Anonymity, 개인정보 지키며 빅데이터 활성화
최근들어 해외시장에서 IoT로 인한 개인정보 이슈에 대해 관심을 갖고있다. 특히 IoT 안의 빅데이터에서 개인정보를 활용해 산업을 어떻게 부흥시킬까하는 측면의 논의가 활발해지고 있다.
최근 산업교육연구소가 주관한 ‘2016년 IoT 시장확대를 위한 핵심분석 및 실증사업과 성공사례 세미나’ 중 IoT 관련 최근 보안이슈 및 개인정보 보호정책과 해결방안에 대한 한국인터넷진흥원 윤석웅 팀장의 발표 내용을 정리했다.
▲ 윤석웅 팀장
IoT 연결기기의 약 70%가 보안 취약점에 노출돼 있다. 2010년부터 무선 공유기가 해킹돼 여러가지 데이터가 노출되기도 했고, 작년부터는 CCTV가 해킹돼 영상이 노출됐다는 뉴스가 지속적으로 제기되고 있다.
개인정보의 정의는 살아있는 개인에 관한 정보로서 정형데이터다. 성명이나 주민등록번호 및 영상 등을 통해 개인을 직접적으로 알아볼 수 있는 정보이다.
그런데 여기서 단서조항이 하나 더 붙은 게 정형화된 데이터가 아님에도 다른정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다. 이러한 정의 때문에 과거에는 직접적으로 식별할 수 있는 정보가 주류를 이뤘던 반면에, 요새는 다른 정보와 결합해서 개인을 식별할 수 있는 정보가 파악돼 개인정보에 대한 개념도 점점 확대되고 있다.
개인정보 유출 문제
개인정보는 세가지 측면에서 많은 활용도가 있는데 첫째, 헌법에서 제시하고 있는 개인정보 자기 결정권, 두 번째, 기업이라는 측면에서는 개인정보를 기반으로해서 모든 경제활동이 이뤄진다. 개인과 기업을 묶어 사회측면에서 봤을 때에도 모든 개인정보는 모든 경제생활에 근간이 되고 있다. 세 번째, 사회활동의 개인정보 데이터를 기반으로 빅데이터 분석을 통해 만든다. 개인에 대한 가치로서 많은 것을 포함하고 있다.
2000년대 넘어오면서 사이버 범죄가 정치적인 것과 근전적인 목적으로 일어나고 있다. 최근에는 Cybercrime-as-a-Server라는 표현이 등장하면서 이제 서비스라는 측면에서 범죄를 얘기하기 시작한다.
흔히 말해 돈을 지불하면 사이트를 해킹해 개인정보를 받고 있다. 내용 구성별로 유출된 카드정보를 암거래 가격이 크게 차이가 난다. 계좌번호와 같이 한번 유출이 되었을 때 바꿀 수 있는 휘발성 정보들은 고가에 거래되지 않는다. 이에 반해 주민번호, 개인 헬스데이터와 같이 바꾸지 못하는 데이터는 고가에 거래된다.
실제로 2011년 9월, 개인정보보호법 시행 후 개인정보 유출 신고 현황을 보면, 2011년 9월부터 2013년 12월까지 19건으로 약 2971만명, 2014년 1월 카드 3사 개인정보 대량 유출 발생으로 8328만명, 2014년 2월부터 2015년 6월까지 41건으로 1711만명의 개인정보가 유출됐다. 개인정보 유출의 원인에는 해킹에 의한 유출사고, 담당자의 부주의, 여러 가지 제도에 의한 처리문제가 있다.
개인정보보호 VS 정보보호
개인정보보화 정보보호 개념자체는 유사하면서도 차이가 있다. 개인정보보호는 개인에 대한 정보를 보호한다는 것으로, 개인을 식별하거나 유추할 수 잇는 정보를 보호하는 측면이다. 정보보호는 수없이 쌓여있는 정보를 보호하기 위해서, 정보가 들어있는 시스템이 해킹되지 않게 보호하고, 신속하게 정보가 유출되는 것을 차단한다.
