개인정보 안전한 활용으로 데이터 경제 대비해야
[데이터넷] 4차 산업혁명이 본격화되면서 차세대 ICT 기술이 경쟁적으로 쏟아지고 있다. 이 기술을 비즈니스에 어떻게 최적화 해 적용하는가에 기업의 생존 가능성이 달려있다. 본지는 디지털 트랜스포메이션을 이끌고 있는 차세대 ICT 기술을 분석하고 2020년 시장을 전망하는 특별 기획을 진행한다.<편집자>
양자컴퓨팅이 ICT 기술의 새로운 장을 열고 있다. 이전 기술로 상상도 하지 못했던 새로운 컴퓨팅 기술을 누릴 수 있게 된다. 그러나 보안 분야에서는 양자컴퓨팅의 진보는 매우 위험한 상황을 초래할 수 있기 때문에 주의 깊게 살펴보고 있다. 양자컴퓨팅이 현실화되면 현재의 암호 체계는 완전히 무력화 될 수 있다.
미국표준기술연구소(NIST)를 비롯한 전문가들은 10년 내에 양자컴퓨팅 기술이 현재의 정교한 암호화 알고리즘을 무효화 할 것이라고 예측했다. 그래서 양자내성암호(PQC) 기술 개발에 속도를 내야 한다고 주장한다.
디지서트는 라이프사이클이 긴 IoT 장비와 애플리케이션을 이용하는 기업의 경우, 최초의 양자컴퓨팅으로 위협이 발생한 후에도 이 제품을 계속 운영할 수 있다고 소개한다. 그래서 한 때 안전했던 제품들이 골칫거리가 될 수도 있다고 지적했다.
디지서트는 양자컴퓨팅에 대비하기 위해 ▲리스크를 이해하고 양자 암호화 성숙 모델 구축한다 ▲조직의 암호화 민첩성 수준의 중요성을 이해하고 핵심 대응 방안을 수립한다 ▲선도 기업과 협력해 디지털 인증서 베스트 프랙티스를 마련하고, 해당 기업들이 PQC 산업 변화를 파악해 제품 및 솔루션에 반영함으로써 변화에 앞서가도록 한다고 주장했다.
끊임없는 개인정보 유출 사고
양자컴퓨팅으로 인해 현재 암호화 체계가 염려되는 것은 사실이지만, 아직 현실화되지 않은 미래 위협을 두려워한 나머지 현재의 위협을 방치하는 것은 위험하다. 보호해야 할 중요 데이터를 안전한 암호 알고리즘을 이용해 암호화하며, 키를 안전하게 관리해 권한 없는 사람들이 키와 암호화 데이터를 함께 유출하지 않도록 해야 한다.
우리나라에서는 개인정보보호법 발효 후 광범위한 개인정보 암호화가 진행됐다. 주민등록번호, 금융 및 신용정보, 건강정보 등 민감한 개인정보의 수집·저장을 최소화하고, 보관 시에는 반드시 암호화하며 별도로 독립된 네트워크에서 관리해야 한다. 또한 법적으로 정해진 저장 기한이 지나면 안전하게 폐기해 재활용하지 말아야 한다. 보호해야 하는 정보는 DBMS로 관리되는 정형 데이터 뿐 아니라 전자계약서, 녹취파일, 로그 데이터, 영상 개인정보 등 비정형 데이터도 포괄한다.
강력한 개인정보 보호 규제가 있다고 해서 개인정보 유출 사고가 일어나지 않는 것은 아니다. 여전히 많은 개인정보가 암호화 되지 않은 상태로 유통되고 있으며, 불법 침입자에 의해 탈취되고 다크웹에서 판매되고 있다. NSHC가 2019년 9월 공개한 보고서에 따르면 태국과 말레이시아 항공사를 이용한 전 세계 고객의 여권정보가 다크웹에 공개돼 있으며, 그 중 한국인의 정보는 21만여건에 달한다. 해외 기업에서 일어난 사고이기 때문에 국제 소송을 하지 않으면 피해보상을 받을 길이 없다.
“데이터 3법으로 데이터 산업 활성화 해야”
개인정보 유출 사고로 인한 피해를 막기 위해 유럽 일반 개인정보 보호법(GDPR)과 같은 강력한 규제가 잇달아 등장하고 있다. 이러한 규제들은 정보주체의 동의 없이 개인정보를 수집·활용하지 못하도록 했으며, 정보주체가 요구하면 그 사람의 정보를 어떻게 활용했는지 투명하게 공개해야 하고, 삭제를 요구하면 완전히 삭제해야 한다.
그런데 GDPR을 비롯한 글로벌 규제는 개인정보의 보호 뿐 아니라 활용 방안도 유연하게 인정하고 있다. 공적인 목적 뿐 아니라 사적인 목적을 위해서도 본인을 식별할 수 없도록 가명처리했다면 본인 동의를 받지 않고도 이용할 수 있게 했다. 의료 관련 연구, 복지 서비스 관련 연구, 여론동향 등의 연구에 있어 본인 동의 없이 이용할 수 있는 폭을 넓혀 다양한 빅데이터 분석을 통한 사회 서비스 개선을 이루도록 했다.
우리나라에서는 익명처리된 정보는 금융서비스에서 다양하게 사용할 수 있도록 하고 있지만, 시민단체 등의 반발과 법조계에서 상이한 유권해석 등의 이견이 분출되면서 개인정보 활용의 길이 아직 열리지 않은 상황이다. 정부는 글로벌 수준의 개인정보 보호 및 활용을 통해 개인정보를 보호하면서 데이터 산업을 육성하기 위해 관련 법 개정을 추진하고 있다. 이른바 데이터 규제 3법으로 불리는 ▲개인정보보호법 개정안 ▲정보통신망법 개정안 ▲신용정보법 개정안이다.
개인정보보호법 개정안은 개인정보의 개념을 명확히 했으며, 가명정보는 통계 작성, 연구, 공익적 기록 보존의 목적으로 활용할 수 있도록 했다. 가명정보의 비식별성은 전문 기관을 통해 인증하도록 했으며, 식별되는 개인정보는 사용하지 못하도록 했다.
더불어 개정안에서는 행정안전부, 방송통신위원회, 금융위원회 등으로 분산된 개인정보 보호 감독기관을 개인정보보호 위원회로 일원화하며, 국무총리 소속 중앙행정기관으로 개편하도록 했다. 이 같은 조치는 EU GDPR의 적정성 평가를 위해 반드시 필요한 것으로 EU에서는 우리나라 개인정보 보호 관련 컨트롤타워가 없다는 점을 들어 적정성 평가를 미루고 있는 상황이다.
정보통신망법 개정안은 유사 법률 조항과 규제·감독 체계를 개선하는 내용이다. 정통망법 상의 개인정보 보호 관련 규제는 개인정보보호법으로 이관하고, 온라인 상 개인정보 보호 관련 규제와 감독 주체를 방송통신위원회에서 개인정보보호위원회로 변경한다.
신용정보보호법은 금융사가 개인정보를 이용해 새로운 핀테크 서비스를 개발할 수 있도록 지원하기 위한 방향으로 개정을 추진한다. 가명정보 개념을 법률상으로 규정해 빅데이터 분석과 이용의 법적 근거를 명확하게 한다. 금융 데이터 산업 육성을 위한 신용정보 관련 산업 규제 체계를 정비하고, 마이데이터 사업을 도입하며 정보주체의 자기주권을 보호하기 위해 ‘프로파일링 대응권’을 신설한다.
