[아이티데일리]

전 산업계가 데이터를 중심으로 재편된다
모든 산업영역에서 데이터의 중요성이 날로 높아지고 있다. 데이터를 다룰 수 있는 기술과 역량이 높아지면서 기업의 모든 비즈니스에 데이터가 활용되고 있으며, 기업의 경쟁력과 미래 가치를 따지는 데에 있어서 데이터를 떼어놓고서는 얘기할 수 없는 시대가 됐다. 데이터는 이미 조직의 경쟁력을 평가하는 객관적인 기준 중 하나로 자리잡았다.

이처럼 데이터가 중심이 되는 시대가 도래함에 따라, 전 세계에서는 이미 수 년 전부터 데이터의 가치를 새롭게 발굴하면서도 올바르게 활용될 수 있도록 법적·제도적 개선을 추진해왔다. 가령 몇 년 전 전 세계의 큰 화두로 떠오른 유럽연합(EU)의 GDPR(General Data Protection Regulation)은 대표적인 데이터 관련 제도다. GDPR은 EU 회원국에 대한 개인정보보호법령으로, 회원국 내에서 사업장을 운영하거나 서비스를 제공하고 있는 모든 기업들 역시 대상에 포함된다. 이를 준수하지 않으면 과징금과 같은 강력한 행정처분을 받게 되는 것은 물론, 현실적으로 비즈니스를 존속시키는 게 불가능할 수도 있다.

GDPR은 데이터를 활용하는 기업이 준수해야 하는 의무를 설정함으로써 보다 강한 책임을 부과한다. 기업은 개인정보책임자(Data Protection Officer, DPO)를 지정해 체계적인 관리 프로세스를 구축하고, 사전에 개인정보 영향평가를 수행해 침해 가능성을 미연에 차단해야 한다. 또한 서비스 이용자 등 데이터의 주체에게는 개인정보의 삭제·이동·처리제한 등을 요청할 수 있도록 함으로써 자신의 데이터에 대해 보다 다양한 권리를 행사할 수 있도록 규정했다. 이처럼 GDPR은 EU 회원국들에서 비즈니스를 수행하고 있는 기업이 자의적인 판단에 의해 이용자들의 개인정보를 사용하는 것을 제한하고, 엄정한 규정에 따라 이러한 개인정보들을 준수하도록 강제한다. 이용자들의 데이터가 잘못된 방법으로 사용돼 EU 회원국들에게 피해가 돌아가지 않도록 선제적인 차단에 나선 것이다.

반면 데이터나 서비스가 폐쇄된 환경에 갇혀 있어 활용도가 떨어지는 경우, 이러한 데이터들을 보다 개방된 환경에서 풀어내기 위한 제도적 개선도 이뤄지고 있다. 마찬가지로 EU가 지난 2007년부터 채택해 활용하고 있는 PSD(Payment Services Directive)가 대표적이다.

일반적으로 금융업계에서는 고객의 개인적이고 민감한 정보들을 다루기에 폐쇄적인 서비스 인프라를 갖추게 된다. 금융사업자는 자사의 서비스를 이용하는 고객들의 정보를 독점적으로 보유하고, 이를 바탕으로 독자적인 서비스 모델을 제시함으로써 지속적으로 고객을 붙잡아두고자 한다. 따라서 직접적인 금융 서비스를 제공하지 않는 다른 산업계 기업들은 금융업계의 데이터를 취득하기가 무척 어렵다.

PSD는 본래 EU 내 금융사업자들이 동일한 규격에 따라 금융서비스를 제공하도록 권장하기 위해 제안된 지침이다. 하지만 2018년 새롭게 개정된 PSD2에서는, 폐쇄된 환경에 갇혀있는 금융 데이터들이 보다 다양한 산업군에서 활용될 수 있도록 ‘개방형 금융’이라는 목표를 담았다. PSD2에서는 타 산업군의 기업도 고객의 동의를 받았을 경우 은행이 보유하고 있는 개인의 금융 데이터에 접근할 수 있으며, 필요할 경우 계좌 이체와 같은 일부 금융 서비스까지 제공할 수 있다. 이를 통해 금융 데이터와 다른 산업군의 데이터를 결합한 새로운 비즈니스 모델을 개발하거나, 고객의 정보를 다각적으로 분석해 보다 최적화된 서비스를 제공할 수도 있게 됐다.

