기업으로 넘어간 내 정보 안전할까?…비식별 처리도 논란
누군지 알 수 없게 익명 처리하면 동의 없이 활용 가능
국내서 3억4천만건 유통 추정…추가 정보 많아지면 재식별 위험
(서울=연합뉴스) 고현실 기자 = 페이스북 사태로 기업의 개인정보 활용에 대한 소비자의 불안이 커지고 있다.
페이스북이 이용자 정보가 제3자에게 유출되는 것을 사실상 방치한 것으로 알려지면서 국내에서도 기업의 광범위한 고객 정보 수집을 제한해야 한다는 목소리가 설득력을 얻고 있다.
정부는 대안으로 정보 대상이 누군지 알 수 없게 하는 비식별 조치를 제시하고 있지만, 비식별된 정보도 안심할 수 없다는 지적이 나온다.
◇ 비식별 정보 3억4천만건 유통…활용 가치는 '글쎄'
1일 한국인터넷진흥원(KISA)에 따르면 국내에서 기업이나 기관이 개인정보를 활용하는 방법은 ▲ 법률이 허용하는 범위에서 활용하는 방법 ▲ 정보주체의 동의를 얻는 방법 ▲ 비식별 처리 등 크게 세 가지로 나뉜다.
이 가운데 기업과 기관은 주로 정보주체, 즉 고객의 동의를 얻는 방법에 의존하고 있다. 나머지 두 가지 방법이 매우 제한적이고 까다롭다는 게 주된 이유다.
현행 개인정보보호법은 연구, 안전, 재산상의 이익 등을 위해 필요한 경우에 한 해 제한적으로 개인정보의 활용을 허용한다.
비식별 처리의 경우 정부의 가이드라인에 따라야 한다.
2016년 6월 마련된 '개인정보 비식별 처리 가이드라인'은 가명 처리나 데이터 일부 삭제 및 범주화 등을 통해 정보 대상이 누군지 알 수 없게 하는 것이 핵심이다. '43세 남성 홍길동'이란 개인정보를 '40대 임꺽정(가명)'으로 바꾸는 방식이 대표적이다.
이러한 과정을 거친 비식별 익명정보는 당사자의 동의 없이 자유롭게 활용할 수 있다.
정의당 추혜선 의원실이 작년 10월 공개한 자료에 따르면 비식별 가이드라인 도입 이후 현재까지 비식별 처리를 거친 개인정보 결합물 3억4천여만건이 기업 등에 제공된 것으로 파악됐다.
하지만 처리 과정이 까다롭고 비용이 들다 보니 대부분의 기업은 비식별 처리보다는 고객의 동의를 얻어 자체 수집한 정보에 의존한다.
익명정보가 데이터로서 가치가 떨어지는 점도 한몫했다. 원본 데이터를 개인 식별이 어렵게 두루뭉술하게 만들기에 분석을 통해 도출할 수 있는 결과가 제한된다는 지적이다.
◇ 대안으로 가명정보 주목…규정은 모호
최근 기업이 익명정보의 대안으로 주목하는 것은 가명정보다. 가명정보는 추가 정보가 있으면 대상이 누구인지 알 수 있는 정보를 말한다. 익명정보보다 세부 정보가 많아 분석 데이터로서 가치가 더 높다는 평가다.
하지만 가명정보와 관련한 국내 규정은 모호하다.
현 비식별 조치 가이드라인은 단순 가명처리한 정보는 동의 없이 활용할 수 없도록 규정할 뿐 익명정보와 가명정보를 뚜렷이 구분하지 않고 있다. 이 때문에 익명과 가명정보가 모두 비식별 정보로 뭉뚱그려지면서 제대로 활용되지 못한다는 지적을 받아왔다.
이창범 동국대 교수는 지난 29일 비식별처리 세미나에서 "가명정보를 법에 정의하고, 정보 처리의 구체적 방법과 절차를 하위 법령에 위임해 투명한 활용을 유도해야 한다"며 "(가명정보를 제외한) 비식별정보는 개인정보보호법의 적용 대상이 아니라는 규정을 둬 가이드라인의 한계를 해소해야 한다"고 제안했다.
가명정보를 익명정보와 명확히 구분해 법의 보호 아래 두는 대신 개인 식별이 불가능한 익명정보는 자유로운 활용이 가능하게 해야 한다는 주장이다.
이는 5월 시행을 앞둔 유럽연합 개인정보보호법(GDPR)과 유사한 개념이다. GDPR은 정보 처리 방식을 익명과 가명으로 구분하고, 가명처리 정보를 개인정보 보호 대상으로 본다. 반면 익명정보는 관련 조항의 적용을 제외해 자유로운 이용이 가능하도록 한다.
