IoT 기기 홍수 속 개인정보보호는 어디까지?
유럽식 vs 미국식, 혁신 vs 프라이버시 사이의 균형점 모색 필요

[시큐리티월드 김성미] 개인의 사생활 보호는 가볍게 여길 수 없는 문제지만 정보보호에 대한 규제는 비용도 발생시킨다는 주장이 제기됐다. 이로 인해 2016년은 개인정보의 보호와 동시에 효과적인 활용을 위한 균형점을 찾는 일이 주요 보안이슈로 부각될 것으로 보인다.

미국은 자유로운 개인정보 이용을 허용해 IT 산업의 혁신을 촉진하고 사회적 투명성을 높였지만 최근 사물인터넷(IoT)과 같이 개인정보를 수집하는 기기들이 급증하면서 개인정보의 보호 수준을 높여야 한다는 목소리도 커지고 있다. 반면, 유럽의 엄격한 개인정보보호 규제는 소비자들의 사생활을 보호하고 부정 결제와 같은 피해를 예방하고 있지만 IT 경쟁력을 저하시킨다는 우려를 낳고 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
최근 LG경제연구원은 ‘미국식·유럽식으로 본 개인정보 보호의 비용과 편익’ 보고서를 통해 “유럽과 같이 정보보호 수위가 높으면 개인의 사생활은 보호될 수 있지만 기술 혁신을 방해하고 사회적 투명성을 낮출 우려가 있으며, 미국과 같이 보호 수준이 낮으면 사회적 투명성을 높이고 새로운 기술의 개발을 촉진하는 효과가 있지만 개인의 불안은 커질 수 있다”고 설명했다. 또한 “IT 기술 혁신에 따라 개인정보를 침해할 우려가 있는 요인을 파악하고 대처하기 위한 보안 기술의 개발이 점점 필요해지고 있다”고 지적했다.

미국식 vs 유럽식
1995년에 제정된 유럽의 개인정보 지침은 엄격한 보호 방식을 채택하고 있으며, 세계 대부부이 유럽을 본받아 개인정보를 보호하고 있다. 우리나라도 기본적으로 유럽의 방식을 따르고 있다.

유럽 지침에 따르면 소비자를 인식할 수 있게 한 모든 정보는 개인정보이며, 소비자가 동의해야만 개인정보를 수집하고 이전할 수 있다. 만약 소비자 몰래 정보를 수집하거나 이전하면 과징금을 물거나 손해배상을 해야 한다. 일부 유럽연합(EU) 회원국들은 형사처벌도 가능하도록 했으나 실제로 처벌을 하는 나라는 거의 없다.

반면, 미국은 기본적으로 개인정보를 다른 사람이 수집할 수 있다는 입장이다. 이는 미국의 헌법과 가치관에 따른 것으로 미국의 헌법은 알 권리는 보호하지만 개인정보를 명시적으로 보호하지는 않는다.

다만 법률이 특별히 정한 운전면허번호, 의료기록과 같은 일부 개인정보에 한해 수집과 거래가 금지될 뿐이다. 이 밖의 정보는 소비자 동의 없이도 수집과 거래가 가능하며 실제로 많은 기업이 이렇게 하고 있다.

그러나 자국에서 개인정보를 자유롭게 허용하는 미국기업이 유럽이나 다른 국가에서 사업을 하는 경우에 제재를 받는 경우가 늘고 있다. 미국 IT 기업들이 개인정보를 활용한 혁신적인 서비스와 기술을 개발해 다른 나라로 진출하는 과정에서 다른 나라의 제도와 충돌하고 있기 때문이다.

유럽 각국 정부가 페이스북이나 구글이 개인정보를 보호하지 않고 있다는 이유로 과징금을 부과하거나 제재를 하는 것이 이에 해당한다. 우리 법원도 구글이 한국인의 개인정보를 미국 정부에 넘길 경우 이를 공개해야 한다고 판결했다.

혁신 vs 프라이버시
최근 IT 기술의 발전으로 개인정보 보호 수준과 범위에 대한 논란은 더욱 커지고 있다. 빅데이터와 IoT 시대가 오면서 개인정보 유출이 심각한 문제로 대두되고 있는 것이다. 이는 미국도 마찬가지다. 과거보다 개인정보를 수집할 수 있는 기기와 센서가 폭증하고 있으며, 생산되는 개인정보의 양도 과거와 비교할 수 없을 만큼 커지고 있어서다.

글로벌 IT전문 시장조사업체 가트너는 2020년까지 네트워크에 연결된 디바이스가 500억개까지 늘어날 것이라며 IoT 기기의 폭증을 예상하고 있으며, 개인정보 유출로 입을 수 있는 피해의 강도도 과거보다 늘어날 것으로 예측하고 있다.

얼굴인식 기술이 지나치게 많은 개인정보를 만든다는 문제도 있다. 얼굴인식 기술의 발전으로 동영상에서 소비자의 얼굴을 파악할 수 있게 될 경우 개인정보 유출 위험이 더 커질 수 있다는 우려 때문이다.

거리와 매장에 설치된 CCTV를 통해 소비자의 구매와 행동정보를 모두 파악할 수 있게 됨으로 일반인들은 그동안 누릴 수 있었던 익명의 자유 대신 일거수일투족에 대한 정보를 수집당할 수도 있게 된다는 것이다. 이 기술로 암살, 강도, 스토킹이 보다 쉬워질 것이라는 우려도 있다.

여기에 음성인식 기술이 더해진다면 기업이나 정부는 나와 친구들 간의 대화도 수집해 분석할 수 있게 된다.

‘보안’ 수요 증가세
한편 빅데이터, IoT, 바이오인식 등 IT 기술의 혁신이 지속됨에 따라 개인정보를 침해할 우려가 있는 요인을 파악하고 대처하기 위한 보안 기술의 개발이 점점 더 필요해지고 있다.

문병순 LG경제연구원 책임연구원은 “우리나라는 유럽처럼 엄격한 개인정보보호 방식을 채택하고 있지만 어느 부분에서는 더 엄격하다”면서 “개인정보보호와 사회적 후생 및 편익을 위한 개인정보 활용 간의 균형을 위해서는 단순히 규제의 수위를 정하고 준수하는 것 외에 보안기술에 대한 적극적인 투자도 필요하다”고 강조했다.

최근 정부가 추진하고 있는 비식별화된 개인정보 이용의 허용도 이와 같은 맥락에서 추진되고 있다는 것.

‘개인정보 비식별화(De-identification)’란 개인정보의 일부 또는 전부를 삭제 또는 대체하거나 다른 정보와 쉽게 결합하지 못하도록 해 개인식별 요소를 제거하는 방법이다. ‘재식별화(Reidentification)’는 비식별화한 개인정보를 다른 정보 또는 데이터와 비교, 연계, 결합 등을 통해 특정 개인을 알아볼 수 있도록 하는 조치다.

기업 입장에서도 개인정보보호와 새로운 서비스 개발을 위해 비식별화 기술과 보안기술에 적극적인 투자가 필요해지고 있다. 이렇듯 정부의 균형 잡힌 규제와 함께 기업의 적극적인 보안기술 투자가 동시에 요구되고 있는 셈이다.
[글 시큐리티월드 김성미 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드 (http://www.securityworldmag.co.kr) 무단전재-재배포금지>