[디지털데일리 최민지 기자] 시대의 흐름에 개인정보 빗장이 풀렸다. 식별할 수 없는 개인정보를 동의 없이 산업적으로 사용할 수 있는 길이 열린 것이다. 빅데이터 시대에서 신산업 활성화를 모색하기 위한 정부 정책의 일환으로, 지난 1일 개인정보 비식별 조치 가이드라인이 시행됐다.

각 산업계는 이번 가이드라인 발표를 환영하며 새로운 기회를 모색할 수 있다는 기대감을 드러냈다. 인공지능, 머신러닝, 빅데이터 등 최근 우리 사회를 강타하며 새롭게 떠오르는 시장에서 ‘데이터’는 빼놓을 수 없는 중요 요소다. 그러나 그 동안 기업들은 개인정보 보호 정책에 따라 상당수의 데이터를 확보할 수 없었다.

하지만, 이번 가이드라인을 통해 개인을 구별할 수 없고 누구인지 알 수 없는 비식별 정보에 대한 명확한 기준을 정립한 후, 이를 자유롭게 이용할 수 있게 하자는 산업계의 요구가 드디어 받아들여졌다.

우려도 제기된다. 비식별 처리를 했더라도 의도적으로 누군가 다시 개인정보를 식별할 수 있도록 해 악용하는 가능성을 완전히 배제할 수 없기 때문이다. 정부는 적정성 평가 등을 통해 강도 높은 비식별 조치를 취하겠다는 방침이지만, 기준에 부합한다고 모든 공격에서 자유롭다는 뜻은 아니다.

이처럼 개인정보 비식별 조치 가이드라인을 놓고 기대감과 우려가 공존하고 있다. 이에 이번 가이드라인이 산업에 어떠한 긍정적 영향을 미치고, 정보보호 측면에서 지적되는 문제는 무엇인지 살펴봤다.

◆금융부터 의료·보안까지…새로운 먹거리 가득=개인을 알아볼 수 없게 비식별 조치한 정보를 자유롭게 활용하게 되면, 금융·의료·보안 분야 등에서 새로운 도약의 기회를 찾을 수 있을 것으로 전망된다.

예를 들어, 은행 및 보험사는 보유한 신용정보를 비식별 조치한 후 증권사에게 제공한다. 증권사는 빅데이터 분석을 통해 신상품 개발에 활용하고, 로보어드바이저에도 적용시킬 수 있다.

사물인터넷부터 차량 관제, 모바일 커머스 등 사업 영역을 확장하는 이통사도 빅데이터가 절실한 만큼 이번 정책을 적극 활용할 것으로 보인다. 일례로, KT는 서울시 교통데이터와 이통사의 데이터를 활용해 심야버스 노선 수립 지원 시스템 개발을 한 바 있다. 기존보다 사용 가능한 정보가 많아지는 만큼 다양한 사업 기회를 모색할 수 있다는 설명이다.

가장 민감한 개인정보 중 하나인 의료정보도 연구개발에 손쉽게 쓰이게 된다. 환자의 개인정보를 제외하고 연령이나 질환 등의 데이터를 제공받아 제약회사 또는 의료 관련 기업들이 이를 자사 서비스 개발에 적용시키는 것도 가능해진다. 의료 데이터가 방대하게 축적되면 더 정확한 진단 등을 제시할 수 있는데, 지금까지 비식별 정보에 대한 기준이 모호해 환자 정보는 접근하기 어려운 분야로 꼽혀왔었다.

인공지능 알고리즘을 적용한 재활 솔루션을 개발하고 있는 스타트업 네오팩트의 반호영 대표는 “누구인지 식별할 수 있는 정보 말고 개인정보를 제거한 익명화된 의료 정보가 연구에 필요했는데, 이번 가이드라인 발표로 기존의 법적 모호함이 해결되고 명확해졌다”며 “합리적인 규제 개선이라 반갑고, 개인정보 제공 동의를 받기 어려운 상황이었는데 한국에서도 데이터를 자유롭게 받을 수 있게 돼 더 자유롭게 연구하고 다양한 사업 확장을 꾀할 수 있게 됐다”고 강조했다.

