바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

"신약개발 지름길 있지만 비식별화에 막혀"

개인정보 활용, 무엇이 문제인가?

2017-09-17강진규 기자

개인정보 활용, 무엇이 문제인가?

전 세계적으로 인공지능(AI), 빅데이터, 사물인터넷(IoT), 자율주행차 등 4차 산업혁명의 바람이 불고 있다.

과거 증기기관으로 대표되는 산업혁명, 컴퓨터와 인터넷이 불러온 정보화 혁명에 적응하지 못한 국가, 기업은 도태됐다. 이에 전 세계 국가들과 기업 들이 4차 산업혁명 시대에 앞서 나가기 위해 고군분투하고 있다.

전문가들은 4차 산업혁명의 핵심을 데이터라고 보고 있다. 석탄, 석유가 19세기 산업혁명의 기반이었다면 4차 산업혁명 시대에는 데이터가 원유가 될 것이라는 전망이다.

IoT와 자율주행차 등은 다량의 데이터를 생산할 것이며 데이터 분석이 이뤄져야 효율적으로 운영될 수 있다. AI, 빅데이터 역시 데이터를 기반으로 새로운 해법을 찾는 기술이다.

문제는 개인정보다. 데이터의 상당 부분이 개인정보로 분류될 수 있기 때문이다. 주민등록번호, 전화번호, 이름뿐만 아니라 개인이 나온 영상정보, 생체정보, 활동정보는 물론 개인을 식별하는데 활용되는 정보도 개인정보로 분류되는 추세다.

일각에서는 과도한 개인정보보호로 인해 4차 산업혁명 시대에 새로운 서비스와 신기술 개발이 어렵다고 지적하고 있다. 시대가 변하고 있는 데 개인정보보호법과 제도는 과거에 머물고 있다는 것이다.

개인 정보보호라는 쇄국정책을 고집하다가 자칫 4차 산업혁명 물결에 서 멀어질 수 있다는 우려가 나오고 있다.

개인정보보호법 제정에서 활용 논의로

개인정보보호에 대한 관심은 1990년대부터 시작됐다. 각종 산업과 서비스가 발전하면서 개인정보의 무분별한 수집과 활용을 막아야 한다는 인식이 확산된 것이다. 이에 따라 1994년 공공기 관의 개인정보보호에 관한 법률이 제정됐다. 정부, 공공 영역에서부터 개인정보 수집과 관리를 철저히 하자는 취지였다.

그러나 이 법은 공공 영역에만 적용된다는 한계가 있었고 민간 개인정보 보호에 관한 사안은 다른 법률에서 다루는 경우도 많았다. 공공과 민간을 모두 아우르는 실질적인 개인정보보호법은 2011년 3월 29일 제정, 공포돼 그 해 9월부터 시행됐다.

이후 개인정보보호법 강화와 완화에 대한 논의가 반복됐다. 빅 데이터 등 신기술 적용을 위해 개인정보보호법을 완화하자는 논의는 이미 수 년 전부터 있었다.

문제는 개인정보 유출사고였다. 신용현 국민의당 의원이 분석 한 자료에 따르면, 지난 6년 간 개인정보 유출 건수가 2억 건에 달하고 있다.

2011년 넥슨에서 1320만 건, SK커뮤니케이션즈에서 3500만 건의 개인정보가 유출됐다. 또 2012년에는 KT에서 873만 건, 2014년에는 여러 신용카드사에서 1억 건의 개인정보가 유출 되는 사건이 이어졌다.

2014년 대규모 정보유출 사건 전 금융부문에서 빅데이터 활용을 위해 금융그룹 내 개인정보 활용이 가능 하도록 하는 등 개인정보보호 규제를 완화하려는 움직임이 있었지만 정보유출 사건으로 규제가 더 강화됐다.

2016년에는 인터파크에서 2000만 건의 개인정보가 유출됐고 올해에는 숙박앱 ‘여기어때’에서 97만 건의 개인정보가 유출되는 등 사고가 이어지고 있다.

그럼에도 불구하고 개인정보 활용이 불가피하다는 지적에 따라 규제 완화 움직임도 나타나고 있다. 2016년 7월 정부는 개인정보 비식별 조치에 관한 기준과 지원, 관리체계를 담은 ‘개인정보 비식별 조치 가이드라인’을 발표했다. 개인정보를 비식별화해 빅 데이터 등에 활용할 수 있게 한다는 것이었다.

