[뉴스 더 읽기] 속도 붙은 ‘개인정보 비식별 처리’…내 정보 안전할까?

입력 2018-04-05 10:26

  • 작게보기

  • 기본크기

  • 크게보기

전민정 산업2부 차장

4차 산업혁명 시대를 맞아 데이터 산업은 전 세계가 주목하는 미래 먹거리로 급부상했다. 데이터 산업 육성을 위해선 개인정보의 활용이 우선돼야 한다.

최근 페이스북 사태로 기업의 개인정보 활용에 대한 소비자의 불안이 커지고 있지만, 전문가들은 빅데이터가 미래 산업에 미칠 엄청난 파급력을 감안할 때 데이터 산업의 발목을 잡는 과도한 규제의 족쇄를 풀지 않고서는 데이터 개방으로 산업을 진흥할 수 있는 골든타임을 놓칠 수 있다고 입을 모은다. 그래서 대안으로 개인에 대한 정보이지만, 정보의 주체가 누구인지 알 수 없도록 조치한 ‘비식별 개인정보’를 활성화해야 한다는 주장이 설득력을 얻고 있다. 하지만 여전히 비식별된 정보를 안심할 수 없다는 지적도 나온다.

◇ 궁금증① ‘개인정보 비식별 처리’란 무엇인가 = 개인에 대한 정보는 크게 식별 가능한 ‘개인정보’와 ‘가명정보’, 그리고 식별이 불가능한 ‘익명정보(비개인정보)’로 나뉜다. 개인정보는 살아 있는 개인에 대한 정보로, 성명·주민등록번호 등 정보 자체만으로 그 사람을 알아챌 수 있는 정보를 말한다. 가명정보는 실명 대신 가명을 사용해 추가 정보 없이는 특정인의 신원을 파악하기 어렵도록 처리한 정보다. 익명정보는 해당 정보만으로, 또는 다른 정보와 결합해서도 특정 개인을 알아볼 수 없는 정보다. 쉽게 말해 ‘서울에 사는 35~39세 여성’ 같은 데이터로 통계나 분석에만 쓸 수 있을 법한 정보를 의미한다. 개인정보의 비식별 처리는 가명화, 총계 처리, 데이터 삭제 등 기법을 사용해 가명정보나 익명정보로 만들어 특정 개인을 알아볼 수 없도록 하는 작업이다.

▲참여연대와 민주사회를위한변호사모임 등 시민사회단체 회원들이 지난해 11월 서울 서초구 서울중앙지검 앞에서 고객정보를 무단결합한 비식별화 전문기관과 20여 개 기업을 개인정보보호법 등 위반 혐의로 검찰에 고발하기에 앞서 기자회견을 하고 있다. (연합뉴스)

◇궁금증② 정부, 비식별 조치 활성화에 왜 속도 내나 = ‘4차 산업혁명의 원유’라고 불리는 데이터 산업 활성화의 중요성은 아무리 강조해도 지나치지 않다. 그러나 국내에서 데이터 산업은 데이터 활용을 어렵게 하는 까다로운 개인정보 보호 규제에 발목이 잡혀 발전 속도가 더디다.

우리 정부도 2016년 가명 처리, 데이터 가리기 등 17종의 비식별화 기술을 안내하며 적정성 평가 기준에 대한 해설도 담고 있는 ‘개인정보 비식별 조치 가이드라인’을 마련, 익명으로 비식별 처리한 개인정보를 연구 목적 등의 빅데이터로 활용하도록 허용했다. 하지만 특정 개인을 알아볼 수 없도록 조치하는 ‘비식별 정도’에 대한 기준 합의가 이뤄지지 않은 데다, 법적 효력의 부재로 인한 사고 발생 시 책임 부담 등 이유로 정작 비식별 정도를 빅데이터 등에 활용하는 기업은 많지 않은 실정이다.

실제 지난해 11월 11개 시민단체들이 한국인터넷진흥원(KISA) 등 개인정보 비식별 조치 전문기관과 20여 개 기업을 개인정보보호법 위반 혐의로 검찰에 고발하면서 비식별 정보에 대한 기업의 활용 의지는 크게 꺾였다.

