사원 모집 중에 고용주가 다양한 소셜 네트워크에서 지원자의 프로필을 확인하고 이러한 네트워크의 정보(및 인터넷에서 입수할 수 있는 기타 정보)를 심사 과정에 포함시켰다.


특정 직무에 관해 지원자의 특정 위험을 평가하기 위해 소셜 미디어상에 존재하는 후보자에 관한 정보의 검토를 진행할 경우 지원자에게 이를 정확하게 알렸을 경우에만(예: 구인광고의 문구에서), 고용주는 지원자에 관해 공개적으로 입수할 수 있는 정보를 검토할 수 있는 법적 근거를 가질 수 있습니다.



● 고용 중 처리 작업


고용주가 경쟁 금지 조항의 유효기간 동안 퇴사자가 경쟁 금지조항의 준수 여부를 확인하기 위해 LinkedIn 프로필을 모니터링한다.


소셜미디어 상에 프로필이 존재하고 새로운 분석 기술이 발전함에 따라, 고용주는 직원의 사생활 및 가정생활과 관련된 민감한 개인정보를 포함한 친구, 견해, 신념, 관심사, 습관, 위치, 태도, 행동에 관한 정보를 수집할 수 있고, 이를 통해 임직원을 상시로 평가할 수 있습니다.


하지만 고용주가 자신의 정당한 이익을 보호하기 위해 그러한 모니터링이 필요하다는 사실, 침해의 정도가 더 약한 다른 방법이 없다는 사실, 임직원•퇴사자가 자신의 정보를 정기적으로 관찰하는 정도에 관해 충분한 정보를 받았다는 사실을 입증 할 수 있는 경우를 제외하고는 이런 활동이 행해져서는 안 됩니다.


● 직장 내 ICT 사용 모니터링으로 인한 처리 작업


고용주가 보안 위협 요소를 탐지할 목적으로, 보안 트래픽을 해독하고 검사하기 위해 TLS 검사 기기를 설치하려고 한다. 또한 해당 기기는 회사 네트워크상의 직원의 온라인 활동 전체를 기록하고 분석하고 있다.

또한, 고용주가 독점 데이터(예: 고객의 개인정보)의 무단 전송을 방지하기 위해, 이러한 행위가 무심코 한 것인지 여부와 관계없이, 데이터 손실 방지 도구를 사용하여 전자 메일 발신을 자동으로 모니터링 한다. 일단 전자 메일에 개인정보 유출 가능성이 있다고 판단되는 경우, 추가 조사를 수행한다.


EU에서는 전통적으로(GDPR 제정 이전부터) 직장에서의 전자 통신(예: 전화, 인터넷 브라우징, 전자 메일, 인스턴트 메시징, VOIP 등) 모니터링은 직원의 프라이버시에 대한 주요 위협으로 간주되었습니다. 특히 근래에는 직장 내의 모든 ICT 사용을 모니터링 할 수 있는 보안 패키지 모음과 같은 ‘올인원’ 모니터링 솔루션(예: 통합정보유출 모니터링)도 빈번하게 운영되고 있습니다.



위와 같은 사례들에서 고용주는 정당한 이익(무단 접속 또는 개인정보 유출로부터 네트워크와 네트워크 내의 직원 및 고객의 개인정보를 보호할 필요성)을 주장할 수 있습니다. 그러나 직원의 모든 온라인 활동을 모니터링하는 것은 과잉 대응이며 통신 비밀에 대한 권리 침해입니다. 고용주는 고객 개인정보의 기밀성과 네트워크 보안을 보호하기 위한 침해성이 약한 다른 방법을 찾아야 합니다.


예를 들어 TLS 트래픽 가로채기가 필요한 경우, 의심스러운 트래픽 출입을 차단하고 그러한 자동화된 결정에 대한 검토를 요청할 수 있는 정보 포털로 사용자를 리다이렉팅하는 방법을 이용하는 등 임직원의 모든 활동을 로깅하는 것은 방지할 수 있도록 구성해야 합니다. 그럼에도 불구하고 로깅이 반드시 필요하다고 판단되는 경우, 수집 정보를 최소화하면서 불가피한 경우에 한하여(예:기기에서 사고 발생 신호를 보내는 등) 로그 데이터를 저장하도록 설정할 수 있습니다.


이메일 모니터링의 경우도 잠재적인 개인정보의 유출로 판단하기 규칙(룰)을 사용자에게 완전히 투명하게 공개해야 하며, 모니터링에서 이메일을 잠재적인 개인정보 유출로 인식하는 경우 전송에 앞서 발신자에게 경고 메시지를 전달하여 전송을 취소할 수 있는 옵션을 제공해야 하는 등의 대책이 수립되어야 합니다.


