동의 없이 사용하는 개인정보…“가명처리 보호·활용 대책 서둘러야”

[이데일리 최정훈 기자] 친구와 연인 사이인 7명의 사람들이 식탁에 둘러앉아 흥미로운 내기를 시작한다. 저녁 식사를 하는 동안 자신의 휴대전화로 오는 모든 문자, 통화 등 모든 내용을 공유하는 것. 결국 어떤 인물은 친구의 뒷담화를, 누군가는 불륜 사실을, 또 다른 누군가는 성정체성까지 밝혀지면서 그 자리는 파국을 맞는다. 지난 2018년 개봉한 영화 `완벽한 타인`의 줄거리다. 이 영화는 내밀한 개인정보가 무분별하게 밝혀졌을 때 맞이할 수 있는 최악의 상황을 소개한다.

데이터3법이 지난달 9일 국회 본회의를 통과했다. 개인정보보호법·정보통신망법·신용정보법 개정안이 포함된 이 법은 블록체인, 인공지능(AI), 자율주행차, 핀테크 등 데이터 기반의 산업이 활성화를 위해 마련됐다. 이 법의 핵심은 앞으로 기업이 개인정보를 ‘가명정보’라는 방식으로 개인의 동의 없이 활용할 수 있도록 하는 것. 일각에서는 이 법이 개인의 사생활을 지나치게 침해할 위험이 크다며 여전히 반발하고 있다.

정부는 법이 시행되는 7월까지 명확한 기준과 가이드라인을 만들 방침이다. 이에 이데일리는 개인정보보호위원회와 데이터3법 관련 전문가 3인과 함께 데이터3법의 남겨진 숙제와 전망을 살펴봤다. 이번 좌담회에는 태병민 개인정보보호위원회 기획총괄과장과 이성엽 고려대 기술경영전문대학원 교수, 이동진 서울대 법학전문대학원 교수, 정성구 김앤장 법률사무소 소속 변호사가 함께했다.

지난달 28일 서울 중구 프레스센터에서 개인정보호위원회 주관으로 열린 데이터3법 전문가 좌담회에서 이성엽 고려대 기술전문대학원 교수, 이동진 서울대 법학전문대학원 교수, 정성구 김앤장 법률사무소 변호사, 태병민 개인정보보호위원회 기획총괄과장이 참석해 데이터3법의 향후 과제 등을 논의하고 있다.(사진=개인정보보호위원회 제공)

동의 없이 사용하는 ‘가명정보’…기업 신뢰가 기반·강력한 처벌도 마련

먼저 정 변호사는 데이터3법의 핵심으로 기업에서 활용할 수 있는 개인정보 기준이 익명정보에서 가명정보로 낮아졌다는 점을 꼽았다. 그는 “익명정보는 그 정보만으로는 특정한 누군가를 알아내는 게 절대 불가능한 정보지만, 가명정보는 절대 불가능한 수준은 아니다”라며 “다만 누군가를 알아보기 위해서는 막대한 비용이나 시간이 들어 쉽게 식별이 어려운 정보를 뜻한다”고 설명했다.

즉, 익명정보는 개인정보를 익명화한 사람도 누군지 특정할 수 없는 정보지만, 가명정보는 가명화한 사람은 정보 대상이 누군지 알 수 있는 정보를 뜻한다. 다만 가명화한 사람은 누군지 알 수 있게 만드는 정보가 밖으로 나가지 않도록 분리해서 보관해야 한다. 문제는 가명정보는 개인을 특정할 수 있을 위험이 크다는 점. 특히 시민단체들은 기업이 가명정보를 활용하면서 분리보관한 정보를 빼서 주거나 기업 내부 직원이 들어가서 보면 결국 개인정보 유출로 이어진다고 반발하고 있다.

