당신의 회계사는 급여명세서를 아무 PDF 사이트에나 업로드하고 있을까?
세무대리인은 급여명세서, 계약서, 세금 신고서를 다룹니다. 그들이 이런 PDF를 아무 웹사이트에서 합치거나 분리한다면, 당신의 데이터는 이미 밖으로 새어 나간 것입니다. 해결책을 알려드립니다.
올해 당신의 급여명세서를 누가 만졌는지 떠올려 보세요. 당신, 당신의 고용주, 그리고 거의 틀림없이 회계사나 급여 담당 부서입니다. 이제 그 PDF를 지난달 것과 합치거나, 은행 제출용으로 페이지를 따로 분리해야 했던 순간을 떠올려 보세요. 그 일이 어디에서 일어났나요?
많은 전문가들에게 그 답은 검색 결과 첫 페이지에서 찾은 무료 웹사이트입니다. 그들은 당신의 급여명세서를 끌어다 놓고, 버튼을 누르고, 결과물을 내려받은 뒤 다음 일로 넘어갑니다. 작동은 합니다. 하지만 그것은 곧 당신의 급여, 계좌 정보, 주민등록번호가 당신이 한 번도 들어본 적 없는 서버로 이동했다는 뜻이기도 합니다.
바로 그 부분을 짚고 넘어가야 합니다.
다른 사람의 손을 거치는 문서들
당신은 좀처럼 자신의 민감한 PDF를 직접 처리하지 않습니다. 그것들은 중간 매개자를 거칩니다.
급여 담당 부서와 회계사는 급여명세서, 계약서, 세무 신고, 은행 잔고증명서를 봅니다. 인사 부서는 신분증 스캔본, 사회보장번호, 병가 진단서, 때로는 의료 증명서까지 다룹니다. 법률 사무소는 이혼 서류부터 상속 문서까지 온갖 것을 처리합니다. 병원 행정 데스크는 진료 의뢰서와 검사 결과를 하나의 파일로 합쳐 보험사에 보냅니다.
이 사람들은 모두 어느 시점엔가 PDF에 대해 지루한 작업을 해야 합니다. 파일 네 개를 하나로 합치기. 40페이지 스캔본에서 3쪽부터 7쪽까지 빼내기. 이메일에 첨부되도록 파일 용량 줄이기. 이런 일은 전혀 화려하지 않으며, 바로 그렇기 때문에 가장 안전한 도구가 아니라 가장 빠른 도구로 처리됩니다.
”1시간 후 삭제됨”은 보장이 아니다
대부분의 온라인 PDF 도구는 당신의 파일을 자사 서버에 업로드하고, 거기서 작업을 실행한 뒤, 결과물을 돌려보냅니다. “파일은 1시간 후에 삭제됩니다”라고 적힌 작은 배너는 전적으로 진심일 수도 있습니다. 문제는 당신이 그것을 확인할 수 없고, 그 도구를 쓰는 회계사도 확인할 수 없다는 점입니다.
급여명세서가 다른 사람의 서버에 단 한순간이라도 올라가 있는 순간, 몇 가지는 누구의 통제도 벗어납니다. 로그와 백업은 약속된 기한이 지나도 사본을 보관할 수 있습니다. 서버 자체가 침해당할 수 있습니다. 그 도구는 자기 소유가 아닌 인프라 위에서 돌아가면서, 아무도 언급하지 않은 스토리지 버킷과 처리 큐를 통해 당신의 파일을 흘려보낼 수도 있습니다. 노트북을 결코 벗어나지 않는 문서는 다른 어딘가에서 일어나는 침해 사고로 유출될 수 없습니다.
휴가 사진이라면 누가 신경 쓰겠습니까. 하지만 당신의 급여와 신분증 번호가 적힌 파일이라면 계산은 완전히 달라집니다.
GDPR가 실제로 그들에게 요구하는 것
전문가들이 가끔 건너뛰는 부분이 바로 여기입니다. 회계사나 인사 부서가 당신의 데이터를 다룰 때, GDPR는 그것을 그들이 마음대로 처리해도 되는 개인 소유물로 보지 않습니다. 그들은 타인을 대신하여 개인정보를 처리하는 것이며, 거기에는 의무가 따릅니다.
