보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

데이터 3법, 알고 넘어가자!

2020.02.04

12,792

 

 

 

1. 개요

 

최근 ‘데이터 3법’ 에 대한 논란이 뜨겁다. 2019년 12월 4일 상임위에서 계류 중이었던 「정보통신망법」 개정안이 마지막으로 통과하였으며, 데이터 3법으로 불리는 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 개정안 모두 2020년 1월 9일에 국회 법제사법위원회 의결과 본회의 표결을 통과한 상태다. 이번 호에서는 ‘데이터 3법’ 개정안의 주요 골자와 찬반 의견, 그리고 ‘개인정보 비식별 조치’ 에 대해 살펴본다.

 

 

2. 데이터 3법이란?

 

데이터 3법이란 「개인정보 보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 개정안을 말한다. 데이터 경제 활성화와 개인정보 보호법령의 체계적 정비를 위해 마련한 개정안의 주요 내용은 아래와 같다. 

 



[표 1] 데이터 3법 주요 개정안 (출처 : 네이버 지식백과)

 

‘데이터3법’ 개정안의 핵심은 개인정보 또는 개인신용정보에 대하여 가명처리(비식별조치) 한 가명정보를 정보주체의 동의 없이 이용∙제공할 수 있도록 허용하고, 개인정보 감독기구를 개인정보보호위원회로 일원화한 것으로 볼 수 있다.

 

 

3. 가명정보와 개인정보 비식별 조치 

 

1) 개인정보, 가명정보, 익명정보  

 

개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)를 말한다. 

가명정보란 개인정보를 비식별 조치 방법(가명처리, 총계처리, 데이터 값 삭제, 데이터 범주화, 데이터 마스킹 등)을 통해 가명처리한 정보를 말한다. 비식별 조치가 충분하지 않을 경우에는 공개 정보 등 다른 정보와의 결합, 다양한 추론 기법 등을 통해 개인이 식별될 수 있는 우려가 있다.

익명정보란 가명정보 보다는 식별자를 완전히 삭제하고, 나이나 성별 혹은 주소 등 준식별자에 해당하는 정보를 범주화하여 누구인지 특정할 수 없도록 처리하는 것을 말한다. 따라서 익명정보는 4차 산업혁명 시대의 핵심자원인 데이터의 이용 활성화를 위한 정보로써의 가치는 많이 부족한 정보이다.



[표 2개인정보, 가명정보, 익명정보의 개념​

2) 개인정보 비식별 조치 방법    

 

개인정보를 가명정보로 활용하기 위해서는 가명처리라는 비식별 조치를 하여야 한다. 비식별 조치 기법에서는 정보에 포함된 식별자는 원칙적으로 삭제 조치하여야 하며, 데이터 이용 목적상 반드시 필요한 식별자는 비식별 조치 후 활용이 가능하다. 속성자는 역시 데이터 이용 목적과 관련이 없는 경우 삭제를 원칙으로 하며, 데이터 이용 목적과 관련이 있는 속성자 중 식별요소가 있는 경우에는 비식별 조치하여야 한다. 단, 희귀병명, 희귀경력 등의 속성자는 구체적인 상황에 따라 개인 식별 가능성이 매우 높으므로 보다 엄격한 비식별 조치가 필요하다. 비식별 조치 방법에는 아래 [그림 3]과 같은 방법이 존재한다.  


  

 

[표 3비식별 조치 방법(출처 : 개인정보 비식별 조치 가이드라인)​ ​​

 

3) 프라이버시 보호 모델 (k-익명성, l-다양성, t-근접성) 

 

개인정보를 활용하기 위하여 비식별 조치를 통해 가명정보를 만들었다면 가명정보의 재식별화를 통해 개인을 식별할 수 있는지에 대한 확인 및 검증이 필요하다. 재식별화에 대한 확인 및 검증 방법으로 여러가지 기법이 있지만 가장 기본적인 기법은 k-익명성이다. 또한 민감정보가 포함된다면 l-다양성, t-근접성의 방법론도 고려하여야 한다. K-익명성, L-다양성, T-근접성 이외에도 E-차분모델, -presence, m-invariance, m-confidentiality, m-privacy 등의 여러가지 방법론이 존재하지만, 본 문서에서는 K-익명성, L-다양성, T-근접성 방법론을 간단하게 살펴본다. 

