본인 동의 없이 정보 마음껏 활용 허용…
시민단체 강하게 반발

행정자치부 등 6개 정부 부처가 2016년 6월30일 ‘개인정보 비식별 조치 가이드라인’을 마련해 발표했다. 기업이 고객한테서 수집한 정보를 마케팅이나 영업 전략 등에 활용하려면 어떻게 하면 되는지 정부가 지침을 제시하는 내용이다. ‘개인정보’ 개념을 명확히 함으로써 빅데이터를 활용한 다양한 정보산업 발전을 촉진하겠다는 게 취지다. 내용이 공개되자마자 진보네트워크센터·경실련·참여연대 등 13개 시민단체가 반대 성명을 발표하는 등 크게 반발했다. 이 지침이 왜 논란이 되는지 알아본다.

신기섭 편집장
　
신생 헤드헌팅 회사가 첫 직장부터 퇴직 뒤까지 경력을 관리하는 프로그램을 만들어 기존 업체와 차별화하려는 구상을 한다. 이렇게 하려면 은행이 보유한 정보를 얻는 게 안성맞춤이다. 홈쇼핑 회사가 우수고객 마케팅 전략을 수립하기 위해 카드회사에서 구매액 상위 고객 정보를 확보할 수 있으면 좋겠다고 생각한다. 그런데 이런 일을 해도 될까? 개인정보 보호법에 위반되지 않나?

기업의 이런 구상 실현, 다시 말해 ‘빅데이터 활용’을 촉진하겠다고 정부가 대책을 내놨다. 2016년 6월30일 행정자치부 등 6개 정부 부처가 내놓은 ‘개인정보 비식별 조치 가이드라인’이다. 앞에 소개한 헤드헌팅 회사나 홈쇼핑 회사의 구상은 이 가이드라인에 나오는 예시다.

▲ 미국 국가안보국의 감청을 폭로한 에드워드 스노든이 2015년 9월5일 노르웨이 몰데에서 열린 노르웨이 문화아카데미의 비에른손상 시상식에 원격 화상 시스템을 통해 참여하고 있다. 빅데이터 활용이 늘면서 정부의 감시뿐 아니라 민간 기업의 개인정보 수집·유출도 걱정해야 하는 시대가 됐다. REUTERS

정부가 가이드라인을 내놓은 것은, 2016년 7월5일 공개한 ‘경제활력 제고와 일자리 창출을 위한 서비스경제 발전전략’과 연결돼 있다. 서비스산업을 육성하자는 차원에서 정부가 갖가지 방안을 만들었고 이 가운데 하나가 개인정보 이용 가이드라인이다.

정부가 가이드라인을 발표하자마자, 정보인권단체 진보네트워크센터를 비롯한 13개 시민단체가 반대 성명을 발표했다. 이 단체들은 유통업체 홈플러스가 2400만 건의 개인정보를 당사자 모르게 보험회사에 팔아 231억원을 번 사건에 맞서 공익소송을 제기한 곳이다. 여기에는 경제정의실천시민연합 시민권익센터, 참여연대 민생희망본부부터 한국소비자연맹, 소비자시민모임 같은 소비자운동단체까지 다양하게 참여하고 있다.

이들 단체가 뭐 때문에 반발하는지, 쟁점이 무엇인지 알려면 ‘개인정보 비식별 조치’가 대체 무엇인지부터 알아야 한다.

정부가 공개한 80쪽짜리 ‘개인정보 비식별 조치 가이드라인’을 요약하면 이렇다.

각 기업이나 기관이 현재 보유한 개인정보를 애초 수집 목적이 아닌 데 쓰려면 각 개인의 허락을 받아야 한다. 이 근거는 개인정보보호법이다. 이런 상황에선 기업의 빅데이터 활용이 원활하게 이뤄질 수 없다. 해법은 개인정보 침해를 피하면서 정보를 활용하는 방법을 찾는 것이다. 그 구체적인 방법이 ‘개인정보 비식별 조치’다. 쉽게 말해 수집한 개인정보 중에서 이름이나 주민등록번호 등 개인을 식별할 정보를 삭제하거나 알아볼 수 없게 처리하는 것이다.
　
‘개인정보 비식별 조치’는 뭔가

비식별 처리의 세부 방법으로, 이름을 바꾸는 ‘가명 처리’, 몇 명 단위로 자료를 합치는 ‘총계 처리’, 주민등록번호 같은 걸 지우는 ‘데이터 삭제’, 개인의 나이를 밝히지 않고 30∼40대처럼 처리하는 ‘데이터 범주화’, 홍길동이라는 이름을 ‘홍○○’처럼 바꾸는 ‘데이터 마스킹’ 등이 있다고 자료는 예시했다.