● 직장 밖에서의 ICT 사용 모니터링으로 인한 처리 작업


모바일 장치관리(MDM)을 통해 고용주는 원격으로 장치를 찾고 특정 구성, 응용프로그램을 배포하고 필요에 따라 개인정보를 삭제할 수 있다. 고용주는 이 기능을 직접 또는 제3자 운영 또는 사용할 수도 있다. 또한 MDM 서비스로 인해 고용주는 도난 보고가 없는 경우에도 실시간으로 기기를 기록하거나 추적할 수 있다.


모바일 장치관리(MDM)을 통해 고용주는 원격으로 장치를 찾고 특정 구성, 응용프로그램을 배포하고 필요에 따라 개인정보를 삭제할 수 있다. 고용주는 이 기능을 직접 또는 제3자 운영 또는 사용할 수도 있다. 또한 MDM 서비스로 인해 고용주는 도난 보고가 없는 경우에도 실시간으로 기기를 기록하거나 추적할 수 있다.


새로운 기술을 도입할 경우, 이를 사용하기에 앞서 개인정보 영향평가를 수행해야 합니다. 그 결과에 따라 MDM 기술이 필요하다는 결론이 내려지는 경우에도, 이로 인해 초래되는 개인정보 처리가 비례성[각주:1] 및 보충성[각주:2]의 원칙에 부합하는지 여부에 대한 평가가 필요합니다.



MDM을 사용해 지속해서 임직원을 모니터링 또는 추적 할 수 있는 더욱 광범위한 기능이 포함하지 않도록 해야 합니다. 예를 들어 위치 정보는 기기가 신고되거나 분실되는 상황에서만 사용 할 수 있도록 설정할 수 있습니다. MDM 서비스에 등록된 장치를 보유하고 있는 임직원은 어떠한 추적이 행해지고 있는지, 그리고 그 영향은 무엇인지에 관해 완전히 파악하고 있어야 합니다.


● 시간 및 출근 관련 처리 작업


무단 접속으로부터 개인정보를 보호하는 법적 의무를 준수하기 위해 고용주는 출입허가를 받은 직원의 출입을 기록하는 출입통제 시스템을 설치했다. 장비의 특정 항목이 사라지거나 개인정보에 대한 무단 접속, 분실 또는 도난이 발생되는 경우 고용주가 관리하는 기록을 통해 해당 시점에 누가 서버실에 출입했는지 판단할 수 있다.


이 경우는 개인정보(출입 기록)의 처리가 필요하고 이것이 직원의 사생활에 대한 권리를 침해하지 않는다는 점을 전제로, 임직원에게 처리 작업에 관해 충분히 알린다면 GDPR에서 명시한 정당한 이익이 될 수 있습니다. 그러나 직원 실적 평가와 같은 다른 목적으로 개인정보를 활용할 경우, 직원의 출입빈도와 정확한 출입 시간에 대한 지속적인 모니터링은 정당화될 수 없습니다.


● CCTV 시스템


고용주가 사업장 내에 보안, 시설 환경 관리 등의 목적으로 CCTV를 설치하여 운영하고 있다.


CCTV는 임직원의 행동을 지속해서 포착할 수 있다는 문제가 제기될 가능성이 높은 시스템입니다. 더군다나 근래에는 원격으로 수집된 데이터에 쉽게 접속할 수 있다는 점 (예: 스마트폰을 통한 영상 조회), 카메라의 소형화 및 고성능화, 영상 분석 등을 통한 처리가 가능하다는 점 등에서 임직원의 프라이버시 침해 요인이 증가했습니다.


따라서, CCTV를 운영하기 위해서는 촬영 대상 및 장소를 목적에 따라 특정하여 제한하고(예: 식당, 휴게실 등에 대한 촬영 금지), CCTV 모니터링 범위에 대해 임직원에게 투명하게 공개해야 합니다.



모니터링 화면의 조회 권한은 목적상 필요한 범위로 제한하도록 합니다. (예: 조직의 리더의 PC에서 임의로 모니터링 금지. 관제실 등 목적이 명확한 장소에서만 모니터링) 영상 분석이 제공하는 기능을 통해 자동화된 방법으로 임직원들을 모니터링하는 행위는 프로파일링 및 자동화된 의사결정이 포함될 가능성이 있으므로 명확한 목적을 입증할 수 없는 한 사용을 자제해야 합니다.


● 직원 사용 차량 관련 처리 작업


고용주가 차량을 모니터링 할 수 있게 해주는 기술은 특히 운송에 관련되거나 많은 차량을 보유한 회사에서 널리 채택하고 있다.


고용주는 법적 의무 준수를 증명하기 위해 또는 상황에 따라 언제든 차량 위치를 파악해야 하는 정당한 이익을 주장할 수 있습니다. (예: 차량을 운전하는 직원의 안전을 보장하기 위해 자동차에 추적 기술 설치) 이러한 근거들을 가지고 개인정보의 처리를 하는 경우에도, 처리의 필요성 여부와 실제 처리가 비례성 및 보충성의 원칙을 준수하는지 여부를 먼저 평가해야 합니다. 이와 관련한 WP29 의견서 13/2011에 명시된 내용을 참고하면 다음과 같습니다.


