> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[개인정보 보호와 활용⑩]개인정보, 4차산업혁명 ‘원유’
안전한 활용 위한 개인정보 비식별화 필요…정보주체 자기 결정권 보장 강화하면서 규제 완화 해야
     관련기사
  [개인정보 보호와 활용①] 심각해지는 개인정보 유출 사고
  [개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄
  [개인정보 보호와 활용③] 강력해지는 개인정보 보호 규제
  [개인정보 보호와 활용④] GDPR, 개인정보 가시성 확보가 먼저
  [개인정보 보호와 활용⑤] 클라우드 포괄하는 보안 정책 필수
  [개인정보 보호와 활용⑥] 일관된 암호화·키관리 필수
  [개인정보 보호와 활용⑦] 대규모 환경서도 암호화 지원
  [개인정보 보호와 활용⑨] AI 탑재 DLP로 개인정보 보호
2018년 08월 22일 09:25:55 김선애 기자 iyamm@datanet.co.kr

개인정보와 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치려는 사이버 범죄자들이 늘고 있다. 이에 대응하기 위해서는 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력 있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다.<편집자>

    
(자료: 파수닷컴)

사람들의 모든 일상이 네트워크에 연결돼 있는 현재, 개인정보를 강력하게 통제하고 보호하는 것은 결코 이상적이지 않다. AI가 IT에 접목되면서 서비스들은 더욱 더 개인화되고 상황에 맞춤화된 성태로 진화할 것이다. 개인화 서비스를 위해서는 양질의 개인정보를 충분히 확보해야 하는데, 모든 개인정보를 투명하게 공개하는 것은 매우 위험한 일이다.

개인정보의 보호와 활용을 위해 등장한 것이 ‘개인정보 비식별화’이다. 개인화 서비스를 위해 활용이 가능한 수준으로 개인정보를 노출하되, 특정 개인을 분별할 수는 없을 정도로 가공하는 것이 비식별화이다. 예를 들어 32세 남성, 경기도 의정부시에 거주하고 서울 종로구의 중소기업 A사에 다니고 있는 홍길동 씨의 개인정보를 비식별화 한다면, ‘경기도에 거주하며 서울로 출퇴근하는 30대 직장인 남성 홍○○’ 등으로 표기하는 식이다.

기업이 서비스를 위해 개인정보를 활용하기 위해서는 반드시 본인에게 동의를 받아야 한다. 그러나 개인정보 보호 의식이 높아지면서 동의를 받기가 점점 더 어려워지고 있다. 사이버 공격이 지능화되고 있으며, 이미 유출된 개인정보를 이용해 개인에게 직접적인 피해를 입히게 되면서 개인정보 제공 동의를 받기는 더욱 어려워졌다.

비식별화는 본인 동의 없이 개인정보를 활용할 수 있는 기준이 되며, 비식별화된 개인정보는 다른 정보와 결합했을 때에도 특정 개인을 식별하지 못하는 정도의 수준으로 비식별화 처리를 해야 한다.

너무 강력하게 비식별화하면 개인화 서비스에 사용할 수 없는 무의미한 정보가 되며, 활용성을 높이면 개인에게 동의를 받아야 하기 때문에 서비스에 맞는 적당한 수준의 비식별 방식을 찾는 것이 중요하다.

비식별 정보 활용 규제 완화 시동

AI 기술이 발달하면서 비식별화 수준을 정의하기는 더욱 어려워지고 있다. 비식별화된 개인정보는 다른 정보와 결합해도 개인을 식별할 수 없어야 하는데, AI를 적용하면 특정 개인을 식별할 수 있는 사례가 발생하게 될 것이다.

구태언 테크앤로 대표 변호사는 6월 열린 ‘국제 개인정보보호 심포지엄’에서 “AI가 똑똑하지 못하면 개인식별을 제대로 못해 개인의 정보를 제대로 보호하지 못하고, 개인에게 맞춤형 서비스를 해 주지 못한다. 개인을 식별하지 못하는 AI는 퇴출되고 개인을 식별하는 AI만이 살아남게 될 것인데, 비식별화 수준을 강력하게 해 AI가 개인을 식별하지 못하게 만든다면 우리나라에서 AI 기술은 성장하지 못할 것”이라고 주장했다.

