[디지털데일리 이종현기자] 개인정보보호위원회(이하 개인정보위)는 14일 서울 마포구 소재 컴트루테크놀로지에서 ‘개인정보 보호·활용 기술개발 스타트업 챌린지’ 및 기업 대표들의 목소리를 청취하는 개인정보 톡톡릴레이를 진행했다.

스타트업 챌린지는 개인정보보호를 강화하는 신기술이나 개인정보를 안전하게 활용하기 위한 우수 기술을 보유한 스타트업, 중소기업을 발굴할 목적으로 올해 처음 시행됐다. 컴트루테크놀로지, 데이타스, 센스톤이 수상했다.

최우수상을 수상한 것은 컴트루테크놀로지다. 인공지능(AI)을 기반으로 서류 중에서 개인정보가 포함될 확률이 높은 신분증, 주요 증명서 등을 자동 분류해 개인정보를 비식별화하는 기술을 제안했다.

데이타스와 센스톤은 우수상을 받았다. 데이타스는 가명처리 대상식별, 재식별 위험성 평가, 재현데이터 생성 등 가명처리 전 과정을 지원하는 개인정보 가명·익명조치 통합관리 기술을, 센스톤은 일회용 사용자 인증 코드(OTAC)를 이용한 사물인터넷(IoT) 기반 스마트 인증기술을 각각 제안했다.

시상식 이후에는 윤종인 개인정보위 위원장과 이원태 한국인터넷진흥원(KISA) 원장이 직접 수상한 3개 기업 및 동형암호 및 양자내성암호 기술 기업 크립토랩 대표와 개인정보보호 기술 소개 및 기술개발 방향에 대한 논의를 진행했다.

◆스타트업 진입 막는 ‘인증’··· 멀쩡한 기업도 위태로워질 수 있어

기업들은 보안인증에 대한 어려움을 공통적으로 호소했다. 공공기관에 제품을 판매하기 위해서는 CC인증 등의 인증을 받아야 하는데, 해당 인증은 받는 데 상당한 시간과 비용이 든다. 돈을 벌기 위해 제품을 판매해야 하는데, 제품을 판매하려면 인증을 받아야 하고, 인증을 받으려면 돈이 필요한 악순환의 반복이다.

박노현 컴트루테크놀로지 대표는 “보안인증은 받기도 어렵지만, 한 번 받는다고 해서 끝이 아니다. 인증기간이 만료되거나 모듈 하나가 바뀔 경우 처음부터 다시 심사를 받는 등의 낭비가 있다”고 지적했다.

또 그는 “인증기관을 통해 기간이 연장된다고 통보받았다가 갑작스레 규정이 바뀌어 새로 심사를 받아야 한다는 통보를 받은 적도 있다. 조달에 문제가 생겨 1년 동안 제품을 판매하지 못했었다”며 “인증기관은 더 신중히 하려는 거겠지만 생업에 지장이 발생하곤 한다”고 토로했다.

센스톤 역시 비슷한 의견을 내놨다. 김애숙 부대표는 “OTAC를 비롯한 센스톤의 기술은 인도네시아, 프랑스 등 글로벌에서 호평을 받고 있다. 국내 기업들을 대상으로도 유의미한 성과를 내고 있는 중인데, CC인증이 없다 보니 공공기관에 납품하지는 못한다”며 “아무리 저렴하고 좋은 기술이 있더라도 인증이라는 장벽에 막혀버리는 것”이라고 피력했다.

조달청에 등록되지 않더라도 제품을 판매하는 방법은 있다. 대표적인 것이 수의계약이다. 다만 수의계약 역시 대안이라고 볼 수는 없다는 것이 김현진 데이타스 대표의 설명이다.

그는 “공공 조달을 위해서는 굿소프트웨어(GS) 인증을 받아야만 한다. 수의계약이 가능하긴 하지만 절차가 까다롭다. 기관 담당자들이 제품이 좋아서 수의계약을 하려 해도 추후 ‘왜 수의계약을 했냐’고 하는 등의 얘기가 나오곤 한다”고 말했다.

인증이 기술 스타트업들의 장벽으로 작용한다는 스타트업들의 말에 이원태 KISA 원장은 “말씀하신 부분 인지하고 있다. 일부 항목에 대해 재심사를 대폭 면제한다든지 하는 등의 변화를 추진 중”이라며 “내년부터 개선안이 적용될 수 있도록 노력하겠다”고 답했다.

◆정책 의존 말고 개인정보보호 위한 기술개발에 투자해야

가명처리 및 결합 전반의 기술적 조치 수준을 높여야 한다는 주장도 제기됐다. 서울대 수리과학부 교수이자 암호학자인 크린토랩 천정희 교수는 “현재 이뤄지고 있는 데이터 결합의 경우 정보 유출의 가능성이 있다. 유출하고자 한다면 할 수 있는 상태”라고 지적했다,

이어서 “데이터 활용이라는 방향으로 나아가는 것은 옳다고 생각한다. 하지만 안전이 담보되지 않은 상태에서 활용하다가 사고가 한 번 터지면 활용 흐름이 흔들리게 될 것”이라며 암호기술에 대한 연구개발의 필요성을 강조했다.

윤종인 위원장은 “정책적 수단에만 의존하지 않고 기술적 수단을 갖춰야 한다는 문제의식에 공감한다. 앞으로 개인정보보호에 대한 관심은 더욱 커질 것이고, 데이터가 쌓이고 활용되는 속도는 예측 불가능한 수준으로 빨라질 것”이라며 “동형암호처럼 여러 분야에 쓰일 수 있는 기술을 산업적으로 육성해야 한다. 이 역할을 개인정보위가 수행할 수 있도록 노력하겠다”고 말했다.

한편 이날 톡톡릴레이에서 윤 위원장은 이달 말 개인정보보호법 2차 개정안을 국회에 제출한다고 밝혔다. 형사 처벌을 경제처벌로 바꾸는 내용과 개인정보 전송요구권 개념을 도입하는 ‘마이데이터법’으로 통한다. 당초 상반기 법안 처리를 추진했으나 정부 내 이견 등으로 지연됐다.

개인정보위가 법 개정을 추진함에 따라 관련 산학계 및 시민단체 등의 갑론을박이 이어질 전망이다. 산업계에게 ‘지나치게 보호 위주다’라는 비판을, 시민사회계에는 ‘지나치게 활용 위주다’라는 비판을 동시에 받고 있다.