구글이 말하는 개인정보보호의 핵심은?

[희야]

[인터뷰]Claro Parlade 구글 아태지역 공공정책부문 프라이버시팀장

정보보호 위해 사람·프로세스·기술 하나로 연결하는 ‘심층 방어’ 채택

[보안뉴스 권 준] 세계 최대 인터넷 기업 구글. 하루에도 수십억 개 이상의 검색이 구글을 통해 이루어지고, 수백억 개의 구글 광고가 노출되는 등 전 세계 사람들은 언제 어디서나 구글과 함께 일상생활을 영위하는 시대에 살고 있다.

이러한 지표는 ‘전 세계의 정보를 체계화해 전 세계인 모두가 편리하게 이용할 수 있도록 한다’는 구글의 목표가 어느 정도 달성됐다는 것을 의미하기도 한다. 이로 인해 구글에게는 숙명처럼 정보, 특히 개인정보의 효율적 이용과 안전한 보호 사이의 균형점이 요구될 수밖에 없다.

이는 구글이 전 세계인의 개인정보 보호를 위해 각별한 노력을 기울여온 계기가 됐으며, 오랜 기간에 걸쳐 축적해온 프라이버시 원칙과 기술 노하우를 바탕으로 개인정보 보호정책을 실천해 나가고 있다. 그럼 전 세계에서 가장 많은 개인정보를 취급·처리한다는 구글이 지향하는 개인정보보호정책의 핵심은 무엇일까?   

이를 자세히 듣기 위해 본지는 한국을 포함한 아시아태평양 지역에서 프라이버시 관련 정책이나 문제에 있어 구글을 대표하는 Claro V. Parlade 공공정책부문 프라이버시팀장과의 인터뷰를 진행했다.

Claro V. Parlade 팀장은 싱가포르에 위치한 구글 아시아태평양 본부에서 근무하는 수석 프라이버시 전문가로, 구글에 입사하기 전에 BSA의 아시아태평양 소프트웨어 정책이사를 지낸 바 있다. 또한, 그는 싱가포르로 이주하기 전에 약 20년 간 필리핀에서 변호사로 활동했으며, 필리핀 IT 전자상업위원회 위원장, 법률규제위원회 위원장, 아시아태평양 사이버공간정책센터 이사 등을 역임했다. 다음은 Claro V. Parlade 팀장과의 인터뷰 전문.

Q. 구글은 세계 최대 인터넷 회사로서 개인정보를 비롯하여 실로 방대한 양의 정보를 취급하고 처리한다. 특히, 개인정보보호에 있어 구글 정책의 핵심은 무엇인가?

사용자들의 정보를 안전하게 보호하면서 사용자들이 항상 이용할 수 있도록 하는 것이 구글에서 가장 우선적으로 생각하는 것이다. 우리는 사람들과 프로세스, 기술이 하나로 연결된 ‘심층 방어’ 접근법을 택하고 있다.

다양한 층위의 보안을 사용하면 한 시스템이 전체를 오작동 시키는 실수를 예방할 수 있다. 따라서 우리는 정보, 애플리케이션, 네트워크 보안 분야의 전문가팀을 활용할 뿐만 아니라 정보 오용자나 수상한 활동을 탐지하기 위해 자동화된 도구와 직접적인 감시를 결합한 형태를 사용하고 있다.

구글의 데이터센터는 세계 곳곳에 분포되어 있으며 엄격한 접근제어와 강력한 물리적 보안대책을 시행하고 있다. 우리는 우리의 서비스와 다른 서비스에 접속하는 데 사용되는 플랫폼뿐만 아니라 우리 제품·서비스에 대한 보안과 복구능력을 처음부터 끝까지 사전에 계획하고 설계한다.

