개인정보 활용을 통한 ICT 산업 확대 추세

개인정보의 올바른 활용을 촉진하는 보호정책 필요

[보안뉴스=최경환 한국인터넷진흥원 책임연구원/법학박사] 전 세계 ICT 산업의 트렌드가 빅데이터(Big Data)와 IoT로 대표되고 있는 요즈음, 정보의 ‘활용’을 통한 새로운 서비스의 발굴과 확대에 기업의 존망이 달렸다 해도 과언이 아니다.

그러나 우리나라는 지난해 사상 초유의 카드사 대량 고객정보 유출사고를 계기로 개인정보의 ‘보호’에 박차를 가하며, 정보활용을 통한 신산업 성장에 찬물을 끼얹었다. 해마다 이어지는 개인정보 유출사고에 어쩌면 상당히 무뎌져 있던 대중의 심리도 우리나라 인구 전체의 2배에 달하는 수의 개인정보가, 그것도 온갖 중요한 정보를 잔뜩 가지고 있는 금융권에서 유출됐다는 사실 자체에 크게 동요됐고, 정보활용에 대한 국민 일반의 불안감은 증폭됐다.

이에 우리 정부는 관계부처 합동으로 ‘금융분야 개인정보 유출 재발방지 종합대책’과 범정부 차원의 ‘개인정보보호 정상화 대책’을 내놓고 그 후속조치로 관련 법령을 개정해 가며, 개인정보를 보호하는 데 총력을 기울였다.

사고발생 즉시 금융위와 금감원이 대응방안을 즉시 발표하여 국민불편을 최소화하고 불안감 확산을 차단하는 데 주력하고, 사고경로를 철저히 점검·분석해 책임자를 엄중히 문책하는 한편, 향후 신용카드 사용과 관련한 안심대책을 추가로 시행하는 등의 방향으로 후속대처가 신속하게 이루어진 것은 당연하고도 적절한 것으로 평가받았다.

국내 개인정보보호 정책 때문에 빅데이터 활용을 통해 새로운 서비스를 발빠르게 개발하여 글로벌 시장을 대상으로 성장하기가 어렵다는 국내 ICT 업계의 볼멘소리도 애써 외면할 수밖에 없었던 까닭이다.

그런데 최근 데이터 거버넌스(Data Governance)가 금융권의 새로운 IT 화두로 떠오르면서 연이은 개인정보 유출로 꽁꽁 묶여 있던 정보 활용 문제가 빅데이터 등 핀테크 시장 활성화 움직임과 더불어 수면 위로 부상하고 있다. 금융위원회가 지난 6월 3일 ‘제4차 금융개혁회의’에서 금융권의 빅데이터 활성화 방안을 논의해 최종 확정했는데, 앞으로 금융회사들이 고객의 이름이나 주민등록번호 등 특정인을 식별할 수 있는 정보를 제외한 비식별정보를 영업이나 마케팅에 자유롭게 활용할 수 있도록 정부가 관련 법과 제도를 정비할 방침이라는 내용이 담겨 있다.

물론 IoT를 넘어서 IoE 세상의 도래가 임박한 작금의 추세에 비추어 보면 국내 금융권의 이와 같은 움직임 역시 향후 ICT 산업의 거스를 수 없는 물살을 따르는 것이고, 다방면으로 정보를 활용하여 활발한 서비스를 진행하려는 움직임이 비단 어느 한두 분야에만 국한하는 것도 아니다. 관련 법제도에 대한 규제 완화의 목소리가 함께 들썩이는 것 또한 막을 일만은 아니다.

문제는 고객정보에 대한 관리감독 소홀로 인해 계속된 개인정보 유출로 국내 ICT 산업이 이미 고객들의 신뢰를 잃어버린 이 마당에, 바짝 조였던 현행 법제도의 고삐를 풀어서 데이터 활용을 촉진하는 서비스를 육성하는 것이 또 다른 개인정보 침해사고로 이어지지 않는다는 확신이 없다는 것이다.

과연 어느 선에서 개인정보를 ‘활용’하도록 해야 ‘보호’와 조화를 이룰 수 있을지 법제도 전반에 걸친 심도 깊은 연구가 필요하다. 나아가 국민 일반의 신뢰를 회복할 수 있을 정도로 기업이 자체적으로 데이터를 관리할 수 있는 역량을 키우게 하고 이를 제도화할 필요성이 절실하다.

개인정보의 올바른 활용을 촉진하는 보호정책 필요

우리나라 인터넷 및 스마트 기기 보급률이 세계적 우위를 점하고 있는 것은 이미 모두가 아는 일이다. 그리고 2010년 이후 연쇄적이고 폭발적으로 터진 초대량 개인정보 유출사고 역시 세계적 수준이라는 것도 모두가 아는 일이다.