또한, 보안업계에서는 개인정보 비식별 솔루션 시장이 커질 것으로 내다보고 있다. 비식별 정보를 활용하려면 적정성 평가를 통과해야 하며 사후 관리 단계의 보호조치를 실시해야 한다. 정부는 동일한 값을 가진 레코드를 k개 이상으로 해 특정 개인을 추론하기 어렵도록 한 평가 수단인 ‘k-익명성’ 분석값에서 일정 기준을 넘어야만 적정하다고 판단을 내리기로 했다.

개인정보를 보유한 곳에서 자체적으로 완성도 높은 비식별 솔루션을 개발·적용시키기 어려운 만큼, 보안시장에서 관련 솔루션 제공으로 새로운 먹거리를 창출할 수 있다.

안혜연 파수닷컴 부사장은 “파수닷컴은 비식별화 솔루션 ‘애널리틱DID’를 선보였는데, 출시 당시만 하더라도 시장이 거의 없었고 고객 형성도 돼 있지 않았다”며 “이번 가이드라인 발표로 빅데이터 시장은 더욱 커질 것이며, 평가를 통과할 수 있는 수준으로 개인정보를 비식별화하는 솔루션을 요구하는 곳도 많아질 수밖에 없다”고 설명했다.

◆“익명화된 개인정보도 재식별 가능성 높아”=이러한 긍정적 측면에도, 100% 보안은 장담할 수 없기 때문에 개인정보가 유출될 수 있다는 불안감도 높다. 참여연대를 비롯한 시민단체에서는 익명화된 개인정보도 기술발전에 따라 재식별할 수 있는 가능성이 높다며 이번 가이드라인을 반대하고 나섰다.

참여연대 측은 “정부의 비식별 가이드라인이 빅데이터 시대 소비자 권리를 오히려 침해할 것”이라며 “국민의 개인정보를 보호하기 위해 대책을 마련해야 할 정부가 오히려 빅데이터 산업 활성화의 명목으로 소비자 개인정보를 위험에 빠뜨리는 내용의 가이드라인을 발표했다”고 비난했다.

비식별 조치를 하더라도 기존에 공개된 정보나 유출된 데이터와 결합한다면, 개인을 식별할 수 있는 상황이 발생할 수 있다. 가이드라인 발표 후 비식별 조치를 거친 개인의 정보가 지금보다 더 많이 유통될 텐데, 만약 의도적으로 재식별화한다면 범죄에 노출될 가능성은 그만큼 커지게 된다는 것.

물론, 정부는 외부 공격에서 안전을 담보할 수 있도록 적정성 평가를 거치기로 했다. 적정성 평가만 통과한다면, 추후 책임으로부터 자유로워지는 것도 문제점이다.

가이드라인에서 명시한 비식별 조치를 충분히 이행했다고 판단되면, 추후 외부 공격자로 인해 개인정보가 식별되더라도 해당 사업자는 책임을 면할 수 있다. 이에 적정성 평가 기준과 평가위 구성이 좀 더 엄격하게 이뤄져야 한다는 지적이다.

이와 관련 방통위 관계자는 “다른 사유로 인해 재식별이 될 경우 사업자는 관련 정보를 파기해야 하고 피해가 확산되지 않도록 조치해야 한다”며 “철저히 관리했는데도 문제가 생길 경우 법적 책임을 물을 수 없으며, 정부가 제시한 평가를 통과할 정도면 외부 공격으로부터 방어하기 충분하다고 본다”고 말했다.

한편, 정부는 이번 가이드라인에서는 비식별 조치를 4단계로 구분했다. 사전검토 단계에서는 개인정보 해당 여부를 검토한 후 개인정보가 아닌 경우 별도 조치 없이 활용하도록 하고, 비식별 조치 단계에서는 개인 식별요소를 제거하도록 했다. 적정성 평가 단계에서는 외부 평가단의 평가를 거치고 k-익명성을 사용한다. 사후관리 단계에서는 이용목적 달성 때 파기, 접근권한 관리 및 통제, 재식별 때 처리 중단 및 파기 등 필수적인 보호조치 사항을 명시했다.

또, 비식별 정보를 재식별해 이용하는 등의 행위를 하면 5년 이하의 징역 또는 5000만원 이하의 벌금을 부과키로 했다. 한국인터넷진흥원은 개인정보 비식별 지원센터를 설치해 실태 점검 및 평가단 관리 등을 수행키로 했다.

<최민지 기자>cmj@ddaily.co.kr