[아이티데일리] 인공지능(AI), 빅데이터 등 기술 발전에 따라 많은 데이터가 공유 및 활용되며 개인정보 유출 등 보안 위험도 함께 커지고 있다. 이 가운데 안전한 데이터 활용을 위한 ‘개인정보 보호 강화 기술(PET)’이 주목받고 있다.

글로벌 시장 조사 기관 스태티스타(Statista)에서 발표한 자료에 따르면 전 세계 데이터 총량은 2025년까지 181제타바이트(ZB)에 달할 전망이다. 생성형 AI, 머신러닝 등 방대한 데이터를 활용·분석하는 기술도 이와 함께 발전하고 있다.

하지만 급증하는 데이터는 개인정보 유출, 신원 도용 등 보안 사고로 이어질 위험이 있다. 이에 각국은 개인정보 보호를 위해 개인을 식별할 수 있는 정보를 제거·최소화하기 위한 제도를 마련해 왔다. 여기에는 개인정보 일부를 삭제하거나 변경해 식별 불가한 상태로 만드는 ‘가명 처리’가 널리 쓰였다.

가명정보는 개인정보 보호에 기여하고 있으나 한계도 드러냈다. 국내외 법규상 개인정보로 여겨져 활용 시 지속적 위험 평가가 요구되며 다른 정보와 연계할 경우 재식별 가능성이 있다. 또 과도한 가명 처리는 데이터 품질 저하로 이어질 수도 있다.

이에 개인정보를 보호하면서도 활용성을 유지할 수 있는 개인정보 보호 강화 기술(Privacy Enhancement Technique, PET)이 전 세계적으로 주목받고 있다. PET는 개인정보 원본을 공개하지 않은 상태에서 계산·분석 등 정보 처리를 수행할 수 있는 기술이다.

PET 기술은 크게 △개인 식별성 축소 및 파생데이터 생성형 △데이터 은닉차폐형 △데이터 분할·접근 통제형 등 세 가지로 나뉜다. 식별 가능 정보를 줄이고자 AI로 인공 생성한 ‘합성데이터’, 암호화 상태로 데이터를 연산하는 ‘동형 암호’, 원본 데이터 공유 없이 공동 계산하는 ‘다자간 보안 연산(MPC)’ 등이 이에 해당한다.

이론적으로만 제시되던 고수준 암호 기술이었으나 학계 연구가 활발히 이뤄짐에 따라 상용 제품, 오픈소스 도구가 등장했다. 기술 성숙도가 높아지며 전 세계적으로 의료, 제조 등 개인정보를 취급하는 데이터 환경에서 PET를 채택하고 있다. 실제 미국의 금융회사 ‘아메리칸 익스프레스(American Express)’는 부정거래 탐지 및 대응 과정에 AI로 생성된 합성데이터를 적용했다.

금융보안원이 24일 발표한 ‘금융권 개인정보 보호 강화 기술(PET) 활용 방안 및 향후 과제’ 보고서에 따르면, 기술 성숙도 측면에서 사업화 단계에 도달했으나 실제 서비스에 맞게 구현된 솔루션은 제한적이었다. 특히 단일 기술로는 다양한 데이터 활용 상황을 보호할 수 없어 기술 간 조합이 필수적인 상황이다.

금융보안원 개인정보평가2팀 임형진 팀장은 “이론적으로 제시된 지 오래돼 기술별로 연구, 응용 시도가 활발했다. 하지만 개별 기술만으로 개인정보 보호 목적을 달성하기에는 부족하다”며 “데이터 보호 측면에서 각 기술을 조합해 사용하는 방향이 PET에 적합하다”고 설명했다.

이어 “국내에서도 특정 기술 한두 개를 조합해 PET를 시도하고 있다. 다만 기술마다 성숙도가 다르고 PET를 적용한 경험이 부족하기에 아직 초기 단계에 그치고 있다”고 덧붙였다.

금융보안원은 국내 금융권에 PET 기술을 안착하고자 생태계 조성과 실증 연구 기반 마련에 힘쓰고 있다. 금융권 합성데이터 상용화를 위해 익명성 평가 방안을 마련 중이며, 은행권 공동 FDS 모델 구축을 목표로 연합학습 및 차분프라이버시를 활용해 각 금융사 정보를 공개 없이 이용 가능토록 추진하고 있다.

임형진 팀장은 “그간 금융권, 산업계는 암호 알고리즘 등 기술을 개별 단위로 적용하는 데 집중했다. 하지만 이번 보고서를 통해 해외 사례를 검토하며 기술 간 조합이 중요하다는 점을 확인했다”며 “데이터 프라이버시 강화를 목표로 설정하고 이를 위해 여러 기술을 적절히 조합하는 데 초점을 맞춰야 한다”고 강조했다.