 




[표 4프라이버시 보호 모델 (출처 : 개인정보 비식별 조치 가이드라인)​ ​​​

 

 

 

4. 데이터 3법에 대한 찬반 의견 

 

‘데이터 3법’의 개정안에 대한 찬반 의견 대립이 심하다. 먼저, 데이터 3법 개정안에 대하여 금융권 9개 기관, 한국바이오협회를 포함하여 데이터를 활용한 서비스를 제공하는 기업 대부분은 찬성하고 있다. 그 이유는 최근 이슈가 되고 있는 빅데이터, 인공지능(AI)을 포함한 4차 산업혁명에서 원유(原油)로 활용할 수 있는 것이 사용자의 가명정보이기 때문이다. 예를 들면 AI의 딥러닝 기술은 빅데이터라는 기술이 융합되어 활용되고, 헬스케어 서비스에서 사용하는 데이터 대부분은 개인정보(민감정보)를 활용하기 때문에 데이터 3법의 개정안 통과가 절실한 상황이다. 실제 대한상공회의소 SGI조사를 보면, ‘데이터 3법’의 국회 통과 지연으로 인해 바이오∙헬스, 드론, 핀테크, 인공지능(AI) 등 12개 신규 사업의 발목이 잡혀있는 상황으로 데이터 산업계에서는 데이터 3법 개정안이 하루 빨리 시행되길 바라고 있는 실정이다.

하지만 데이터 3법 통과를 모두가 반기고 있는 상황은 아니다. 참여연대, 경제정의실천시민연합, 진보네트워크센터, 민주사회를 위한 변호사모임 등 진보 계열 시민단체들은 반대에 대한 의견이다. 이들은 이 법안이 통과된다면 가명정보도 얼마든지 특정 개인을 알아볼 수 있다고 주장하고 있다. 그래서 국민의 가장 사적이고 민감한 의료∙질병 정보에서부터 소비 특성, 투자행태, 소득 규모 등을 파악할 수 있는 신용정보 등 모든 정보를 기업의 돈벌이 수단으로 제공하게 되는 것이라 주장하고 있다. 특히 ‘특정 개인을 식별할 수 없도록 처리된 가명정보는 안전하다’라는 주장을 ‘가명정보는 익명정보와 달리 다른 정보와 결합하면 여전히 다시 식별될 위험성이 있고 가명 처리 기술, 재식별 기술 모두 발전하고 있는 상황’이라고 반박하고 있다. 

 

 

5. 결론

 

위에서 데이터 3법에 대해서 알아보았다. 앞으로 4차 산업 혁명 시대를 맞이하면서 더 정확하고 좋은 서비스를 만드는데 있어서 개인정보의 활용은 필수불가결(必須不可缺)하다고 본다. 하지만 데이터 3법 시행과 더불어 기술적으로 아래 사항을 고려하여 개인정보 재식별의 위험을 줄여야 한다고 생각한다.

 

첫째, ‘동형암호’는 국내의 「개인정보 비식별 조치 가이드라인」에서는 언급되지 않았지만 ISO/IEC 20889에서 언급된 비식별 조치 기법이다. 동형암호란 정보를 암호화한 상태에서 각종 연산을 했을 때, 그 결과가 암호화하지 않은 상태의 연산결과와 동일하게 나온다. 따라서 정보가 해커에게 탈취 당하더라도 정보가 노출되지 않는다. 암호화한 상태에서나 하지 않은 상태에서 분석한 결과물의 형태가 같다는 의미에서 ‘동형(洞型)’이라는 이름이 붙었다. 데이터 3법 시행 후 가명정보 활용하는데 있어서 동형 암호를 이용하면 가명정보를 이용한 개인정보 재식별의 위험을 크게 줄일 수 있을 것을 예상된다.

둘째, 가명정보의 활용 이전에 연합 학습(Federated Learning) 기술을 활용하는 것이다. 지금까지는 데이터를 한 곳에 모아 모델이 학습하도록 훈련시키는 형태였다면, 연합 학습은 모델을 각 데이터가 저장된 곳(컴퓨터, 노트북, 스마트폰 등)으로 보내 각각 학습하게 된다. 이후 각 저장소의 모델이 배운 업데이트된 내용만 서버로 보내고 서버는 다시 모델을 업그레이드 하여 배포하는 개념이다. 따라서 서버는 개인정보를 볼 수 없어 개인정보보호 문제를 해결할 수 있다. 이 기술을 활용한다면 일각에서는 가명정보의 활용이 불필요한 경우도 존재할 것으로 보인다.

