[기고] 2017년 비식별 동향과 분석
2017.11.15 오후 4:17
현유진 파수닷컴 AD사업팀 책임
작년 6월 '개인정보 비식별조치 가이드라인(이하 가이드라인)'이 발표된 후, 개인정보가 포함된 빅데이터를 비식별 처리한 뒤 자유롭게 활용할 수 있는 길이 열렸다.

하지만 아직까지 가이드라인의 법적 근거에 대한 논란과 이에 대한 기업들의 우려가 끊이지 않고 있다.


지난 10일 국정감사에서 진선미 의원은 "현행 개인정보보호법이 특정 개인을 알아볼 수 없는 정보라도 영리 목적으로 사용할 수 없도록 하고 있다"며 "박근혜 정부가 만든 개인정보 비식별조치 가이드라인의 전제 자체가 위법하며 즉시 폐기돼야 한다"고 강조했다.

국회 과학기술정보방송통신위원회 소속 추혜선 정의당 의원도 "비식별조치와 적정성 평가를 거친 개인정보라도 원래 가지고 있던 개인정보나 공개정보와 대조하면 재식별 가능성이 있다"며 "개인정보 보호에 대한 안전장치 없이 추진된 가이드라인을 폐기해야 한다"고 목소리를 높였다.

당시 고객 비식별 정보를 교환했던 기업들은 위법 논란 추이를 지켜본 후 비식별 정보 이용 여부를 판단하겠다고 밝힌 바 있다.

국정감사에서는 금융·통신 등 대기업들이 고객 동의 없이 다량의 개인정보를 교환했다는 것이 문제가 됐다. 하지만 가이드라인은 법적 근거가 미흡하고 재식별화 등의 문제가 생겼을 때 기업에 책임을 묻기 때문에 실제 이를 활용한 기업은 많지 않은 것으로 나타났다.

비식별조치 전문기관인 한국인터넷진흥원(KISA)의 운영 실적을 살펴보면, 올해 8월 기준 공공·민간분야 비식별조치 관련 컨설팅 지원 건수는 35회, 정보집합물 결합 지원의 경우 1건으로 나타났다. KISA 외 6개 전문기관의 실적을 합쳐도 정보집합물 결합 지원은 10여 건에 불과하다.

4차 산업혁명에 대한 정부의 관심이 높은 만큼 근간이 되는 빅데이터의 활용이 매우 중요한 시점이다. IBM의 왓슨은 수많은 의료 영상정보를 분석해 정확한 진단을 내리고, 알파고는 대량의 기보를 학습해 절대 사람을 이길 수 없다는 바둑에서 승리했다.

사물인터넷(IoT)을 활용한 수많은 센서에서 다량의 정보가 발생하고 있으며, 현재 헬스케어 기기에서 발생하는 개인 건강 정보를 활용하는 추세다.

이러한 4차 산업혁명에 대응하기 위해서는 빅데이터 활용을 위한 비식별화를 금지하는 것이 아니라, 안전장치를 추가해 실제 법적 근거를 만들고 기업에서 활용할 수 있는 환경을 만들어 주는 것이 중요하다.

지난 가이드라인 작성 시 주요 참고문서로 알려졌던 온타리오주 '구조화된 데이터의 비식별조치 가이드라인(De-identification Guidelines for Structured Data)'의 저자이자 비식별조치 분야 최고 전문가 중 한 명인 칼레드 엘 이맘(Khaled El Emam) 박사가 한국을 방문해 강연했다.

그는 개인정보 활용에 대해 사회적 합의를 내려야 하며, 이를 위해 합리적인 프로세스를 마련해야 한다고 조언했다. 또 사회적으로 도움이 될 연구를 진행하고 공유해야 한다고 말했다.

아울러 재식별 문제 발생 시 미국과 캐나다 정부에서는 해당 기업이 얼마나 적극적으로 비식별조치를 취했는지, 얼마나 좋은 솔루션을 사용했는지를 판단해 처벌수위나 벌금 등을 정한다고 설명했다.

최근 정부는 개인정보 비식별조치 가이드라인의 문제 여부를 검토하고 개선할 계획이라고 밝혔다. 향후 개선안에는 사회적 합의를 이룰 방안과 재식별 발생 시 처벌 방법 등에 대해 구체적인 내용을 담아 보완해야 한다.

또 각 업종에 맞는 다양한 가이드라인을 제공하고 해당 가이드라인에 적합한 비식별화 솔루션 등을 사용해 비식별화를 진행하도록 지원해야 한다. 현재 기업에서는 개인정보를 비식별조치한 데이터를 활용해 기업이 얻을 수 있는 이익이 불투명해 선뜻 나서기 쉽지 않은 상황이다.

더군다나 현재 가이드라인은 법적 근거가 미흡한 만큼 향후엔 가이드라인을 법제화해 개인과 기업 모두 피해를 보는 일이 없도록 해야 한다.

해외에서는 이미 빅데이터 활용을 도모하기 위한 제도적 장치가 마련됐다. 내년 5월부터 시행되는 GDPR은 가명화(pseudonymisation)등의 안전장치 후에는 정보주체 동의 없이 처리가 가능하게 하고 있다. 여기서 가명화란 특정 정보주체를 식별할 수 없도록 하는 개인정보 처리를 의미한다.

일부에서는 비식별조치 데이터가 다른 정보와 결합하면 개인이 식별될 가능성이 커지기 때문에 재식별 가능성이 조금이라도 있다면 데이터를 사용할 수 없게 해야 한다고 말하고 있다. 하지만 이는 근본적으로 데이터 활용을 불가능하게 만들어 우리나라 빅데이터 산업의 경쟁력을 저하한다.

4차 산업혁명의 근간이 되는 빅데이터 관련 산업을 육성해야 한다. 이를 위해 비식별조치에 대한 안전장치를 추가하고 법적 근거를 마련하며, 각 기업에서 데이터를 활용할 수 있도록 지원해야 한다.

현유진
(현) 파수닷컴 AD(Analytic DID)사업팀 책임
서울대학교 대학원 통계학(석사)
IBK기업은행 (IT기획)
IBK연금보험 (IT기획)
파수닷컴 (데이터 비식별화)

관련기사

[기고] 2017년 비식별 동향과 분석
댓글보기(0)

뉴스 많이 본 뉴스