빅데이터 개인정보 침해 해결방안 - bigdeiteo gaeinjeongbo chimhae haegyeolbang-an

지난 16일 윤종인 개인정보보호위원장이 기자간담회를 열어 기자들의 질문에 답하고 있다. 개인정보보호위원회 제공

“정부와 민간을 포함해 10대 주요 분야의 개인정보 침해 실태를 조사해 국민에게 설명하겠다.”

윤종인 개인정보보호위원장이 지난 16일 기자간담회를 열어 한 말이다. 그는 “더 촘촘한 개인정보 침해 실태조사가 필요하지만 인력이 부족하다”고 하소연하기도 했다. 문득 국민·이용자가 개인정보·프라이버시 권리에 눈을 떠 정부기관·기업의 침해 행위를 감시할 수 있게 하면 더 효율적으로 대응할 수 있을 것 같다는 시민단체 전문가의 조언이 생각나 “국민·이용자들의 개인정보·프라이버시 리터러시(문해력·개인정보 및 프라이버시 관련 권리를 이해하고 대응하는 능력)를 키워 정부기관·기업을 감시할 수 있게 하는 방법도 생각해볼 수 있지 않느냐?”고 물었다.

디지털화 가속화와 인공지능(AI) 시대 도래로 개인정보·프라이버시 보호의 중요성이 갈수록 커지고 있다. 실제로 ‘빅데이터’란 이름으로 고객·회원·이용자 개인정보를 수집해 활용하는 기업들이 많아지고, 정부기관의 개인정보 침해 사례도 늘고 있다. 모든 정부기관과 기업들을 개인정보호위원회 홀로 감시하는 건 현실적으로 불가능하다.

개인정보위는 개인정보·프라이버시 침해 행위를 막을 법·제도와 처벌 기준을 만들고, 실제 감시는 국민·이용자가 하게 하면 어떨까. 시민들이 민주화에 눈을 뜨면서 촛불을 들었다. 만약 국민·고객·회원·이용자·누리꾼들이 개인정보·프라이버시 보호가 헌법으로 보장받는 시민의 권리이고, 이를 위반한 정부기관·기업은 엄한 제재를 받게 하는 동시에 피해보상까지 받아낼 수 있다는 걸 이해한다면. 내 개인정보와 프라이버시 데이터 가운데 어떤 것들을 수집해 어디에 활용하고 이 과정에서 관련 규정을 제대로 지키는지 관심을 갖고, 수집·이용 내역에 대한 열람을 요청한다면.

정부기관·기업이 감히 개인정보·프라이버시를 침해할 엄두를 낼 수 있을까? 2차 개인정보보호법 개정안대로라면 과징금이 전체 매출의 3%까지 늘어나는데. 개인정보보호위는 개인정보·프라이버시 보호 원칙과 수집·활용 절차 및 위반시 처벌 기준을 쉽고 분명하게 정한 뒤 국민에게 ‘내가 살아갈 세상은 물론이고 자식이 살아갈 세상을 위해’ 나서달라고 하면 된다.

하지만 이날 윤 위원장의 답변을 보면, 개인정보보호위는 아직 이 부분은 고민하고 있지 않는 듯하다. “리터러시 제고 공감한다. 다만 어떻게 할 수 있을지 고민이다. 학교 교육 및 청소년 교육 프로그램에 개인정보·프라이버시 리터러시 교육 과정을 넣는 방안을 교육부·지방자치단체 등과 협의해볼 수 있을 것 같다. 기업들이 자율보호협의체를 개인정보·프라이버시 리터러시를 높이기 위한 캠페인을 할 필요가 있다고 본다.”

김재섭 선임기자 겸 사람과디지털연구소장

□ 주 제: 빅데이터와 개인정보: 문제점 및 해결책
□ 발 표: 김용대 교수(서울대학교 통계학과)
□ 일 시: 2019년 10월 22일 12:00 ~ 13:30
□ 장 소: 경영관 403호
□ 주 최: 연세대학교 경영연구소

연세대학교 경영대학 부속 경영연구소가 주관하는 제31회 4차 산업혁명 런치포럼이 지난 10월 22일 경영관 403호에서 개최되었다. 이번 포럼에서는 ‘빅데이터와 개인정보: 문제점 및 해결책’을 주제로 서울대학교 통계학과 김용대 교수가 발표했다. 김 교수는 개인정보보호 문제와 관련하여 고려되고 있는 기술적인 방법들을 소개하고 그와 관련된 문제들을 해결하기 위해서 어떤 노력이 이루어지고 있는지에 초점을 두고 강연을 진행했다.

