김호성 한국인터넷진흥원(KISA) 개인정보기술단장은 지난 30일 국회의원회관에서 열린 ‘IoT 환경에서의 개인정보보호와 보안’ 토론회에 참석해 개인정보 비식별화 법제화 방향도 IoT 개인정보보호와 함께 검토돼야 한다고 밝혔다.

지난해 7월1일 개인정보 비식별조치 가이드라인이 발표됨에 따라 비식별 조치된 정보를 활용할 수 있는 길이 열렸다. 하지만, 일각에서는 법적 구속력이 없고 활용에 한계가 있다는 지적들이 제기되고 있다. 이에 법제화 방향도 논의되고 있는 상황이다.

김 단장은 “EU·미국의 경우, IoT 환경에서의 보호수단으로 개인정보 비식별화를 보고 있다”며 “IoT 기기는 규모나 용량 면에서 소량인 경우가 많은데 자체적으로 개인정보를 보호하기 어려울 수 있어 비식별화가 핵심기술로 사용될 가능성이 있다”고 설명했다.

IoT 환경에서 개인정보를 보호해야 하는 만큼, 현재 논의되는 개인정보 비식별화 법제화 방향을 이와 연계시키자는 것.

IoT 기기는 일상생활의 편리함을 제공해줄 것으로 기대되고 있으나, 보안 위협 요소로 작동될 수 있다. 하나의 기기에 취약점이 발생되면, 연계된 기기로 위협이 확산될 수 있다. 또, 개인정보를 보호할 수 있는 안전장치도 필요한 실정이다.

이와 관련해 김 단장은 개인정보로 정의 내리기 불분명한 경우와 국외이전 문제를 국내 IoT 환경에서의 주요 개인정보보호 이슈로 꼽았다.

김 단장은 “수집된 정보가 개인정보인지 불분명하다”며 “다양하고 수많은 IoT 기기에서 수집한 정보가 개인정보가 될 수 있지만, 불명확하나 다른 정보와 결합했을 때 개인정보가 될 수도 있다”고 말했다.

이어 “어느 경우에는 개인정보이고, 또 아니기도 해서 사업자와 서비스에 따라 보호수준에 차이가 발생할 수 있다”며 “이는 사업자 입장에서도 법규를 준수하기 어려운 부분”이라고 덧붙였다.

IoT가 확산되면 주변의 모든 사물들이 네트워크에 연결된다. 냉장고부터 세탁기, 자동차, 도어락 등 다양하고 수많은 IoT 기기가 존재하게 된다. 이는 각기 다른 사업자들에게 속한 제품이기 때문에 개인정보 국외이전 문제가 나타날 수 있다.

김 단장은 “개인정보 국외이전 문제는 IoT 환경에서 더욱 두드러질 것”이라며 “서비스 단계별로 다양한 사업자들이 참여하는데 개인정보 처리는 각각 다르게 한다”고 부연했다.

예를 들어, 스마트홈에서 CCTV는 영상보안업체, 온도 정보는 통신사, 냉장고는 가전사, 사용자 분석은 대용량 데이터 분석 업체, 사고 출동은 보안경비업체가 각각 맡아 정보를 수집하고 역할을 한다.

김 단장은 “서로 다른 개인정보보호 수준을 가진 사업자들이 제3자 정보제공 등 복잡한 관계를 형성하게 된다”며 “책임 주체가 불명확하거나 국외 사업자가 포함돼 있다면, 행정규제나 법 집행 측면에서 어려울 수 있다”고 강조했다.

이러한 IoT 개인정보보호 문제를 해결하기 위해서는 제도적·기술적 개선방안을 심도 있게 고민해야 한다. 다만, 법적 구속력을 통해 보안 수준을 갖추는 것은 IoT 산업 발전에 저해될 수 있다는 지적이다.

김 단장은 “법제도를 강화해 개인정보를 보호하겠다는 것은 과도한 규제가 보호로 이어져 산업 발전을 왜곡할 수 있다”며 “기본적으로 최소 수집, 투명성, 이용자 선택권, 비식별, 보안 등의 측면에서 준수 원칙을 정하고 사업자 각자에 맞게 적용할 수 있도록 해야 하며, 한국도 지속적 논의를 통해 사회적 합의를 도출해 규제를 개선해야 한다”고 전했다.

또 “IoT 환경에서 개인정보 수집·처리의 제한보다는 자기결정권을 충분히 보호하면서 최소 수집 원칙에 따라 정보를 수집하고 원활히 처리할 수 있도록 제도를 열어두는 한편, 법적 절차가 준수되도록 모니터링과 보상 등을 강화하도록 해야 한다”며 “해외에서도 다양한 이해관계자가 참여해 IoT 환경에 맞도록 가이드라인, 의견서, 지침 등 자율규제 방식으로 유연성을 꾀하고 있다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr