[팩트체크]개인정보 비식별조치, 안전할까요

김현아 2018. 2. 20. 16:53
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
20일 송희경 의원 주최 토론회에서 한국인터넷진흥원(KISA) 첫 비식별조치 절차 시연
개인식별 정보 삭제하고 준식별자 정보는 범주화..프라이버시 모델 적용
나름의 절차 갖춘 것으로 평가..하지만 사람에따라 체감 달라, 사회적 합의 필요

[이데일리 김현아 기자] 지난해 방송통신위원회 국감장. 개인정보에서 개인임을 알 수 없게 만드는 가이드라인(빅데이터 개인정보보호 비식별화 가이드라인)이 허술하다는 지적이 제기됐다.

정의당 추혜선 의원은 해당 가이드라인이 실제로는 기업들의 광범위한 데이터 수집을 허용해 개인임을 알아볼 수 있게 하고 있다고 비판했다.해당 가이드라인이 충분치 않다는 얘기였다.

4차 산업혁명의 기반이라는 데이터, 그 중에서도 개인정보의 비식별조치는 어떻게 이뤄지고 있을까.

20일 처음으로 개인정보가 비식별조치되는 과정이 공개 시연됐다. 김호성 한국인터넷진흥원(KISA) 개인정보기술단 단장이 나섰다. 자유한국당 4차산업혁명TF(위원장 송희경)가 주최한 ‘빅데이터 산업 무엇이 발목잡는가?’토론회에서였다.

비식별조치는 다음과 같은 4단계로 이뤄졌다.

일단 ⓛ개인정보 원본 데이터가 등장하면 ②개인식별요소를 제거하고 ③프라이버시모델을 적용한 뒤 ④비식별조치된 데이터를 쓸 수 있게 하는 순서였다.
위 그림의 ①번을 보면 전우치, 홍길동, 임꺽정, 장보고씨의 나이/집주소/휴대폰 사용개월수/휴대폰번호/이메일이 원본 데이터로 존재한다.

이후 위 그림 ②번에서는 식별자인 이름, 휴대폰번호, 이메일을 삭제한다. 이 때 나이와 집 주소는 준식별자로 두고,휴대폰 사용개월 수는속성값으로 놔둔다.

이후 ③번에서는 나이와 집주소는 준식별자로 봐서 구체적인 데이터 대신 범주화시킨다.

이를테면, 23살의 전우치 씨는 서울특별시 도봉구 방학로4길에 사는데 전우치 씨임을 삭제한 뒤 21~30세, 서울시 등으로 단순화시키는 것이다. 이 때 사용개월수는 속성값으로 본다.

이 때 적용되는게 프라이버시모델인데, ‘K-익명화’라는 걸 쓴다.

위 그림을 보면 전우치 씨의 데이터도 ‘21~30’/서울시이고 임꺽정 씨의 데이터도 ‘21~30’/서울시여서 둘을 식별하지 못하는 셈이다. 이 때 K-익명화 지수는 2가 된다. 위 사례에서 주어진 데이터 집합에서 같은 값이 적어도 2개 이상 존재하기 때문이다.

김호성 KISA 개인정보기술단 단장은 “K가 10이면 10개의 같은 값이 나오는 것”이라며 “사용개월수의 경우 그냥 사용해도 되지만 우리나라 이동통신 서비스를 시작한 게 1984년이어서 계속 사용한 사람이 몇 명안되기 때문에 휴대폰 사용개월수까지 범주화를 통해 식별이 어렵게 하고 있다”고 말했다.

전우치 씨의 경우 원래는 13개월 썼는데, 13~14로 표시하고 임꺽정 씨는 원래는 3개월 썼는데 3~4로 표시하는 식이다.

김 단장은 “속성값을 범주화하는 정도에 따라 비식별성의 강도도 달라질 수 있다”며 “이게 끝나면 외부 전문가가 참여하는 적정성평가를 거쳐 비식별 조치된 데이터를 통신사가 인프라 분산 투자 등에 활용할 수 있게 한다”고 설명했다.
20일 국회 의원회관에서 열린 자유한국당 4차산업혁명TF(위원장 송희경) 주최 ‘빅데이터 산업, 무엇이 발목잡는가’ 토론회에서 참석자들이 토론하고 있다.
◇절차 갖춘 비식별 조치…결국은 사회적 합의

결론적으로, 방통위와 KISA가 만든 개인정보 비식별조치 절차는 나름의 안전성을 가지고 있다고 볼 수 있다.

오히려 기업들 입장에서는 지나친 비식별화로 데이터의 활용성이 떨어진다고 주장하기도 한다.

하지만, 정의당이나 시민단체에서는 비식별조치에대한 우려를 거두지 못하고 있다.

특히 비식별조치된 데이터들이 결합돼 식별이 가능해질까 우려한다.

추혜선 의원은 지난해 국감장에서 A통신사와 B증권사의 데이터 결합 사례를 보면, K-익명화가 나이와 성별 등에만 적용되는 등 국소적으로 적용된 것이 확인됐다고 밝혔다. 또, 재식별 가능한 상태로 제공하거나 재식별한 개인정보를 활용한 경우 형사처벌하지만, 적발 가능성은 의문이라고 우려했다.

사실 K-익명화 값을 무한대로 해야 비로소 안전하다고 보는사람이 있을 수 있고, 4차 산업혁명의 재료인 데이터의 활용성을 어느정도 보장하려면 K-익명화 값이 2이상 이면 충분하다고 보는 사람도 있다. 사회적 합의가 필요한 것이다.

이민화 창조경제연구회 이사장은 “비식별화는 창과 방패와 같은 것이어서 완전한 비식별화는 산업을 고사시키고 이미 데이터를 가진 대기업 외에 스타트업이나 중소기업의 경쟁력을 훼손한다”면서 “비식별화 규제에서 재식별화 규제로 패러다임을 바꿔야 한다”고 말했다.

장홍성한국빅데이터연합회 회장은 “민간 대기업에서 데이터를 중소기업에 300개 개방하려 했는데 법무팀에서 법률 검토를 하니 10분의 1정도 밖에 개방할 수 없다고 하더라”면서 “법은 보수적으로 해석되니, 실효성 측면에서 법을 만들어줬으면 한다”고 말했다.

김현아 (chaos@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
이데일리에서 직접 확인하세요. 해당 언론사로 이동합니다.