데이터 3법, ‘안전’과 ‘활용’ 두 마리 토끼 잡는다
앞서 EU의 사례를 살펴본 바와 같이, 오늘날 전 세계에서는 데이터를 안전하게 지키고 부정한 사용을 막으면서도 보다 다양한 분야에서 활용도를 높일 수 있도록 법적·제도적 개선에 나서고 있다. 이미 데이터 중심 시대는 막을 수 없는 흐름이며, 선제적인 대응에 나서지 않는다면 다가오는 4차 산업혁명에 뒤처질 수 밖에 없다는 판단이다.

이는 우리나라 역시 다르지 않다. 정부는 이미 ‘데이터 고속도로 구축’이라는 목표 아래 다양한 데이터 관련 혁신 계획과 사업을 내놓고 있다. 과기정통부는 공공과 민간이 협업해 다양한 데이터를 생산·구축하고 개방·공유할 수 있는 ‘빅데이터 플랫폼 및 센터 구축’ 사업을 추진하고 있으며, 한국데이터산업진흥원은 ‘데이터 바우처 지원사업’ 등을 통해 중소기업·스타트업들이 데이터 중심 비즈니스를 추진할 수 있도록 지원하고 있다. 가치있는 데이터의 확보가 기업의 경쟁력을 좌우하는 시대에 민간시장에서 자생적인 데이터 공유 생태계가 만들어지는 것은 어려우므로, 정부가 주도적으로 데이터 생태계를 만들어 나감으로써 데이터 중심 시대를 대비해야 한다는 판단에서다.

지난달 9일 국회 본회의를 통과한 개인정보보호법·정보통신망법·신용정보법 개정안, 통칭 ‘데이터 3법 개정안’ 역시 데이터 시대를 대비하는 제도적 혁신 중 하나다. 데이터 3법 개정은 GDPR과 PSD 등에서 나타나는 ▲안전한 데이터 이용과 ▲데이터 이용 활성화라는 두 가지 목적에서 추진됐다. 기술의 발전과 변화에 따라 기업이 데이터를 안전하게 관리할 수 있도록 정확한 기준을 제시하는 한편, 기업들이 보유하고 있는 데이터를 서로 개방하고 공유함으로써 보다 다양한 데이터를 활용한 혁신 비즈니스가 만들어질 수 있도록 하겠다는 취지다.

데이터 3법 개정안에서는 GDPR과 마찬가지로 데이터를 활용하고자 하는 개인정보처리자의 책임을 강화했다. 고객의 데이터를 활용하려는 기업은 이전보다 강화된 안전조치 사항을 준수해야 한다. 가령 데이터를 활용 및 공유할 때는 반드시 데이터 비식별화 기술을 활용해 개인을 특정할 수 없도록 변환해야 하며, 이를 복원하기 위한 정보는 반드시 별도로 분리 보관해 데이터 유출 사고를 방지해야 한다. 또한 개인을 특정하기 위한 목적으로 비식별화된 데이터를 복원해서는 안되며, 활용 과정에서 의도치 않게 개인을 특정할 수 있는 데이터가 생성된 경우에는 즉시 활용을 중단하고 회수·파기해야 한다. 이를 위반할 경우 관련 조항에 따라 높은 과태료와 형사처벌을 받을 수 있으며, 위반사항의 중대성에 따라서는 전체 매출액의 3%에 해당하는 과징금도 부과될 수 있다.

관리 체계 일원화, ‘가명정보’ 신설 등 데이터 활성화 유도
한편으로는 데이터 이용과 공유를 활성화하기 위해 관련 법령 정비와 조직 개편도 이뤄졌다. 기존에는 개인정보와 관련된 법령이 개인정보보호법과 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 신용정보법(신용정보의 이용 및 보호에 관한 법률) 등 데이터 3법 전반에 산재돼 있었으며, 감독기구 역시 행정안전부, 방송통신위원회, 금융위원회, 개인정보보호위원회 등으로 분산돼 있었다. 이렇다보니 기업에서는 고객의 데이터를 활용하고자 할 때 정확한 판단 근거를 찾기가 어려웠다. 민감한 문제를 처리할 때 어떤 것을 기준으로 삼아야 할지가 모호하고, 한 쪽을 만족시켰다고 하더라도 다른 쪽에서 문제가 될 여지가 남아있다면 쉽게 추진할 수 없기 때문이다.

