본격적인 5G 시대가 열리면서 개인정보 보호에 비상이 걸렸다. 5G를 기반으로 한 다양한 융복합 서비스가 등장해 사람들의 삶을 풍요롭게 만들어 줄 것으로 기대되지만, 이러한 서비스는 광범위한 개인정보를 기반으로 설계되기 때문에 개인정보의 수집과 활용, 그 과정에서 개인정보 탈취와 오남용 등의 문제가 발생할 수 있다. 개인정보 보호와 활용의 이상적인 방안을 살펴본다.<편집자>
개인정보 보호·활용 조화 이뤄야
개인정보 보호는 불법적으로 유용하지 않도록 하는 것 뿐 아니라 적법하게 활용하는 것도 포함된다. 가장 안전한 개인정보 보호 방법은 그 어떤 데이터도 수집하지 않고 저장하지 않는 것이다. 그러나 초연결사회에서 개인정보를 전혀 사용하지 않고 서비스 할 수 있는 분야가 거의 없다. 개인정보를 적법하게 사용하는 것은 삶의 질을 높일 수 있을 뿐 아니라 보안도 강화할 수 있다.
예를 들어 한국인터넷진흥원(KISA)의 ‘IoT 취약점 탐지·분석 시스템’은 인터넷에 연결된 IoT 기기에 취약점이 있는지 확인하고 제거할 수 있도록 도와줘 안전한 IoT 환경을 운영하도록 도와준다.
이 서비스가 실제로 효과를 내려면 IoT 기기 소유자의 동의가 없어도 취약점을 점검할 수 있어야 한다. IoT 기기는 기하급수적으로 늘어나고 있으며, 사이버 침해사고의 2/3이 IoT 기기를 이용해 진행된다. 따라서 인터넷에 연결된 기기에 취약점이 있는지 확인하고 안전한 기기만 연결되도록 하는 것이 가장 이상적이다.
그러나 현행 개인정보보호법으로 인해 기기 소유자 동의 없이 이 서비스를 제공할 수 없다. 일본에서는 한시적으로 IoT 기기 취약점을 탐지해 통보하는 법을 시행하고 있다.
김석환 KISA 원장은 3월 열린 기자간담회에서 “지난해 IP카메라 사생활 유출 사고로 온 사회가 몸살을 앓았다. 이러한 피해를 막기 위해 가정 내 IP카메라에 취약점이 있는지, 계정관리는 잘 되고 있는지 확인해야 한다. KISA는 이 문제를 포함해 IoT 기기 취약점으로 인해 발생하는 문제를 해결할 수 있도록 서비스를 개발했다. 그러나 개인정보보호법으로 인해 서비스 확산에 많은 제약을 갖게 됐다”고 말했다.
그는 “기술이 발달하면서 편익을 따를 것인가, 기존의 보안 체계를 유지할 것인가 선택해야 하는 어려움에 직면하게 됐다. 초연결사회에 접어들면서 이 문제는 더욱 심각하게 제기될 것이다. 기술을 채택함으로써 얻을 수 있는 편익과 그로 인해 발생하게 될 보안 문제를 테이블 위에 올려놓고, 효과적인 방법을 논의하고 사회적인 합의를 이뤄나가야 한다”고 말했다.
비식별 개인정보 활용 범위 넓혀야
초연결사회에서 기업·기관은 더 나은 서비스를 개발하고 소비자를 만족시키며 경쟁력을 얻기 위해 더 많은 개인정보를 수집하고 이용하고자 한다. 개인들은 자신에게 유익이 되는 정보를 얻기를 바라면서도 자신의 정보가 과다하게 이용되는 것은 불쾌하게 생각한다.
정보주체의 개인정보 자기결정권을 강화하기 위해 각국의 개인정보보호법은 정보주체의 동의를 받은 정보만을 이용할 수 있도록 하며, 정보주체가 요구한다면 개인정보를 어떻게 활용했는지 알려줘야 하며, 삭제를 요구하면 즉시 모든 데이터를 삭제해야 한다.