빅데이터는 인간을 이해하는 기술로 다양한 종류의 대규모 데이터에서 저렴한 비용으로 가치를 추출하고 초고속 수집, 발굴, 분석을 지원하도록 고안된 차세대 기술 및 아키텍처를 말한다. 이러한 빅데이터는 소비자의 니즈를 찾기 위해서는 필요하지만 동시에 개인정보보호의 문제를 야기시킨다. 개인정보보호는 헌법적 기본권, 범죄, 증오, 차별로부터 개인을 보호하기 위해서 필요하지만 빅데이터 이용과 긴장관계를 가지고 있다. 예를 들면, 현재 데이터를 사용하는 우리나라 기업들은 비 식별 정보 처리 방법 가이드라인이 있음에도 불구하고 개인정보 문제가 발생하면 기업이 모든 것을 책임지도록 법이 만들어졌기 때문에 데이터 이용에 어려움이 많다.

이렇게 법률적으로 개인정보를 보호하는 것에는 한계가 많기 때문에 데이터를 보호하면서 이용하는 방법에 대한 기술적인 연구가 진행되고 있다. 첫째, 개인 고유의 정보를 식별하지 못하도록 데이터를 가공 및 변형하여 개인정보를 보호하는 방법이 있다. 이러한 방법에는 가명처리, 데이터 범주화, 데이터 삭제, 데이터 마스킹 등을 이용하는 익명화 기반 비식별 조치와 민감한 원본 자료를 감추기 위해, 원본 데이터에 교란을 주어 식별이 힘들도록 하는 기법인 교란 기반 비식별 조치가 있다. 하지만 익명화 기반 비식별 조치의 경우에는 여러 데이터를 조합하면 개인을 식별하는 것이 가능해질 수 있는 단점이 있고, 교란 기반 비식별 조치의 경우에는 기술적으로 어렵기 때문에 아직 많은 사용이 되지 않고 있다.

둘째, 개인의 데이터를 다른 사람의 수많은 데이터와 조합해, 개인정보를 침해하지 않으면서도 통계를 얻을 수 있게 하는 기술인 차등정보보호가 있다. 차등정보보호는 한 개체가 자료를 추가하거나 제거할 때 증가하는 위험을 측정하고 제어하여 데이터에서 하나의 개체가 제외되어도 자료로부터 얻은 정보가 유의하게 변하지 않도록 해준다.

셋째, 암호화를 이용한 개인정보 보호가 있다. 특히, 암호화된 데이터를 복호화 없이도 연산할 수 있는 동형 암호에 대한 지속적인 연구가 이루어지고 있다. 동형 암호는 비밀 키를 노출하지 않고도 데이터를 활용할 수 있고, 결과값도 암호화되어 있어 보안리스크가 매우 낮아지지만 암호화된 데이터의 크기가 매우 커지게 되고, 암복화 속도가 매우 저하된다는 단점이 있기 때문에 많은 연구가 진행 중이다.

마지막으로 연합 학습(federated learning)이 있다. 구글에서는 데이터 이동없이 사용자 기기 내에서 AI학습이 이뤄지는 새로운 머신 러닝 방법인 연합 학습에 많은 연구 노력을 기울이고 있다. 기존의 인공지능을 만드는 방식이 데이터를 모두 한곳에 모아 학습시키는 것이었다면, 연합 학습은 데이터를 서버로 모으는 것이 아니라 모델을 각 데이터가 저장된 곳으로 보내 활용하게 하고 모델이 배운 업데이트된 내용만 다시 서버로 보내 기존 모델을 업그레이드하는 방식으로 학습이 진행된다. 따라서 데이터는 전혀 이동하지 않으며, 서버는 각 저장소의 데이터를 보지 못하기 때문에 개인정보보호에 유용하다. 하지만 수억 개의 모바일 기기와 통신에 많은 비용이 발생하며 많은 전원이 필요하다는 점 등은 앞으로 해결해야 하는 부분이다.

데이터를 이용하는 것과 보호하는 것은 개인정보보호 기술수준에 기반한다. 법률이나 기술 그 어떤 것도 정보보호에 완벽할 수 없기 때문에 개인정보 보호는 법률과 기술이 서로 보완하면서 발전하여야 한다. 또한 보호, 이용, 법률, 기술 전체를 조망하는 연구가 더 필요할 것으로 보인다.