우리의 자동화된 스캐너는 세이프 브라우징(Safe Browsing) 데이터를 사용하여 매일 수많은 사용자들이 컴퓨터 시스템 파괴 소프트웨어, 피싱 신용사기, 일반적인 사기와 스팸을 당하지 않도록 보호한다. 구글의 크롬 브라우저(Chrome Browser)는 처음부터 보안목적으로 고안됐다. 중단 없는 자동 업데이트, 샌드백싱 기술을 통한 각 요소들의 보안확보, 개선된 플러그인 기능을 통해 사용자들의 개인정보를 보호하고 있다.

또한, 비밀번호 위에 추가적인 일회성 코드를 통해 구글 계정 사용자에 대한 2단계 인증체계를 제공한다. 이로 인해 비밀번호가 도난당했을 때 사용자의 계정이 침범 당할 가능성이 크게 줄어든다.

마지막으로 웹 사용자 보호를 위해서는 지속적으로 기술개발과 연구에 집중하고 있고, 보안교육을 통해 사용자들을 도우면서 보다 안전한 인터넷 환경을 만드는 것에 초점을 맞추고 있다. 우리는 구글 서비스를 사용하는 사람들뿐만 아니라 모든 인터넷 사용자들을 보호하는 것을 목표로 하고 있다. 이를 위해 웹사이트에 적용되는 보안 및 개인정보보호 솔루션은 지역·나라 등을 구분하지 않고 가장 엄격한 보안기준을 적용하고 있으며, 위험 분석과 같은 보안조치가 이뤄지고 있다.

이를테면 세이프 브라우징 API를 통해 잠재적으로 위험한 사이트에 대해 파이어폭스(Firefox)와 사파리(Safari)와 같은 브라우저가 구글의 데이터를 사용하도록 돕고 있다. 이는 사용자들이 피싱 사기로 의심되는 사이트를 방문하려고 하거나 악성코드 설치 위험이 있는 사이트를 방문할 경우 모니터에 경고문을 띄워 사용자가 볼 수 있도록 하고 있다.

Q. 구글이 도입한 보안 및 개인정보보호정책의 효과에 대해 설명한다면?

수상한 로그인에 대한 다양한 위험 분석과 같은 보안조치로 인해 우리는 2011년부터 계정 침범가능성을 99.7%까지 줄일 수 있었다. 지메일(Gmail)은 하루에도 수십억 개의 메시지를 처리하며 사용자들을 스팸으로부터 보호할 때 탁월한 추적기록을 갖는다. 수 년 동안 거의 0%에 가까운 놀라운 에러 기록을 갖고 있다. 사용자의 프라이버시을 보호한다는 것은 사용자 데이터를 안전하게 유지한다는 의미이고, 사용자들이 온라인에서 자신들의 경험을 관리하게 한다는 의미이다. 구글의 강력하고 포괄적인 보안조치들은 개인적인 데이터이든 아니든 상관없이 데이터에 대해 책임 있는 관리자가 된다는 우리의 목표에 부합한다.

Q. 개인정보의 해외이전은 한국에서 아주 관심이 많은 이슈다. 이와 관련해 어떤 방침을 갖고 있는가?

구글은 전 세계를 상대로 서비스를 제공하기 때문에 사용자들에게 가장 빠른 최고의 경험을 제공하기 위해 다양한 지역들에서 데이터를 저장한다. 중복과 신뢰도 향상을 위해 세계의 다양한 지역들에 있는 다양한 데이터센터에서 데이터를 복제한다.

우리는 전 세계적으로 개인정보의 효과적인 보호를 위해 데이터의 물리적인 위치보다는 제도적인 책임성이 더욱 중요하다고 믿는다. 따라서 구글은 사용자가 어디에 위치해 있든 사용자의 보안과 프라이버시 보호에 전념한다. 이런 점에서 구글은 美 상무부의 세이프 하버 프로그램을 전적으로 준수하고 있다. 이 프로그램은 구글이 유럽연합(EU)의 데이터 보호지침에 의거하여 적절한 사생활 보호를 제공하고 있음을 유럽연합 규제당국에 확신시키는 역할을 하고 있다.

