[포럼] 데이터 활용과 보호, 最適은 어디인가

박춘식 아주대 사이버보안학과 교수

  •  
  • 입력: 2020-02-09 18:39
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


[포럼] 데이터 활용과 보호, 最適은 어디인가
박춘식 아주대 사이버보안학과 교수
2020년 1월 9일, 개인정보보호법·정보통신망법·신용정보보호법의 개정을 지칭하는 '데이터 3법'이 국회를 통과해 오는 7월 중순 경 시행을 앞두고 있다. 빅데이터 등의 제4차산업이 개인정보 보호 규제 때문에 개인정보의 활성화 및 관련 산업이 제대로 발전하지 못한다는 주장과 함께, 개인정보 보호 관련 법 개정에 대한 '개인정보보호 3법'임에도 불구하고 '데이터 3법'이라고 주장해오던 그 법이 이제 통과된 것이다.

그러나 개인정보 주체의 권리와 관련 산업 발전 간의 균형과 조화를 고려해 만들어진 법률이라는 주장에도 불구하고 이번에 통과된 데이터 3법은 개인정보보호 면보다 다소 산업 발전 쪽으로 치우친 면이 있다고 생각할 수 밖에 없다. 분명 가명 정보의 개념 도입은 개인정보의 활용에는 도움이 되겠지만 아무리 개인정보보호를 완벽하게 한다고 해도 개인정보보호 관점에서는 분명히 후퇴할 수 밖에 없는 개념이기 때문이다.

개인정보 처리자가 별도 보관한 추가 정보가 내부자나 해킹 등으로 유출되거나 또는 새로운 추가 정보가 발생하는 등으로 인해 특정 개인을 식별할 수 있거나, 추가 정보가 없다고 하더라도 가명 정보로부터 특정 개인정보를 식별하는 기술이 이미 존재하거나 또는 새로운 기술이 등장하게 되면 당연히 개인정보보호 수준은 후퇴할 수 밖에 없기 때문이다.

또한 가명 정보 처리 시 금지의무 등에 대한 규정이 있어 가명 정보로부터 특정 개인정보를 알게 되어 가명 처리를 중지하고 회수 파기한다고 하여도, 이미 유출되어 버린 개인정보는 회수되기 어렵다. 이로 인해 생겨나는 추후의 문제를 막기가 너무나 어려운 상태다.

또한 개인정보 유출 사건이 너무나 범람해 이미 주민등록번호를 비롯한 우리나라 국민의 개인정보가 더 이상 개인의 것이 아니라 글로벌 정보이며 공유정보이자 공공재라는 사실이 되어버린 지가 이미 오래되었다. 제4차 산업혁명 시대로 인한 개인정보의 범람 또한 우려되는 우리나라의 개인정보보호 환경에서, 가명 처리를 위협하는 추가 정보의 존재는 넘치고 있다. 예상하지 못한 새로운 유사·추가 정보의 등장으로 인하여 추가 정보 입수의 용이성은 지속적으로 높아질 수 밖에 없다고 생각된다.

머지 않아 가명정보의 무분별한 판매 또는 제3자 제공에 관한 소식들이 들려오게 될 것이다. 대통령령에서 정한 가명 처리에 관한 각종 조치를 통과한 기업이나 기관의 가명 정보가 해킹 등에 의한 각종 수단에 의해서 개인정보보호 목적이 달성되지 못할 수 있다. 가명 처리를 활용한 개인정보처리자의 합법적 조치와 동의 없이도 제3자 제공을 할 수 있는 동의 제도 우회수단 만이 제공되거나, 오히려 개인정보 남용 확대와 유출 책임 면제 효과만 주게 되는 상황이 도래할 수도 있게 될 것이다.

따라서 데이터 3법은 이미 통과되었지만 시행령과 가이드라인을 만드는 후속 조치 단계에서라도 제대로 된 개인정보보호를 마련해야만 한다. 이제는 산업계 등에서 원하였던 바대로 법이 통과되었으니, 개인정보 유출이나 피해를 우려하는 보다 넓은 전문가들이 참여하여 개인정보보호 대응을 위한 제대로 된 대책들을 만들어야 할 것이다. 그 내용들이 시행령이나 가이드라인에 담겨 국민들이 우려하는 개인정보 유출이나 남용 등에 대한 피해를 최소화할 수 있도록 지혜를 모아야 할 것이다.

개인정보처리자의 책임 강화를 위한 제도적 뒷받침은 물론이고 기업이나 기관의 개인정보호에 대한 인식과 대응 능력 강화가 함께 병행되도록 해야만 한다. 개인정보처리자들이 개인정보보호가 유출되거나 남용되어서 발생하는 개인이나 기업 등의 피해 심각성에 대한 인식, 개인정보보호가 규제보다는 기본 기능이라는 인식, 개인정보보호에 대한 대응을 비용으로 보는 것이 아니라 투자로 보는 인식 등의 개선이 이루어지지 않으면 제대로 된 개인정보보호는 결코 이루어지지 않을 것이다.

특히 개인정보보호에 대한 법 제도 조항의 컴플라이언스만 고려하는 수동적인 방식이 아니라, 정보보호 전문 인력 양성 및 훈련, 개인정보보호 기술 개발 및 활용, 개인정보보호 운영 관리 등 개인정보처리자들의 능동적이고 적극적이며 선제적인 대응과 인식이 법 제도 준수와 함께 병행돼야만 후퇴한 개인정보보호를 그나마 조금이라도 보완해 주지 않을 까 생각한다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사