◇ "비식별 정보도 시간 흐를수록 재식별 위험"
정부 역시 익명과 가명정보를 분리해 관리하는 방안을 추진 중이다.
대통령 직속 4차산업혁명위원회는 지난달 토론회(해커톤)에서 개인정보 관련 법적 개념을 '개인정보' '가명정보' '익명정보'로 구분해 정비하기로 뜻을 모았다.
이 가운데 익명정보는 개인정보보호법 대상에서 제외하고, 가명정보는 정의와 활용에 대한 법적 근거를 마련하기로 했다. 익명정보는 규제를 풀어 자유로운 활용이 가능하게 하고, 가명정보는 거꾸로 법의 보호를 받게 해주겠다는 취지다.
개인정보의 활용과 보호 사이에서 균형을 잡겠다는 목표지만, 비식별 정보 규제를 푸는 것을 두고 우려도 제기된다. 가명 혹은 익명 처리를 하더라도 추가 정보가 충분하면 개인이 식별될 위험이 있기 때문이다.
작년 11월 참여연대를 비롯한 12개 시민단체는 비식별 가이드라인에 따라 당사자 동의 없이 개인정보 결합물을 기업에 제공한 혐의로 한국인터넷진흥원, 금융보안원 등 공공기관과 기업 20여곳을 검찰에 고발했다.
이들은 "비식별처리됐다 하더라도 기업이 보유한 원데이터와 결합하는 등의 방식으로 재식별화의 위험이 크다"고 설명했다.
인공지능과 빅데이터 기술의 발전을 고려하면 현재 재식별이 불가능한 정보도 향후에는 재식별이 가능할 수 있다.
현 가이드라인은 재식별 위험을 주기적으로 평가하라고 규정하지만, 구체적인 주기는 명시하지 않았다.
비식별 조치의 안전 기준도 마련되지 않은 상태다.
KISA가 올해 말 개인정보 비식별 콘테스트를 개최해 기준을 마련하겠다는 계획이지만 기술적인 대응만으로는 한계가 있다.
KISA 김호성 개인정보기술단장은 "기술적으로 완벽히 재식별을 막는 것은 어렵다. 시간이 흐를수록 (정보가 쌓이면서) 재식별 가능성은 커진다"며 "기술적으로 해결이 안 되면 사후 관리를 철저하게 하는 방식으로 해결할 수밖에 없다"고 말했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
누군지 알 수 없게 익명 처리하면 동의 없이 활용 가능
국내서 3억4천만건 유통 추정…추가 정보 많아지면 재식별 위험
(서울=연합뉴스) 고현실 기자 = 페이스북 사태로 기업의 개인정보 활용에 대한 소비자의 불안이 커지고 있다.
페이스북이 이용자 정보가 제3자에게 유출되는 것을 사실상 방치한 것으로 알려지면서 국내에서도 기업의 광범위한 고객 정보 수집을 제한해야 한다는 목소리가 설득력을 얻고 있다.
정부는 대안으로 정보 대상이 누군지 알 수 없게 하는 비식별 조치를 제시하고 있지만, 비식별된 정보도 안심할 수 없다는 지적이 나온다.
◇ 비식별 정보 3억4천만건 유통…활용 가치는 '글쎄'
1일 한국인터넷진흥원(KISA)에 따르면 국내에서 기업이나 기관이 개인정보를 활용하는 방법은 ▲ 법률이 허용하는 범위에서 활용하는 방법 ▲ 정보주체의 동의를 얻는 방법 ▲ 비식별 처리 등 크게 세 가지로 나뉜다.
이 가운데 기업과 기관은 주로 정보주체, 즉 고객의 동의를 얻는 방법에 의존하고 있다. 나머지 두 가지 방법이 매우 제한적이고 까다롭다는 게 주된 이유다.
현행 개인정보보호법은 연구, 안전, 재산상의 이익 등을 위해 필요한 경우에 한 해 제한적으로 개인정보의 활용을 허용한다.
비식별 처리의 경우 정부의 가이드라인에 따라야 한다.
2016년 6월 마련된 '개인정보 비식별 처리 가이드라인'은 가명 처리나 데이터 일부 삭제 및 범주화 등을 통해 정보 대상이 누군지 알 수 없게 하는 것이 핵심이다. '43세 남성 홍길동'이란 개인정보를 '40대 임꺽정(가명)'으로 바꾸는 방식이 대표적이다.
이러한 과정을 거친 비식별 익명정보는 당사자의 동의 없이 자유롭게 활용할 수 있다.
정의당 추혜선 의원실이 작년 10월 공개한 자료에 따르면 비식별 가이드라인 도입 이후 현재까지 비식별 처리를 거친 개인정보 결합물 3억4천여만건이 기업 등에 제공된 것으로 파악됐다.
