[열린마당]개인 정보보호와 DRM

DRM(Digital Rights Management)은 그 이름에서도 알 수 있듯이 원래 디지털 콘텐츠의 저작권을 보호하기 위해 개발된 기술이다. MP3 같은 디지털 음악 파일이 저작권자의 허락 없이 무단으로 복제 사용되는 것을 막을 수 있는 기술이다. 이런 DRM 기술이 최근에는 개인 정보보호에도 활용돼 화제다.

　개인 정보는 본인의 허락 없이 타인에 의해 무단으로 이용·변경·배포되어서는 안 된다. 이를 위해 OECD에선 이미 1980년에 개인 정보보호 8원칙을 제시했고 EU·미국에서도 1995년, 2000년에 각각 관련 제도를 정비했다. 일본에서도 4월부터 개인정보보호법이 발효됐다. 우리나라도 최근 공공·민간·금융 부문으로 흩어져 있던 관련 법률 및 제도들을 묶어 개인 정보보호 기본법 제정에 박차를 가하고 있으며, 지난 3월 24일 정보통신 서비스 제공자가 지켜야 할 개인 정보보호 조치 기준을 공표하고 시행에 들어갔다.

　최근 이렇게 개인 정보보호 문제가 더욱 심각해지는 것은 거의 모든 부분에서 개인 정보의 DB화가 이루어졌기 때문이다. 축적된 개인 정보가 인터넷을 통해 순식간에 전세계로 퍼져 나갈 수 있고, 한번 통제를 벗어난 정보는 다시 주워 담을 수 없다는 데 문제의 심각성이 있다.

　예전에는 고객 정보를 담아 놓은 DB가 통째로 유출되거나, 고객 정보를 인쇄한 용지가 유출되는 경우가 많았으나 기술 발전과 더불어 그 유출 경로도 변하고 있다. 최근의 유출 사고는 대부분 고객 정보를 다루는 사용자의 PC에 저장되어 있던 정보가 사용자의 부주의, 고의 등으로 인해 외부로 유출되는 경우다.

　더 나은 고객 서비스를 제공하기 위해 DW, CRM 등 새로운 시스템이 구축되고 사용자들은 필요에 따라 고객 정보의 일부를 PC에 따로 저장할 수 있게 됐다. 그 중 OLAP, 리포팅 도구 등에서 사용자 PC에 정보를 저장하는 경우도 있지만 단순 조회만 하도록 돼 있는데도 불구하고 화면캡처 등을 남용해 불필요하게 고객정보를 PC에 저장하는 사례도 있다.

　전자는 저장은 하되 사용을 제한하는 것이 필요하고, 후자는 저장을 못하게 할 필요가 있다. 저장된 파일을 단순 암호화하는 것은 사용자의 부주의에 의한 유출은 막을 수 있지만 사용자의 고의에 의한 사고는 막을 수 없다.

　DRM 기술은 개인의 PC에 고객 정보가 저장되는 순간 적용되어 정해진 범위 외에서는 사용할 수 없도록 할 수 있고 불법적인 화면캡처를 방지할 수 있다. 업무 효율을 증대하기 위한 여러 도구를 적극 활용하면서 개인정보보호에도 만전을 기할 수 있는 방법인 셈이다.

　콘텐츠의 저작권 보호를 위해 법률적·제도적 보완뿐만 아니라 DRM이라는 기술적인 대안도 필요했듯이, 개인정보보호를 위해서도 DRM은 매우 중요하다.

　물론 DRM 말고도 많은 기술적 조치가 동시에 필요하며, 이런 기술적 조치 없이 관리적 조치만으로 개인정보를 효과적으로 보호하기는 쉽지 않다. DRM은 이미 콘텐츠의 보호와 기업문서 보안에서 검증된 기술이라 적용에 큰 어려움은 없다. 보호의 대상이 정형적인 문서가 아니고 동적으로 생성되는 파일이라는 점 외에는 기업문서 보안 솔루션과 비슷하다.

　DRM이 일반 소비자에게 처음 선보였을 때 많은 소비자가 거부감을 표시했었다. 예전에는 디지털 콘텐츠를 마음대로 할 수 있었는데 DRM 때문에 콘텐츠 제공자가 정해준 범위 외에서는 쓸 수 없게 되었기 때문이다.

　하지만 여러 시행 착오와 논의를 거쳐 이제는 저작권을 보호하고 궁극적으로 콘텐츠 시장을 활성화하기 위한 중요한 기반 기술로 인식되고 있다.

　개인정보보호는 더는 미룰 수 없는 시급한 우리 모두의 과제다. 법·제도적인 정비와 더불어 충분한 기술 개발도 이뤄져야 하며, 우리 모두 개인정보보호에 관심을 기울여 개인의 사생활이 부당하게 침해되지 않는 사회를 만들어야 한다.

◆조규곤 파수닷컴 사장　kcho@fasoo.com