개인정보, 비식별 조치 안전할까?..가명정보 3단계 생성법

개인임을 모르는 가명정보, 3단계로 만들어진다
보안업체 "가명정보 안전하지 않다는 우려는 비식별 기술과 제도에 대한 이해부족 때문"
정부, 보안 갖춰진 곳만 비식별 전문기관 허용..식별화시 형사처벌

등록 2018-09-02 오후 12:21:31

수정 2018-09-02 오후 12:21:31
가 가

[이데일리 김현아 기자]정부가 법에 있는 개인정보 개념을 세분화 해서 개인정보, 가명정보, 익명정보로 나누고 ‘가명정보도 정보주체에게 일일이 묻지 않아도 기업에서 이용할 수 있게 하자’는 내용의 데이터 규제혁신 방안을 발표하자 가명정보가 무엇이고 얼마나 안전한지 관심이다.

가명정보란 개인이 누군지 알아볼 수 없도록 조치된 정보다. 지금까지 개인정보보호법·정보통신망법·신용정보보호법 등에선 가명정보, 익명정보라는 개념이 없었다. 익명정보란 어떤 기술적 수단을 써도 개인임을 식별할 수 없는 정보여서 논란이 없었지만, 가명정보는 그 자체론 개인 식별이 불가능하나 추가적인 정보와 결합하면 개인 식별이 가능해 논란이었다. 기업들 입장에선 누군지 모르는 가명정보를 동의받고 쓰라면 누구에게 동의받으란 말이냐고 하소연했고, 시민단체들은 개인식별 가능성이 ‘0’이 아닌데 기업에게 허용하는 건 문제라고 반대했다.

그런데 이번에 문재인 대통령은 지난달 31일 판교스타트업 캠퍼스를 방문한 자리에서 “가명정보는 개인정보화할 수 없도록 확실한 안전장치 후 활용할 수 있게 하겠다”고 데이터 규제혁신 방침을 밝혔다. 아마존,소프트뱅크, 알리바바 같은 기업들이 데이터를 원료로 하는 AI(인공지능)에 승부를 던지는데 우리 기업만 아예 못쓰게 하면 한국은 4차산업혁명 경쟁에서 낙오될 것으로 우려되기 때문이다.

개인정보에서 가명정보는 어떻게 만들어지고 얼마나 안전한 걸까.

가명정보, 3단계로 만들어진다

개인정보가 누군지를 알 수 없는 가명정보가 되려면 ①개인정보 삭제 및 개인식별요소 제거(비식별 조치)→②프라이버시 모델 적용→③외부 전문가의 적정성 평가 등을 받아야 한다.

▲개인정보 비식별조치후 가명정보로 만드는 방법(출처: 한국인터넷진흥원)

▲개인정보 비식별조치후 가명정보로 만드는 방법(출처:한국인터넷진흥원)

위 그림 ①번을 보면 전우치, 홍길동, 임꺽정, 장보고씨의 나이/집주소/휴대폰 사용개월수/휴대폰번호/이메일이 원본 데이터로 존재한다.

하지만 그림 ②번에서는 식별자인 이름, 휴대폰번호, 이메일을 삭제한다. 이 때 나이와 집 주소는 준식별자로 두고,휴대폰 사용개월 수는속성값으로 놔둔다. 이후 ③번에서는 나이와 집주소는 준식별자로 봐서 범주화시킨다.

결국 이런 조치들을 진행하면, 23살의 전우치 씨는 서울특별시 도봉구 방학로4길에 사는데 전우치 씨임을 삭제한 뒤 21~30세, 서울시 등으로 단순화시키는 것이다. 이 때 사용개월수는 속성값으로 본다. 이 때 적용되는게 프라이버시모델이다.

위 그림을 보면 전우치 씨의 데이터도 ‘21~30’/서울시이고 임꺽정 씨의 데이터도 ‘21~30’/서울시여서 둘을 식별하지 못하게 되는 것이다. 이 때 K-익명화 지수는 2가 된다. 주어진 데이터 집합에서 같은 값이 적어도 2개 이상 존재하기 때문이다. K-익명화 지수는 준식별자가 늘어나는대로 10이 될 수도,100이 될 수도 있다.

정부는 이런 조치를 거친 데이터는 외부전문가가 참여하는 적정성 평가를 거쳐 기업들이 각각의 개별 동의를 받지 않아도 가져다쓸 수 있게 허용키로 했다.

보안업체 파수닷컴은 대통령 참석 행사에서 국제적으로 검증된 비식별 기술로 데이터를 안전하게 사용할 수 있음을 강조했다. 윤덕상 파수닷컴 전무는 “비식별화한 개인정보도 안전하지 않다는 우려는 비식별 기술과 제도에 대한 이해가 부족에서 생겨난 것”이라고 말했다.

비식별 전문기관 지정…재식별화 하면 형사처벌

개인정보보호법의 주무부처인 행정안전부 김부겸 장관은 “악용을 막기 위해 보안시설을 갖춘 특정한 기관만 (비식별 전문기관으로) 허용하겠다”며 “가명정보를 처리할 때 언제, 어디서, 누가 했다는 것을 반드시 기록토록 하고, 혹시라도 누군지 알아볼 수 있겠다는 생각이 들면 즉시 중지하고 삭제하는 의무를 부과하며 만약 특정 개인을 알아보기 위한 행위를 할 경우에는 형사처벌을 강화하고, 과징금 제도도 도입하겠다”고 말했다.

정부는 빅데이터와 AI 산업발전을 위해 가명정보의 동의 없는 활용을 허용하나 한국인터넷진흥원(KISA), 한국정보화진흥원, 금융보안원, 한국신용정보원 등 전문성을 갖춘 곳에서만 가명정보 생성을 할 수 있게 한다는 방침이다.