(사례#1) 2012년 미국에서 있었던 일이다. 이마트와 같은 미국의 유통 업체 타깃(Target)은 어느 날 한 고객으로부터 강한 항의를 받았다. 타깃이 그의 10대 딸에게 출산과 육아 용품 카탈로그를 보낸 것이다. 하지만 얼마 후에 그 고객은 다시 타깃을 찾아서 사과했다. 실제로 그의 10대 딸은 임신 3개월이었던 것이다.
도대체 가족도 모르는 딸의 임신 사실을 타깃은 어떻게 알았던 것일까? 타깃은 과거 임신한 여성의 구매 패턴을 분석하고 나서, 비슷한 구매를 반복하는 여성 고객을 임신부로 가정하고 '표적' 광고를 내보냈다. 타깃은 이 일화가 <뉴욕타임스> 등을 통해서 세상에 알려지자, 표적이 자신이 표적인 줄 모르게 하는 좀 더 '은밀한' 광고 기법을 도입했다.
(사례#2) 2011년 오스트리아의 막스 쉬렘스는 페이스북을 상대로 자신의 모든 데이터를 돌려달라고 요구했다. 페이스북은 이 당연한 요구를 거부했다("당신은 데이터의 주인이 아니다!"). 결국 쉬렘스는 2년간의 법정 공방 끝에 자신의 데이터를 돌려받았는데, 그 분량이 1200쪽의 PDF 파일이 든 CD였다.
그 안에는 쉬렘스의 친구 목록, 그의 뉴스피드에 올라온 기사, 그가 클릭한 적이 있는 모든 사진과 페이지, 그가 본 적이 있는 모든 광고까지 저장되어 있었다.
[뉴스워커] 빅데이터는 4차 산업혁명의 키이기도 하지만, 동전의 양면과 같은 속성을 지닌다. 개인 정보 유출과 악용의 위험성, 그리고 개인을 속속들이 감시하는 `빅브라더` 논란까지 존재한다.
'빅브라더(Big brother)’는 영국 소설가 조지 오웰(1903~1950)의 작품 ‘1984’에 나오는 가공의 인물로, 정보 독점을 통해 사회를 통제하는 권력자를 상징한다.
소설 속의 '빅브라더'는 현실에 존재했다. 2013년 전 CIA 요원 스노든의 폭로로 밝혀진 미국과 영국 안보국의 통신·인터넷 전방위 감시 프로그램이 바로 그것이다.
스노든은 2013년 미국 정부가 개인 정보를 무차별 수집하고 있다는 사실을 폭로해 전 세계적 파장을 일으킨 인물이다.
구글, 페이스북, 유투브 등 미국 내 주요 IT 서버에 접속해 이메일, 채팅, 통화기록 등 국민들의 개인 정보를 무차별적으로 수집하며 감시한 미국 정부의 행태에 큰 충격을 전한다.
정치적으로 보수적인 성향의 에드워드 스노든(조셉 고든 레빗)은 2006년 CIA(미국중앙정보국)에 입사한다. 이후 NSA(미국국가안보국)의 정보 분석원으로 일하던 그는 점차 미국 정부가 테러 방지라는 명목 아래 비윤리적인 일을 하고 있다는 사실을 알게 된다.
당시 미 NSA는 개인 정보가 드러나지 않는 `메타 데이터`라고 주장했지만, 스탠포드대 연구팀의 정보 재식별 결과는 꽤나 구체적이었다.
통신 기록만으로 심장마비 환자, 마리화나 재배자 등 개인의 병력과 불법 행위까지 알아냈다.
빅데이터는 이제 단순한 통신 정보를 넘어 한 개인에 대해 수천개에 달하는 정보를 축적한다.
주민등록번호나 전화번호, 카드번호는 법률에서 규정하는 개인 정보이지만, 어디서 무슨 상품을 샀는지, 대중교통을 이용해 이동한 정보, 그리고 핸드폰으로 검색한 모든 내역은 비식별 정보에 속한다.
글로벌 컨설팅기관 가트너는 ‘데이터는 미래 경쟁력을 좌우하는 21세기 원유’로 규정하며 기업들의 각성과 대비를 강조했다.
