세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
데이터 혁명과 개인정보보호법은 친하게 지낼 수 있을까?
  |  입력 : 2018-02-14 16:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
4차 산업혁명 시대, 개인정보 보호와 빅데이터 활용의 딜레마

[보안뉴스= 권헌영 고려대학교 정보보호대학원 교수] 문재인 정부는 제4차 산업혁명을 대통령 공약사항으로 내걸고 취임 후 조직을 정비하는 한편, 4차산업혁명위원회를 출범시켰다. 정부의 기조와 세계적 흐름에 따라 산업계와 학계에서는 인공지능 기술개발과 새로운 사업 영역의 등장과 같은 청사진을 그리고 있다. 그리고 새로운 과제의 가능성을 검토하면서 모두 개인정보 규제의 문제가 큰 걸림돌이라는 사실을 깨닫고 있다.


개인정보 규제의 현주소를 드러내는 사건이 최근 발생했다. 지난 2016년 6월 30일, 6개 정부부처 합동으로 ‘개인정보 비식별 조치 가이드라인’이 발표된 것. 빅데이터에서 어느 정도 수준으로 개인정보를 식별할 수 없도록 만들면 개인정보 규제의 적용을 면제해주는지에 대한 기준을 제시하는 가이드라인이다.

빅데이터의 활용과 개인정보 보호의 균형점을 제시한다는 측면에서 매우 고무적인 성과였지만, 법률로 풀어야 할 문제를 가이드라인으로 미봉했다는 비판도 제기됐다. 이 때문에 어느 시민단체가 이번 가이드라인에 따라 서비스를 하던 공공기관과 기업을 개인정보보호법 위반으로 고발하는 사태에까지 이르렀다. 기업으로서는 국가가 제시한 가이드라인을 따랐음에도 불구하고 법위반 혐의로 조사를 받아야 하는 상황에 처한 것이다.

개인정보를 보호해야 한다는 정보주체로서의 국민의 뜻과, 미래 인공지능 기술로 대한민국의 경쟁력과 삶의 질을 높여야 한다는 경제주체로서의 국민의 뜻이 충돌하고 있는 것이다. 이 두 가지 뜻이 과연 함께 할 수 없는 것인가.

개인정보를 보호해야 한다는 뜻과 개인정보 보호법을 엄격하게 만들고 이를 강력하게 집행해야 한다는 뜻이 반드시 일치하는 것은 아니다. 세계에서 개인정보보호법을 가장 엄격하게 만들고 이를 강력하게 집행하고 있다고 평가 받은 한국이 개인정보를 가장 잘 보호하는 나라라고 자신 있게 말하기 어렵다. 보호법과 규제는 발 빠르게 만들었지만 문화를 조성하는 일에는 상대적으로 게을렀기 때문이다.

그 결과 개인의 권리의식은 크게 높아졌지만, 실제 개인정보 위협 상황이 발생했을 때 시장 주체들의 구체적인 행동지침은 없는 실정이다. 비유하면 마치 일상적인 접촉사고의 가해자와 피해자가 스스로 사고처리를 하지 못하고 국가가 나서서 문제를 해결해주기를 바라보고 있는 것과 다름이 없다. 교통사고를 줄이기 위해 가해자에 대한 처벌 수위를 높이는 것이 능사가 아니듯이, 개인정보 처리자의 의무를 강화하는 것만이 최적의 대안은 아니다.

지나치게 엄격한 법률은 경제주체들을 잠재적인 범법자로 만들어 사회적 비용을 증가시키고 기업활동을 위축시키기 때문이다. 이 문제에 대한 사회적 합의에 실패하면 제4차 산업혁명 선도국가는 먼 나라 이야기가 되고 말 것이다.

데이터를 독점한 거대기업이 ‘빅브라더’가 되는 것을 견제하기 위해 개인정보 보호법은 꼭 필요하다. 그렇다고 개인정보 보호만을 추구하다가 21세기의 원유로 불리는 데이터를 놓칠 수도 없다. 데이터 혁명과 개인정보 보호법이 친하게 지낼 수 있는 곳이 바로 선진국이다. 이를 위해서는 맨 먼저 개인정보에 관한 국가 후견주의를 탈피해야 한다.