그는 “개인식별 행위를 금지하면서 비식별화된 개인정보는 동의 없이 사용하게 하되, 정보주체가 개인정보 사전 동의, 포괄동의와 사후동의 배제형을 선택하는 등의 대책을 마련하는 것이 필요하다”며 “정부는 동의 원칙을 엄격하게 적용하는 것 보다 불법성을 판단하는 방식으로 규제를 완화하는 것이 바람직하다”고 덧붙였다.

우리나라에서 개인 동의 없이 비식별화된 개인정보를 사용할 수 있게 된 것은 2016년부터이지만, 아직까지 비식별 정보 활용이 활발하게 이뤄지지 않고 있다. 2016년 금융기관이 비식별 정보를 활용할 수 있도록 규제가 완화됐고, 평가기관의 적정성 평가를 받은 후 시범사업 등을 통해 비즈니스를 만들어보고자 했으나 시민단체의 강력한 반대에 부딪혀 현재는 중단된 상태이다.

“개인정보 감독 기구·체계 정비가 우선”

시만단체들은 비식별 데이터 활용 자체에 반대하는 것은 아니지만, 비식별조치 가이드라인과 개인정보보호법, 정보통신망법 등 개인정보 관련 규제가 중복되고 비현실적이며 개인정보를 충분히 보호하지 못한다는 점을 지적하고 있다.

시민단체는 개인정보의 안전한 활용을 위해 개인정보 법제와 감독기구가 일원화돼야 한다고 촉구하고 있다. 개인정보보호법, 정보통신망법, 신용정보법 등 여러 법제와 개인정보보호위원회, 행정안전부, 방송통신위원회, 금융위원회 등 여러 감독기구가 있어 효율적인 정보보호 감독이 이뤄지고 있지 않다고 지적했다. 이러한 상황에서 개인정보 거래를 활성화한다면 정보주체의 자기정보 통제권을 보장하지 못하고, 개인정보 브로커를 양성화 하는 수단이 될 수 있다고 지적한다.

그러면서 시민단체는 지난해 11월 비식별 조치 가이드라인에 따라 개인정보를 비식별화하고 데이터 결합을 시도한 기업 20곳을 개인정보보호 법 위반으로 검찰에 고발했다. 비식별화는 가이드라인일 뿐이고, 현행법상 데이터 결합은 불법이라고 강변했다. 현행법 상 비식별화된 개인정보가 개인정보인지 아닌지 정의하지 않고 있다.

시민단체 고발로 비식별화 사업이 잠정 중단된 상황이지만, 관련 업계와 학계를 중심으로 개인정보 활용 관련 규제를 현실화해야 한다는 주장이 강력하게 나오고 있으며, 정부도 빅데이터 산업 활성화를 위한 입법 작업을 구체화하면서 시장 형성에 주력하고 있다.

특히 해외 개인정보 활용 관련 규제를 들어 글로벌 수준에 맞는 빅데이터 활용을 촉진해야 한다는 주장이 설득력을 얻고 있다. 아주 강력한 개인정보보호법으로 꼽히는 GDPR에서도 공공적인 목적의 연구, 공적인 기록, 민간에서 필요한 통계 수집 작업을 위한 목적으로 가명화 정보를 자유롭게 이용할 수 있도록 했다. 다만 개인정보 수집 시 프로파일 동의 여부를 받도록 해 정보주체의 자기결정권을 보장할 수 있도록 했다.

미국은 빅데이터 활용 제한이 없어 개인정보를 폭넓게 활용할 수 있으며, 일본은 익명가공정보를 제한없이 사용할 수 이도록 했으며, 공공 데이터를 민간에 제공할 수 있는 비식별가공정보 제도도 마련하고 있다.