이처럼 까다로운 규제만 있다면 경쟁력 있는 서비스를 개발할 수 없다. 그래서 EU GDPR 등에서는 가명화 정보를 정보주체의 동의 없이 활용할 수 있도록 하고 있으며, 공익적인 분야 뿐 아니라 상업적인 분야에서도 일부 사용할 수 있도록 했다. 우리나라에서는 가명화보다 더 엄격한 익명화된 정보를 공익적인 목적에 사용하도록 하고 있다.
우리 정부는 데이터경제 활성화를 위해 가명정보 혹은 익명정보와 같이 개인을 알 수 없도록 비식별화 정보를 안전하게 활용할 수 있는 조치를 마련하고 있다. KISA는 데이터안전활용기술지원센터(구 비식별지원센터)를 운영하고 있으며, 다양한 비식별 기술을 활용할 수 있는 모델을 연구하고, 해외 비식별 교육과 인증제를 벤치마킹해 전문인력을 양성한다. 더불어 개인정보 감독 정부부처를 지원해 제 3의 신뢰기관(TTP) 등 안전한 데이터 활용 체계를 정립하고, 가명/익명 처리 절차와 결합 절차 등 가이드를 제시하고 있다.
또한 블록체인 기반 개인정보저장소(PDS) 시범사업을 통해 정보 주체가 정보 활용 내용에 대해 투명하게 알 수 있도록 한다. PDS는 정보주체가 자신의 정보를 스스로 관리·활용하는 모델로, 블록체인 기술을 적용해 정보 흐름의 안전성과 투명성을 담보할 수 있다.
PDS는 의료 등의 분야에서 성공적인 시범 사업이 완성될 수 있을 것으로 기대한다. 더불어 정부는 개인정보 비식별화 기술을 겨루는 해커톤을 열고 비식별 기술의안정성을 확인하고 있다.
개인정보보호법 개정으로 비식별화 활성화해야
현행법상 우리나라에서도 비식별화된 개인정보를 사용할 수 있다. 일부 기관에서는 자체 개발하거나 전문 솔루션을 이용해 비식별 개인정보를 활용해 서비스를 개발하거나 개선시키고 있다. 공공기관 뿐 아니라 금융 기관에서도 비식별정보를 사용할 수 있도록 규제가 개선되면서 금융권에서 많은 관심을 갖고 있다.
현행 규제를 준수하면서 활용할 수 있는 비식별정보는 다른 비식별정보 혹은 다른 서비스와 결합했을 때 재식별되지 않도록 해야 하기 때문에 비식별화 수준이 매우 높다. 따라서 비즈니스 통찰력을 얻을 수 있는 데이터를 얻는데 한계가 있다.
게다가 시민단체의 강력한 반발로 이미 허용된 비식별화 사업에도 제동이 걸린 상태다. 정부는 시민단체와의 합의점을 찾기 위해 수차례 토론회를 개최하고, 비식별화 경진대회를 통해 비식별 데이터가 재식별되지 않는다는 점을 입증시키려고 노력하고 있으나 시민단체들은 무분별한 개인정보 수집과 활용이 우려되며, 여러 규제가 중복되며 컨트롤타워가 없다는 등의 이유를 들어 반대하고 있다.
개인정보의 의미와 비식별화 범위 등 비식별화 사업을 하면서 고려해야 할 구체적인 사항에 대한 규제가 미비하다는 점도 비식별화 사업을 주저하게 만드는 요인이다. 그래서 정부는 개인정보보호법 개정안을 국회에 발의하고 개인정보의 개념을 명확히 하는 한편, 가명정보 활용 범위 확대, 데이터 결합 근거 마련, 개인정보관련 감독기구와 법령 정비 등을 추진하고 있다.
김기태 파수닷컴 부장은 “현재 개인정보 비식별화에 대해 여러 오해가 생길 수밖에 없는 상황인 것은 맞다. 익명화, 가명화 등에 대한 규정의 불분명하고, 활용 범위에 대해서도 여러 해석이 나올 수 밖에 없다”며 “개정 개인정보보호법에서 현재 드러난 문제를 해결할 수 있는 조항을 만들었다. 하루 속히 법이 개정돼야 한다”고 말했다.