셋째, 데이터 3법이 시행되면 현재 「개인정보 보호법」 상으로는 정보주체의 권리 보장으로 개인정보의 열람, 정정∙삭제, 처리정지, 권리행사의 방법 및 절차만을 다루고 있다. 이는 데이터 3법에서 가명정보를 이용할 경우 가명정보에 대한 정보주체의 권리 보장이 적용되지 않는다. 따라서 데이터 3법에는 EU GDPR 중 하나인  “프로파일링 거부권”개념의 조항을 추가하여 가명처리에 대한 정보주체의 권리 보장을 강화할 필요가 있을 것으로 사료된다.

추가로 세부적인 감사, 제도적 규제는 데이터 3법이 시행된 이후에 알 수 있겠지만, 가명정보를 제공받는 기업에 대하여 적절한 관리적∙기술적∙물리적 보호조치를 적용하고 있는지에 대한 평가가 ‘제3자’의 독립적 감사 관점에서 이루어질 수 있도록 제도적 규제가 필요하다. 만약 가명정보를 제공 또는 제공 받는 기업에서 주관적으로 외부 전문가를 위촉할 경우, 위촉기관과 외부 전문가와의 이해관계가 성립되지 않고 독립적으로 감사 또는 평가(심사)가 이루어질 수 있도록 제도적 규제가 필요하다.

데이터 3법 시행과 함께 가명정보에 대한 적절한 기술적∙관리적∙물리적 보안통제와 더불어 정부 또는 관계기관에서 가명정보를 안전하게 사용할 수 있도록 하는 제도 및 규제가 없는 한 ‘데이터 3법’으로 인한 ‘개인정보 유출’ 가능성은 피할 수 없을 것으로 예상된다. 데이터 3법 시행으로 한국은 “데이터를 가장 안전하게 잘 쓰는 나라”가 될 수 있도록 관련 준비를 철저히 해야 할 것이다.

 

 




[그림 1적절한 보안규제 및 대책 없이 가명정보 활용의 위험​​​​​ 

 

 

6. 참고

 

[1] 네이버 지식백과, https://terms.naver.com/entry.nhn?docId=5815414&cid=43667&categoryId=43667


[2] 개인정보 비식별 조치 가이드라인, 정부부처 합동(국무조정실, 행자부, 방통위, 미래부, 금융위 등)


[3] 데이터 경제와 개인정보 비식별 기술 동향, 정보통신기획평가원


[4] 의료데이터 활용을 위한 개인정보 비식별화 기술 및 프로그램 동향, KHIDI Brief Vol.268


[5] 개인정보 데이터 소유권 누구에게 있나, https://news.v.daum.net/v/20191205173854630


[6] 데이터3법 모두 상임위 통과...데이터 경제화 시대 오나? https://joind.io/market/id/1119


[7] 신한금투 "데이터3법 통과시 금융산업 큰 변화 전망", http://www.newsis.com/view/?id=NISX20191211_0000856614&cID=10401&pID=10400


[8] 데이터3법 지연에 발목...드론, 핀테크, AI 등 新산업 '스톱', http://www.munhwa.com/news/view.html?no=2020010301073003016001


[9] 시민단체 "데이터3법은 '개인정보 도둑법'...심사 중단해야", https://www.hankyung.com/society/article/201912042034Y


[10] 데이터 3법의 주요 내용과 클라우드 시장 영향 전망, https://slownews.kr/74827


[11] 빅데이터 산업의 연료, 가명정보와 익명정보란?, https://it.donga.com/28239/


[12] 악마는 '가명'의 디테일에 있다, http://h21.hani.co.kr/arti/society/society_general/47959.html


[13] 가명정보 활용과 결합에 관한 3가지 궁금증, http://m.zdnet.co.kr/news_view.asp?article_id=20180906091934&re=zdk


[14] 개인정보 비식별 조치 가이드라인, 정부부처 합동(국무조정실, 행자부, 방통위, 미래부, 금융위 등)


[15] ‘데이터3법’ 마지막 순번 국회 과방위, 정보통신망법 개정안 통과, http://www.ddaily.co.kr/news/article/?no=189160


[16] [정보기술보호법 바로알기 67] 빅데이터와 정보, 그리고 개인정보④, https://www.boannews.com/media/view.asp?idx=44121


[17] 빅데이터 활용 개인정보 보호 4세대 암호 혜안을 믿어라!, http://pub.chosun.com/client/news/viw.asp?cate=C01&nNewsNumb=20180428596&nidx=28597


[18] 동형암호, http://wiki.hash.kr/index.php/동형암호


[19] 비식별 개인정보 활용 기술 어디까지 왔나, http://www.zdnet.co.kr/view/?no=20191101095900


[20] 빅데이터 프라이버시 문제 해결할 인공지능 기술 오나, http://www.hani.co.kr/arti/science/science_general/887030.html