• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개인정보 보호와 활용의 균형...비식별화 정착 여부가 좌우 2017.08.29

개인정보 익명화의 두 가지 방법, 데이터 마스킹과 비식별 조치
이맘 박사, 재식별 통한 개인정보 유출시 기업 책임...보호 노력 여하에 처벌 달라져

[보안뉴스 원병철 기자] 개인정보 비식별 조치 가이드라인이 2016년 6월 발표된 이후 각 공공기관과 기업들은 보유한 개인정보를 비식별화하는 데 초점을 맞추고 있지만, 비식별화를 위한 기술적 조치를 취할 수 있는 관련 전문가나 담당자가 많지 않아 어려움을 겪고 있다. 이러한 가운데 가이드라인 작성시 주요 참고문서로 알려졌던 온타리오 주 ‘구조화된 데이터의 비식별 조치 가이드라인(De-identification Guidelines for Structured Data)’의 저자이자, 비식별 조치 분야 최고 전문가 중 한명인 칼레드 엘 이맘(Khaled El Emam) 박사가 내한해 가뭄의 단비와 같은 조언을 들려주었다.

[이미지=iclickart]


한국신용정보원과 한국인터넷진흥원이 공동으로 주최한 ‘개인정보 비식별 조치 해외사례 공유 세미나’에서 단독으로 강연한 이맘 박사는 주로 연구한 보건의료 데이터를 중심으로 개인정보 비식별조치 방법과 문제점, 그리고 해결방안 등에 대해 무려 4시간이 넘는 시간동안 강연했다. 특히, 질의응답은 예정된 시간인 1시간을 훌쩍 넘기며 진행돼 그동안 국내 기관 및 기업의 개인정보보호 담당자들의 어려움이 얼마나 컸는지를 짐작할 수 있었다.

이맘 박사는 익명화를 위해서는 데이터 마스킹과 비식별 조치의 두 가지 방법이 있는데, 데이터 마스킹의 경우 산업화가 진행됐을 정도로 크게 발전했다고 설명했다. 툴을 만들어 지원하는 회사도 많고, 금융권 등 이를 적극 활용하는 기업들도 많다는 것이다. 또 다른 한 가지인 비식별의 경우 데이터에 변형을 주는 방법인데, 여기서 문제는 이렇게 되면 데이터 애널리스트가 다루기 어려워 한다는 사실이다. 이에 데이터 애널리스트가 잘 활용할 수 있도록 데이터를 변형하는 것이 매우 중요하다고 이맘 박사는 강조했다.

강연이 끝나고 이어진 질의응답 시간에서 가장 관심을 끈 질문은 “우리나라는 개인정보 유출사고가 빈번해 개인정보 활용에 대해 국민들이 부정적이라는 입장이다. 해외에서는 개인정보 활용에 대한 반대는 없는가”였다. 이에 이맘 박사는 “개인정보의 보호와 활용의 균형잡기가 굉장히 중요하다”면서 “보호와 활용에 따른 경제적 이득 간의 균형점을 잡는 사회적 합의가 중요한데, 이는 사실 국가의 신뢰도가 영향을 좌우한다”고 설명했다.

“규제당국은 이러한 합의를 위해 국민을 설득시키는 게 중요합니다. 적당한 프로세스를 마련하고, 유용한 정보를 공유할 수 있어야 합니다. 미국과 유럽은 반발이 크게 없는 상황입니다. 합리적인 프레임워크를 마련하고, 사회적으로 도움이 될 연구를 진행하기 때문이죠. 물론 경제적 혜택도 주어져야 합니다.”

비식별 조치에 대한 기업의 책임을 묻는 질문도 나왔다. 우리나라에서 비식별 조치에 대해 논의한지 얼마 안 됐기 때문에 실제 기업 현장에서 아직 사용하기는 어렵다는 것. 이에 재식별화 등의 문제가 생겼을 때 기업에게 책임을 묻는 것에 대해 어떻게 생각하냐는 질문이었다.

▲ 칼레드 엘 이맘(Khaled El Emam) 박사[사진=보안뉴스]

이에 이맘 박사는 재식별에 대해서는 “현재로선 미국과 캐나다 등에서도 판례법이 없다”고 설명했다. 그래서 판사들도 실제 사건 발생시 기업에게 책임을 얼마나 물을 수 있을지 알 수 없다고 언급했다. 다만 정부에서도 제로 리스크는 기대하지 않기 때문에 해당 기업이 얼마나 적극적으로 비식별 조치를 취했는지, 얼마나 좋은 솔루션을 사용했는지를 판단한다고 조언했다.

“물론 여러 조치들을 마련했다고 해서 책임이 없어지는 것은 아닙니다. 하지만 충분히 처벌수위나 벌금 등을 낮출 수는 있겠죠. 그리고 문제가 생겼다고 해서 비식별 조치를 대행한 회사에 책임을 물수도 없습니다. 재식별화에 대한 문제는 오롯이 해당 기업에게 있습니다.”

같은 맥락에서 비식별 조치에 대한 전문가가 별로 없다는 질문도 있었다. “사실 전문가가 풍부하지 않다는 게 문제입니다. 그래서 기업들은 통계 전문가를 대신 불러오죠. 문제는 비식별 조치가 통계 분야 내에서도 굉장한 전문분야이기 때문에 적절한 트레이닝이 중요한데, 이 트레이닝을 받지 않은 통계 전문가들이 많다는 겁니다. 그래서 우리는 표준화기구를 중심으로 표준 트레이닝과 비식별 전문 자격증 등을 만들어 인재 풀을 넓히는 데 주력하고 있습니다.”

비식별 조치와 관련해 전 세계에서 사용되는 접근법을 소개한 이맘 박사는 각 국가별로 법과 규제가 다르기 때문에 한국에 얼마나 효율적으로 적용할 수 있느냐는 관련 기관과 기업의 몫이라면서도 한국은 개인정보보호에 상당히 엄격한 편이므로 좀 더 도전적인 자세로 연구와 적용에 임해줬으면 좋겠다고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>