그들은 해당 데이터를 안전하게 지키기 위해 적절한 기술적 조치를 적용해야 합니다(제32조). 누구와 데이터를 공유하는지 알아야 하며, 업로드된 파일을 받는 임의의 PDF 웹사이트는 그 사슬 속의 제3자입니다. 그들이 당신의 데이터를 수탁처리자에게 넘긴다면, 이를 규율하는 계약이 있어야 합니다. 그리고 그 웹사이트가 침해를 당한다면, 급여명세서가 노출된 사람들이 그 대가를 치르게 됩니다. 스트레스로, 그리고 더 나쁜 것으로.
고객의 세금 신고서를 30초를 아끼려고 알 수 없는 무료 도구에 업로드하는 일은 그 어떤 의무와도 들어맞기 어렵습니다. 그렇게 하는 대부분의 전문가는 그저 파일이 어디로 가는지 한 번도 생각해 본 적이 없을 뿐입니다. 그 도구가 데이터 전송이 아니라 계산기처럼 느껴졌던 것입니다.
해결책: 파일을 기기 안에 두기
다르게 작동하는 종류의 PDF 도구가 있습니다. 파일을 서버로 보내는 대신, 작업 전체를 브라우저 안에서 실행합니다. 코드는 한 번 기기로 내려받아지고, 당신의 PDF는 브라우저 자체의 메모리 안에서 열리고 수정되며, 완성된 파일은 곧장 같은 기기로 다시 저장됩니다. 문서는 어디로도 가지 않습니다.
이것이 reader.me가 작동하는 방식이며, 민감한 문서에 적합한 이유입니다. 급여 담당 부서가 우리의 PDF 합치기 도구로 급여명세서 묶음을 하나로 합칠 때, 그 파일들은 그들의 컴퓨터, 그들의 브라우저 안에서 처리됩니다. 우리에게는 아무것도 업로드되지 않습니다. 업로드할 서버 단계 자체가 없기 때문입니다. 탭을 닫으면 작업 메모리는 사라집니다.
이를 무작정 믿어야만 하는 것도 아닙니다. 브라우저의 DevTools를 열고, Network 탭으로 가서, 합치기를 실행한 뒤 지켜보세요. 당신의 파일을 밖으로 실어 나르는 요청은 하나도 없습니다. 파일이 어떤 요청 본문에도 들어 있지 않다면, 그것은 어디로도 전송되지 않은 것입니다.
실제로 해야 할 일
당신이 전문가라면, 습관 하나를 바꾸세요. 고객의 급여명세서나 계약서를 웹 도구에 넣기 전에, 그것이 브라우저에서 처리되는지 서버에서 처리되는지 자문해 보세요. 알 수 없다면, DevTools 테스트를 한 번 실행해 확인하세요. 클라이언트 측에서 작동하는 도구를 골라 기본 도구로 삼으세요. 어차피 더 빠릅니다. 업로드와 다운로드를 오가는 과정이 없기 때문이고, 사무실 와이파이가 끊겨도 계속 작동하기 때문입니다.
당신이 고객이라면, 물어볼 권리가 있습니다. 다음에 세무대리인이나 인사 부서가 당신의 문서를 다룰 때, PDF를 어떻게 처리하는지, 파일이 그들의 컴퓨터를 벗어나는지 물어보세요. 좋은 답은 “모든 것이 우리 기기 안에 머뭅니다”입니다. 어깨를 으쓱하는 반응은 더 캐물어 볼 만한 신호입니다. 그 페이지에 적힌 것은 당신의 급여이고 당신의 신분증이며, 그것들이 어디로 가는지 묻는 일은 지극히 합리적입니다.
작업 자체는 평범합니다. 파일 몇 개를 합치는 데는 몇 초면 됩니다. 유일한 질문은 그 몇 초가 당신의 기기에서 일어나느냐, 아니면 낯선 사람의 서버에서 일어나느냐입니다. 그리고 급여명세서라면, 그것은 제대로 짚고 넘어갈 가치가 있는 질문입니다.