Q. 온라인 지도 서비스 등을 위한 개인의 위치정보 제공에 따른 프라이버시 문제가 중요한 이슈가 되고 있다. 구글은 이에 어떻게 대응하고 있는가?

우리는 사용자가 위치정보의 공유를 원하는지 그렇지 않은지를 스스로 결정하도록 권리를 부여하는 관리정책을 시행한다. 예컨대, 사용자들은 안드로이드 기기에서 위치정보 공유를 선택하여 언제든 환경 설정에서 이를 오프로 설정할 수 있다. 또한, 구글 크롬은 허가 없이 사용자의 위치를 공유하지 못한다.

사용자가 위치정보 사용을 원하는 지역에 있을 때마다 구글 크롬은 페이지 상단에 운영체제에서 사용자에게 보내지는 메시지인 ‘프롬프트’를 통해 보여줌으로써 사용자들에게 경고한다. 거의 무선 접속과 컴퓨터의 IP 주소에 의해 파악되는 사용자의 주소는 사용자가 프롬프트에서 ‘허용(Allow)’을 클릭할 때에만 전송된다. 제3자 앱의 경우에도 사용자는 위치정보 접속을 원하는 앱에 명시적인 허용을 제공해야 한다. 이 말은 위치정보가 보다 나은 서비스를 제공하고 사용자 경험을 개선할 수 있지만, 그 전에 반드시 사용자에 의한 사전 동의가 이루어져야 한다는 의미이다.

Q. 개인정보보호와 관련하여 한국의 법 규정 등을 준수하기 위해 구글은 어떠한 노력을 하고 있나?

한국의 관련법에서는 (구글과 같은) 전기통신서비스 제공업체는 개인정보의 분실, 유출, 변경 혹은 손상을 예방하기 위해 다음과 같은 기술적·행정적 조치를 취해야 한다고 명시되어 있다.

1. 개인정보를 안전하게 취급하기 위하여 내부관리 시스템을 구축, 시행한다.

2. 개인정보에 대한 불법 침해를 예방하기 위해 접근제어 시스템을 설치, 운영한다.

3. 로그인 기록과 정보의 위조와 변경을 막기 위한 조치를 취한다.

4. 개인정보를 안전하게 저장, 전송하기 위하여 암호화 기술을 이용하는 보안조치를 취한다.

5. 백신 소프트웨어의 설치와 운영처럼 컴퓨터 바이러스를 예방하기 위한 조치를 취한다.  
6. 개인정보의 보안을 확보하기 위하여 다른 필요한 조치를 취한다.

이에 구글은 개인정보와 관련된 모니터링 문제를 원활히 처리하기 위해 한국에 있는 직원을 책임자로 임명했고, 개인정보보호와 관련한 교육훈련을 제공하기 위해 내부 감시계획 및 정책을 채택했다.

Q. 요즘 ‘빅데이터’가 큰 이슈가 되고 있다. 이러한 빅데이터 환경에서 프라이버시는 어떤 방식으로 보호해야 한다고 보는가?

빅데이터에 대해 이야기할 때 사람들은 흔히 사용자에게 이로운 새로운 서비스를 제공하거나 서비스의 질 개선을 위해 개인정보이든 그렇지 않든 데이터 사용에 있어 새롭고도 혁신적인 방법을 지칭한다. 그러나 ‘빅데이터’의 실질적인 장점은 데이터 중심의 혁신을 구체화한다는 것이다. 데이터 중심의 사업은 이미 경제에 상당한 가치를 제공하고 있다. 따라서 우리에게 중요한 것은 프라이버시 보호를 향상시키지 않으면서도 혁신을 저해하는 규제에 대해 효과적으로 대응하는 것이다.  

Q. 클라우드 컴퓨팅 보안과 관련해 한국에서 많은 관심과 함께 우려도 나타나고 있다. 구글은 클라우드 보안을 어떻게 보장하고 있나?

구글의 시스템은 클라우드 등급을 이용해 오용 패턴을 탐지하고 스팸과 악성코드 등을 예방함으로써 우리의 정보를 보다 효과적으로 보호한다. 이러한 등급은 또한 우리로 하여금 2단계 인증과 같은 강력한 기능을 활용할 수 있도록 하고 있으며, 이러한 기능은 계정 보호에 많은 도움이 된다.