또한 올해 아시아 최대부호로 등극한 알리바바의 마윈 회장도 향후 30년간은 정보기술(IT) 시대가 저물고 데이터를 활용해 개별고객에 대응할 수 있는 기업이 성공하는 DT(Data Technology)시대가 열릴 것이라고 단언한 바 있다.
◆ 빅브라더 논란 속 개원한 한국신용정보원 ‘기대 반 우려 반’
신용정보원 민성기 초대 원장 "빅브라더? 우려할 필요 없어"
정부가 온 국민들의 금융정보를 손바닥 들여다보듯 볼 수 있는 ‘빅브라더(Big brother)’가 될 우려의 목소리가 나오고 있다.
한국신용정보원은 지난해 1월 출범한 은행연합회·여신금융협회·생명보험협회·손해보험협회·금융투자협회·보험개발원 등 여섯 개 기관에 흩어져 보관되던 일반·기술신용정보를 통합 관리하는 신용정보집중기관이다.
은행·증권·보험·저축은행·여전·대부업 등 모든 업권의 신용정보가 한곳에 모이는 기관이 창립된 건 세계에서 처음 있는 일이다.
2014년 1월 카드사 정보 유출 사태를 계기로 개인정보의 효율적 관리와 정보보안 필요성이 제기되면서 설립 논의가 시작됐고, 국회 입법 과정을 거쳐 근 2년 만에 비영리사단법인으로 출범했다.
신용정보를 독점하기에 이른바 '빅브라더'가 될 수도 있는 것 아니냐는 일각의 의혹에 대해서는 억측일 뿐이라고 일축했다.
민성기 초대 원장은 출범초기 빅브라더에 대한 질문에는 "빅브라더가 되려면 개인의 예금, 소득, 카드사용 내역 등 금융거래 정보를 모두 들여다볼 수 있어야 합니다. 하지만 신용정보원은 대출과 체납정보, 보험 계약·지급정보, 기술정보 정도만 모을 뿐이어서 절대로 빅브라더가 될 수 없다"고 밝혔다.
이날 민성기 원장은 "정보보안에 대해 굉장히 노력하고 있다. 암호화, 전용선 등 시스템 기술적인 부분 뿐 아니라 직원들의 의식도 중요한 부분"이라며 "내부적으로 보안에 관한 교육도 진행하고 있다"고 말했다.
일례로 과세당국이 정보를 넘겨받아 체납세금 징수 및 세원관리에 사용하는 경우 DSR(총부채 원리금 상환비율) 산출시스템을 통한 여신업무 활용수준을 넘어, 정부의 관치금융이나 과세정책 수단으로 오·남용될 소지가 크다는 것이 금융권 관계자의 전언이다.
또 다른 논란거리는 신용정보원이 추진하는 ‘빅데이터’사업인데 특정 불가능한 비인식 정보를 분석, 금융사와 핀테크 업체가 이용토록 하겠다는 신용정보법 개정안이 도마에 올랐다.
◆ '재식별화' 우회추진 꼼수…법 개정 지지부진에 유권해석에 치중
누구의 정보인지 알아볼 수 없게 익명화한 개인신용정보를 '빅데이터'에 활용할 수 있는 길이 열렸지만 시민단체와 소비자 단체 등에서도 헌법이 명시한 '개인정보 보호권'을 침해한다며 반발하고 있다.
또, 정부는 신용정보법(신용정보의 이용 및 보호에 관한 법률) 상위법 개정 없이 시행령 개정만으로 '우회 추진'했다는 비판은 불가피해 보인다. 또 빅데이터 형태의 정보에 대한 재식별 가능성에 대한 비판은 남아 있다.
문제는 신용정보법에서는 여전히 비식별정보를 개인신용정보로 볼 지에 대해 명확하게 정의하지 않고 있다는 점이다. 정부가 내놓은 가이드라인은 '유권해석'에 가까울 뿐 법적 근거는 되지 못한다.
때문에 정부여당은 신용정보법 개정안 마련에 애를 태우고 있다. 법 개정이 수반되지 않을 경우 신용정보원 역시 정보를 차곡차곡 모으는 '창고'의 역할밖에 하지 못하게 되기 때문이다.
실제로도 신용정보원은 '개인정보 비식별 전문기관'으로 지정돼 융합정보 서비스를 제공할 수 있지만 현재까지 실적은 전무하다시피 한 실정이다.
금융위원회는 지난 7월에는 '비식별정보'를 개인정보에서 제외하도록 하는 신용정보법 시행령 개정안을 입법예고했지만 개인정보보호법 등 상위법 개정 없는 '우회추진'이란 논란에 부딪혔다.
현재까지 마련된 건 금융위 내부 의결을 통해서도 가능한 신용정보업 감독규정안이다. 신용정보원이 비식별정보를 활용해 업무를 수행할 수 있도록 근거를 마련해준 조치다. 비식별정보의 법적 정의가 마련되지 않은 상태에서는 사실상 '유명무실'하다.
신용정보원이 넘어야 할 또 하나의 산은 '재식별 가능성'이다. 아무리 익명화를 시켜도 개인 SNS 등의 여러 정보를 교차활용하다보면 개인이 특정될 위험성이 항상 존재한다.
시민단체와 소비자 단체 등에서도 '소비자 보호'를 주장하며 정부의 가이드라인 및 개정안에 반대하고 있다. 반대로 업계에서는 재식별이 되지 않는 정보는 빅데이터로서의 상품가치가 크지 않다고 보는 불만도 있다.
법무법인 민후의 김경환 변호사는 정부의 '개인정보 비식별조치 가이드라인'이 검찰이나 법원에 적용되지 않아 범법자를 양성할 가능성 등 여러 가지 문제가 있다며 "빅데이터 실현은 가이드라인이 아닌 법률 개정으로 풀어야 한다"고 주장했다.
◆ 4차 산업혁명..'정보유출’이 가장 큰 보안위협
4차 산업혁명의 바탕이 되는 빅데이터, IoT(사물인터넷) 등 신규서비스 확산시 다양한 보안위협 중 개인정보에 대한 우려가 가장 큰 것으로 나타났다.
한국인터넷진흥원(KISA)의 2016년 정보보호 실태조사에 따르면 기업들은 4차 산업혁명을 주도할 신규 서비스에 대해 ‘정보유출’을 가장 큰 보안위협으로 인식하고 있으며(IoT(57.5%), 클라우드(77.1%)), 정보보호 활동시 애로사항으로는 여전히 예산(49.9%, 7.9%p↑)과 전문인력 확보(34.0%, 1.6%↓) 문제를 꼽았다.
기업부문 조사결과에 따르면 정보보호 정책수립(17.1%, 전년 대비 3.4%p↑), 정보보호 조직운영(11.0%, 3.1%p↑) 및 교육실시(18.0%, 3.1%p↑) 등 정보보호 대응환경 조성을 위한 기업들의 노력이 전반적으로 개선된 것으로 나타났다.
정보보호제품 활용 등 침해사고 예방 노력도 개선(89.8%, 3.7%p↑)되었으나 침해사고 경험(3.1%, 1.3%p↑) 및 관련 신고(9.2%, 1.0%p↑)도 함께 증가하였다. 특히 침해사고 경험 중 ‘랜섬웨어’ 경험률*이 전년도에 비해 큰폭으로 증가(18.7%, 17.0%↑, 전년 대비 약 11배)하였다.
또한 악성코드감염, 개인정보유출 및 사생활 침해 등의 침해사고 경험(17.4%, 3.9%p↑)이 증가했으며 보안 SW설치, 비밀번호 변경 등 침해사고 대응활동(86.2%, 10.8%p↑)도 증가하였다.
미래부 송정수 정보보호정책관은 “기업과 개인들의 정보보호 인식수준이 높고 보안제품 이용 증가 등 예방조치도 꾸준히 늘고 있는 것은 우리 사회가 안전한 인터넷 환경으로 가고 있다는 청신호로 해석된다”며 “그럼에도 불구하고 침해사고율 역시 증가했는데 이는 랜섬웨어와 같은 신종 공격기법이 늘어나 영향을 미친 것으로 파악된다”고 말했다.
이어 송 정책관은 “정부·기업·이용자 등 각 주체 간 유기적 협력을 통한 사전 예방이 필요하다”며 “4차 산업혁명을 이끌어갈 IoT, 빅데이터, 클라우드 등 신규 서비스에서의 정보유출, 개인정보침해 등이 미래위협으로 꼽혔는데 구축단계부터 보안을 탑재하는 ‘보안내재화’ 등 다양한 대책이 중요하다”고 덧붙였다.
◆ 금융당국, 상반기 중 금융사 의견 수렴…"법위반 소지 줄이고 활용도 높여"
개인정보침해 논란은 여전…인권위 "활용요건 제한해야"
금융당국이 지난해 6월 말에 발표한 '개인정보 비식별 조치 가이드라인'은 오는 하반기중 개정 논의를 거칠 예정이다.
다만 누구의 정보인지 알아볼 수 없게 처리한 비식별화 정보도 처리 방법이나 수준에 따라 누구의 정보인지를 다시 알아낼 수 있어 개인정보 침해 우려는 여전히 남을 것으로 보인다.
그간 비식별 조치 가이드라인에 따라 개인정보를 가공해서 사용한다 해도 누군지 알아볼 수 있도록 재식별 과정을 거치면 개인정보보호법 위반에 해당될 수 있다.
또 공들여서 구축한 빅데이터를 어떻게 활용해야 할지에 관한 논의도 부족한 실정이다. 이처럼 빅데이터 구축의 근간이 되는 정보 융합 건수가 저조한 이유는 개인정보보호법 위반 우려와 실효성에 대한 의심 때문이다.
5일 금융권에 따르면 금융회사들이 방대한 양의 빅데이터를 개인정보 위반 우려 없이 활용할 수 있도록 올 하반기에 관련 가이드라인이 개선된다. 빅데이터 구축을 돕기위해 마련된 '개인정보 비식별조치 가이드라인' 개정안을 만들어 개인정보 취급 업무에 적용하겠다는 것이다.
이를 위해 금융회사들은 빅데이터 전문기관인 금융보안원과 함께 가이드라인 시행 1년이 되는 오는 6월까지 가이드라인과 관련한 의견을 취합해 제도 개선에 이용하기로 했다.
반면에 비식별화한 빅데이터 활용이 본격화할수록 개인정보 침해 논란은 끊이지 않을 전망이다.
안전장치가 충분히 검증되지 않은 상황에서 빗장을 섣불리 풀면 개인정보 침해를 유발할 수 있다는 우려가 제기된다.
비식별 조치 가이드라인은 누구의 것인지 알 수 없는 개인정보는 개인의 권리가 아닌 것으로 판정하기 때문에 당사자 의사와는 관계없이 활용할 수 있다.
이 때문에 '자기결정권을 무시하고 일방적으로 내 데이터를 수익화에 쓴다'는 불만이 터져 나올 수 있다.
아무리 철저하게 비식별화 조치를 하더라도 업무 권역 간 정보가 상호결합되다보면 정보이용자가 누구의 정보인지를 다시 구분해내는 것(재식별화)을 완전히 막지 못한다는 지적도 나온다.
국가인권위원회는 최근 "비식별 조처를 해도 그 방법이나 수준에 따라 특정 개인을 재식별할 위험성이 여전히 남아 있어 정보 주체를 식별할 수 있는 가능성이 완전히 제거되기는 어렵다"며 금융위원장에게 비식별 정보를 목적 외로 이용하거나 제공할 수 있는 요건을 제한해야 한다는 의견을 표명했다.
익명화한 정보라도 다른 정보와의 결합을 통해 누구의 정보인지를 다시 가려낼 가능성이 여전히 남으므로 정보 이용 허용에 신중해야 한다는 설명이다.
정부는 비식별 조치 가이드라인의 목적이 재식별 가능성을 차단하기 위한 데 있는 만큼 이런 논란이 불식됐다는 입장이다.
이와 관련, 임종룡 금융위원장은 빅데이터 분석결과 발표회 모두발언에서 "빅데이터 분석과 활용의 시작부터 마지막단계까지, 개인신용정보의 안전한 관리는 아무리 강조해도 지나침이 없다"며 "빅데이터 분석 때 관련 법령과 비식별조치 가이드라인을 엄격하게 준수해야 할 것"이라고 말했다.