[디지털데일리 이종현기자] 정보기술(IT) 업계에서는 데이터 경제를 활성화하기 위해 데이터3법(개인정보보호법·신용정보법·정보통신망법) 개정안이 통과해야 한다고 호소하고 있다.
하지만 데이터 3법이 국회를 통과한다고해도 그것으로 끝이 아니다. 법령 개정 이후 시행령과 관계부처의 가이드라인이 추가로 나와야만 실제 시장의 기준으로 작동하게 된다. 업계에서는 가이드라인이 법적 강제력은 없으나 공공 분야 사업에 참여하려면 꼭 지켜야 하는 것, '사실상의 표준' 으로 인식하고 있다.
‘개인정보 비식별 조치 가이드라인’은 개인정보 비식별 조치를 ▲사전 검토 ▲비식별 조치 ▲비식별 적정성 평가(k-익명성) ▲사후 관리 등 4개 단계로 나눠 시행하도록 제시했다.
비식별 조치는 ▲가명처리 ▲총계처리 ▲데이터 삭제 ▲데이터 범주화 ▲데이터 마스킹 등의 방법이 있다.
예를 들어 ‘900101-1111111, 남성, 2019/12/30, 30, 독감’이라는 의료 데이터가 있다면 주민번호를 삭제한 ‘남성, 2019/12/30, 30, 독감’만 남기거나 ‘9*****-1******, 남성, 2019/**/**, 30, 독감’ 등으로 마스킹 처리하는 방식이다.
가이드라인에서는 이런 비식별 조치가 적정한 수준으로 됐는지를 평가하는 방법으로 ‘k-익명성’ 모델을 최소한의 평가수단으로 정의했다.
k-익명성 모델은 글로벌에서 사용되고 있는 프라이버시 보호 모델 중 하나다. 공개된 데이터 집합에서 나이, 거주 지역 등의 준식별자 조합에 동일한 컬럼을 k개 이상 있도록 하는 모델이다. 공개된 정보를 연결해서 비식별화한 민감한 정보를 알아내는 ‘연결 공격’을 막기 위해 사용한다. 이를 보완하는 ‘l-다양성’, ‘t-근접성’ 등의 모델이 있다.
하지만 이런 k-익명성 모델 사용 의무화가 데이터 활용과는 거리가 멀다는 게 보안업계 전문가들의 설명이다.
보안업계의 한 관계자는 “l-다양성이나 t-근접성까지 가지 않더라도 k-익명성 자체로 강력한 개인정보보호 모델이다. 정보 익명성이 높다 보니 k-익명성 모델을 적용한 비식별화 조치는 데이터 활용에 사용하기 어려운 수준의 익명성을 가진 정보가 된다”고 설명했다.
그는 “데이터 수요자는 자신의 목적에 알맞은 데이터가 필요하다. 필요 이상으로 익명화된 데이터는 수요자에게 데이터로의 가치를 가지기 어렵다. 데이터 활용과는 거리가 먼 것”이라고 지적했다.
이처럼 데이터로의 가치가 떨어지는 비식별화는 과거 데이터 활용보다 개인정보보호에 집중하던 시기에 만들어진 가이드라인때문이라는 게 전문가들의 지적이다. 따라서 최근 데이터 활용의 중요성이 부각되는 만큼 가이드라인도 개정돼야 한다는 데 힘이 실리고 있다.
그러나 비식별 가이드라인 개정이 마냥 쉽지는 않은 상태다. 현행 법률과 시행령의 범위 내에서 가이드라인 개정만으로 데이터 활용을 늘리는 것은 한계가 있기 때문이다.
또한 지금 개정하더라도 데이터3법이 통과된다면 다시 가이드라인을 개정해야 한다. 데이터3법의 국회 통과가 불분명한 상황이다 보니 변화를 꾀하기 어렵다.
이에 보안업계 관계자는 “미래 사회에서 살아남기 위해 데이터 유통은 필수적이다. 변화는 시기와 정도의 문제다. 이미 많이 지체된 만큼 선제적으로 논의해 데이터3법 통과 이후의 변화에 빠르게 대응해야 한다. 설령 데이터3법이 통과되지 않더라도 현재 가능한 범위 내에서의 변화를 고민해야 한다”고 말했다.
악의적으로 데이터를 활용하거나 사고가 발생할 경우 납득할 수 있는 수준의 처벌과 보상책도 함께 마련해야한다는 목소리도 커지고 있다.
한편 데이터3법 개정안은 국회 법제사법위원회(이하 법사위)에서 표류하고 있다. 법사위와 본회의 통과를 앞두고 있다. 내년 5월까지인 20대 국회 임기 기간까지 임시국회를 통해 통과되지 않는다면 임기 종료와 함께 자동 폐기된다.