‘차량 추적 장치는 직원 추적 장치가 아니다. 그 기능은 차량 추적 장치가 설치된 차량의 위치를 추적하거나 모니터링 하는 것이다. 고용주는 이를 차량 속도와 관련하여 경고를 전송하는 방법 등으로 운전자 또는 다른 직원의 행동이나 위치를 추적하거나 모니터링 하기 위한 장치로 간주하지 않아야 한다.’


● 사고 기록 장치


어떤 운송 회사가 모든 차량의 운전석에 소리와 영상을 기록하는 비디오 카메라를 장착한다. 이러한 개인정보를 처리하는 목적은 직원의 운전 기술 향상이라 주장한다. 또한 카메라는 급제동이나 급격한 방향 전환과 같은 일이 발생할 때마다 소리와 영상을 저장하도록 설정되었다. 회사는 직원 및 다른 운전자의 안전을 보호하기 위한 정당한 이익이 처리의 법적 근거라고 생각한다.


운전자를 모니터링하는 회사의 정당한 이익은 운전자의 개인정보보호 권리보다 우선하지 않습니다. 이러한 카메라로 직원을 지속해서 모니터링 하는 것은 프라이버시 권리에 대한 심각한 침해에 해당합니다.



차량 사고를 예방하기 위한 목적이라면, 첨단 비상 제동 시스템이나 차선 이탈 경고 시스템뿐 아니라 더욱 적절한 다른 방법(예: 휴대폰의 사용을 금지하는 장비의 설치)을 고려해야 합니다. 또한 이러한 영상은 제삼자(예: 보행자)의 개인정보를 처리할 가능성이 높으며, 회사의 정당한 이익은 이러한 처리를 정당화하기에 충분하지 않습니다.


● 직원 개인정보의 제삼자 공개 관련 처리 작업


운송 회사가 고객에게 배달원(직원)의 이름과 위치에 관한 링크가 포함된 전자 메일을 보낸다. 또한 회사는 배달원의 여권 사진도 제공하려 한다. 회사는 이러한 개인정보의 처리가 정당한 이익이라는 법적 근거가 있다고 생각하고 배달원이 실제로 동일인인지 확인할 수 있도록 한다.


이 정보 처리를 위한 다른 법적 근거가 없다면 운송회사는 이러한 개인정보를 고객에게 제공할 수 없습니다. 이 경우 배달원은 힘의 불균형의 고려할 때 고용주가 자신의 개인정보를 처리하는데 자유롭게 동의할 수 있는 위치에 있지 않으므로 ‘동의’는 법적 근거로 사용할 수 없습니다. 개인정보 처리에 대한 비례성을 입증할 수 없다면 고용주에게는 법적 근거가 없는 셈이 됩니다.


 개인정보 처리 대응 방안은?


이상의 사례들을 살펴보면, EU에서는 임직원의 개인정보를 처리하면서 프라이버시 보장 측면에서의 보편적인 인식이 국내에서 생각하는 기준보다는 높다는 점을 알 수 있습니다. 따라서, GDPR에 대한 대응 체계를 수립할 때 임직원들의 개인정보 보호에 대해서는 국가별 문화와 함께 이러한 기준들을 함께 고려해야 합니다.


기본적으로, 임직원의 개인정보 수집은 법적 근거 혹은 명확하게 입증할 수 있는 ‘정당한 이익’을 근거로 최소한의 범위에서 수집하고, 동의에 의한 수집은 최후의 수단으로 고려해야 합니다. 동의에 의해 개인정보를 수집할 경우, 동의의 효력이 있는지를 충분히 검토한 후 이를 입증할 수 있어야 합니다.



위의 사례들을 비추어 볼 때 개인정보의 처리가 임직원들의 프라이버시의 침해 소지가 있다고 판단되면(설사 회사에서 제공하는 시간, 자산 등의 자원을 사용하였다고 해도), 반드시 개인정보 영향평가를 수행하여 위험이 없는지 판단하여야 합니다. 개인정보 영향평가 수행 시에는 개인정보 침해에 대한 위험뿐 아니라 프라이버시 침해에 대한 위험도 함께 고려하여 수행해야 합니다.


글 l LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.




  1. 비례성의 원칙: 목적과 그 목적을 실현하기 위한 수단의 관계에서 그 수단은 목적을 실현하는 데에 적합하고 또한 최소침해를 가져오는 것이어야 할 뿐만 아니라, 아울러 그 수단의 도입으로 인해 생겨나는 침해가 의도하는 이익 효과를 능가하여서는 안 된다는 원칙 [본문으로]
  2. 보충성의 원칙: 보충성의 원칙은 예외적 조항이나 행위에 대하여, 일반적 상황에서 함부로 허용되지 않고 ‘특별한 사정이 있는 경우’ 또는 ‘다른 수단이나 방법이 없는 경우에 한하여’ 허용되어야 하는 원칙 [본문으로]
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로