비식별화 정의·목적 명문화하는 규제 제정

정부는 4차산업혁명 성공을 위해서는 빅데이터 활용이 무엇보다 중요하다고 판단하고 안전한 개인정보 보호와 활용을 위한 제도 마련에 박차를 가하고 있다. 정부는 의료·금융·통신 등 분야별로 정보주체가 자기 정보를 내려 받아 활용하는 ‘마이데이터’ 시범사업을 추진한다. 이후 사회적 합의를 거쳐 개인정보 범위를 명확화하고 비식별조치에 관련된 가명정보와 익명정보 개념을 정립한 개인정보보호법 등 관련법 개정을 추진한다.

또한 상반기 개인정보 비식별화 해커톤을 열고 비식별화된 개인정보가 재식별되지 않도록 안전한 알고리즘을 구현했다는 사실을 입증하기도 했으며 한 전문가와 시민단체 관계자들이 참여하는 토론회를 열고 개인정보 보호와 활용 방안을 논의했다.

관계자들의 의견과 사회 여론을 수렴해 정부와 국회에서는 개인정보보호 관련 법 정비에 나섰다. 재식별할 수 없는 익명정보를 개인정보에서 제외하고, 가명정보의 정의를 분명히 하면서 연구, 상업 통계 등 활용할 수 있는 목적을 규정하는 등의 내용이 포함되고 있다.

개인정보 비식별화를 위해 사용할 수 있는 알고리즘은 17가지 정도 되며, 개인정보 비식별 처리 기술 표준 DIS 20889에는 21가지 기술이 정의돼 있다. DIS 20889는 국제표준화기구(ISO)와 국제 전기 표준 회의(IEC)가 개발한 것으로, 올해 ‘ISO/IEC 20889’ 표준으로 지정될 것으로 예상된다.

비식별화 모델은 학계·업계를 중심으로 지속적으로 연구되고 있어 앞으로도 새로운 모델은 계속 나올 것이며, 업계에서는 해당 산업에 적합한 모델을 선택하면 될 것이다. 문제는 비식별 데이터의 활용 가치를 판단하고 재식별 가능성이 있는지 점검하는 과정에 전문가가 필요하지만, 우리나라에는 충분한 전문성을 가진 인재가 많지 않다는 것이다.

김동한 펜타시스템테크놀러지 고등기술연구소장은 “의료, 금융, 신용카드, 통신, 제조 등 각 산업별로 필요한 비식별화 방법과 수준이 다르기 때문에 개별 산업별 전문가가 비식별화 과정에 참여해 안전성을 검증해야 한다. 비식별화 평가기관 역시 산업별로 전문성있고 신뢰할 수 있는 전문가들이 참여해야 한다. 우리나라에는 충분한 전문가 풀이 마련돼 있지 않은 것이 현실”이라며 “전문가를 모으고 육성하는 과정이 시급하다”고 말했다.

빅데이터 전문성 기반 비식별화 솔루션 ‘주목’

현재 개인정보 비식별화를 도와주는 전문 솔루션이 다수 출시돼 있다. 현재는 비식별화 사업이 중단된 상태여서 시장에서 경쟁이 이뤄지고 있지 않지만 DW 등 빅데이터 프로젝트를 진행할 때 일부 비식별화가 필요한 분야에서 수요는 꾸준히 발생하고 있다.

김동한 펜타시큐리티 연구소장은 “비식별화 사업은 빅데이터 프로젝트와 함께 진행되는 추세이며, 금융기관에서 적극적인 움직임을 보이고 있다. 연내 관련 법이 개정되면 내년부터 크게 성장할 것으로 기대한다”고 말했다.

비식별화 솔루션은 파수닷컴, 이지서티, 펜타시스템 3사가 출시해 시장을 만들고 있다. 파수닷컴은 데이터 보안과 활용 측면을 강조하고 있으며, 이지서티는 개인정보 전문 기업으로서 개인정보 검색·추출 능력이 뛰어나다는 점을 차별점으로 내세운다.