수백 명에 달하는 세계적 수준의 보안전문가들과 엔지니어들이 함께 운영하고 있는 모든 탐지 시스템과 관련기술, 그리고 실시간 감시기능 등 우리의 보안체계가 클라우드 환경을 비롯해 구글이 연관되어 있는 모든 인터넷 환경에서의 안전을 보장하기 위해 최선을 다하고 있다. 우리는 상당한 비용과 인력을 보안에 투자하고 있기 때문이다.    

Q. 효과적인 개인정보보호와 관련해 한국의 인터넷 기업들과 공유하고 싶은 부분이 있다면?

많은 사람들은 온라인 환경이든 오프라인 환경이든 프라이버시에 대해 관심을 가진다. 특히, 인터넷 회사들은 개인정보 보호가 훌륭한 보안과 더불어 시작된다는 점을 항상 유념해야 한다. 왜냐하면 가장 엄격한 개인정보보호정책도 부적절한 보안상태의 데이터 관리자에 의해 운영된다면 무용지물이 될 수밖에 없기 때문이다. 앞서 언급한 바와 같이 프로세스와 기술, 그리고 사람 간의 효율적인 결합이 보안수준 유지에 있어 매우 중요한 역할을 차지한다. 이를 가볍게 여길 수 없는 것이 보안상의 허점을 악용하는 사람들이 매우 많기 때문이다.

인터넷 환경을 보호하고 모두가 웹을 보다 안전하게 이용하도록 하는 노력의 일환으로 구글은 보다 많은 보안도구들과 기술들을 이용할 수 있게 하고 있다. 예를 들면 구글 크롬(Google Chrome)은 사용자들과 그들의 컴퓨터를 피싱 사기, 각종 크라임웨어, 그리고 다른 웹 기반 공격들로부터 보호하며, 사용자들이 인터넷을 사용하는 동안 그들의 보안과 사생활을 보호하기 위해 특별히 고안된 것이다.

구글 크롬은 세이프 브라우징(Safe Browsing) 기술을 이용한다. 또한, 구글 크롬은 ‘중간자 공격’에 사용되는 사기성 SSL 인증으로부터 사용자들을 보호한다. 구글 크롬은 샌드박싱(Sandboxing)을 사용하여 사용자 PC에 악성코드 등의 악성 소프트웨어가 자체적으로 설치되는 것을 막고, 최신 보안 업데이트가 자동으로 이루어지도록 한다.

Q. 인터넷을 안전하게 사용하고 인터넷에서 항상 보안을 유지하고자 하는 사람들에게 해주고 싶은 조언이 있다면?

인터넷 환경을 안전하게 유지할 수 있는 몇 가지 간단한 조치가 있다.

1. 이메일과 온라인 뱅킹 같은 중요한 계정을 위해 숫자, 문자, 기호로 이루어진 길고 독특한 비밀번호를 이용하라.

2. 이메일을 통해 비밀번호를 보내지 말고 타인들과 공유하지도 말라.

3. 비밀번호 복구 옵션을 설정하며, 비밀번호를 자주 변경하라.

4. 2단계 설정을 확인하라.

5. 프라이버시와 보안 환경을 정기적으로 체크하며 여러분이 내용을 어떤 식으로 공유하기를 원하는지 파악하고 그렇게 설정하라.

6. 온라인에서 접속할 때 세심한 주의를 기울여라. 웹 주소가 https://--로 시작되는지 확인한다. 이는 당신의 웹사이트 접속이 암호화되며 스누핑이나 부당한 변경에 보다 안전하다는 의미이다.

7. PC나 태블릿, 혹은 전화기의 사용이 끝나면 항상 화면을 잠금 장치하라.

이와 관련 www.google.com/goodtoknow 웹페이지에서 구글의 안전도구에 관한 사항을 좀더 자세하게 확인할 수 있다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])