[개인정보 보호②] 보호·활용 가능한 개인정보 비식별화
상태바
[개인정보 보호②] 보호·활용 가능한 개인정보 비식별화
  • 김선애 기자
  • 승인 2020.05.04 09:00
  • 댓글 0
이 기사를 공유합니다

개인정보 비식별화 시장 열리며 관련 솔루션 경쟁적으로 출시
비식별화, 실제 비즈니스에 사용될 수 있는 수준 만족해야

[데이터넷] 비식별조치된 데이터를 기업이 자유롭게 사용할 수 있게 되면서 비식별화를 도와주는 솔루션이 경쟁적으로 출시되고 있다. 파수의 ‘애널리틱디아이디(AnalyticDID)’, 펜타시스템의 ‘데이터아이 피디(DataEyePIDI)’, 이지서티 ‘아이덴티티 실드(Identity Shield)’가 대표적이며, 데이타솔루션은 전자문서의 개인정보를 비식별화하는 기술에 대한 특허를 취득하고 시장 공략에 나선다.

파수의 ‘애널리틱디아이디’는 데이터 보안 전문기 업의 노하우가 축적된 솔루션이다. 파수는 개정된 데이터 3법을 준수할 수 있도록 기능을 개선하고 있으며, 새로운 요구사항에도 민첩하게 대응하도록 준비하고 있다. 다양한 비식별환경에 필요한 기능을 선택해 유연하게 적용할 수 있도록 했으며, 결합 전문기관, 빅데이터 플랫폼, 빅데이터 센터 등 다양한 규모와 사용환경을 지 원한다. 또한 대용량 분산처리 구조를 통해 대용량 데 이터를 빠르게 처리할 수 있으며, 다양한 API 제공을 통해 사용자 맞춤형 자동화 플랫폼을 구성할 수 있도록 지원한다.

더불어 데이터 3법 등 국내 개인정보 처리와 관련한 법률 및 가이드라인을 100% 준용하고 있을 뿐만 아니라, 2018년부터 수행해온 과학기술정보통신부의 GCS(Global Creative Software) 과제 사업을 통해 GDPR, HIPPA, CCPA 등 글로벌 컴플라이언스에서 요구하는 기능까지 완벽하게 제공하고 있다.

파수는 비식별 컨설팅도 함께 제공해 데이터 라이프 사이클 전반에 대한 종합적인 관리를 지원한다.

개인정보 생애주기 맞춘 데이터 관리 방안 마련

지란지교소프트에서 분사한 지란지교데이터가 ‘개인정보 활용 솔루션’이라는 개념으로 비식별조치 솔루션을 상반기 출시할 예정이다. 지란지교데이터는 데이터를 다룰 수 있는 전담 조직이 없는 기업에서도 데이터 생성, 반출입과 같은 생애주기에 맞춰 종합적으로 데이터를 관리할 수 있는 솔루션을 준비하고 있다.

조원희 지란지교데이터 대표는 “비식별조치는 정해진 알고리즘을 정하면 되는 일로 기술적인 장벽이 있는 것 은 아니다. 그러나 데이터의 특성, 적용하려는 서비스 등에 따라 적합한 알고리즘을 선정하고, 비식별된 데이 터를 규제에 맞게 관리하며, 유통·폐기에 이르는 전 과정에 대한 프로세스를 만드는 것은 쉬운 일이 아니다. 이 분야에 대한 전문성이 반드시 필요하다”며 “지란지 교데이터는 데이터 생명주기에 따른 관리 프로세스를 제공하며 행정적인 부분까지 지원하는 ‘데이터 활용 솔루션’을 출시할 것”이라고 말했다.

한편 지란지교데이터는 PC필터·서버필터·웹필터 등 개인정보 보호 제품군과 자녀 PC·스마트폰 유해 물 차단 및 시간관리 소프트웨어 ‘엑스키퍼’ 판매와 유통 사업을 전개한다. 사이버 위협 인텔리전스 ‘사이렌 (Cyren)’ 아시아태평양 지역 유통 파트너 사업을 병행 하면서 영상 콘텐츠 저작권 보호, 민감정보 비식별화, 비정형 데이터 보호 사업을 전개해 나갈 계획이다.

