“구글·페이스북도 개인정보 비식별 가이드라인 지켜야”

실시간
뉴스

법제도/정책

“구글·페이스북도 개인정보 비식별 가이드라인 지켜야”

디지털데일리 발행일 2016-09-22 08:42:49

최민지

URL복사

[디지털데일리 최민지 기자] 구글·페이스북 등 국내 개인정보를 활용하는 외국계 기업도 ‘개인정보 비식별 가이드라인’에 적용받게 된다.

한국인터넷진흥원(KISA)과 전문기관들은 지난 21일 서울 한국과학기술회관에서 ‘개인정보 비식별 조치 및 결합지원 서비스 설명회’를 개최했다. 이 자리에서 KISA는 외국계 기업도 국내법에 따라 개인정보를 동의 없이 사용할 때 비식별 조치를 반드시 해야 한다고 밝혔다.

김원 KISA 개인정보보호본부장은 “아무리 해외에 서버를 둔 외국계 기업이라도 국내에서 영업한다면 국내법에 따라야하기 때문에, 비식별 조치를 해야 한다”며 “유럽연합(EU)에서는 외국 기업이 EU 국민의 개인정보를 해외 서버로 가져가려면 적정성 평가를 받도록 하고 있는데, 이것과 같다고 보면 된다”고 강조했다.

다만, 구글이나 페이스북 등 외국 기업들이 개인정보 제공 및 활용 관련 약관을 제시해 동의를 받는다면 관계없다. 개인정보 비식별은 동의 없이 정보를 사용할 경우 이뤄지기 때문이다. 이에 실제로 이들 기업이 개인정보 비식별 가이드라인에 저촉될 소지는 크지 않다는 것이 KISA 측의 설명이다.

이날 설명회에서 일부 참석자들은 개인정보 비식별 규정에 대해 과도하다는 지적을 제기했다. 이들은 비식별을 의무적으로 해야 하는 개인정보 범위에 대한 논란의 여지와 기업에서 투입해야 하는 비용 관련 우려를 쏟아냈다.

한 참석자는 정부 측에게 IP 주소만 활용하더라도 비식별을 해야 하는 것은 과도한 조치가 아니냐고 말했다. 기업에 포진된 수많은 웹서버와 모든 IP를 비식별해야 하는 경우가 발생할 수 있기 때문이다.

KISA는 기본적으로 IP주소는 통신비밀보호법에 저촉받으며, 접속기기를 고유로 쓰는 경우 쉽게 매칭해 개인을 식별할 수 있어 개인정보로 봐야 한다는 입장이다. 법원 판례에서는 IP주소뿐 아니라, 휴대폰 뒷번호 4자리, 이메일 주소도 개인을 특정할 수 있다면 개인정보라고 판결을 내린 바 있다.

김 본부장은 “IP는 개인정보로 보고 있으며, 이를 외부에 활용하거나 마케팅 용도로 사용하려면 비식별 조치를 해야 한다”며 “기업 내 모든 서버를 개인정보로 정의해 어떤 상황에서나 무조건 비식별하라는 뜻은 아니다”고 설명했다.

비용에 대한 문제도 제기됐다. 개인정보를 비식별하려면 관련 툴이 있어야 하고 컨설팅도 받아야 한다. 중소기업에서 이를 수용하려면, 비용이 수반될 수밖에 없다.

이에 대해 KISA는 비식별 솔루션을 제공하는 보안업체를 활용해도 되며, 비용이 부담스럽다면 공개 소프트웨어(SW)를 이용하면 된다고 답변했다. 가이드라인이 현재 시행된 만큼, 당장 비식별 조치를 하려면 지원센터 내 전문가를 통해 의무적으로 평가를 받아야 한다. 기업 내부에서 활용할 경우, 내부 평가단도 마련돼야 한다.

KISA 관계자는 “평가단 비용의 경우, 적정 기준을 정하고 있는데 대략적으로 시간당 10만원으로 고려하고 있다”고 전했다.

한편, 정부는 지난 7월 관계부처 합동으로 개인정보 비식별 조치 가이드라인을 마련했다. 통신, 금융, 보건, 공공 등 관련 5개 부처는 분야별 개인정보 비식별 조치 전문기관을 지정하고 본격 지원에 나설 방침이다.

<최민지 기자>cmj@ddaily.co.kr