가명정보를 바라보는 그들의 시선

[테크월드=이건한 기자] 지난 1월 데이터 3법이 어렵사리 국회를 통과했다. 하지만 진통은 여전하다. 이제 국내에서도 개인정보를 활용한 맞춤형 비즈니스가 활성화될 것이라 반기는 측이 있는가 하면, 한쪽에서는 “법안에 모호한 조항이 많고, 정보주체에 대한 보호장치도 부족한 상황”이라며 데이터 3법의 철회를 주장하는 측도 있다. 특히 이번에 도입된 ‘가명정보’ 활용에 관한 문제는 양측이 지금도 가장 열띤 논쟁을 벌이고 있는 주제다.

내 가명정보, 정말 믿고 맡겨도 되는 걸까?

가명정보는 원본 데이터에서 일부 값을 변경, 혹은 제거함으로써 특정인의 신원을 식별할 수 없도록 만든 데이터다. 이번 개정법에서는 가명 처리된 개인정보가 연구나 리서치 등의 제한된 조건을 충족할 경우 정보주체의 동의 없이 활용될 수 있도록 하는 조항이 새롭게 신설됐는데, 문제는 이 가명정보가 원래 데이터로 재식별될 수 있는 가능성을 안고 있다는 점이다. 

전체 데이터 속성 중 일부 값만 변경한 가명정보는 원본 데이터 집단이 작을수록, 혹은 공개된 보조 데이터 속성이 많을수록 데이터 원본에 대한 유추 확률이 높아진다. 

가령 10살 남자와 100살 남자는 동일한 나이+성별 조합의 데이터지만, 100세 남자의 인구가 훨씬 적으므로 지역 등 약간의 추가 속성만 확보된다면 원래 주인을 식별하는 일이 상대적으로 쉬워진다. 이렇듯, 가명정보는 식별이 '어려운' 데이터이지, 식별이 '불가능한' 데이터는 아니다.

물론 법은 가명정보의 재식별을 엄격하게 금지한다. 이를 위반할 경우 5년 이하의 형벌이나 5000만 원 이하의 벌금, 또는 전체 매출액의 3% 수준의 과징금에 처해지도록 규정돼 있다. 그러나 때때로 누군가에겐 처벌을 감수할 만큼 확보한 개인정보의 가치가 더 클 수 있다는 사실을 간과해선 안 된다.

구글, 페이스북, 애플, 우버 같은 기업들이 크고 작은 사생활 침해 논란 속에서도 개인정보에 대한 욕심을 버리지 못하는 이유는 이들 또한 개인정보에 담긴 잠재적 활용 가치에 주목하고 있기 때문이다. 

가명정보, 완벽하지 않지만 믿어볼 수 있다

한편, 얼마 전 한국인공지능법학회가 주최한 ‘인공지능과 데이터 3법 세미나’에서는 데이터 3법에 대한 기업, 학계, 법조계 인사들의 일부 시각을 들여다볼 수 있는 자리가 마련됐다. 이날 좌담회에 참석한 패널 중 이진규 네이버 개인정보보호책임자(DPO)는 “가명정보를 굳이 재식별하면서까지 기업이 얻을 이익은 생각보다 적다”는 견해를 밝혔다.

그는 “기업이 개인정보 이용한 맞춤형 광고나 서비스를 제공할 때 중요한 건 특정인에 대한 식별이 아니라, 다른 이용자들과 구분되는 독창성(Uniqueness)이다. 맞춤형 서비스를 제공함에 있어 그 대상이 이진규인지 다른 누구인지는 업자 관점에서 중요하지 않다”고 말했다.

이어 “가명정보 재식별을 향한 우려는 충분히 이해하고 고민하고 있는 부분"이라며, "다만, 실행 가능성이 낮은 재식별에 포커스를 두는 것보단 프라이버시 침해가 어떤 유형으로 발생하고, 어떻게 보호될 수 있을 것인지에 집중하는 것이 보다 바람직한 방향일 것"이라고 덧붙였다. 

또 다른 패널인 김앤장 법률 사무소의 김진환 변호사는 가명정보 도입의 법적 취지를 되새길 필요가 있다고 말했다. 김 변호사는 “법적인 측면에서 가명정보란, 원래 데이터베이스를 가진 사람이 ‘안 가진 척’ 만드는 규범적 기술이자 법이 그것을 평가하는 개념”이라고 이야기한다.

그는 “기업이 가명정보를 재식별 할 수 있음을 충분히 인지하고 있지만, 그러지 않을 것으로 상정하고 지켜보겠다는 입장이란 측면이 있다”며, “이같은 시각으로 가명정보를 바라볼 수 있다면 지금까지와 다른 방향의 사회적 합의를 만들어 갈 수 있을 것”이라고 말했다.

최경진 가천대 교수는 “데이터 3법과 비슷한 유럽의 GDPR도 가명정보를 완벽한 수단으로 만든 것이 아니라, 개인정보를 처리함에 있어 기왕이면 안전하게 하는 방법 중 하나로 도입했다. 그리고 이를 활용하는 기업에 강력한 자기책임을 지우겠다는 원칙이 암묵적으로 깔려 있다. 우리나라도 가명정보의 도입은 데이터 활용 측면에서 엄격하기만 했던 과거보다 조금은 숨통을 틔워준 맥락으로 이해하는 것이 좋다"고 말했다. 

가명정보 공유, 확산에 대한 안전장치 없다

반면, 데이터 3법에 반대하는 시민단체들을 대표해 패널로 참석한 진보네트워크센터의 오병일 대표는 가명정보 자체가 지닌 맹점에 대한 우려를 여러 차례 드러냈다.

오 대표는 “가명정보가 한 기업을 떠나 다른 기업에 공유되는 상황에서 발생할 수 있는 잠재적 위험에 대한 제어 조항이 없는 상태"이라고 말했다. 가명이란 이름 아래 무분별한 데이터 공유가 이어질수록 이것이 잘못된 집단에 넘어가 악용될 위험성 또한 커질 수밖에 없다는 이야기다. 또 여러 기업의 각기 다른 가명정보가 합쳐질 경우 의도치 않은 식별 정보가 만들어질 가능성도 배제할 수 없다.

이미 옳고 그름은 무의미

이날 오간 의견들을 종합해볼 때 아직은 어느 한쪽의 손을 들기 어려워 보인다. 옹호하는 측와 우려하는 측의 논거가 모두 충분한 설득력을 지니고 있었으며, 가명정보 도입에 따른 득실 또한 명확하기 때문이다.

다만 데이터 3법에 우호적인 이들도 가명정보 도입에 따른 잠재적 위험성을 인지하고 있는 만큼, 평행 논쟁을 지속하는 것은 옳지 않다. 그보단 남은 기간 동안 가명정보를 투명하게 생성하고 활용할 수 있는 방법에 대한 기술적, 사회적 논의에 더 많은 노력을 기울일 필요가 있지 않을까?