기업.IT > IT/과학 > IT/인터넷

정부 지침 따랐는데..‘카드사·통신사 20개 기업’ 고발당해

개인정보 비식별조치 가이드라인, 현행법과 정면 충돌
참여연대와 진보넷 등 시민단체 검찰고발
개인정보 보호와 활용 균형..4차산업혁명위원회가 나서야
[이데일리 김현아 기자] 방송통신위원회와 (구)미래창조과학부, 행정안전부 등 6개 부처가 합동으로 만든 ‘개인정보 비식별조치 가이드라인’에 따라 빅데이터 서비스를 한 기업 20개와 정부가 지정한 비식별전문기관 4개가 검찰에 고발됐다.

진보네트워크센터, 참여연대 등 시민단체들이 이들을 개인정보보호법, 정보통신망이용촉진및정보보호법, 신용정보보호법 등의 위반으로 9일 서울중앙지검에 고발장을 제출한 것이다.

고발당한 기업은 ▲한화생명보험, 한화손해보험, 삼성생명보험, BC카드, 신한카드, 삼성카드, SCI평가정보, NICE평가정보, 보험개발원 등 금융권 회사들과 ▲KT, SK텔레콤, LG유플러스 ▲현대차 등을 포함해 20개사다.

고발당한 비식별전문기관은 ▲한국인터넷진흥원(KISA), 한국정보화진흥원, 금융보안원, 한국신용정보원 등 4개 기관이다.

시민단체들은 반대했음에도 박근혜 정부가 창조경제 기업의 영리를 위해 해당 가이드라인을 밀어부쳤다며, 이제라도 바로잡아야 문재인 정부에 거는 다수의 생각을 반영할 수 있을 것이란 입장이다.

반면 기업들은 글로벌 빅데이터 전쟁 속에서 우리나라의 개인정보보호 규제는 다른 나라보다 지나치게 엄격하며, 정부 가이드라인에 맞춰 서비스했는데 검찰 고발을 당해 억울하다는 입장이다.

이번 사건을 계기로, 청와대나 대통령 직속4차산업혁명위원회가 나서 개인정보의 보호화 활용 사이에 균형을 잡는 ‘법제화’를 조속히 추진해야 할 것으로 보인다.

불안한 가이드라인 수준을 유지한채 사회적 합의를 거쳐 법제화하지 않은 탓에, 터질 게 터졌다는 의미다.

참여연대가 만든 ‘개인정보 비식별화조치 가이드라인’에 따른 정보집합물 결합서비스 비판 카드뉴스중 일부다. 출처: 참여연대 홈페이지
◇개인정보 비식별조치란 무엇인가…인식 차 ‘극과 극’

개인정보 비식별조치란 ‘개인을 식별할 수 있는 요소를 삭제하거나 대체하여 개인을 알아볼 수 없도록 하는 조치’로 가명처리, 총계처리, 데이터 삭제, 범주화, 마스킹 등의 기법을 활용한다.

개인임을 식별할 수 없다면 기업들끼리 동의받지 않아도 주고받을 수 있게 해서 4차산업혁명의 재료인 ‘데이터’ 활용을 가능하게 하자는 취지였다.

하지만 이는 법이 아닌 가이드라인(개인정보 비식별조치) 형태로 만들어진 탓에, 처음부터 불안하게 출발했다.

정부는 기업끼리 마구 주고받는게 아니라 중간에 중립적인 기관(비식별전문기관)을 두고 정말 비식별화됐는지 등을 확인토록 했지만, 시민단체들은 믿을 수 없다는 입장이다.

오히려 중간에 정부나 공공기관이 나서 기업들에게 개인정보를 넘기는 형태라고 비판하고 있다.

참여연대 이지은 간사는 “정의당 추혜선 의원이 국감장에서 3억4천만건의 개인정보가 불법적으로 거래됐다는 사실을 말했고 이에 기반해 이번에 고발하게 됐다”며 “개인정보보호법에 따르면 살아있는 개인정보뿐 아니라, 재식별 위험이 있는 정보까지 반드시 제3자 제공시 동의를 받아야 하는데 해당 가이드라인은 그렇지 않다”고 말했다.

이어 “중간에 정부 기관이 기업을 위해 정보를 결합해 제공하는 사례는 전세계적으로 없다”면서 “박근혜 정부에서 창조경제 기업을 위해 만든 이 가이드라인은 폐기돼야 마땅하다. 그것이 문재인 정부에 바라는 다수의 뜻”이라고 했다.

그러나 손경호 KISA센터장은 “개인정보 비식별화 조치의 기술 기준은 다른 어떤 나라와 비교해 봐도 우리나라가 엄격하다고 생각한다”며 “별도의 비식별전문기관을 둔 것은 다른나라는 기업들끼리 알아서 공유하나 우리는 민간이 제대로 관리를 못하니 중간에 전문기관이 끼어서 신뢰성을 높이기 위한 조치였다”고 설명했다.

손 센터장은 “(KISA나 금융보안원 등이) 개인정보 데이터를 기업에서 받는게 아니라 비식별화된 키만 받아서 결합해 주는 것이다”라고 부연했다.

◇4차산업혁명위원회가 나서야…검찰 고발이 ‘사회적 합의’ 만드는 기회돼야

다만, 손경호 센터장은 “(지난 정부에서)가이드라인을 만들 때 시민사회단체와 공감대를 형성하지 못했다”면서 “일본이나 미국을 보면 1년 반, 2년 등을 논의하고 법제화하는데 우리는 그렇지 못해 터진 문제인 것 같다”고 밝혔다.

이어 “개인정보 중 비식별화조치된 데이터를 어떻게 하느냐의 문제는 4차산업혁명에서 우리나라가 어디로 갈지에 있어 굉장히 중요한 문제”라면서 “여러 부처가 있다보니 아무도 총대를 안매는데 이번 기회에 청와대나 대통령직속 4차산업혁명위원회에서 나서 가르마를 타는 계기가 됐으면 한다. 기업이 잘못 쓰면 크게 벌금을 주고, 또 데이터 활용의 숨통도 어느정도 줘야 한다”고 부연했다.

이지은 간사는 “재판과정에서 입증을 열심히 해야 할 것 같고, 고발과 별도로 정부에 입장을 제시해 정책으로 이어지도록 할 필요가 있다”면서 “우리나라의 개인정보보호 법제가 지나치게 엄격하다는 주장은 사실과 다르다. 미국은 약하나, 우리나라처럼 주민등록번호체계라는 만능키가 있지 않다”고 비판했다.

다만 그는 “구글이나 페이스북 같은 외국 회사들은 서버가 국내에 없어 교묘히 국내 규제를 피해가는 걸 안다”며 “문제 의식을 갖고 있다”고 부연했다.

한편 올해 국감에서 추혜선 의원(정의당)은 방통위가 지난해 만든 ‘개인정보 비식별조치 가이드라인(빅데이터 개인정보보호 비식별화 가이드라인)’이 실제로는 기업들의 광범위한 데이터 수집을 허용해 개인임을 알아 볼 수 있게 했다고 주장했다.

하지만, 이효성 방통위원장은 “해당 가이드라인을 폐기하기 보다는 좀 더 엄격히 운영해서 그런 일이 일어나지 않도록 면밀히 검토하겠다”고 답했다.