정부는 규제 혁신 차원에서 개인정보 비식별 처리 활성화에 다시 팔을 걷어붙였다. 과학기술정보통신부는 올 초 기업이 고객 정보를 비식별화해 활용할 수 있도록 규제 완화 방침을 밝혔고, 대통령 직속 4차산업혁명위원회는 해커톤 회의를 통해 사회적인 합의를 이끌어내기 위한 방안 마련에 착수했다. 금융위원회도 공공 부문과 대형 금융회사에 축적된 금융 정보를 핀테크 기업들이 공유할 수 있도록 ‘금융 분야 데이터 활용 및 정보보호 종합 방안’을 마련했다.

◇궁금증③ 특정 개인정보, 비식별 조치 어디까지 가능한가 = 국내 보안업계에서도 개인정보를 가명 또는 익명정보로 만드는 비식별 기술에 대한 연구가 활발하다. 현재 KISA가 제공하는 공개용 비식별 처리 소프트웨어(ARX)를 비롯해 보안업체의 상용 소프트웨어를 살펴보면 비식별 조치에는 가명 처리, 총계 처리, 삭제, 범주화, 데이터 마스킹 등 여러 기법을 단독 또는 복합적으로 사용한다.

그렇다면 구체적으로 △이름 △나이 △집주소 △휴대전화번호 △이메일 주소 등이 기록된 개인정보는 어떻게 비식별 조치되는 걸까. KISA가 지난달말 과기정통부 주최로 열린 ‘개인정보 비식별처리 기술세미나’에서 시연한 비식별 조치 과정을 한 줄로 요약하면 ‘△홍길동 △54세 △전남 여수시 이상5로 △8개월(휴대폰 사용 개월 수)’의 개인정보는 ‘△51~60세 △전라남도 △7~8개월’ 정도로 단순화된다.

◇궁금증④ 비식별 개인정보, 기업이 활용한다는데 과연 안전할까 = 비식별 조치를 한 데이터는 기본적으로 빅데이터 분석에 활용할 수 있다. 다만 비식별 조치만으로 무조건 개인정보를 식별할 수 없다고 단정할 수 없는 문제는 남아 있다. 시민사회에서는 발전하는 인공지능(AI)과 빅데이터 기술을 통해 대량의 데이터가 겹쳐지면서 재식별되는 익명정보가 생겨나고 있다며 개인정보 비식별화의 안전성 문제를 제기하고 있다. 재식별은 비식별 처리로 알아볼 수 없게 한 ‘임꺽정의 개인정보’가 대량의 데이터가 다뤄지면서 ‘홍길동 → 임꺽정’으로 드러나는 것을 말한다.

아직까지 사후 관리를 통해 문제점을 해결하는 방안에 의존하는 것도 개인정보 유출 위험에 대한 우려를 키우는 대목이다. 이에 KISA도 연말께 개인정보 비식별 콘테스트를 개최해 어디까지 암호화를 하고 감춰야 개인정보를 빅데이터로 안전하게 활용 가능한지 경연을 통해 재식별 위험을 분석하고 개인정보 보호와 활용 사이의 기술적인 적정수준을 검토한다는 방침이다.

◇궁금증⑤ 비식별 조치 안전성 확보 위한 법제화 작업 현주소는 = 올해 2월 진행된 4차위의 2차 해커톤을 통해 민관 전문가들은 개인정보보호법에 규정된 개인정보 관련 법적 개념을 앞으론 ‘개인정보’, ‘가명정보’, ‘익명정보’로 구분해 모호성을 줄여야 한다는 데 의견을 모았다. 빅데이터 산업 활성화를 위해 개인정보를 재식별이 불가능하도록 만들어 비식별화에 대한 우려를 차단하기 위한 법제화 작업도 이미 진행 중이다.

현재 4차산업위에선 비식별 조치와 관련된 개인정보보호법, 정보통신망법, 신용정보보호법 등의 개정이 논의되고 있다. 비식별조치 관련 정의를 법에 명시하고 개인정보의 범위를 명확하게 한다는 것이 주 내용이다. 여기에 개인정보 수집 계약 이행 시 사전동의 완화, 비식별 정보 이용기준 위반 때 책임 강화 등의 내용도 포함돼 있다. 다만 부처 간 이견, 시민사회 참여를 통한 합의 등 과정이 필요해 법안의 국회 통과까지는 난항이 예상된다.

  • 좋아요0
  • 화나요0
  • 슬퍼요0
  • 추가취재 원해요0
주요뉴스
댓글
0 / 300
e스튜디오
많이 본 뉴스
뉴스발전소