정부는 이렇게 비식별 처리된 개인정보는 더 이상 ‘개인정보’가 아닌 것으로 추정한다고 밝혔다. ‘추정한다’는 말의 정확한 뜻은 “개인정보에 해당한다는 반증이 없는 한 개인정보가 아닌 것으로 보되, 개인정보라는 반증이 나오는 경우 개인정보로 본다는 뜻”이라고 자료는 설명하고 있다.

이렇게 ‘개인정보’가 아닌 것으로 보게 되면 기업이나 기관은 이 자료를 ‘1대1 마케팅’을 뺀 어떤 용도로든 활용할 수 있고, 제3자에게 팔 수도 있다. 이 과정에서 개인의 동의는 필요 없다. 자신의 자료를 삭제해달라는 요청도 할 수 없다. 더는 ‘개인의 정보’가 아닌 까닭이다. 진보네트워크센터 등 시민단체들이 “소비자 몰래 개인정보를 거래하는 빅데이터 산업을 키우자는 거냐”고 비판하는 것도 이 때문이다.
　
비식별 처리만 하면 안전한가

▲ 2015년 2월1일 이정수 개인정보범죄 정부합동수사단 단장이 서울 서초구 서울고등검찰청 기자실에서 개인정보를 불법 수집해 보험회사에 판매한 홈플러스 임직원들을 불구속 기소했다고 밝히고 있다. 정부는 ‘개인정보 비식별 조치’만 거치면 기업이 고객 정보를 자유롭게 활용할 수 있게 허용해 시민단체의 반발을 사고 있다. 연합뉴스

기업 등이 수집한 개인정보를 비식별 처리하면 사생활 노출 걱정이 사라질까? 그렇지 않다. 이는 정부가 내놓은 가이드라인도 인정한다. 이른바 ‘재식별’ 기법이 있다. 재식별의 핵심은 다른 경로로 수집한 정보와 비식별 처리된 정보의 짝을 맞춰, 누가 누구인지 구별해내는 것이다. 정부 가이드라인에는 실제 재식별 사례가 소개돼 있다.

미국 온라인 영상 서비스 회사 넷플릭스는 1999년 고객의 기호에 맞는 영화 추천 기법을 개선하려고 경연대회를 열면서 1년 동안 수집한 가입자 50만 명의 영화 시청 기록 1억 건을 공개했다. 사용자 이름 등 신상 정보는 삭제했지만, 각 개인을 구별할 수 있는 ‘식별자’는 포함시켰다. 미국 텍사스대학의 한 그룹이 이 자료를 인터넷영화데이터베이스(IMDB)에 올라온 영화평과 결합해 일부 개인을 식별해냈다. 이렇게 되자 미국연방거래위원회(FTC)가 사생활 침해를 지적했고, 두 번째 경연대회는 열리지 않았다. 미국 매사추세츠주에선 공개된 의료정보와 선거인 명부를 결합해 개인의 질병을 알아낸 사례도 있다고 한다.

이 때문에 정부도 가이드라인에서 비식별 처리가 적정한지 평가단을 꾸려 검토한 뒤 정보를 활용할 수 있도록 하고 있다. 하지만 여전히 문제는 남는다. 재식별 기법이 날로 발전하고 있기 때문에 언제든지 뚫릴 수 있다. 정부의 가이드라인도 이를 언급한다. 당장 비식별 처리가 적정하게 됐다 하더라도 새로운 결합 기술이 출현할 수 있으니, 재식별 가능성을 정기적으로 모니터링해야 한다고 했다.

시민단체들은 한국의 특수성도 지적한다. 한국은 지금도 개인정보 보호가 부족한데다 이미 너무 많은 정보가 유출돼서 외국보다 재식별 위험이 높다는 것이다. 13개 시민단체는 성명에서 “통신·금융·의료 기업들이 거의 전 국민의 주민등록번호를 보유하고 있어 주민등록번호가 없는 다른나라에 비해 개인정보 오·남용에 따른 피해가 매우 커질 것”이라고 우려했다.

