[DT광장] `개인정보 비식별화` 도입 서둘러야

  •  
  • 입력: 2015-04-13 18:53
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[DT광장] `개인정보 비식별화` 도입 서둘러야
이문형 한국보메트릭 대표

몇 해 전부터 빅데이터는 제조, 마케팅 등 광범위한 분야에서 경쟁력을 제공할 첨병으로 기대를 모으며 황금 알을 낳는 거위로 불렸다. 실제로 최근 은행, 카드사, 보험사 등 금융권을 중심으로 빅데이터 분석을 활용한 고객 마케팅을 통해 비즈니스 성과를 내고 있다는 반가운 소식이 들린다. 하지만 빅데이터의 활성화가 한계점에 이른 것으로 보인다. 각종 개인정보에 대한 중요성이 대두하면서 사람들이 정보의 수집에 민감해졌기 때문이다. 특히 많은 양의 정보를 담아 분석하고 재가공해야 하는 메커니즘을 가진 빅데이터의 개인정보침해의 문제는 확산을 위해 꼭 풀어야 할 숙제다.

지난해 미래창조과학부와 한국정보화진흥원(NIA)은 빅데이터 산업의 활성화와 개인정보보호라는 두 마리 토끼를 잡기 위한 대책으로 '개인정보 비식별화 지침'을 제시했다. 개인정보 비식별화란 주민등록번호, 전화번호, 계좌정보처럼 특정한 개인을 나타내는 요소의 일부 또는 전부를 삭제 및 대체함으로써 누구인지 알아볼 수 없도록 정보를 가공하는 일련의 조치를 말한다. 기업들은 데이터의 수집, 분석 및 실제 활용 등 각 단계별로 이러한 조치를 수행함으로써 개인정보의 오·남용에 대한 우려 없이 안전한 빅데이터 분석을 진행할 수 있다는 것이다. 또 비식별화 조치를 거친 정보는 개인 사용자의 동의 없이도 제3자에게 제공할 수 있도록 허용해 국내 빅데이터 활성화에 대한 사업자들의 기대감을 높이고 있다.

개인정보 비식별화는 작년 한 해 동안 온 나라를 떠들썩하게 했던 고객정보 유출 방지에 있어서도 획기적인 해결책이 될 수 있다. 지난해 초 발생한 신용카드 3사의 개인정보 유출사고의 경우에도 '고객 정보를 비식별화 처리해 저장했더라면 데이터 유출 시에도 실제 개인정보는 안전하게 보호할 수 있었을 텐데'하는 아쉬움이 든다.

그렇다면 과연 개인정보 비식별화를 어떻게 구현해야 할까? NIA에 의하면 비식별화는 가명처리 및 총계처리, 데이터 값 삭제, 범주화, 데이터 마스킹 등 다양한 방법을 통해 구현할 수 있다. 그 중에서도 실제 데이터의 형태는 그대로 유지하면서 개인정보 중 주요 식별요소만을 다른 값으로 대체하는 가명처리는 토큰화 기술을 통해 효과적인 대응이 가능하다. 중요 데이터를 아예 삭제하거나 평균값으로 대체할 경우 정보의 질을 급격히 떨어뜨려 분석 효과가 감소한다. 또한 일부 데이터를 x나 *등의 기호로 대체해 '홍길동'을 '홍**'으로 표시하는 데이터 마스킹은 공개된 일부 정보를 다른 데이터와 비교, 연계, 결합해 특정 개인임을 알아볼 수 있는 재식별화의 위험이 있다.

이에 반해 속성 유지(Format-preserving) 토큰화 기술을 활용해 가명처리하면 민감한 데이터를 원본 데이터와 형식적으로는 유사하지만 아무런 의미가 없는 즉, 재식별화가 불가능한 토큰으로 대체시켜준다. 따라서 악의적인 의도로 데이터를 훔쳤다 해도 데이터가 가명처리 된 것인지 알아내기까지 비교적 많은 시간이 소요되며, 설사 이를 알아차렸다 해도 실제 데이터를 식별해내는 것은 불가능하기 때문에 보안 효과를 극대화 할 수 있다. 빅데이터의 활용을 통해 새로운 비즈니스 기회를 포착하고, 기업의 존폐를 좌우하는 정보 유출을 철저하게 예방하고자 하는 기업이라면 토큰화 기술을 통해 제대로 된 '개인정보 비식별화' 조치를 서두르기 바란다.

이문형 한국보메트릭 대표

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사