법은 왜 어려운가?에 대한 고찰

나는 지금 정보보안 학사를 졸업하고 컨설팅 일을 하고 있다.
 
여기서 가장 중요한 것은 바로 유권 해석으로, 개보법/정보통신망법을 이해해야 한다.
 
그동안 내가 공부하던 것들은 A=B라는 명확한 것이었는데, 법은 그렇지 않다. 글 자체에서 의문점이 많이 생기고 그런 의문점을 해소할 방법이 없다. 타 BP를 참고하는 방식으로 진행하고 있는데 인증을 받은 회사라고 해서 타사 사례가 명확한가/? 라고 한다면 그것도 최선은 아니다. 왜냐면 타사의 BP는 해당 기업의 서비스 성격을 따르는 것이기 때문의 타사 자료를 그대로 적용할 수 있다고 보기 어렵다.
 
최근에는 관리적 측면에서의 APP 점검을 진행하였는데, 이때 해당 관련 가이드를 찾아서 적용하려 했다. 그러나 ISMS의 3. 개인정보 처리 단계 별 요구사항에서의 개보법 + 정보통신망법 제22조 / 제50조 각각의 점검 가이드만 있을 뿐 통합 버전은 없어 하나의 체크리스트 표를 만들어 진행했다.
 
이때 내가 생각의 늪에 빠진 부분이 있었다. 
바로 정보통신망법 제22조의2제1항 접근권한에 대한 동의를 받는 방법인데, 해당 부분에서 "이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한"이 필요한 경우 명시하고 동의를 받아야 한다고 적혀있다.
 
관련 시행령 
① 정보통신서비스 제공자가 법 제22조의2제1항에 따라 이용자의 동의를 받아야 하는 경우는 이동통신단말장치의 소프트웨어를 통하여 다음 각 호의 정보와 기능에 대하여 접근할 수 있는 권한(이하 이 조에서 “접근권한”이라 한다)이 필요한 경우로 한다. 다만, 이동통신단말장치의 제조ㆍ공급 과정에서 설치된 소프트웨어가 통신, 촬영, 영상ㆍ음악의 재생 등 이동통신단말장치의 본질적인 기능을 수행하기 위하여 접근하는 정보와 기능은 제외한다.
1. 연락처, 일정, 영상, 통신내용, 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다. 이하 같다) 등 이용자가 이동통신단말장치에 저장한 정보
2. 위치정보, 통신기록, 인증정보, 신체활동기록 등 이동통신단말장치의 이용과정에서 자동으로 저장된 정보
3. 「전기통신사업법」 제60조의2제1항에 따른 고유한 국제 식별번호 등 이동통신단말장치의 식별을 위하여 부여된 고유정보
4. 촬영, 음성인식, 바이오정보 및 건강정보 감지센서 등 입력 및 출력 기능
 
③ 법 제22조의2제1항에 따라 이용자의 동의를 받아야 하는 사항이 같은 항 제1호 또는 제2호에 따른 접근권한 중 어느 것에 해당하는지 여부를 판단할 때에는 이용약관, 「개인정보 보호법」 제30조제1항에 따른 개인정보처리방침 또는 별도 안내 등을 통하여 공개된 정보통신서비스의 범위와 실제 제공 여부, 해당 정보통신서비스에 대한 이용자의 합리적 예상 가능성 및 해당 정보통신서비스와 접근권한의 기술적 관련성 등을 고려하여야 한다. 
 
제1항에서 고민을 했던 것은 알림 기능이 시행령 제9조의2제1항에 해당하는 것인가? 였는데, 이건 QnA를 통해 해당되지 않는 사항인 것을 확인했다.

푸쉬 알림 설정이 법상 아무런 의무사항이 없음 = 제22조의2에 해당하지 않음이라고 해석하였다.
 
해당 부분에서 의구심을 갖게 된 것은 APP store내의 몇몇 어플은 *[설명] > [더보기]에서 알림 실행 권한을 (선택) 접근 권한임을 표기하였기 때문이다.
*스마트폰 앱 접근권한 개인정보보호 안내서.pdf 中 고지 방법 및 절차

휴대폰 내의 알림 기능 사용 시에 동의를 구하여야 하나, 정보통신망법 제22조의2에 해당하여 (필수/선택) 권한을 명시적으로 고지하여야 하는 의무는 없는 것으로 판단하였다.
 
문제는 제3항이다. 해당 기준은 명확하지 않다. 판단을 기업에게 맞춘다는 것인데 그렇다면 기업이 정한 필수/선택에 대해서 제3자가 필수/선택으로 구분된 접근 권한의 타당성 입증을 할 수 있을까?
 
결국 이 관점은 컨설턴트의 입장에서도 같다.
 
이 글을 작성하는 이유는 약 5일간 고민하던 것들을 글로 작성함으로써 생각을 정리하고 앞으로 나아가야 할 방향성을 다시 생각해보기 위함이었는데 작성하고 나니 왜 퇴근길에 생각을 많이 할 수 밖에 없었는지 알게되었다
 
당장 내가 할 수 없는 것(판단의 영역)보다 쟁취할 수 있는 것(지식의 습득)을 우선 순위에 두어야겠다.