후웨 胡越 <차이신주간> 기자

▲ 2020년 9월 중국 베이징에서 열린 국제서비스무역박람회 행사장에 설치된 중국공상은행 홍보관. 공상은행은 소기업 담보대출 리스크 관리, 고객의 다른 금융기관 자산 조사, 대출 뒤 자금흐름 모니터링에 대한 개인정보 보호 컴퓨팅 기술 검증을 끝냈다. REUTERS

대다수의 개인정보 보호 컴퓨팅 기업이 금융을 겨냥하고 있다. 금융기관은 데이터가 풍부하고 표준화 수준이 높으며 개인정보 보호에 관한 준법감시가 중요하기 때문이다. 금융 분야에선 이미 개인정보 보호 컴퓨팅 기술을 도입했다. 예를 들어 텐센트 CSPC와 베이징소기업금융종합서비스유한공사, 푸둥발전은행이 함께 추진한 다자간 데이터 학습 ‘정룽퉁’(政融通)의 온라인 자금조달 사업, 유니온페이와 교통은행, 화쿵칭자오가 공동 추진하는 규제 샌드박스 사업은 다자간 보안 컴퓨팅에 기반한 이미지 개인정보 보호 제품이다.

은행 움직임
공상은행 관련 책임자는 “공상은행이 개인정보 보호 컴퓨팅 기술의 흐름을 주시해 기술 플랫폼 구축과 혁신적인 응용 방법을 적극적으로 계획했다”고 밝혔다. 외부 기관, 협력사와 함께 소기업 담보대출 리스크 관리와 고객의 다른 금융기관 자산 조사, 대출 뒤 자금흐름 모니터링 등 구체적인 업무에 대한 개인정보 보호 컴퓨팅 기술 검증을 끝냈다. 또 일부 업무에 시범적으로 도입했다. 최근에는 기업 대상 개인정보 보호 컴퓨팅 플랫폼을 구축해 관련 업무 혁신을 위한 기술적 기반을 마련했다. 그 밖에 개인정보 보호 컴퓨팅을 결합한 실전 경험을 쌓고 관련 표준 제정에 적극적으로 참여하고 있다.
농업은행 관련 부서 책임자도 “2021년 6월 농업은행 전체 차원에서 통일된 개인정보 보호 컴퓨팅 플랫폼을 구축하는 사업을 시작해 구매 단계를 진행하고 있다”고 밝혔다. 농업은행은 시범사업 두 건을 동시에 시작했다. 하나는 그룹 내부에서 자회사·해외지사와 함께 신용대출 업무를 위한 개인정보검색(PIR) 서비스와 다자간 통계 서비스를 제공하는 사업이다. 다른 하나는 인민은행의 지도로 농업은행 쑤저우지점이 13개 관계 기관과 공동으로 다자간 보안 컴퓨팅 실험실을 설립한 것이다. 이 실험실은 전자통신금융사기(보이스피싱) 블랙리스트 작성과 자금세탁 방지를 위한 개인정보 보호 컴퓨팅 기술 응용 방안을 연구한다.

▲ 2020년 12월 열린 세계블록체인대회 우한 포럼에서 쉬민 란샹즈롄 최고경영자가 자사의 금융 분야 전략적 정보 보호 컴퓨팅 제품 GAIA를 소개하고 있다. 란샹즈롄 누리집