이에 정부도 개정안에 이런 행위를 방지하기 위한 강력한 벌칙 조항 등 대책을 만들었다. 태 개보위 기획총괄과장은 “가명처리를 할 땐 재식별할 수 있는 추가 정보를 분리보관하도록 법에 명시하고 있고 유출·변조 방지를 위한 안전조치도 하도록 했다”며 “또 재식별을 하면 최대 징역 5년이고 전체 기업 매출액의 3%를 과징금으로 매길 수 있도록 했다”고 설명했다. 이어 “산업에서 주로 활용하는 가명정보 간 결합도 정부에서 지정한 기관에서만 할 수 있도록 해 정보끼리 결합해서 개인이 노출될 위험을 차단했다”고 덧붙였다.

“가이드라인도 필요하지만…기업 등 활용하는 환경 조성이 중요”

강력한 대책에도 개인정보 유출 위험에 대한 불안함이 여전한 이유는 재식별 행위가 어떤 것인지에 대한 명확한 기준이 아직 없기 때문. 불명확한 기준은 시민단체와 함께 산업계의 불만이기도 하다. 명확한 가이드라인 없이 가명정보를 활용하다가 언제 강력한 철퇴를 맞을지 모르기 때문이다.

이성엽 교수는 “충분한 법률 자문 등을 받을 수 없는 중소기업들이 자체적인 가명화 기법을 써도 가명화된 건지 명확하지 않을 수 있다”며 “규제기관이나 검찰 판단이 가명화되지 않았다고 하면 기업 위험도 상당히 크다”고 강조했다.

그러나 가명정보는 종류나 활용방안이 다양해 가이드라인을 만들 수 없다는 지적도 나왔다. 이동진 교수는 “가명정보는 특정 목적 이외에는 누군지 알아내려고 하지 말라고 명시하고 있기 때문에 재식별 행위 기준이 불분명하지는 않다”며 “일정한 연구소에서만 활용하는 등 적절한 환경을 조성할 순 있지만 정보를 어떤 식으로 활용하라는 일률적인 기준이나 가이드라인을 만들기는 어렵다”고 전했다. 정 변호사도 “가명정보 재식별을 막기 위해선 기본적으로 분리보관 작업 부서와 인력을 분리해서 그 업무만 전담하도록 하는 등 환경 조성이 필요하다”며 “또 충분한 안내와 계도기간을 줘야 한다”고 말했다.

지난달 28일 서울 중구 프레스센터에서 개인정보호위원회 주관으로 열린 데이터3법 전문가 좌담회에서 이성엽 고려대 기술전문대학원 교수(가운데), 이동진 서울대 법학전문대학원 교수(왼쪽), 정성구 김앤장 법률사무소 변호사(오른쪽)이 데이터3법의 향후 과제에 대해 논의하고 있다.(사진=개인정보보호위원회 제공)

데이터3법, 대기업이 결국 승자?…“비식별화 전문가 양성이 핵심”

결국 가명정보가 개인정보의 유출 없이 안전하게 사용되기 위해서는 관련 인력 양성을 서둘러야 한다는 게 전문가들의 지적이다. 특히 가명정보를 이용하는 중소기업이 가명정보 활용으로 인해 불이익을 받지 않도록 지원도 필요하다고 강조했다.

정 변호사는 “유럽연합에서 가명정보 내용이 담긴 법인 개인정보보호법(GDPR)이 시행된 이후 구글과 페이스북의 점유율이 올라갔다”며 “대기업이니까 상업적 이윤을 남기면서 준법 비용을 감당할 수 있었던 것”이라고 말했다. 이동진 교수도 “가명정보 사용은 많은 자원과 노하우가 필요하기 때문에 스타트업 등 작은 기업이 끝까지 사업을 이어가기 어렵고 마지막 단계에서는 큰 기업에 팔 수밖에 없다”고 전했다.

이성엽 교수는 “우리나라에는 가명정보를 다룰 수 있는 비식별화 전문가가 거의 없다”며 “데이터3법 통과로 전문가 수요가 급증하고 있지만 기업 내부에도 전문가가 없는 실정”이라고 말했다. 이 교수는 “개보위 차원에서도 인력 양성에 나서야 한다”며 “또 중소기업들을 위해 컨설팅도 해주고 효력 있는 가이드라인도 만들어야 한다”고 강조했다.