이러한 현상은 지난 십수년간 시행됐던 인터넷 실명제와 맞물려 전 세계 어느 나라와도 비교하기 어려울 정도의 개인정보 침해문제를 야기했는데, 이는 한국인터넷진흥원 개인정보침해신고센터에 접수된 신고건의 급증으로도 쉽게 확인해 볼 수 있다.

본래 개인정보라는 것이 한번 침해되면 원상회복이 불가능한, 돌이킬 수 없는 피해를 낳는다는 점에서 법제도적으로 엄격한 규율이 필요하다는 인식이 높아졌고, 이에 2011년 개인정보보호법을 시행하였지만 현실은 그다지 크게 변화하지 못했다.

이미 만연화된 스팸광고와 여전히 무분별한 개인정보 이용 관행은 별로 개선되지도 못한 채, 우리 사회 전반에 걸쳐 개인정보 활용에 대한 부정적 인식만 더욱 가속화시키고 있다.

정보의 활용과 보호가 균형있게 추구되어야 한다는 것은 오늘날 당연한 명제가 되었고, 개인정보 부문에서도 그러하다. 그럼에도 불구하고 앞서 누차 언급한 각종 사건사고로 인해 우리나라 정보 관련 법률이나 정책은 주로 ‘보호’에 치중되었고, 아무래도 규제 일변도로 흐를 수밖에 없게 되었다.

그러나 글로벌 시장에서의 생존과 성공을 위해서 정보의 적극적 활용이 전 세계 모든 산업에서 화두가 되어 있는 만큼 이제는 당연한 명제를 어떻게 현실에서 성공적으로 달성하느냐 하는 문제에 실질적 해법을 구해야만 한다. 게다가 빠른 변화속도를 특징으로 하는 ICT산업의 특성상, 이는 차차 지켜보며 생각해볼 만큼 시간이 충분한 문제가 아니기에 해법 마련을 서둘러야 한다.

우선, 정보 ‘활용’ 하면 가장 먼저 떠올릴 수 있는 빅데이터 산업을 보자. 국내 ICT산업은 빅데이터 기법을 활용할 수 있는 잠재력을 갖추고 있으나, 엄격한 개인정보 보호 관련 법규나 국민의 정서, 미흡한 인력 및 투자 등의 문제로 기초적인 정보의 수집 및 저장, 검색 등의 단계에 머물고 있다는 분석이 일반적이다. 실제로 빅데이터 활용을 가로막는 개인정보보호 관련 법률을 가지고 있는 주무부처만 해도 행정자치부와 방송통신위원회, 금융위원회, 보건복지부 등이 있으며, 관련 법률의 규제 수준도 절대적으로 높은 편이다.

반면 상대적으로 개인정보보호 규제 등이 자유로운 해외에서는 기업이 안팎의 데이터를 광범위하게조합·활용하여 다양한 서비스 부문에서 활용하고 있어서 신산업의 가속도가 엄청난 상황이다.

그러므로 개인정보의 개념을 폭넓게 인정하고 높은 의무를 부과하고 있는 국내 법제도의 규제 때문에 개인정보 활용을 통해 창출할 수 있는 새로운 서비스 발굴이 위축된다는 국내 기업의 외침이 그저 볼멘소리에 그친다고 치부해버릴 수는 없는 노릇이다. 게다가 정부가 한편으로는 신산업을 장려한다고 하면서 또 한편으로는 개인정보보호의 장벽을 치고 있어서 구체적으로 어떤 서비스까지가 허용되는 범위 내에 것인지 실질적으로 알기가 너무나 어렵다는 것이 더 큰 문제로 지적되고 있다.

그러므로 글로벌 ICT산업에서 뒤처지지 않기 위해서는 빅데이터 기법을 통해 새로운 사업 기회를 창출할 수 있도록 어떠한 서비스가 관련 법률이나 제도를 위반했는지를 명확히 해 주어야만 한다. 산업현장에서 기업의 자체적 노력만으로는 현실적 장벽을 극복하기에 한계가 있기 때문에 산업을 장려하는 부처와 정보보호를 담당하는 부처 사이의 적절하고 올바른 타협점을 찾아서 이를 법제도로 구체화 시키려는 범정부 차원의 공동 노력이 필요한 것이다.

물론 현재 법제도의 틀 안에서도 빅데이터를 활용한 트렌드 분석 정도는 지금도 할 수 있으니, 전혀 활용을 못한다고 할 것은 아니다. 그러나 이러한 서비스는 기업 입장에서 해봐야 수익에 큰 도움이 되지 않는 것으로 여겨서 별다른 인적·비용적 투자가 이루어지지 않는 실정이다. 만약 이러한 현상이 앞으로도 계속된다면 우리나라는 글로벌 시장에 신산업의 발조차 내딛기 어려워질 수도 있을 것이다. 비단 빅데이터뿐 아니라 핀테크, IoT 등 미래를 위한 ICT산업 전반의 위축을 가져올 것은 명약관화하다.