페이스북이나 트위터 같은 소셜네트워크서비스(SNS) 이용이 늘면서 여러 정보를 묶어 개인정보를 빼내는 것이 쉬워졌다는 지적도 나온다.

한국전자통신연구원 최대선 책임연구원 등 사이버보안연구단 연구진은 2013년 10월 한국정보보호학회 논문지에 실은 논문에서 한국인 페이스북 계정 657만 개와 트위터 계정 277만 개의 개인정보 노출 실태를 분석했다. 이름이 유일해서 누구인지 특정할 수 있는 계정이 35만 개였다. 2개 이상 정보를 조합해서 누군지 특정할 수 있는 계정은 297만 개나 됐다. 또 페이스북과 트위터 계정의 연결 여부를 분석한 결과, 같은 사람의 것일 가능성이 있다고 파악된 계정 쌍이 34만 개였다. 연구진은 “비식별 정보의 조합 및 계정 연결로 인한 사생활 공개 위험에 대한 고려와 대비가 필요하다”고 결론지었다.

신용카드 사용 내역도 재식별 위험이 높은 것으로 꼽힌다. 이브알렉상드르 드 몽주아 미국 매사추세츠공과대학 미디어랩 연구원은 2015년 1월 학술지 <사이언스>에 실은 논문에서 110만 명의 3개월치 카드 사용 기록을 분석한 결과, 전체의 90%는 카드 사용 지점 4곳만 알아도 식별해낼 수 있었다고 밝혔다. 또 거래 가격을 알면 개인을 식별해낼 가능성이 22% 높아지고, 일부러 카드 사용 지점을 불분명하게 처리한 뒤 분석해봐도 사용자를 식별하는 데 별 어려움이 없었다고 설명했다. 소득 수준이 높으면 식별하기 더 쉬웠고, 남성보다는 여성 식별이 더 잘됐다고 한다.
　
모순되고 무책임한 가이드라인

정부의 이번 가이드라인은 모순되고 무책임하다는 비판도 나온다. 정보인권연구소 이은우 이사는 최근 제시한 가이드라인 비판 자료에서 “정부가 말하는 비식별 정보는 익명화한 정보가 아니며, 무엇도 보장할 수 없는 것”이라고 주장했다. 일본 등 외국에서 말하는 ‘익명화한 정보’는 개인정보를 복원할 수 없는 것, 곧 재식별이 불가능한 정보를 뜻한다고 이 이사는 지적했다.

모순점은 정부의 가이드라인에도 드러난다. 가이드라인은 비식별 정보를 “불특정 다수에게 공개하는 것은 식별 위험이 크므로 원칙적으로 금지”하고 있다. 비식별 처리를 해도 개인정보가 드러날 위험이 크다는 걸 스스로 인정한 것이다. 그러면서도 비식별 정보는 개인정보가 아니니 마음대로 활용할 수 있다고 해석하고, 가이드라인을 따르기만 하면 나중에 누군가 재식별을 통해 개인정보를 노출하더라도 책임질 필요가 없다고 밝혔다.

게다가 개인으로서는, 정보를 수집한 기관이 어떻게 자료를 처리하는지, 비식별 처리를 해서 이용하려는지조차 알 수 없는 것도 문제다. 가이드라인대로라면, 개인은 비식별 처리를 거부할 수 없고, 이렇게 처리된 게 어디에 쓰이는지 알 수 없다. 기업이나 기관이 이를 통보할 의무가 없기 때문이다. 비식별 정보가 자신의 개인정보 노출 위험을 안고 있다는 걸 입증할 때만 당사자가 개입할 수 있는데, 개인이 이걸 입증하기란 불가능한 일이다. 정보를 수집하고 이용하는 기업이나 기관이 개인정보 노출 위험이 없음을 입증하도록 해야 마땅하다고 정보인권 전문가들은 지적한다.

기업끼리 정보를 결합해서 쓸 때 분야별 전문기관이 개입할 여지를 준 것도 공정성 측면에서 문제라는 지적이 있다. 이은우 이사는 “예컨대 비식별 처리된 통신사 고객정보와 카드사 정보를 전문기관에 보내주면 개인별로 정보를 결합해서 준다는 게 정부 안”이라며 “전문기관은 사업자단체이거나 실적에 급급한 기관이라 믿을 수 없다”고 비판했다.

정보인권단체들은 개인정보 노출 위험 없이 정보를 활용하려면 비식별 처리 대신 완벽한 익명화를 해야 한다고 주장한다.

marishin@hani.co.kr