펜타시스템은 오랜 기간 빅데이터 관련 사업을 수행하면서 쌓은 전문성이 특장점이라고 강조한다. 통신사, 금융, 정부기관 등 여러 산업 분야에서 빅데이터 사업을 진행하면서 축적된 전문성을 이용해 개인정보의 안전한 활용이 가능한 비식별화 솔루션 ‘데이터아이 피디(DataEye PIDI)’를 2016년 출시했다. 이 제품은 데이터 변환과 이관 처리를 위한 ETL 솔루션 PDI(Penta Data Integrator)를 내장하고 있으며, 인메모리 DB를 활용해 대용량 데이터 처리 성능을 향상시켰다.

김동한 펜타시스템 연구소장은 “비식별화를 진행할 때 높은 수준의 ETL 기술이 있어야 개인정보를 정확하게 분류하고 정제해 가공할 수 있다. 또한 BI, DW 노하우가 있어야 하며, 빅데이터 프로세스 전반에 대한 이해가 필요하다”며 “펜타시큐리티는 대용량, 대규모 빅데이터 사업을 성공적으로 수행하면서 인정받은 전문성을 기반으로 대규모 환경에서도 빠르고 정확하게 비식별화 데이터를 제공할 수 있다”고 말했다.

컨설팅과 함께 제공되는 비식별화 솔루션

파수닷컴은 데이터 보안 솔루션 사업을 진행하면서 개인정보의 안전한 활용도 중요한 요건이 될 것이라고 판단, 2015년 최대우 한국외대 교수팀과 함께 제품 개발을 시작했다. 원본 데이터를 암호화하거나 토큰화 하는 방법으로는 빅데이터 분석을 통한 활용이 불가능하다고 판단, 개인정보를 안전하게 활용할 수 있는 비식별화 표준 모델을 찾아 솔루션을 개발했다.

2016년 비식별화 가이드가 발표된 후에는 가이드에 맞춰 제품을 수정했다. 또한 데이터 보안 전문 역량을 기반으로 한 컨설팅 서비스 ‘ADS’를 함께 제공해 사업 목적에 맞는 개인정보를 찾아 적합한 수준의 비식별화를 수행하고 컴플라이언스를 만족하면서 비즈니스에 활용할 수 있도록 지원한다.

김기태 파수닷컴 부장은 “비식별화 솔루션을 보안의 관점에서 접근하느냐, 활용의 관점에서 접근하느냐에 따라 달라질 수 있는데, 파수닷컴은 ‘활용’에 방점을 찍고 솔루션을 개발했다. 활용할 수 없는 정보는 빅데이터 사업에 필요하지 않기 때문이다”라며 “또한 컨설팅 사업을 전개하면서 분야별 컴플라이언스를 접목하고, 글로벌 컴플라이언스 지원까지 갖춰가면서 제품을 발전시켜나가고 있다”고 설명해다.

파수닷컴의 ‘ADID(Analytic DID)’는 개인정보 비식별화 가이드라인을 준수하며 GDPR의 가명화 요건, HIPPA, PCI-DSS 등 업계 글로벌 표준을 준수하는 비식별화를 지원한다. 개인정보 활용에 초점을 맞춰 개발한 ADID는 국립암센터 CRDW에 적용됐으며, 컨설팅 서비스는 A은행, B공단 등에서 수행됐다.

또한 파수닷컴은 사회보장정보원의 보건복지데이터의 비식별화 방안 연구를 수행, NIST IR 8053 릴리즈 모델 보고서에 포함, 데이터 리스크와 콘텍스트 리스크를 포괄하는 비식별 적용 연구 결과로 발표하기도 했다.

한편 파수닷컴의 비식별화 사업은 ‘2018년 글로벌 창조 소프트웨어(GCS) 사업’에 선정돼 정부로부터 20억원을 지원받아 2년간 27억원 규모의 글로벌 비식별화 솔루션 개발 사업을 진행한다. 국가별로 다양한 컴플라이언스에 대응할 수 있는 비식별 솔루션을 개발하고 있다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr