[디지털데일리 최민지기자] 개인정보보호와 활용 사이에서 비식별조치에 대한 사회적 합의가 이뤄지지 않고 있다.
이에 한국인터넷진흥원(KISA)은 해킹방어대회처럼 한 쪽에서는 데이터를 비식별 처리하고, 상대방은 이를 재식별하기 위해 서로 겨루는 ‘개인정보 비식별 컨테스트·CTF(Capture The Flag)’를 연내 개최하기로 했다.
손경호 KISA 개인정보비식별지원센터장은 “암호화 또한 깨질 수 있으나 충분한 과학적 증명을 통해 기술 수준에 대한 합의를 이룬 것처럼, 비식별조치 또한 사회적 합의를 이뤄야 한다”며 “어느 정도 수준이면 안전하고 유용한 지에 대해 실제 대회를 통해 판단하자는 것”이라고 말했다.
빅데이터 활성화를 위해서는 개인정보를 알아볼 수 없게 한 채 데이터를 공유할 수 있도록 하는 비식별조치가 필요한 상황이다. 개인정보 비식별조치란 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻는 정보로, 해당 개인정보를 복원할 수 없도록 만든 데이터를 뜻한다.
정부에서는 비식별조치 가이드라인을 내놓고 법제화를 추진하고 있지만, 시민단체 등에서는 개인정보 재식별 가능성 때문에 정보보호 측면에서 반대하고 있다. 반면, 산업계에서는 현재 가이드라인에서 요구하는 기준이 높아 데이터 활용도와 유용성이 떨어진다고 지적하고 있다.
데이터 활용 촉진과 개인정보보호 양립을 위해 개인정보 비식별조치 기술수준에 대한 절충안을 마련해야 한다. 이를 위해 공격과 방어를 통해 상대팀의 기를 빼앗는 방식인 ‘CTF’로 실제 합의할 수 있는 기술적 수준을 찾아보자는 것이다.
KISA는 올해 상반기 내 대회 규칙 등을 마련하고 참가팀 모집을 위해 연구팀을 선발해 교육과 예선대회를 거친다. 올해 말 첫 본선대회를 개최할 예정이다.
대회 운영방식은 이렇다. KISA에서 비식별조치팀에 원본 고객 마스터 데이터와 원본 구매 이력 데이터를 넘긴다. 그럼 비식별조치팀은 마스터 데이터의 행 번호 데이터, 비식별 조치를 한 고객 마스터 데이터 및 구매 이력 데이터를 전달한다. KISA는 유용성 및 안전성 평가를 실시한다.
이후 재식별조치팀에 참가자의 비식별 데이터 및 원본 데이터를 제공한다. 재식별조치팀은 재식별 답안을 제출해야 한다. 마지막으로, KISA는 재식별 개수를 산정해 점수를 낸다.
KISA는 안전성과 유용성이 높은 비식별조치 기술개발을 촉진하고, 재식별 위험을 정확하게 평가하기 위한 기준과 관련 전문인력 양성을 위해 이 대회를 추진한다는 입장이다. 비식별조치와 재식별 시도는 데이터 처리와 산업별 데이터에 대한 전문성과 배경지식을 모두 필요로 한다. 재식별 가능성에 대한 위험 평가 기술개발 유도 효과를 꾀할 수 있다.
KISA는 일본의 ‘PWS Cup’ 대회를 벤치마킹해 대회 개최를 위한 데이터셋 개발·확보와 운영프로그램을 마련키로 했다. 지난달 26일 팀을 꾸려 일본을 찾기도 했다. PWS 컵은 일본 메이지 대학이 주관하고 개인정보위원회 등의 후원으로 데이터 활용의 기술자·전문가 간 교류와 개인정보보호 기술의 연구개발 활성화를 위해 2015년부터 진행됐다.
손 센터장은 “올해는 파일럿 수준으로 대회를 열고, 내년부터는 예산을 확보해 선수와 심판 등을 양성하며 대회를 키워나갈 것”이라며 “인력양성과 저변 확대 차원에서 기술적으로 중립적인 판단을 하기 위한 목적”이라고 말을 보탰다.
한편, 최근 대통령 직속 4차산업혁명위원회는 해커톤 결과 개인정보와 관련된 법적 개념체계는 개인정보, 가명정보, 익명정보로 구분하기로 했다고 밝혔다. 익명정보는 개인정보보호법의 적용대상이 아니라고 합의해 개인정보와 구분했다.
GDPR의 경우, 개인정보 보호뿐 아니라 활용에도 초점을 맞추고 있다. 비식별조치의 경우, 데이터를 가공·처리해야 하는 기준 자체가 높고 제3자 제공 때 계약에 의해서만 익명처리한 데이터를 사용할 수 있다. 반면, GDPR은 익명처리 후 활용·공개에 용이하다. 기업들도 비식별조치 기준을 GDPR로 맞추는 편이 더 수월하다.
손 센터장은 “현재 비식별조치 가이드라인으로 데이터를 처리하면, 사실상 재식별하기 불가능하다”며 “해외사례를 들면서 재식별된다는 주장도 있지만 국내 기준에 따라 가공하고 처리한 정보가 아니라는 점을 살펴봐야 하며, 국내 가이드라인은 엄격한 편”이라고 설명했다.
이어 “다행히 해커톤을 통해 가명처리로 학술·통계·연구 등에서 사용할 수 있도록 하자고 논의됐고, 합의점을 도출하게 되면 가이드라인도 수정할 수 있는 부분이 생길 것”이라며 “유럽 일반개인정보보호법(GDPR) 수준을 요구하고 있는데, 오히려 환영하는 부분”이라고 덧붙였다.