개인정보 보안성 검토 절차를 단계별로 설명
신규 서비스 오픈 전 개인정보 보안성 검토는 설계 단계에서 시작하는 것이 가장 중요하다고 생각한다. 개발이 완료된 뒤 보안 이슈를 수정하는 건 비용이 너무 크기 때문이다. 구체적으로는 먼저 수집하는 개인정보 항목이 서비스 목적에 최소화돼 있는지 확인하는 것에서 출발한다. 다음으로 데이터 흐름도를 그려 어느 구간에서 개인정보가 이동하고 저장되는지 파악하고, 각 구간에 암호화·접근 제어·로깅이 적용돼 있는지 체크한다. 위험 요소 분석은 OWASP Top 10을 기준으로 서비스 특성에 맞는 항목을 추려 우선순위를 정한다. 개인정보보호법 적용 범위를 법무팀과 사전에 협의하고, 처리방침 문서와 실제 구현이 일치하는지 대조 검토도 진행한다. 팀 내 보안 담당자가 없을 경우 외부 취약점 점검을 오픈 전에 요청하는 게 현실적인 안전망이 된다.