개인정보 오남용·유출 우려…개인정보 보호 전제된 방안 마련해야
[데이터넷] 데이터 경제 시대가 열리면서 개인정보 보호 문제가 수면위로 부상했다. 정부는 지난 1월 데이터 3법 국회 통과 후 후속 입법 절차와 통합 개인정보보호위원회 출범을 위한 활동에 신속하게 착수했으며, 민간 전문가가 참여하는 ‘제도혁신 자문단’을 발족하면서 개인정보 보호와 활용을 위한 다양한 입법작업과 기술 개발·지원, 국제협력에 나서도 있다. 또한 EU GDPR 적정성 결정을 위해 더욱 적극적으로 노력해 유럽 진출 우리 기업의 리스크를 줄이는데도 적극 나선다.
개인정보 비식별화 기술 주목
산업계는 본인 동의 없이 가명정보를 사용할 수 있게 되면서 다양한 혁신 서비스가 등장할 수 있다고 기대한다. 데이터 마켓과 빅데이터 분석, 가명처리 기술 및 솔루션, 가명처리된 정보를 활용한 새로운 서비스 등이 새롭게 부상할 수 있는 시장으로 주목받는다.
특히 보안분야에서는 개인정보의 가명처리를 지원하는 개인정보 비식별화 솔루션이 관심 대상이다. 파수닷컴, 이지서티, 펜타시스템 등이 공급하는 이 솔루션은 업계에서 인정받은 비식별 알고리즘을 이용해 개인정보를 비식별화하는 기술을 제공한다.
비식별화 기술은 개인정보 비식별 조치 가이드라인에서 규정한 비식별 기법과 K-익명성, L-다양성, T-근접성의 프라이버시 모델을 적용하고 있다. 이외에 국제 표준인 ISO/IEC 20889에서 제시하는 위험(Singling out, Linking, Inference) 감소 비식별 기법, 유럽 개인정보보호 규정인 GDPR에서 명시하는 가명화와 익명화 조치를 지원하고 제 3자 색인 기술 모델(TTP) 기반의 결합 키 생성 및 결합 지원 기능을 제공한다.
공공 데이터 오남용 우려 제기
데이터 경제에 대한 장밋빛 전망만 있는 것은 아니다. 개인정보 활용도를 높인 만큼 불법 유출, 오남용, 사칭 및 사기 등의 보안우려를 떨칠 수 없다. 시민단체들은 이 점을 들어 개인정보 활용을 엄격하게 제한해야 한다고 강조한다.
비식별 처리된 데이터와 결합된 데이터는 전문기관의 테스트를 통해 재식별 가능성이 없을 때에만 활용할 수 있다. 재식별 가능한 데이터를 사용하면 매출액의 3%를 과징금으로 부과할 수 있다. 또한 정부는 비식별 데이터의 안전성을 검증하기 위해 수 차례 해커톤을 개최하면서 현행 비식별 가이드라인을 만족하면 재식별되지 않는다는 사실을 입증했다.
그럼에도 불구하고 시민단체와 여러 전문가들이 우려하는 것은 AI를 이용한 재식별 가능성이다. 비식별 조치는 개인정보를 완전히 다른 정보로 바꾸는 것이 아니라 식별하기 어렵도록 만드는 조치다. 고급 AI 기술과 고성능 서버를 이용해 분석하면 언젠가는 식별 가능할 수 있다. 비식별 조치는 상식적인 수준에서 식별 가능성을 낮춘 조치라고 이해해야 한다.
가명정보 활용과 관련한 또 다른 지적은 공공기관이 축적한 공공 데이터를 사기업이 활용한다는 점이다. 글로벌 기업들은 자사 서비스를 제공하면서 개인 동의를 받아 수집한 데이터를 활용하고 있지만, 데이터 경제 시작이 늦은 우리나라는 공공기관이 보유한 데이터를 가명화 해 사용할 수 있도록 문을 열어줬다. 사기업의 사적인 이익을 위해 공공 데이터를 사용할 수 있도록 한 것은 시장 경제 원칙에 맞지 않다는 지적이다.
활용 가능한 데이터, 보호 정책 마련돼야
데이터 경제에 대한 다양한 견해와 전망, 우려, 비판이 있지만, 데이터 경제로 전환되는 것을 막을 수는 없으며, 비식별 처리된 가명 데이터가 광범위하게 사용되는 것을 막을 수 없다. 따라서 데이터 경제 시대를 위한 개인정보 보호 정책을 마련하는 것이 필수다.
금융보안원은 우리나라에는 비식별 데이터 보호에 대한 전문인력이 부족하고, 가명 데이터 활용 역량이 높지 않아 어떤 보안 문제가 발생할지 모른다고 지적하며 가명 데이터 보호에 대한 대책을 마련해야 한다고 조언했다.
개인정보 활용 동의를 받은 데이터의 활용에 있어서도 다양한 의견도 나온다. ‘개인정보 활용 동의’를 할 때 어떤 범위까지 활용할지 분명하지 않다는 것이다. 웹서핑을 하다보면 검색 키워드를 중심으로 맞춤형 광고가 보여진다. SNS를 하다보면, 자신의 관심사와 관련된 광고 뿐 아니라 성별, 연령대를 타깃으로 한 광고도 표출된다. 검색 키워드, 자신의 성별, 연령 등의 정보를 광고에 이용해도 된다는 ‘동의’를 한 바 없어도 이러한 광고에 무차별 노출되는 것은 개인정보 남용에 해당할 수 있다.
인터넷 소사이어티 조사에 따르면 아태지역 기업 70% 이상이 개인정보 수집과 사용에 대해 더 많은 권한을 부여 받기를 원하는 것으로 나타났다.
팔로알토네트웍스는 이 조사결과를 언급하면서 “개인정보 사용에 대해 더 많은 권한을 가지려고 하는 기업들이 개인정보 사용에 대해서는 신중하게 생각하지 않는다. 개인정보보호를 위해서는 어떤 데이터가 수집되고 있으며, 어떻게 사용되고 있는지 확인하지 않는다. 모르는 것이 무엇인지 모르는 상황이 가장 위험하므로, 모든 데이터에 대한 가시성을 확보하는 것이 필요하다”고 강조했다.
