올해 국제표준 ‘ISO/IEC 20889’ 지정 전망…글로벌 기준 맞춰 논의 이뤄져야
[아이티데일리] 최근 EU 개인정보보호규정(GDPR), 미국 ‘건강보험 이전과 책임에 관한 법(HIPPA)’, ‘가족의 교육적 권리 및 프라이버시 법(FERPA)’ 등 개인정보 활용에 관한 제도가 시행되면서, 국내에서도 개인정보 활용에 대한 논의가 활발히 진행되고 있다. 특히, 개인정보를 보호하면서도 동시에 원활하게 활용할 수 있도록 하는 ‘개인정보 비식별화’와 관련한 논의 및 제도 마련이 국내에서도 시급하다는 지적이다.
개인정보 활용은 컴플라이언스와 밀접한 연관이 있다. 우리나라의 경우 개인정보보호법을 통해 개인정보보호와 활용을 법으로 규정하고 있다. 유럽의 GDPR도 비슷한 인식에서 제정된 규정이다. 미국의 표준기술연구소(NIST)에서도 개인정보 활용을 위한 표준을 마련해놓고 있다.
개인정보 비식별화에 대한 논의가 시작된 것은 2014년부터다. 국제표준화기구(ISO)와 국제 전기 표준 회의(IEC)는 개인정보 비식별 처리 기술 표준 ‘DIS 20889’를 개발하고 있다. 올해 ‘ISO/IEC 20889’ 표준으로 지정될 것으로 전망된다.
국내에서도 미국과 유럽의 사례, 국제 표준 지정 등을 고려, 개인정보 활용을 위한 비식별화에 대한 논의를 진행하고 있다. 국내 비식별화 논의의 핵심 이슈는 크게 두 가지로 볼 수 있다.
첫째는 개인정보를 암호화해 비식별 조치를 한 가명 정보를 산업적 연구에 허용하느냐의 문제다. 현재 개인정보보호법에서는 비식별화된 가명 정보에 대해 학술적 연구만 허용하고 있다. 하지만 가명 정보는 개인이 특정되지 않는 만큼 산업적 연구에 활용할 수 있게 해달라는 것이 산업계의 요청이다. 예를 들어 고객 개인정보를 암호화해 이를 기반으로 소비자 트렌드 분석을 하고자 하는 기업들이 있다.
둘째는 데이터 결합 허용이다. 서로 다른 두 기업이 고객의 개인정보를 비식별화한 후 서로의 데이터를 결합하면 특정 연령대, 직업군에 대한 정보를 분석할 수 있다. 이를 통해 해당 기업은 특정 집단군을 대상으로 새로운 상품과 서비스를 선보일 수 있고, 기업의 데이터를 연결해주는 과정에서 ‘데이터 유통 시장’도 생길 수 있다. 산업계는 빅데이터 산업을 육성하기 위해서는 데이터 재결합이 반드시 필요하다고 주장하고 있다.
2016년 ‘개인정보 비식별 조치 가이드라인’을 통해 개인정보 비식별화 시장을 형성하려는 움직임이 있었다. 하지만 2017년 11월 시민단체의 고발로 인해 기업과 기관들이 소극적으로 변했고, 이에 우리나라의 비식별화 시장은 위축돼 있는 상황이다.
보안 업계 관계자들은 한 목소리로 “비식별화는 컴플라이언스와 밀접한 연관이 있는 분야”라며, “컴플라이언스가 마련돼야 시장이 형성될 수 있다”고 말했다. 김기태 파수닷컴 팀장은 “비식별화는 컴플라이언스에 맞춰갈 수밖에 없는데, 현재로선 정부도 오락가락하는 상황”이라며, “시민단체가 주장하는 보호의 관점과 산업계가 요구하는 활용의 관점이 다르며, 이는 결국 제도를 만드는 정부가 방점을 어디에 찍느냐에 달렸다”고 강조했다. 이어 김 팀장은 “정부에서 제도를 만들어야 시장이 커지고 기업 간 경쟁이 유발된다”며, “지금으로선 기업간의 경쟁보다 시장을 형성하는 게 먼저”라고 덧붙였다.