[EU GDPR과 개인정보 보호④] “공익 목적 개인정보 활용 규제 완화해야”
상태바
[EU GDPR과 개인정보 보호④] “공익 목적 개인정보 활용 규제 완화해야”
  • 김선애 기자
  • 승인 2017.08.07 10:36
  • 댓글 0
이 기사를 공유합니다

규제 준수보다 ‘데이터 보호’에 초점 맞춰야…개인정보 비식별화 솔루션 경쟁 시작

유럽연합의 개인정보보호법(EU GDPR)이 내년 5월 시행된다. 유럽에서 사업을 하거나 유럽 시민을 고용하는 등 유럽시민의 개인정보를 사용하고자 하는 기업/기관은 반드시 GDPR에 대응해야 한다. 그러나 상세한 세부 규정을 지키는데 익숙한 우리나라 기업/기관에서 GDPR을 정확하게 이해하고 대응하는 것은 어려운 상황이다. EU GDPR은 개인정보의 자기결정권을 강화하면서도 유연한 활용을 폭넓게 허용하고 있기 때문이다. EU GDPR의 주요 사항을 살펴보고, 개인정보의 합법적인 활용 방안을 제안한다.<편집자>

우리나라 개인정보보호법이 지나치게 규제 위주로, 빅데이터 산업의 발전을 방해하고 있으며, 안전한 활용 방안을 모색해야 한다는 주장이 힘을 얻고 있다. 국내 개인정보보호법은 공익적인 목적의 개인정보 활용도 강력하게 통제하고 있어 산업의 발전에 제약을 받는 면이 있다.

예를 들어 사람들의 의료 데이터를 분석해 건강보험 관련 정책을 개선하고자 할 때, 임상실험에 이용하고자 할 때, 개별적으로 정보주체의 동의를 받아야 한다. 많은 비용과 시간을 들여 수집한 개인 의료정보를 수집 당시 목적에만 사용하고 폐기한 후, 또 다시 같은 과정을 거쳐 정보를 수집하면 정보가 축적되지 않으며, 정확한 분석결과를 내기에 충분하지 않은 미흡한 정보만을 얻게 된다. 따라서 공익적인 목적을 위한 개인정보 공유는 좀 더 유연하게 공유할 수 있도록 제도를 개선해야 한다는 목소리가 높다.

김경환 법무법인 민후 대표변호사는 “4차 산업혁명의 중심은 데이터이다. 누가 더 높은 가치를 가진 데이터를 확보하느냐가 생존을 좌우하며, 의미 있는 데이터를 어떻게 모을 것인가가 경쟁력이 될 것”이라며 “다만 안전한 데이터 공유가 전제돼야한다. 무분별하게 데이터가 공유 되지 않도록 사회적 합의가 있어야 한다”고 강조했다.

복잡하고 강력해지는 개인정보보호법 준수를 위해서는 규제 하나하나에 초점을 맞추는 것이 아니라 ‘데이터 보호’에 초점을 맞춰야 한다. 개인정보 수집부터 활용, 유통, 보관, 폐기의 전 과정의 가시성을 부여하고, 체계적으로 관리하며 개인정보 접근에 대한 이상행위를 모니터링 하는 등의 정책이 반드시 필요하다.

최동근 롯데카드 상무는 6월 열린 ‘제10회 국제 개인정보보호 심포지엄’에서 “개인정보 보호 규제가 복잡하고 어려운 것은 사실이지만, 규제준수보다 개인정보를 안전하게 보호하고 효과적으로 운영하는데 초점을 맞추는 것이 더 중요하다”고 밝혔다.

개인정보 보호 노하우 축적된 비식별화 솔루션 출시

우리나라 개인정보보호법에서 규정한 비식별화 조치는 매우 강력한 편에 속한다. 대상 데이터를 추출해 K-익명성, L-다양성, T-접근성 알고리즘을 이용해 비식별화 하며, 적정성 평가기관의 평가를 받아야 하고, 여러 비식별 정보가 결합됐을 때 재식별 되는지 평가하고, 비식별 조치된 데이터가 불법으로 유출되지 않도록 관리해야 한다.

비식별 방법 조치는 분석에 필요한 데이터만 남겨두고 삭제하거나 *와 같은 의미 없는 문자로 대체하는 것, 혹은 40대-전문직-여성 등 일반적인 대분류만으로 구분하는 등의 조치를 말한다. 비식별 조치가 너무 강력하면 빅데이터 분석에 사용할 수 없는 의미 없는 데이터가 되며, 너무 낮으면 재식별이 가능해 사용할 수 없다. 적정한 수준의 비식별 조치를 찾아내는 것이 중요하다.

▲개인정보 비식별조치(자료: KISA)

백경명 더보안 이사는 “개인정보보호법이나 정보통신망법, 방송통신위원회 가이드라인에서 비식별화의 방법과 기준을 정확하게 제시한 것은 아니다. 개인정보 보호와 활용이라는 두 마리 토끼를 잡기 위해서는 비식별 개인정보를 구분하고 연결된 정보와 관계성을 파악해 비식별화 과정에 적용할 수 있는 전문성이 있어야 한다”고 설명했다.

비식별화로 토큰화, 마스킹 등을 사용할 수 있다는 주장도 있지만, 이 방법은 재식별이 가능하기 때문에 사용할 수 없다. 본인 동의 없이 사용할 수 있을 만큼 비식별조치가 이뤄지려면 필요 없는 부분을 삭제하거나 의미 없는 문자로 완전히 바꿔야 한다.

파수닷컴 관계자는 “비식별 조치로 제안되는 K-익명화는 다양한 데이터 유형에 적용하기 어려우며, 산업군별로 데이터의 특성이나 형태에 따른 다양한 요구를 만족하기 어렵기 때문에 기업의 적용 사례가 줄어들고 있다”며 “적정한 수준의 비식별 조치를 할 수 있는 경험과 노하우가 필요하다”고 설명했다.

파수닷컴의 비식별화 솔루션 ‘애널리틱 디아이디(Analytic DID)’는 국립암센터, 비식별조치 전문기관에 공급했으며, 지난 4월 업그레이드된 최신 제품을 출시했다.

개인정보 비식별 조치 솔루션 중 이지서티의 ‘아이덴티티 쉴드(IDENTITY SHIELD)’는 개인정보 보호 전문성과 K.L.T 프라이버시 모델 비식별 기법을 적용한 컴플라이언스 솔루션이다. 인메모리 기술로 고속이 비식별 처리를 제공하며, 개인정보 필터링 원천기술을 확보해 비식별조치부터 데이터 결합까지 업무 연계를 통한 최적의 업무 프로세스를 제공한다.

박용희 이지서티 이사는 “아이덴티티 쉴드는 최근 통신사와 신용카드사의 결합상품을 위해 공급됐는데, 신용카드, 통신요금을 모두 연체하는 사람들을 대상으로 대출 상품을 제안하는 타깃 마케팅을 제공해 성과를 거뒀다. 이외에도 정부 주요 기관과 지자체, 주요 금융기관, 병원, 제조기관 등에서 성공적으로 사용하고 있다”며 “이지서티는 개인정보 보호 전문기업으로 축적된 노하우를 바탕으로 개인정보의 보호와 안전한 활용을 위한 다양한 솔루션을 공급하고 있으며, 해외시장 개척에도 적극 나서고 있다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.