IoT 시대, 비식별 조치가 대안이 될 수 있나
스타트업·중소기업에 비식별화 기술 지원 필요

[일간투데이 홍보영 기자]

개인정보 누출 신고건수가 매해 증가하고 있다. 이런 가운데 IoT(사물인터넷) 시대를 맞아 데이터 활용이 급증하면서, 개인정보 활용과 보호가 뜨거운 감자로 거론되고 있다. 만물이 인터넷으로 연결되는 IoT 환경에서는 개인정보 활용과 유출이 늘어날 수밖에 없기 때문이다. 한국정보화진흥원이 2015년 발표한 '개인정보보호 트렌드 전망 보고서'에 따르면, 빅데이터 분석이 개인정보보호의 최고 이슈로 꼽혔다. '스미싱, 피싱, 파밍', 'SNS 개인정보보호'가 나란히 2위에 올랐다. 개인정보가 민감한 문제이긴 하지만, 디지털 사회에서 개인정보 활용은 불가피하다. 개인정보 활용과 보호를 모두 충족시킬 수 있는 길은 없을까. <편집자 주>

 

#1. "최근 모르는 번호로 전화가 걸려오는 일이 잦아졌습니다. 남 얘기인줄만 알았던 보이스피싱 전화도 몇 차례 받았습니다" - 30대 직장인 이씨
#2. "해외에서 제 명의의 카드로 결제됐다는 문자를 받고 개인정보 노출사실 전파 등록을 했어요. 이로 인해 다른 은행에서 카드 발급이 안돼 불편을 겪었습니다"- 20대 직장인 송씨

#3. "국내 대형 포털사이트에서 개인정보가 유출됐다는 소식을 받고 당황했어요. 스팸문자를 받는 일도 부쩍 늘어난 것 같아요" - 10대 학생 김씨  

개인정보 유출로 인한 피해는 그리 먼 얘기가 아니다. 대부분 위의 사례 중 한 두건 이상은 경험했을 것이다. 이에 데이터 사용량이 급증하면서 개인정보가 남용됐기 때문 아니냐는 지적이 잇따르고 있다.

사물과 사물, 사물과 사람이 네트워크상에서 연결되는 IoT 사회가 도래하면서 개인정보보호와 활용 문제는 더욱 부각되고 있다. IoT 사회에서 연결이란 단순히 인터넷과 센싱의 연결이 아니다. 그 파급효과가 제곱승으로 커져 사용자의 편의와 가치를 증대시킨다. 자연히 연결에 따르는 문제도 제곱승으로 커질 수밖에 없다.

프라이버시권은 인간의 기본적인 권리 중 하나다. 개인정보보호법 제1조에는 그 목적을 '개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다'고 명시하고 있다. 따라서 만물이 초연결을 이루는 IoT 사회에서 개인정보보호는 이용자의 인격권이자 행복추구권의 단초다.

하지만 IoT 시대에 개인정보 활용이 불가피한 만큼, 활용과 보호 사이에서 어떻게 균형을 잡아야 하는가에 대한 문제가 대두된다. 박정섭 한국인터넷진흥원 개인정보정책팀 팀장은 "정보는 활용을 전제로 하는 것이 맞다. 개인정보도 마찬가지"라며, "개인정보보호를 왜 해야 하는지, 그 가치가 무엇인지에 대해 정부와 개인정보처리자, 이용자 간 합의가 있어야 한다"고 강조했다.

IoT 환경에서 개인정보보호 관련법과 규범에 대한 사회적 합의의 부재는 기업과 네트워크 관리자, 빅데이터 서비스 제공자 사이의 법적 책임 소재를 구분하는 일에도 걸림돌이 될 수 있다.

남서울대학교 산학협력단은 '사물인터넷시대의 개인정보 침해요인 분석 및 실제사례 조사'를 통해 "우리는 그동안 법적 책임 소재를 구분하기 위해 법조인의 지혜에 의존해왔다. 컴퓨터 기술자는 보조적 역할을 담당하는 수준에 그쳐왔다"며, "기존의 아날로그적인 문법으로는 IoT 환경에서 개인정보 침해와 오남용에 대한 책임을 묻기 어려울 것"이라고 비판했다.


이런 측면에서 지난해 6월 30일 행정자치부 등 정부 관계부처가 발표한 '비식별 조치 가이드라인'과 '개인정보 법령 통합 해설서'가 의미를 갖는다. 전문가들은 "개인정보보호 관련 법률의 해석적 한계를 보완하기 위한 행정적 초석을 다진 것"이라고 평가하고 있다.

비식별 조치란 가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹을 통해 개인정보를 식별할 수 없도록 만드는 것이다. 사전 검토, 비식별 조치, 적정성 평가, 사후관리의 4단계를 거친다. 사전검토 단계에서는 개인정보에 해당하는지 여부를 검토한다. 비식별 조치 단계에서 개인 식별 요소를 제거한 뒤, 외부평가단을 통해 비식별 조치가 제대로 이뤄졌는지 적정성 평가를 받는다. 마지막으로 비식별 정보의 안전한 활용과 오남용 예방을 위한 조치가 이뤄진다.


이로써 개인정보 활용과 보호라는 두 마리 토끼를 잡을 수 있다는 기대가 높아지고 있다. 하지만 아직 첫발을 내디뎠을 뿐이다. 스타트업과 중소기업의 인식 제고와 함께 비식별화 처리 기술력 향상을 위한 지원이 필요하다.

창의적인 발상이 원동력인 스타트업은 기술 지원을 받음으로써 혁신적인 개인정보보호 솔루션을 창출할 수 있을 것이다. 박정섭 팀장은 "한국은 주민등록번호를 무분별하게 사용해왔기 때문에 빅데이터 분석기술이나 개인정보보호 솔루션 개발이 지연된 경향이 있다"며, "아마존의 경우 이용자의 이메일 계정 말고는 소유한 정보가 없지만, 고객의 주거, 선호도 등을 분석해 낸다"고 설명했다.

비식별화된 데이터는 기술이 발전하면 재식별화 될 수 있다. 이에 따라 비식별화된 데이터의 안전성에 대한 지속적인 점검이 요구된다. 이를 위해서도 산·학·연 협력으로 연구개발(R&D)이 진행돼야 한다.

무엇보다 정보처리자와 이용자 간 개인정보 활용과 보호에 대한 이해와 동의가 선행돼야 한다. 기업이 얼마나 가이드라인을 준수하기 위해 노력하는지 여부도 중요하다. 기업 스스로 비식별화된 데이터 유출을 막기 위해 기술과 관리 차원의 노력을 기울여야 한다.

한편, 일각에서는 비식별 조치 가이드라인의 근거 법이 약하다 논란이 있다. 이에 대해서는 전문가마다 의견이 분분하다. 한 언론 기고에서 염흥열 순천향대 정보보호학과 교수는 "비식별화 전문 기관 요건, 비식별화 데이터 정의, 비식별화 데이터 안전성 등의 근거 법 공고화를 위한 법제화 노력이 시급하다"며, "유럽연합(EU), 일본, 미국 등 주요 국가에서도 비식별화를 위한 근거 법을 마련했다"고 말했다. 반면, 김용학 행정자치부 개인정보보호정책과 행정사무관은 "비식별 조치는 법제화가 필요하다기 보다는 민간 차원에서 자연스럽게 이뤄져야 하는 부분"이라고 주장했다.


저작권자 © 일간투데이 무단전재 및 재배포 금지