서비스 공백
리스크 관리와 마케팅, 자금세탁 방지 등의 금융 분야에서 개인정보 보호 컴퓨팅이 필요하다. 실행 과정에서 금융기관과 통신사의 협력을 자주 볼 수 있다. 쉬민 란샹즈롄 최고경영자는 “이 분야에서 은행과 통신사의 데이터는 이미 정리된 상태”라며 “데이터 거래의 상업적 논리가 뚜렷하고 업계의 감독 법규도 명확하다”고 설명했다.
이런 협력을 추진하는 근본 원인은 역시 수요다. “과거 은행과 통신사가 협력할 때는 확보한 데이터에 난독화 처리가 돼 있었다. 예를 들어 나이는 ‘25~35살’로 표기할 뿐 정확한 정보를 알려주지 않았다.” 차이이 초상은행 선전지점 정보기술부 부총경리는 “개인정보 보호 컴퓨팅 기술을 사용하면 더욱 정밀한 모형을 만들 수 있다”고 말했다.
증권사에도 개인정보 보호 컴퓨팅 기술이 필요하다. 클러스터의 제품 발표회에서 진하이보 화타이혁신(華泰創新)투자유한공사 총경리는 “증권사에 ‘차이니즈 월’(기업 내부 정보 교류를 차단하는 장치나 제도) 문제가 있다”며 “데이터를 주고받을 수 있는지, 데이터 거래 양쪽이 법규를 준수하면서 사용하는지를 고민해야 한다”고 설명했다. “앞으로 데이터를 잘 사용하는 사람이 투자 거래에서 더 많은 시장을 차지할 것이다.”
그러나 금융기관과 시장은 아직 교육과 훈련 단계에 있다. 은행 내부에서 신기술을 보급하려면 시간이 필요하다. 신기술을 도입해 시행하기까지 전체 과정이 2년 정도 걸린다. 시장에서는 데이터 보유 기관이 연합학습을 비롯한 기술의 안전성을 믿어야 한다. 차이이 부총경리는 말했다. “선전시의 어떤 정부기관을 찾아가 데이터 이용 문제를 논의한 적이 있다. 해당 업체는 사용에 동의했다. 하지만 베이징 본사의 승낙이 없으면 한 글자도 제공할 수 없다고 했다.”
천톈젠 의장은 “지금 상황은 수십 년 전에 빅데이터를 논의했던 때와 비슷하다”고 말했다. “이 일을 해야 하는 것을 모두 알지만 어떻게 하는지 모른다. 지원해줄 수 있는 기관도 적다.” 그는 “대다수 기관이 완벽한 지원 생태계에 의존해야 한다”고 지적했다. 예를 들어 자문회사가 종합계획을 세우고, 솔루션 업체가 기술을 설계하고, 제품 생산업체가 제품을 공급하고, 유지보수 업체가 사후관리를 해주는 것이다. “은행업계의 지능화·정보화를 맡은 기업과 교류하면서 개인정보 보호 컴퓨팅 지원 서비스가 공백 상태인 것을 발견했다.”
금융 분야에서 개인정보 보호 컴퓨팅을 적용하면서 보안과 성능, 감독, 인식까지 벽에 부딪혔다. 기술을 도입한 기업은 개인정보 보호 컴퓨팅의 성능에 가장 관심이 있다. 2021년 5월 중국정보통신연구원 클라우드컴퓨팅 빅데이터 연구소 허바오훙 소장은 “2020년 개인정보 보호 컴퓨팅이 문자 자료로 된 플레인 텍스트 컴퓨팅보다 25배 빠르게 성장했다”고 말했다.

넘어야 할 장벽
웨이카이 클라우드 컴퓨팅 빅데이터 연구소 부소장은 “개인정보 보호 컴퓨팅은 빅데이터가 아닌 구조화된 ‘스몰 데이터’와 융합해야 한다”며 “지금 단계에서 연산처리의 병목현상을 말할 단계가 아니지만 광대역통신에 대한 요구사항이 높은 편”이라고 말했다. “현재 정보통신연구원이 시험하는 제품은 근거리통신망(LAN)이다. 다음에는 광역통신망(WAN)을 시험할 것이다.”
“다자간 보안 컴퓨팅은 통신 지연 문제가 있더라도 100~200ms(밀리초) 안에 결과를 피드백한다.” 쉬민 란샹즈롄 최고경영자는 “이를 신용카드 신청이나 신용대출 신청 등 실시간 수요가 크지 않은 서비스에 적용해야 한다”며 “카드 결제처럼 실시간으로 거래를 중단할 수도 있는 리스크 관리 상황에서는 개인정보 보호 컴퓨팅을 적용할 수 없다”고 말했다. 공상은행 책임자는 “개인정보 보호 컴퓨팅 기술은 아직 초기 발전 단계여서 제품 성숙도를 보면 한 가지 임무를 처리하는 주문형 솔루션이 많다”며 “은행의 수요를 만족시키기 어렵고 제품 성숙도와 공정화 수준도 개선해야 한다”고 지적했다.
그러나 성능과 보안을 동시에 확보하기 어려운 문제가 있다. “누구는 개인정보 보호 컴퓨팅의 효율이 플레인 텍스트 컴퓨팅보다 100배 낮다고 하고, 50배 또는 10배 낮다고 하는 사람들도 있다. 하지만 성능을 추구하면 보안성을 잃게 된다.” 웨이카이 부소장은 “고객사는 보안성 분야에서 무엇을 잃을지 고민한다. 알고리즘은 블랙박스여서 그 투명도를 높이는 것은 어려운 문제다. 앞으로 더 다양하고 권위 있는 감사 등의 조처를 도입해야 한다.”
클러스터의 개인정보 보호 컴퓨팅 제품 발표회에서 푸둥발전은행 혁신연구센터의 차오샹은 “현재 개인정보 보호 컴퓨팅 기술을 현행 업무와 결합하면서 겪는 어려움 가운데 다른 종류 산업 사이의 협력에 대한 규제와 감독이 있다”며 “예를 들어 창강삼각주 지역 은행과 증권, 보험사와 공동으로 연맹을 구성했는데 회사 내부 사업부를 설득하고 감독 당국과 소통하는 것 모두 어려운 문제였다”고 말했다.
차이이 부총경리도 “감독이 어려운 부분”이라고 인정했다. “연합학습 과정에서 어떤 데이터를 내보내도 되고 어떤 데이터는 안 되는지, 어떤 것은 반드시 사용 권한을 위임받아야 하고 어느 수준의 위임을 받아야 하는지, 권한 위임 조항을 어떻게 해야 규정에 맞는지 등 상세한 규칙이 필요하다.”

