유럽에선 가명·익명 정보 구분해 활용에 제한 둬
[ 이승우 기자 ]
2002년 개봉한 톰 크루즈 주연의 영화 ‘마이너리티 리포트’에는 길거리에서 사람들이 지나갈 때마다 맞춤형 광고가 나오는 장면이 나온다. 당시에는 신기한 모습으로 비쳤지만 지금은 우리 생활 속에서도 맞춤형 광고를 쉽게 볼 수 있다. 페이스북이나 구글, 네이버 등에서 볼 수 있는 각종 광고는 업체들이 우리의 온라인 활동을 분석해 가장 관련성이 높은 광고를 보여주는 것이다. 바꿔 말하면 개인 정보를 누군가가 빼꼼히 들여다보고, 자칫 이런 개인 정보가 나쁜 의도를 가진 또 다른 누군가에게 유출되고 악용될 수도 있다는 얘기다.
IT 발달로 정보 수집 경로 다양해져
우리가 수집할 수 있는 정보의 양이 갈수록 늘어나고 있다. 사물인터넷(IoT)과 같은 기술의 발달 덕분이다. 과거에는 인터넷 검색 기록이나 방문 사이트를 찾아보는 게 전부였다면 지금은 일상생활에서의 개인별 움직임까지 실시간으로 알아챌 수 있다. 스마트폰 위치추적시스템(GPS)과 각종 센서를 활용해서다. 기업들은 이 같은 정보를 모은 빅데이터를 통해 새로운 서비스를 선보이고 있다. 정보기술(IT) 기업은 물론 유통, 의료, 서비스 등 산업 전반에 걸쳐 빅데이터를 활용하는 분야가 늘어나는 추세다.
하지만 편리함과 비례해 불안감도 커지고 있다. 지난달 페이스북 회원 8700만여 명의 개인정보가 유출된 게 대표적인 사례다. 이용자 의지와 상관없이 기업 실수로 내 정보가 누군가의 손에 들어가 악용될 수 있다는 점이 증명됐다. 페이스북이 이용자 정보의 제3자 유출을 사실상 방치한 것으로 알려지면서 국내에서도 기업의 광범위한 정보 수집을 제한해야 한다는 의견이 힘을 얻고 있다.
비식별 처리·가명정보 등으로 개인정보 활용
한국에서 기업이나 기관이 개인정보를 활용하는 방법은 △법률이 허용하는 범위에서 활용하는 방법 △정보 주체의 동의를 얻는 방법 △비식별 처리 등 크게 세 가지다. 현행 개인정보보호법은 연구와 안전, 재산상의 이익 등을 위해 필요한 경우에 한해 제한적으로 개인정보 활용을 허용하고 있다.
비식별 처리의 경우 정부 가이드라인에 따라야 한다. 2016년 6월 마련된 ‘개인정보 비식별 처리 가이드라인’은 가명 처리나 데이터 일부 삭제, 범주화 등을 통해 정보 대상이 누군인지 알 수 없도록 했다. ‘43세 남성 홍길동’이란 개인정보를 ‘40대 임꺽정(가명)’으로 바꿔 활용하는 것이 대표적이다. 이 같은 과정을 거친 비식별 익명정보는 당사자 동의 없이 자유롭게 활용할 수 있다. 하지만 처리 과정이 까다롭고 비용이 들어 상당수 기업은 비식별 처리보다 고객 동의를 얻어 자체 수집한 정보를 활용한다. 익명정보가 데이터로서 가치가 떨어진다는 이유도 있다. 원본 데이터를 두루뭉술하게 만드는 방식이기 때문에 분석을 통해 도출할 수 있는 결과가 적다는 한계도 지적된다.
최근에는 ‘가명정보’가 새로운 대안으로 떠오르고 있다. 가명정보는 추가 정보가 있으면 대상이 누구인지 알 수 있는 정보다. 익명정보보다 세부 정보가 많아 분석 데이터로서 가치가 더 높다. 하지만 현재 국내에서 가명정보와 익명정보는 제대로 구분되지 않고 있다.
지난달 과학기술정보통신부 주최로 열린 세미나에서 이창범 동국대 교수는 “가명정보를 법률로 정의하는 한편 정보 처리의 구체적 방법과 절차를 하위 법령에 위임해 투명한 활용을 유도해야 한다”며 “가명정보를 제외한 비식별정보는 개인정보보호법의 적용 대상이 아니라는 규정을 만들 필요가 있다”고 강조했다. 가명정보와 익명정보를 정확히 구분해 법의 보호 아래 두는 대신 개인 식별이 불가능한 익명정보는 자유로운 활용이 가능하게 해야 한다는 주장이다.
개인정보 활용에는 의견 갈려
활용도를 높여야 한다는 의견과는 반대로 규제 강화 목소리에도 힘이 실리고 있다. 다음달 유럽연합(EU)이 시행하는 개인정보보호법(GDPR)도 영향을 미쳤다. GDPR은 정보 처리 방식을 익명과 가명으로 구분하고, 가명처리 정보를 개인정보 보호 대상으로 취급한다. 익명정보에 대해선 관련 조항 적용을 제외해 자유롭게 활용할 수 있도록 했다.
정부와 국회는 처벌 법안을 강화하기로 했다. 정부는 개인정보 유출에 대한 기업 책임을 강화하기 위해 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(정보통신망법)을 개정해 과징금을 올리고 서비스 임시중지 조치를 도입하기로 했다. 이와 관련해 변재일 더불어민주당 의원은 지난 2월 과징금을 강화하는 내용의 정보통신망법 일부개정안을 대표 발의했다. 과징금 기준을 ‘위반 행위 관련 매출의 3% 이하’에서 ‘해당 정보통신서비스 관련 매출의 3% 이하’로 강화했다. 하지만 개인정보 활용을 지나치게 억제하면 빅데이터 등 4차 산업혁명에 제동이 걸릴 수 있다는 지적도 나온다.
◆NIE 포인트
세계 각국이 개인정보 유출을 막기 위해 어 떤 조치를 취하고 있는지 알아보자. 지나친 개인정보 보호가 기술 발달에 어떤 영향을 줄 수 있는지도 생각해보자.
이승우 한국경제신문 IT과학부 기자 leeswoo@hankyung.com