만약에 정보가 유출되면 신속하게 차단하고 빨리 복구해서 다시 서비스가 이뤄지게끔 하는 게 요새 많이하는 정보보호의 관점이다. 이에 반해 개인정보는 한번 나가면 이미 소용 없어지기 때문에 애초에 유출되지 못하도록 최대한 보호하는 게 개인정보보호측면의 관점이다. 때문에 우리나라에서는 개인의 동의없이는 수집할 수 없고, 제3자에게는 제공할 수 없을뿐더러 이런 개인정보를 보호하기 위해서 여러 가지 기술적이나 관리적으로 보호조치를 하게한다.
출근할 때부터 교통카드,곳곳에서 정보를 수집하는 CCTV, 수시로 주고받는 명함 등을 통해 지속적으로 개인정보가 생산되고 있다.
매일 생산되는 데이터들을 5가지 단계를 순서대로 관리하고 있다. 수집, 제공, 저장관리, 파기, 권리보장으로 보호를 하고 있다.
IoT에서 법상으로 개인정보를 수집하거나 활용할 때는 무조건 개인의 동의가 필요하다. 헬스케어 관련 IoT 기기는 개인의 정보가 데이터 브로커들에게 모이면 그 데이터는 개인을 식별할 수 있는 정보가 된다.
내가 어느 정보를 수집하고, 정보가 어느 사업자에게 넘겨져서 어디까지 활용된다는 것들에 대한 동의를 받아야 한다. IoT 디바이스에서 정보를 수집할 때 그 사람에게 어떻게 정보들을 활용할지 알려주는 것들이 지금 개인정보에서 가장 큰 이슈가 되고 있다.
개인정보보호의 6가지 전략
첫 번째, Redefinition-개인정보다. 개인정보보호법 중 개인정보에 대한 정의가 바뀌어야 한다고 많은 사람들이 주장한다.다른 정보와 쉽게 결합해서 식별할 수 있는 정보가 개인정보의 정의라 하는데, 이 정의만 바뀌더라도 상당수 산업의 문제점을 해결할 수 있다.
두 번째, 포괄동의와 사후동의가 필요한 시점이 오고 있다. 처음에 서비스를 제공받을 때 사업자들은 포괄적인 동의를 받고, 나중에 사용자의 비선호 의견에 따라 동의하지 않는 부분의 정보는 수집하지 않도록 하는 포괄동의와 수집한 데이터들은 적절한 절차에 의해 활용하지 못하도록 하는 사후동의절차 두개를 모두 양립해서 진행해야 한다.
세 번째, Privacy by Design이다. 웹사이트 사용을 할 때 동의함에 미리 체크가 되어있지 않게끔 해 사용자가 한번 읽어보고 체크하며 사용자의 의지가 반영하게 돕는다.
네 번째, 동의를 받아 수집한 정보들이 원래 목적에 의해서 사용되지 않은 경우에는 법에 의한 처벌이 강하다. 이용목적이 변경됐어도 반드시 동의절차는 거쳐야 한다.
다섯 번째, Cross-Border Transfer이다. 우리나라 정보를 해외로 보내거나 해외의 정보를 우리나라에 가져와 사용할 수 있는 것이다. 이에대한 사례로, 평창올림픽은 우리나라에서 정보를 수집하지만, EU나 미국의 정보이기 때문에 해외로 정보가 보내져 동의를 받은 후 다시 우리나라에 와서 작업하는 굉장히 복잡한 프로세스로 처리될 수밖에 없는 구조다.
그래서 해외의 기구나 다른 나라들과 개인정보를 표준화에 의해서 모든 나라들이 동일한 절차에 의해서 동일하게 활용되면 이제 누구나 외국에 있는 정보를 쉽게 가져와 마케팅에 활용할 수 있다.
여섯 번째, Anonymity다. 빅데이터에서 개인을 식별할 수 있는 자료는 익명을 해야하고 그것들을 활용하다가 나중에는 파기해야 한다. 해외나 우리나라 빅데이터 활성화 법안을 살펴보면, 빅데이터에서 익명화된 정보들은 개인정보로 보지않고 사업적인 측면에서 활용할 수 있다.
개인정보를 잘 보호하면서도, 산업적인 측면에서 활용될 수 있어서 그것들로 인해서 우리나라가 발전하고 도약할 수 있는 시점이 가까이에 있다. 다만 현행법에서 아직은 허용하지 않고 있는 부분에 대해서 면밀히 살펴봐야 한다.
정리 : 김연주기자 (eltred@hellot.net)