▲ 중국 베이징에 있는 인민은행 본부. 인민은행의 모호한 정책에 따라 개인정보 보호 컴퓨팅 관련 감독 방향이 불투명해졌다. REUTERS

모호한 규정
현행 법률 체계에는 개인정보 보호 컴퓨팅에 관한 명확한 규정이 없다. 농업은행 관련 부서 책임자는 정부 책임 부서가 산업의 발전 현황을 적극적으로 파악해 현행 법률을 세분화하고 개인정보 보호 컴퓨팅 등 데이터 응용에 관해 더욱 세밀한 규범을 제공하도록 제안했다. 예를 들어 개인정보 보호 컴퓨팅의 원시 데이터에 대한 보안 요건 외에 원시 데이터를 기반으로 생성한 ‘결과 데이터’에 대해서도 구체적인 응용 상황에 맞게 데이터 귀속과 보호 책임을 규정할 필요가 있다.
서안교통대학 쑤저우연구원의 위엔하오 연구원은 기고문에서 이렇게 지적했다. “인터넷보안법이 개인정보와 개인정보 보호 컴퓨팅 도구의 법률적 정의와 속성 문제를 해결하지 않았다. 전국인민대표대회 상임위원회 3차 심의 단계를 진행하는 개인정보보호법에서 이 문제를 해결해야 한다.”
중국정보통신연구원 클라우드컴퓨팅 빅데이터 연구소의 옌수와 뤼아이린은 기고문을 통해 “개인정보 보호 컴퓨팅은 원시 데이터가 이동하는 과정을 피했을 뿐 다자간 데이터에 기반한 컴퓨팅을 실현한 것이어서 여전히 개인정보의 제공·사용과 관련된다”고 주장했다. “어떤 방법으로 개인정보 보호 요건에 맞게 사용할 것인지 등에 대해선 현행 법규와 관련 표준에 명확한 정의가 없다.” 야오밍 인사이트원 창업자는 “개인정보 보호 컴퓨팅 업체도 데이터 자원에 접근하는 권한을 분명히 하고 규정을 준수하며 개인정보 보호 컴퓨팅 기술을 응용할 때 정보사용 권한의 위임 과정과 방법, 용량을 명확하게 정의해야 한다”고 강조했다.
“개인정보는 주관적인 단어다. 개인정보 보호 컴퓨팅의 정식 명칭은 ‘개인정보 보호 강화 컴퓨팅’이다. 데이터를 모호하게 만들거나 암호화 처리를 한 뒤 다시 컴퓨팅한다. 데이터 자체를 보호할 뿐 그 데이터가 개인정보인지 일반정보인지에는 관여하지 않는다. 따라서 개인정보 보호 컴퓨팅이라고 부르지만 우리가 이해하는 개인정보 보호와는 다른 개념이다.” 웨이카이 부소장의 말이다. 왕신루이 변호사는 “개인정보 보호 컴퓨팅이 개인정보보호법의 ‘익명화’ 표준에 반드시 부합해야 하는 것은 아니다”라며 “구체적으로 사용하는 기술에 따라 다른데 대부분 ‘비식별화’ 범주에 속할 가능성이 크다”고 말했다.
최근 인민은행의 모호한 정책에 따라 개인정보 보호 컴퓨팅 관련 감독 방향이 불투명해졌다. 인민은행은 인터넷 플랫폼의 개인신용조사 업무와 빅데이터 리스크 관리 업계를 감독하면서 아직 정식으로 발표하지 않은 ‘신용조사업무관리방법’에 따를 것이라고 밝혔다. 여기에는 플랫폼이 금융기관에 제공한 개인정보를 “전자통신금융사기 방지 등 신용대출이나 신용점수 결정에 사용한다면 모두 신용조사 업무에 해당하고 해당 면허가 있는 기관만 할 수 있다”는 내용이 들어 있다.
그렇다면 금융기관이 개인정보 보호 컴퓨팅 기술을 이용해 외부와 데이터 관련 협력을 하려면 신용조사 관련 신규 규정을 준수해야 한다는 의미일까? 왕신루이는 “신용대출 결정에 데이터를 사용한다면 신용조사 규제 범위에 속한다”며 “개인정보 보호 컴퓨팅을 기반으로 데이터를 융합해도 면허를 보유한 신용조사기관을 통해 사용자의 동의를 얻어야 한다”고 말했다. 통신사와 은행 내부 관계자도 “이런 정책 변화에 주의하고 있다”며 “내부적으로 논의하고 있지만 최종 결론에 이르지 못했다”고 밝혔다. 신용조사 법규 내용을 보면 신용대출 결정에 사용하는 데이터를 제한하고, 결제나 자산관리 업무에 사용하는 것은 제한하지 않았다.

ⓒ 財新週刊 2021년 제29호
隱私計算風起
번역 유인영 위원