최근에 또 다시 개인정보보호법 등 관련 제도 개선 요구가 커지고 있다. 지난 7월 5일 개인정보보호위원회가 서울 남대문 대한상공회의소에서 개최한 ‘4차 산업혁명·EU GDPR 대응 개인 정보보호 세미나’에서 전문가들은 빅데이터, AI 활성화를 위해 법 개정이 필요하다고 지적했다.

세미나에서 이진규 네이버 이사는 “최근 조사를 보면 세계적인 글로벌 기업들이 빅데이터를 활용 하는 비율이 29%라고 하는데 우리나라 기업은 5%만 빅데이터를 활용한다”며 “특히 AI에 있어서 데이터가 중요한데 우리가 AI를 연구할 때 데이터를 확보할 수 있는지 회의적”이라고 지적했다.

8월 8일 서울 여의도 국회의원회관에서 변재일 더불어민주당 의원 주최로 열린 ‘4차 산업혁명 시대 개인정보보호 컨트롤타워’ 토론회에서도 전문가들은 법 개정의 필요성을 제기했다.

김경환 민후 대표변호사는 “행정안전부 소관의 개인정보보호법이 있고 방통위 소관의 정보통신망법이 있으며 금융위 소관의 신용정보법 등이 있다”며 “어떤 분야에서는 개인정보와 관련해 지켜야할 법령이 10개가 넘는다. 정보 주체 입장에서 권리를 찾기 도 어렵고 중복 규제로 활용도 어렵다”고 주장했다.

 

개인정보보호법이 혁신 막아

실제로 빅데이터, 헬스케어, 핀테크 분야의 현장에서는 개인정보보호법 개정 없이는 새로운 기술 적용과 서비스 창출이 불가능하다고 주장하고 있다. 의료 분야에서는 빅데이터, AI를 활용한 판별 등 다양한 시도가 이뤄지고 있다. 하지만 국내에서는 한계가 있다는 지적이다.

헬스케어 업체 한 관계자는 “해외에서는 환자 정보, 유전자 정보 등을 분석해 신약 개발 등에 활용하고 있다”며 “천문학적 비용이 소요되는 신약 개발 비용을 줄여서 약값을 낮추고 희귀질환 데이터를 모아 소수의 환자들을 위한 맞춤 진료도 하고 있다.

하지만 국내에서는 이것이 불가능하다”고 설명했다.

 

이 관계자는 “희귀질환 환자를 예로 들어보면 희귀질환 환자는 소수인데 여기에 다른 정보가 약간만 있으며 개인이 식별이 될 가능성이 있다”며 “이 때문에 희귀질환 환자를 비식별화해도 논란의 소지가 있어서 데이터 활용이 어렵다”고 지적했다.

전자처방전에서도 이름, 전화번호, 주소 등 개인정보를 지웠다고 해도 의료진이 작성한 환자 개인에 대한 소견을 비식별 정보인지 개인정보인지 의견이 엇갈리고 있다는 것이다. 해석이 모호하다보니 활용 자체를 못하는 부분이 많다는 지적이다.

AI를 이용한 환자 정보 분석의 경우에도 환자의 동의를 받아서 하는 방식이어서 활용이 제한적이라는 주장이다.

데이터양이 부족해 실질적인 효과를 얻는데 한계가 있다는 것.

한 헬스케어 업체 관계자는 “빅데이터 분석 또는 인공지능 분석으로 의미 있는 결과를 도출하기 위해서는 수많은 데이터 넣어야 하는데, 단지 수 십 건의 자료를 넣고 분석한다면 빅데이터 분석이라고 부르기도 어려울 것”이라고 말했다.

중복규제 문제도 논란이다. 헬스케어 서비스를 하려면 IT 관련 사안은 과학기술정보통신부, 의료 관련 내용은 보건복지부, 개인 정보보호는 행정안전부와 방송통신위원회 등에 문의해야 한다 는 것이다.

여기에 보험 등 금융 관련 내용이 첨부되면 금융당국 의 법규도 확인해야 한다.

의료계 관계자는 “환자 정보 관리는 당연히 중요하다고 생각한다”며 “다만 현재는 부처별로 해석이 다르고 따져 봐야할 규제도 너무 많다. 한 곳에서 개인정보 관련 내용을 해석하고 지도해주면 관리와 활용이 더 효율화 될 것”이라고 설명했다 .

금융 분야에서도 비슷한 지적이 나오고 있다.