요컨대 빠른 시간 내에 개인정보를 활용한 산업을 장려하면서도 정보를 제대로 보호할 수 있는 제도적 틀을 마련해 주어야 할 필요성이 절실한 시점에 서 있다. 개인정보의 보호와 활용 사이에서 새로운 사회적 합의점을 찾아 새로운 분야의 ICT산업을 보다 실용적으로 개척하고 발전시킬 수 있는 여건을 마련해 주어야 한다.

개인정보의 안전한 관리에 대한 믿음이 선행되어야

실질적이고도 구체적인 법제도의 개선을 통해 개인정보를 안전하게 보호하면서도 적극적으로 활용할 수 있는 적정선을 찾는 것이 시급한 문제인 점에 동의하지 않는 사람은 별로 없을 것이다. 그러나 개인정보 ‘활용’을 촉진하는 방향으로 규제를 개선하는 데 선뜻 나서기가 어려운 까닭은 그간 개인정보를 부주의하게 관리한 죗값으로 국내 ICT 산업이 이미 국민의 신뢰를 잃어버렸기 때문이다.

그러므로 법제도 개선보다 우선되어야 할 것은 바로 믿음의 회복이다. 잃어버린 신뢰를 회복하지 못하는 한, ‘보호’에 치중되어 있는 현행 법제도의 고삐는 조금이라도 느슨해지기 어렵고, 결국 정보 ‘활용’을 통한 산업의 촉진도 기대할 수 없기 때문이다. 다시는 과거와 같은 개인정보 침해사고를 일으키지 않으리라는 단단한 믿음이 선행되어야 하는 것이다. 그렇다면 지금 우리는 이러한 믿음을 회복하기 위해 어떠한 노력을 해왔고, 또 해 나아갈 것인가를 반추해 보아야 한다.

우선 엉망진창이던 개인정보 관리 현실을 극복하기 위해 단일한 법률 ‘개인정보보호법’을 만들어 전 세계 어느 나라 개인정보보호 법제보다도 넓고 촘촘한 규제의 틀을 짰다.

개인정보의 수집 단계에서부터 파기에 이르는 전 과정에서 지켜야할 크고 작은 원칙과 의무를 법제화했고, 위반 시에는 처벌도 매우 강하게 하였다. 행정자치부와 방송통신위원회는 법률이 잘 지켜지도록 끊임없는 점검과 단속을 해왔고, 인식의 제고와 제도 정착을 위해 캠페인 등 각종 홍보활동도 부단히 해왔다. 그러는 한편 제도적 허점을 보완하는 법 개정에 그치지 않고, 사회 현상의 변화를 선제적으로 이끌고 나아갈 수 있는 법률의 개정작업도 활발히 전개되고 있다.

2012년과 2014년에 각각 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’과 ‘개인정보보호법’상 주민등록번호 처리 법정주의를 신설하여 무분별한 주민등록번호 오남용 현상을 법률로 개선하고자 하였고, 2016.8.6.까지는 법령상 근거가 없는 주민등록번호의 전면 파기가 이루어지도록 해 사회 전 분야에 걸쳐 수십년 간 지속되었던 개인정보 처리 관행을 바꾸려 하고 있다.

개인정보 유출 공화국이라는 오명의 주범으로 지목되고 있는 주민등록번호 처리 관행의 극복과 더불어 정보 자체의 안전한 관리를 더욱 튼실히 하기 위하여 2016년 1월 1일부터는 주민등록번호 암호화를 법률로 의무화하고 있다.

이와 같이 제도적 개선을 통해 잃어버린 신뢰를 회복하기 위한 노력이 이루어지고 있으니, 이러한 정책이 실효성을 거둘 수 있을지는 이제 개인정보를 일선에서 직접 다루는 각 기관과 기업들의 몫이다.

기업 스스로 개인정보 관리를 위해 적극적이고 충분한 인적·물적 투자를 아끼지 않고 고객정보를 안전하게 지키는 모습을 실천으로 보여주는 것이 급선무인 것이다. 이러한 노력이 국민들로부터 인정을 받고 나서야, 비로소 개인정보의 올바른 활용을 논할 수 있을 것이기 때문이다. 산업 육성만 강조하며 정보의 안전한 관리를 소홀히 한다면, 결국 국민의 신뢰도 글로벌 시장에서의 생존도 모두 잃어버리게될 뿐이다.

기업이 자체적으로 정보를 믿고 맡길 수 있도록 안전하게 관리할 수 있는 역량을 키워내야 한다. 그러한 노력을 부지런하고 부단히 해야 한다. 그렇게 하고 나면 ICT산업 육성을 위한 ‘올바른 개인정보 활용’이 논의될 수 있을 것이고, 이를 지지하고 지원할 수 있는 실질적이고 구체적인 법제도의 개선이 함께 이루어질 수 있을 것이다.

[글_최 경 환 한국인터넷진흥원 책임연구원/법학박사(loraciel@kisa.or.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>