보안

데이터3법 핵심은 가명정보··· “비식별 조치 모델까지 바뀌어야”

이종현
[디지털데일리 이종현기자] 데이터3법이 모두 소관 상임위 문턱을 넘었다. 국회 법제사법위원회(이하 법사위)와 본회의만 남은 상태다. 문희상 국회의장은 오는 9일에서 10일 국회 본회의를 열어 내년도 예산안과 데이터3법을 포함한 법안들에 대해 논의할 방침이다.

데이터3법은 개인정보보호법·신용정보법·정보통신망법 개정안을 뜻한다. 특정 개인을 알아볼 수 없도록 비식별화한 ‘가명정보’를 개인 동의 없이 활용할 수 있도록 하는 것이 핵심 내용이다. 예컨대 이름, 주소, 전화번호, 졸업학교 등의 개인정보 중 개인을 특정할 수 있는 내용을 없앤다면 활용할 수 있다는 얘기다.

우리나라는 정보기술(IT) 인프라가 잘 갖춰진 만큼 데이터 산업이 성장하기 좋은 여건이다. 하지만 ‘개인정보 보호’에 치중돼 있어 데이터 활용이 어려웠다. 사실상 특정 개인을 식별할 수 없는 ‘익명정보’로 활용하거나 허가를 받은 적은 양의 데이터만 활용할 수 있었다.

2016년 ‘개인정보 비식별 조치 가이드라인’에서는 개인정보 비식별 조치를 ▲사전 검토 ▲비식별 조치 ▲비식별 적정성 평가(K-익명성) ▲사후 관리 등 4개 단계로 나눠 시행하도록 제시했다.

가이드라인의 핵심은 ‘K-익명성 모델’ 활용을 의무화했다는 점이다. K-익명성 모델은 공개된 정보를 연결해 민감한 정보를 알아내는 ‘연결 공격’을 막기 위해 데이터 집합의 일부를 삭제하거나 수정하는 비식별화 모델이다.

문제가 되는 부분은 ‘개인정보 수정’이다. 개인정보 보호라는 측면에서는 개인을 식별할 수 없도록 데이터를 수정하는 좋은 방법이다. 하지만 데이터 활용이라는 측면에서는 수정된 데이터는 ‘신뢰할 수 없는 데이터’다. 빅데이터, AI 등에 활용하기 위해서는 데이터 신뢰도 높은 데이터가 필요하다.

보안업계 관계자는 “데이터3법이 통과되더라도 K-익명성 모델 활용이 의무화된다면 반쪽짜리 통과”라고 지적하며 “법 개정만큼이나 중요한 것이 시행령과 가이드라인이다. 기존 K-익명성 모델을 활용한 비식별 조치는 익명정보를 만드는 것인 만큼, 가명정보를 위한 새로운 비식별 조치가 필요하다”고 강조했다.

한편 데이터3법이 통과될 것이라고 확신하기는 어려운 상황이다. 자유한국당은 오는 9일 국회 본회의가 개최된다면 필리버스터에 나서겠다고 예고했다. 또 법사위 채이배 의원이 개인정보 보호의 중요성을 강조하며 개인정보보호법, 신용정보법 개정안에 반대한 바 있다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널