올해 개인정보보호위원회(개인정보위)에서 ‘신뢰 기반의 데이터 활용’ 키워드에 초점을 맞추고 있습니다. 데이터 이용 수요가 급증함에 따라 개인정보 보호 기술로 안전한 데이터 활용 기반을 마련하고자 하는 것으로 보입니다.
고학수 개인정보위 위원장은 지금까지 개인정보 유출에 대해 조사하고 처분하는 데 중점을 두었다면, 올해부터는 신기술 환경에서 서비스를 편리하고 자유롭게 이용하되 프라이버시는 안전하게 보호될 수 있는 기반을 조성하는 것이 목표라고 밝혔습니다.
2020년에 ‘데이터 3법’과 가명정보처리에 관한 특례 및 가이드라인이 발표됐습니다. 산업계에서 데이터를 결합하고 활용할 수 있는 법적 근거가 마련된 것이죠. 또한 동형암호 등 프라이버시 강화 기술이 발전되어 안전한 데이터 활용을 위한 인프라를 마련할 수 있게 됐습니다.
데이터 활용을 위한 법적 근거는?
대표 법적 근거로는 ‘데이터 3법’과 ‘가명정보처리 가이드라인’이 있습니다.
데이터 3법은 3개의 데이터 관련 법을 묶어 부르는 이름으로, ‘개인정보 보호법’, ‘정보통신망법’, ‘신용정보법’ 등 기존 법을 개정한 것을 통칭합니다. 여기서 가명정보라는 개념이 처음 도입됐는데요, 개인정보, 익명정보, 그리고 가명정보 개념과 활용 가능한 목적을 구분하는 게 핵심입니다.
먼저 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 처리하는 것입니다. 가명정보는 가명처리함으로써 추가 정보 없이는 특정 개인을 알아볼 수 없는 정보를 뜻합니다.
‘가명정보 처리에 대한 특례’가 규정되어, 통계작성(상업적 목적 가능), 과학적 연구, 공익적 기록을 위해 정보주체의 동의 없이 가명정보 처리가 가능합니다. (제28조의2) 개정을 통해 사용목적에 대한 규제가 완화되어, 다양한 데이터 분석 시도가 가능해졌습니다.
익명정보는 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 뜻합니다. 개인정보 보호법에서 적용 제외되어 개정 이후 언제든 동의 없이 활용 가능합니다.
민감정보도 분석할 수 있다
금융 데이터나 의료 데이터는 분석에 대한 수요는 많았지만, 민감정보이기에 활용 장벽이 높았습니다. 가명정보 처리 가이드라인에 따르면 민감정보에 대한 분석도 가능합니다.
신용정보법이 개정되며 금융분야 정보의 경우, 앞서 말한 목적 내에서 가명처리한 정보를 사용 가능하고, 익명처리한 정보는 목적 제한 없이 자유롭게 활용할 수 있습니다.
금융분야 가이드라인에 따르면, 보험사기 자동 탐지시스템 개발을 위하여 과거 10년간의 보험사기 사례에 대한 보험금 청구금액, 청구시점과 방법, 유사청구 반복 여부 등을 분석하여 보험사기의 징후를 발견하기 위한 연구에 활용할 수 있습니다.
보건의료분야 가이드라인에 따르면, 지자체가 연령에 따른 편의시설 확대를 위해 편의시설(문화센터, 도서관, 체육시설 등)의 이용 통계(위치, 방문자수, 체류시간, 연령, 성별 등)를 생성 및 분석하여 적합한 지역에 신규 편의시설을 선정하고자 하는 경우 등이 가능합니다.
가명처리에서 당면한 과제
데이터 활용에서 말하는 ‘신뢰’의 측면에서 당면한 과제를 살펴보겠습니다.
1. 단계의 복잡성
가명정보 처리는 ① 가명처리 목적 설정 등 사전준비, ② 위험성 검토 ③ 가명처리 수행, ④ 적정성 검토 및 추가 가명처리, ⑤ 가명정보의 안전한 관리 단계로 이루어집니다.
각 단계별로 검토해야 할 내용이 많습니다. 특히 위험성 검토 단계에서 고려 요소는 하단의 사진과 같습니다. 이러한 요소들을 모두 제거하는 데에는 많은 시간이 소요될 뿐만 아니라 가명처리를 해도 여전히 식별의 위험이 남아있습니다.
2. 많은 시간과 인력 투입
가이드라인에 따르면, 특정 개인을 알아볼 위험을 방지하기 위해 가명처리, 적정성 검토, 가명정보 처리 수행자로 업무를 분담하고 정보 접근권한을 분리하여 운영해야 합니다. 가명처리에 노동력이 많이 투입되고, 가명처리를 해도 완벽하게 보호되는 게 아니기 때문에 사람이 일일이 검수해야 합니다.
암호화 데이터를 연산할 수 있는 동형암호 기술
절차를 간소화하고 인력 투입을 줄일 수 있는 방법은 없을까요? 식별의 가능성을 원천 차단하도록 암호화를 한 후, 암호화한 데이터를 바로 분석할 수 있는 기술인 동형암호를 활용하면 가능합니다.
동형암호는 데이터를 보지 못한 채로 계산할 수 있다는 게 특징입니다. 데이터를 보호한 채로 가치있는 계산결과를 낼 수 있습니다.
기존 암호화 방식은 연산할 때마다 암호화 데이터를 복호화하기에 이 과정에서 데이터 유출의 위험성이 있었습니다. 하지만 동형암호는 복호화 과정이 필요 없고, 암호화한 상태에서 직접 연산이 가능해 데이터 유출 위험을 현저히 줄일 수 있습니다.
따라서 절차가 간소화되고, 데이터 공급자가 믿고 데이터를 제공할 수 있고, 데이터 수요자는 원하던 데이터에 대한 연산 결과만 얻어낼 수 있어 데이터 협업이 가능해집니다.
디사일로가 개발한 데이터 클린룸(DESILO Data Clean Room)은 동형암호 기술을 활용하여 데이터 결합과 분석을 가능하게 합니다. 데이터 클린룸 상에서 원본 데이터가 노출되지 않습니다. 데이터 공급자와 데이터 수요자, 디사일로를 포함해 누구도 신뢰하지 않아도 되는 환경(Zero Trust Environment)에서 데이터를 안전하게 분석할 수 있습니다.
이를 통해 ‘신뢰 기반의 데이터 활용’이 가능해집니다. 데이터를 보유한 공급자는 안전하게 데이터를 제공할 수 있고, 데이터 수요자는 민감정보 분석 결과도 얻을 수 있어 다양한 비즈니스에 활용 가능합니다. 나아가 데이터 경제 시장에 주목해볼 만합니다.