하지만 처리 과정이 까다롭고 비용이 들다 보니 대부분의 기업은 비식별 처리보다는 고객의 동의를 얻어 자체 수집한 정보에 의존한다.
익명정보가 데이터로서 가치가 떨어지는 점도 한몫했다. 원본 데이터를 개인 식별이 어렵게 두루뭉술하게 만들기에 분석을 통해 도출할 수 있는 결과가 제한된다는 지적이다.
◇ 대안으로 가명정보 주목…규정은 모호
최근 기업이 익명정보의 대안으로 주목하는 것은 가명정보다. 가명정보는 추가 정보가 있으면 대상이 누구인지 알 수 있는 정보를 말한다. 익명정보보다 세부 정보가 많아 분석 데이터로서 가치가 더 높다는 평가다.
하지만 가명정보와 관련한 국내 규정은 모호하다.
현 비식별 조치 가이드라인은 단순 가명처리한 정보는 동의 없이 활용할 수 없도록 규정할 뿐 익명정보와 가명정보를 뚜렷이 구분하지 않고 있다. 이 때문에 익명과 가명정보가 모두 비식별 정보로 뭉뚱그려지면서 제대로 활용되지 못한다는 지적을 받아왔다.
이창범 동국대 교수는 지난 29일 비식별처리 세미나에서 "가명정보를 법에 정의하고, 정보 처리의 구체적 방법과 절차를 하위 법령에 위임해 투명한 활용을 유도해야 한다"며 "(가명정보를 제외한) 비식별정보는 개인정보보호법의 적용 대상이 아니라는 규정을 둬 가이드라인의 한계를 해소해야 한다"고 제안했다.
가명정보를 익명정보와 명확히 구분해 법의 보호 아래 두는 대신 개인 식별이 불가능한 익명정보는 자유로운 활용이 가능하게 해야 한다는 주장이다.
이는 5월 시행을 앞둔 유럽연합 개인정보보호법(GDPR)과 유사한 개념이다. GDPR은 정보 처리 방식을 익명과 가명으로 구분하고, 가명처리 정보를 개인정보 보호 대상으로 본다. 반면 익명정보는 관련 조항의 적용을 제외해 자유로운 이용이 가능하도록 한다.
◇ "비식별 정보도 시간 흐를수록 재식별 위험"
정부 역시 익명과 가명정보를 분리해 관리하는 방안을 추진 중이다.
대통령 직속 4차산업혁명위원회는 지난달 토론회(해커톤)에서 개인정보 관련 법적 개념을 '개인정보' '가명정보' '익명정보'로 구분해 정비하기로 뜻을 모았다.
이 가운데 익명정보는 개인정보보호법 대상에서 제외하고, 가명정보는 정의와 활용에 대한 법적 근거를 마련하기로 했다. 익명정보는 규제를 풀어 자유로운 활용이 가능하게 하고, 가명정보는 거꾸로 법의 보호를 받게 해주겠다는 취지다.
개인정보의 활용과 보호 사이에서 균형을 잡겠다는 목표지만, 비식별 정보 규제를 푸는 것을 두고 우려도 제기된다. 가명 혹은 익명 처리를 하더라도 추가 정보가 충분하면 개인이 식별될 위험이 있기 때문이다.
작년 11월 참여연대를 비롯한 12개 시민단체는 비식별 가이드라인에 따라 당사자 동의 없이 개인정보 결합물을 기업에 제공한 혐의로 한국인터넷진흥원, 금융보안원 등 공공기관과 기업 20여곳을 검찰에 고발했다.
이들은 "비식별처리됐다 하더라도 기업이 보유한 원데이터와 결합하는 등의 방식으로 재식별화의 위험이 크다"고 설명했다.
인공지능과 빅데이터 기술의 발전을 고려하면 현재 재식별이 불가능한 정보도 향후에는 재식별이 가능할 수 있다.
현 가이드라인은 재식별 위험을 주기적으로 평가하라고 규정하지만, 구체적인 주기는 명시하지 않았다.
비식별 조치의 안전 기준도 마련되지 않은 상태다.
KISA가 올해 말 개인정보 비식별 콘테스트를 개최해 기준을 마련하겠다는 계획이지만 기술적인 대응만으로는 한계가 있다.
KISA 김호성 개인정보기술단장은 "기술적으로 완벽히 재식별을 막는 것은 어렵다. 시간이 흐를수록 (정보가 쌓이면서) 재식별 가능성은 커진다"며 "기술적으로 해결이 안 되면 사후 관리를 철저하게 하는 방식으로 해결할 수밖에 없다"고 말했다.
okko@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