데이터 3법 개정안에서는 이처럼 산재돼 있던 개인정보 관련 법령과 감독기구가 각각 개인정보보호법 및 개인정보보호위원회로 일원화된다. 개인정보보호법과 정보통신망법의 데이터 관련 유사·중복규정은 모두 개인정보보호법으로 이관되며, 신용정보법의 관련 규정은 개인정보보호법 개정 내용에 맞춰 새롭게 정비된다. 개인정보보호위원회는 전체적인 개인정보 사용을 관리·감독하는 단일 기관으로 자리잡아, 개인정보 오·남용 및 유출을 감시하고 민간에서의 관련 문의에 적절한 판단 근거를 제시할 수 있는 창구 역할을 담당하게 된다.

아울러 이번 데이터 3법 개정안에서 가장 중요한 변화는 바로 기존에 판단이 모호했던 ‘개인정보’의 기준을 명확히 하고, 새롭게 ‘가명정보’ 개념을 신설했다는 점이다. 이전의 ‘개인정보’는 개인을 특정할 수 있는 정보인 동시에 ‘다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다’고 두루뭉술하게 정의하고 있었다.

‘개인정보’에 해당하는 데이터는 외부로 유출하거나 공유해서는 안 되기 때문에, 이러한 두루뭉술한 정의에 저촉될 수 있는 모든 데이터들은 제대로 가치를 발휘하지 못했다. 특히 우리나라는 개인정보 유출에 대한 경각심이 높고 반발도 강하기 때문에, 해당 데이터를 활용했다가 명확하지 않은 ‘개인정보’의 기준에 포함돼 법적·제도적 문제가 일어난다면 기업 이미지에 심각한 타격을 입을 수 있다. 이에 데이터 3법 개정안에서는 ‘개인정보’의 판단 근거를 명확히 했다. ‘개인정보’에 포함되는지의 여부는 결합 가능한 다른 정보의 입수 가능성이나 식별에 소요되는 시간·비용·기술 등을 합리적으로 고려하도록 했으며, 만약 이러한 조건에 해당되지 않을 경우 개인정보보호법의 적용 대상이 아님을 명확히 했다.

‘개인정보’가 기존에 있던 개념을 시대의 변화에 맞춰 재정비한 것이라면, ‘가명정보’ 개념은 기존에 우리나라 법령에는 없던 개념을 새롭게 추가한 것이다. ‘가명정보’가 추가되기 전까지 우리나라의 정보 구분 기준은 ▲이름·나이·주민번호 등 개인을 특정할 수 있는 식별자(Identifiers)를 포함한 ‘개인정보’ ▲식별자를 완전히 삭제하고, 나이·거주지 등 간접적인 정보에서도 숫자와 지역 등을 지우고 군집화한 ‘익명정보’ 등 2개 개념이 사용됐다. ‘개인정보’는 초기 수집 목적 이외에는 활용할 수 없어 활용성이 떨어지고, ‘익명정보’는 담고 있는 데이터가 너무 추상적이고 불명확해서 유의미한 분석이 불가능했다. 따라서 어느 쪽에 해당하는 데이터든 충분한 가치를 생산하지 못하고 있었다는 의미다.

‘가명정보’는 ‘개인정보’와 ‘익명정보’의 특징을 절충한 개념으로, 명확히 개인을 특정할 수 있는 식별자를 다른 값으로 치환(비식별화)한 데이터를 뜻한다. 식별자를 다른 값으로 대체했기에 ‘개인정보’에 저촉될 위험이 없으며, 완전히 삭제하지는 않았기에 다른 데이터들과 결합이 가능해 ‘익명정보’보다 활용성이 높다. 가령 ‘홍길동, 30세 남성’이라는 데이터와 ‘홍길동, 주말마다 A제품 구입’이라는 두 개의 데이터가 있을 경우, 식별자인 이름을 ‘H씨’로 치환해 결합함으로써 ‘H씨, 주말마다 A제품을 구입하는 30세 남성’이라는 정보를 얻을 수 있다. 같은 데이터를 기존의 2가지 기준대로 처리할 경우, 이름을 그대로 둔 채로는 ‘개인정보’에 저촉돼 활용할 수 없으며, 이름을 삭제해 ‘익명정보’로 만들면 서로 공통항이 없어 결합이 불가능할 것이다.