금융IT업체 관계자는 “핀테크 서비스, 기술 등을 개발해 선보이려고 하면 개인정보보호 관련 이슈가 제기된다”며 “고객정보를 보호하는 것은 중요하다. 다만, 해석이 명확했으면 좋겠다. 실질적으로 정보를 보호할 수 있어야 하며, 새로운 서비스에 대해 무조건 우려하면서 개인정보보호를 금융업계의 진입 장벽으로 활용해서는 안 된다”고 말했다.

핀테크 업계 관계자들은 금융 서비스가 스마트폰, 인터넷을 중심으로 이뤄지는데 고객 정보 관련 법규들이 오프라인, 대형 금융 기관 중심으로 맞춰져 있다는 점이 문제라고 주장하고 있다.

금융 분야 역시 개인정보보호와 관련해 행정안전부, 개인정보보호위원회가 규제를 하는데, 또 한편으로 금융위원회, 금융감독원의 관련 규제를 지켜야 하는 점도 부담이라는 의견이다.

IT기업, 빅데이터 업체 관계자들 역시 현행 제도의 한계를 지적하고 있다. 한 IT기업 관계자는 “사실상 모든 데이터를 개인정보로 볼 수 있는 포괄적 정의 규정으로 데이터 수집부터 어려운 상황”이라고 말했다.

 

또 다른 관계자는 “개인정보를 비식별화해서 데이터로 활용하라고 하는데 재식별화 가능성에 대한 해석이 분분하다”며 “그렇다고 재식별화를 못하도록 강력하게 일부 데이터를 삭제하고 가 공할 경우 데이터의 가치가 상실될 수도 있다”고 말했다.

빅데이터 업계에서는 포괄적 규정과 비식별 조치의 모호함, 그리고 개인 동의 규정 등으로 인해 현행 법제도에서는 데이터 수집은 물론 유통, 활용이 모두 어렵다고 주장하고 있다.

물론 이에 대한 반론도 있다. 개인정보에 대한 규제가 강화된 것은 일부 기업들이 개인정보 관리를 제대로 하지 못한 원죄 때문이라는 것이다.

또 업체들이 개인정보 규제로 AI, 핀테크, 헬스케어, 빅데이터 등이 어렵다고 하면서도 이를 공론화해 고치려 하지 않고 불만만 나타내는 것도 문제로 지적된다. 실제로 한 핀테크 업체 관계자는 “개인정보보호법과 관련해 할 말은 많지만 말하기는 곤란하다”며 답변을 회피했다.

또 빅데이터 업체 관계자도 “개인정보 규제는 빅데이터를 활용하는 기업들의 문제로 할 말이 없다”고 말했다.

한 보안 전문가는 “개인정보 활용도 중요하지만 기업들은 그 동안 개인정보가 유출된 피해자 입장에서도 생각해봐야 한다”며 “또 막연하게 개인정보보호 때문에 사업을 못한다고 하기 보다는 구체적인 사례를 제시하고 사례별로 논의하고 해결해야 한다”고 지적했다.

많은 현장 관계자들과 전문가들은 공통적으로 개인정보 보호와 활용이라는 두 마리 토끼를 잡기 위해서는 법제도 개선이 필요하다고 주장하고 있다.

현재 개인정보보호 정책은 행정안전부, 방송통신위원회, 개인정보보호위원회와 영역별로 보건복지부, 금융위원회, 금융감독원, 교육부 등이 연관돼 있다.

최소한 개인정보보호 주관 부처와 법제도를 일원화하는 것만으로도 기업들의 부담을 줄이고 개인정보보호도 강화할 수 있다는 것이다.

또 분야별, 사안별로 개인정보 활용과 보호가 충돌하는 사례 또는 비식별정보 수준과 활용 가능 여부 등을 명확히 알려주는 것도 4차 산업혁명 시대를 준비하는 업계에 혼선을 줄일 수 있을 것으로 보인다.

일부 업계에서는 개인정보보호 규제를 완화하는 대신 문제가 발생할 경우 강력히 책임을 지우는 것도 방법으로 제시하고 있다.

한 IT업체 관계자는 “업계에서 개인정보를 활용만 하려는 것이 아니다”라며 “규제를 풀어서 활용할 수 있도록 하고 대신 개인정보를 제대로 보호하는 못한 경우 회사, 기관의 문을 닫는 수준으로 과징금을 부과하고 처벌하는 것도 방법으로 본다”고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제53호(2017년9월) 기사입니다>