▲비식별 조치에 대한 적정성 평가 절차(자료: KISA)
▲비식별 조치에 대한 적정성 평가 절차(자료: KISA)

실제 활용 가능한 비식별 데이터 필요

개인정보 비식별화는 KISA의 비식별조치 가이드라인에 따라 진행하면 된다고 생각할 수 있다. 이 가이드에서 제시한 것은 수 차례 해커톤을 통해 안전성을 입증한 활용 모델을 제안한다. 그러나 가이드가 모든 조건에서 정답을 제시하는 것은 아니다. 지나치게 높은 수주의 비식별 조치를 취하면 비즈니스에 사용할 수 없는 데이터가 된다.

김덕환 알투웨어 대표는 “비식별화 기술은 정해진 알고리즘에 따라 처리하는 것으로, 기술 자체만으로는 구현이 어려운 것은 아니다. 그러나 비식별 처리 수준에 따라 변별력이 없는 데이터가 되기도 한다. 활용 가능한 범위에서 비식별화하 고, 재식별 가능성을 완전히 제거해야 의미있게 사용할 수 있다”고 말한다.

알투웨어는 금융기관에 테스트 데이터 변환 솔루션 ‘SQL 캔버스 트랜스(SQL Canvas Trans)’와 해지고객 정보 파기·관리 솔루션 ‘SQL 캔버스 CLM’을 제공하면서 비식별조치를 위한 기술을 축적해왔다. 이를 이용해 비식별조치를 함으로써 단 하나의 중복도 없이 유니크 한 비식별 데이터가 추출될 수 있도록 한다. DBMS, 개 발·테스트 영역의 대용량 데이터도 비식별조치해 DBA, 개발·테스트 인력이 개인정보를 인지하고 오남용하지 못하도록 통제한다.

김덕환 대표는 “알투웨어는 오랜기간 금융기관의 데 이터 관련 사업을 하면서 쌓아온 개인정보 전문성이 있 다. 이를 이용해 안전하게 비식별 조치가 이뤄지면서 금 융기관이 사용할 수 있도록 의미있는 데이터 변환 결과 를 내놓을 수 있다”고 말했다.

적절한 비식별화 수준 결정하는 것이 관건

데이터 3법이 본격 시행되는 8월 개인정보 비식별화를 포함한 개인정호 활용 관련 시장이 급속도로 성장할 것이라고 기대하는 것은 아직 무리다. 정부가 업계와 시 민단체 의견을 수렴하면서 시행령을 마련하고 있지만, 완벽하게 모든 관계자가 만족할만한 법을 만드는 것은 불가능하다.

데이터를 활용하고자 하는 기업과 기관, 관련 기술을 제공하는 기업, 데이터 보호를 위해 목소리를 내는 시민 단체와 관련 기업 및 기관의 서로 다른 입장을 모두 한 점에서 일치시킬 수는 없다. 그러나 모든 관계자들이 입 을 모아 지적하는 부분은 해결해야 할 필요가 있다. 가 명정보 사용 목적을 판단하는 기준과 방법이 모호하다 는 것이다.

예를 들어 의료 임상데이터를 이용해 치료법과 치료제를 개발하고자 한다면, 공적인 목적을 위한 비식별 조치라고 할 수 있지만 이 연구를 하는 기업은 연구결과를 통해 신제품을 만들 수 있고 이익을 얻을 수 있다. 신용정보법과 달리 개인정보보호법에는 상업적 목적의 통계작성, 산업적 연구목적 등이 법안에 명시돼 있지 않아 혼란이 발생하고 있다.

또한 가명처리 항목과 처리수준, 적정성 평가기준과 방법, 절차도 분명하지 않으며, 어떤 데이터를 비식별 화 할 것인지, 반출의 기준과 절차, 국내 데이터의 국외 이전 방안 등의 내용도 모호한 부분이 있다. 정부는 업계와 시민단체의 의견을 수렴하기 위해 토 론회를 개최하고, 일반 국민들의 의견을 온라인을 통해 수렴하고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.