‘가명정보’는 EU, 미국, 일본 등 데이터 관련 법안이 정비된 국가에서 일찍부터 도입해 활용하고 있는 개념이다. 추가적인 정보 결합(재식별화) 없이는 개인을 특정할 수 없으므로 개인정보 침해 위험이 없지만, 데이터를 유통하고 결합하는 데에는 거의 제약이 없기 때문에 유용하다. 데이터 3법 개정안에서는 우선 새로운 기술·제품·서비스 개발 등 산업적 목적을 포함하는 연구 목적으로만 ‘가명정보’를 활용하고, ‘가명정보’를 가공하고 안전하게 관리하기 위해 적절한 안전절차를 준수하도록 했다. 또한 ‘가명정보’를 활용하는 과정에서 의도치 않게 개인이 특정되는 경우를 예방하기 위해, 서로 다른 데이터의 결합은 일정 수준의 보안 시설을 갖춘 전문기관을 통해서만 가능하도록 수비적인 규정을 더했다.

발빠르게 움직이는 산업계…개인정보 유출 우려에도 귀 기울여야
데이터 3법 개정안이 국회를 통과한 이후 국내 산업계에서는 저마다 발빠른 행보를 벌이고 있다. 이미 일부 기업들은 데이터 기반의 신규 비즈니스 추진에 나섰다. 유통 및 서비스업을 하고 있는 A사는 기존에 개별 매장에서 수집한 고객 정보들과 타 기업들이 보유한 관련 정보들을 결합해 보다 정확하고 상세한 고객 성향 분석을 실시하고, 이를 바탕으로 각 매장에 필요한 인원 배치와 재고 관리 등을 짧은 단위 기간마다 수행할 수 있도록 개선할 계획이다. 데이터 전문 기업인 B사 역시 기존에 보유하고 있는 고객사 관련 데이터들과 새롭게 획득한 금융 데이터 등을 결합한 분석 서비스를 제공하는 신규 프로젝트 추진에 나서고 있다.

국내 데이터 산업계 관계자들은 데이터의 중요성이 대두되기 시작한 몇 년 전부터 이미 데이터를 활용한 신규 비즈니스를 준비해왔다고 설명했다. 특히 일부 기업들은 지난 2018년 데이터 3법 개정안이 구체화된 이후 국회 통과까지 오래 걸리지 않을 것으로 예상하고 본격적으로 신규 비즈니스 개발에 나서기도 했다. 하지만 2018년 11월 발의된 데이터 3법 개정안은 14개월간 본회의에 상정되지도 못한 채 국회의 관심 밖으로 밀려나 있었고, 관련 비즈니스를 준비하던 기업들은 잠시 동안 해당 프로젝트를 멈춰두고 있었다. 지난 2020년 1월 9일, 데이터 3법이 마침내 국회 본회의를 통과하면서 드디어 본격적인 프로젝트 추진에 착수할 수 있게 됐다는 설명이다.

다만 산업계 바깥에서 데이터 3법 개정안을 바라보는 시선이 마냥 곱지만은 않다. 비식별화와 ‘가명정보’ 개념을 통해 기업이 개인의 데이터를 편리하게 사용할 수 있도록 해줌으로써, 개인정보 유출이 가속화되고 국민의 권리가 침해받을 수 있다는 우려가 나오고 있다. 특히 국민들은 대규모 개인정보 유출 사건을 여러 차례 겪으며 기업의 개인정보 관리 체계에 대해 신뢰하지 않고 있으며, 비식별화 등 적절한 조치를 취한다고 한들 데이터의 공유와 결합이 이뤄지는 과정에서 개인정보의 유출과 남용에 대한 위험이 커질 거라는 것이다.

실제로 데이터 3법 개정안 통과가 가시화된 이후 해당 법안 통과를 반대하는 목소리가 높아졌다. 지난달 9일 국회 본회의를 통과한 당일에도 국회 앞에서는 이를 반대하는 시위가 벌어졌으며, 통과 이후에도 여전히 기업의 데이터 활용을 철저히 관리감독해야 한다는 주장이 나오고 있다.

전 세계의 산업 구조가 데이터를 중심으로 재편되는 가운데, 축적된 데이터에서 올바른 방법으로 가치를 창출하고 활용도를 높일 수 있는 체계가 마련돼야 한다는 것은 자명하다. 국내 산업계는 데이터 3법 개정안을 기점으로 급격한 변화를 맞이하고 있으며, 이에 수반되는 진통을 현명하게 이겨낼 수 있도록 정부와 산업계의 노력이 필요한 시점이다.