4차 산업혁명의 파고가 거세지고, 새로운 기술과 트렌드 확산이 빨라지면서 IT 업계는 올해 역시 다사다난한 한 해를 보냈다. 국내 ICT 시장의 활성화는 아직 기대에는 미치지 못했지만 IT 메가트렌드 수용이 점점 속도를 내면서 차세대 시장 개화를 촉진할 발판은 마련했다는 평가다. 어려운 상황 속에서도 의미 있는 행보와 성과를 보인 시장과 기술을 중심으로 올 한해를 짚어보고, 내년 시장을 전망했다. 2019년은 싹을 틔우기 시작한 차세대 열매들을 거둬들일 수 있는 원년이 될지 주목된다. <편집자>
빅데이터 산업 활성화를 위해 개인정보 활용 규제를 완화해야 한다는 주장이 받아들여졌다. 정부는 개인정보 보호 관련 법률 개정안을 마련하고 암호화·교환(Swapping) 등의 기술을 이용해 가명화된 개인정보를 본인 동의 없이 사용할 수 있게 했다.
행정안전부, 방송통신위원회, 금융위원회, 과학기술정보통신부 등 은 ‘개인정보 보호법’, ‘정보통신망 이용 촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 3개 법률의 개정안을 마련하고 비식별화된 개인정보를 활용할 수 있는 길을 터줬다.
가명정보는 기술개발, 실증, 기초연구, 응용연구 및 민간투자연구 등 과학적 방법을 적용하는 연구 등에 사용할 수 있으며, 새로운 기술, 제품, 서비스 개발 등 산업적 목적을 포함한다. 개인을 식별할 수 없도록 보안시설을 갖춘 전문기관을 통해 데이터 결합이 허용된다.
또한 정부는 관련 법률의 유사·중복 규정을 정비하고 추진체계를 일원화하는 등 개인정보 보호 거버넌스 체계를 효율화했다. 개인정보의 오·남용 및 유출 등을 감독할 감독기구는 개인정보보호위원회로 일원화되며, 유사·중복 규정 등은 개인정보 보호법에 맞춰 정비할 계획이다. 정보통신망법은 유사·중복 규정을 개인정보보호법으로 이관하며, 신용정보법은 개인정보보호법 개정 내용에 맞춰 정비된다.
데이터 비식별화 전문가 양성 시급
가명화된 개인정보 활용은 이미 미국, EU, 일본 등에서 도입돼 활용되고 있으며, 연구·개발 등의 목적으로 사용되고 있다. 이러한 글로벌 추세에 맞춰 우리 정부도 개인을 식별하지 못하도록 가명화된 개인정보를 활용할 수 있도록 이번 법률 개정안을 통해 명확히 했다.
또한 정부는 의료·금융·통신 등 분야별로 정보주체가 자기 정보를 내려 받아 활용하는 ‘마이데이터’ 시범사업을 추진하는 등 개인정보를 안전하게 활용할 수 있는 다양한 방안을 마련하고 있다.
개인정보 가명화를 위한 비식별화 알고리즘은 현재 21가지이며, 학계·업계를 중심으로 지속적으로 연구되고 있어 앞으로도 새로운 모델이 지속적으로 나올 수 있다. 기업/기관은 여러 비식별화 알고리즘 중 해당 산업에 적합한 모델을 선택해 사용할 수 있다.
비식별 데이터를 활용할 때 그 가치를 판단하고 재식별 가능성이 있는지 점검하는 과정에 전문가가 반드시 필요하다. 그러나 우리나라에는 충분한 전문성을 가진 인재가 많지 않아 전문가 양성 방안 마련이 시급히 요구된다.
강화되는 글로벌 개인정보 보호 규제
한편 올해 개인정보 보호와 관련, 유럽 일반개인정보보호법(GDPR) 시행이 최대 관심사였다. 개인정보 유출 사고가 발생했을 때 ‘심각한 위반’일 경우 전 세계 매출의 4%를 벌금으로 내야 한다. 페이스북의 개인정보 유출 사고가 GDPR을 심각하게 위반한 것으로 판명이 난다면 벌금만 1조7000억원에 이른다.
개인정보 유출 사고는 점점 더 대담해지고 대규모로 일어나고 있다. 젬알토의 ‘브리치 레벨 인덱스(BLI) 2017’에 따르면 지난 한 해 동안 발생한 사고를 분석하면 1초에 55개, 하루 480만개의 데이터가 빠져나갔으며, 이 중 4%만이 암호화로 보호되고 있는 것으로 나타났다.
잦은 개인정보 유출 사고와 이로 인한 2차, 3차 피해가 심각해지면서 세계 각국이 개인정보보호법을 강화하고 있다. EU GDPR이 그 대표적인 예이며, 중국의 ‘네트워크안전법’도 매우 강력한 개인정보 보호 규제로 꼽힌다.
멀티 클라우드, 개인정보 일관적 보호 방안 필수
규제가 강력해지면서 이에 대응할 수 있는 기술과 서비스도 모습을 드러내고 있다. 규제준수를 위한 컨설팅 서비스가 다수 등장하고 있으며, IT 기술을 이용해 개인정보를 안전하게 보호할 수 있는 방법도 제안되고 있다.
특히 비즈니스가 클라우드로 확장되면서 멀티 클라우드까지 지원하는 개인정보 보호 기술이 필수로 요구된다. 최근 우리나라에서도 클라우드 관련 규제 완화로 공공·금융기관의 클라우드 전환 속도가 빨라지고 있다.
클라우드에서의 개인정보 보호 문제는 관리되지 않은 섀도우 클라우드로 인해 생긴다. 쉽게 사용할 수 있는 퍼블릭 클라우드에 개인정보를 이관한 후 업무가 종료된 후 방치했다가 개인 데이터가 불법적으로 유출되는 등의 문제가 발생할 수 있다.
클라우드 환경에서 개인정보를 보호하기 위해서는 개인 데이터가 어디에 있는지 파악하고 중요한 개인 데이터 보유 현황과 데이터 유출 여부, 비정상 사용자 행위 등을 파악한다. GDPR 및 개인정보 보호 관련 규제를 위반할 수 있는 애플리케이션을 차단하고 온프레미스, 클라우드에 일관성 있는 데이터 유출 방지 정책을 적용해야 한다.