그간 많이 지적되어 온 것 중에서 가장 중요한 제도 혁신 대상은, 사전 동의제도(Opt-in)와 형사 처분을 비롯하여 지나치게 형식적이고 획일적인 공권력의 개입이다. 이들은 제도는 모두 개인정보의 이용환경을 고려하지 않고 타인의 개인정보를 이용하고자 하는 자를 잠재적 범법자로 상정하고 있는 듯하다.

개인정보 이용을 허용하되 잘못된 경우를 바로 잡는 사후규제가 아니라, 이용을 시작하는 것부터 어렵게 해두고 그에 따라 수많은 의무조항과 처벌조항을 두는 전형적 사전규제 형태를 취하고 있다. 시장을 크게 위축시키는 사전규제 제도는 이용자를 보호할 다른 수단이 없을 때에야 비로소 정당화될 수 있는데, 우리의 경우에는 국민들이 제대로 보호받는다는 느낌조차 받지 못하고 있다. 이제는 실패를 인정해야 할 때가 아닌가 생각된다.

온라인에서도 은행에서도 마트에서도 병원에서도 수없이 많은 개인정보 수집·이용·활용 동의서에 서명을 하면서도 안심이 안 된다. 게다가 동의서의 대부분은 해당 서비스 제공을 위해 당연히 필요한 개인정보를 가져가는데 동의한다는 내용이다. 본래 서비스 제공과 관련 없는, 그래서 '진짜 동의가 필요한' 경우는 사실 광고목적 개인정보수집의 경우 외에 별로 없다. 그럼에도 불구하고 매일 동의를 하게 하면서 정작 그 이후의 문제는 이 때 '동의'하였다는 점 하나로 부실하게 관리하는 문화를 시급히 개선해야 한다.

‘동의 만능주의’에서 벗어나게 하려면 형사 처분을 필두로 한 사전규제에서 민사상 손해배상을 중심으로 한 사후규제로 방향을 틀어야 한다. 기업으로서는 민사 손해배상 리스크 때문에 망할 우려가 있다면 형식적인 동의제도에 매달리지 않고 실질적 위험에 따라 개인정보를 보호하는 생존방안을 스스로 찾을 것이다.

개인정보를 형식적 보호에서 실질적 보호로 전환하기 위해서는 침해사고 발생 시 민사법원에서 개인정보 이용환경을 살펴본 후 적정한 손해배상을 명하면 된다. 여기에 범죄행위 수준의 위법이 있는 경우에 한해 형사처분을 해도 충분하다. 현행 제도대로라면 개인정보를 대량으로 수집하여 처리하는 자본가는 지속적으로 이득을 취하고 그를 위하여 일을 맡은 개인정보처리자가 처벌을 받는 부조리에서 벗어나기 어렵다.

정부는 개인정보보호법, 신용정보법, 정보통신망법을 비롯한 수많은 보안 관련 법규를 운용하면서 개별 기업의 정보시스템에 적용할 암호기술, 조직체계, 서비스 표준 등을 사전적으로 규율한다. 기업 활동에 과중한 족쇄를 채운 것이다. 이런 상황에서도 각 부처별로 더욱 새로운 기법을 기준으로 제도화하는 경쟁을 가속화한다.

다른 한편에서는 제4차 산업혁명의 데이터서비스를 강화한다고 매일 새로운 발표가 나온다. 이 혼란은 정부가 해야 할 일과 하지 않아야 할 일을 혼동하는 데서 기인한다. 현재 각 부처에서 제시하는 상당수의 규제 대상 활동은 시장 자율에 맡겨 두어도 무방한 것들이다. 각 업계에서 자율적으로 시행하면 더욱 최적화된 방안을 마련할 수 있다. 오히려 국가의 본질적 책무는, 사고가 발생하거나 사회적 위험이 가중된 분야에 대해 조사권을 발동하여 사실관계를 명확히 밝히고 그 후속조치를 취하는 쪽이다.

개인정보 제도 혁신에 관하여는 보호강화와 규제강화에 관한 주장에서부터 개인정보 개념 정의 구체화를 통한 이용 활성화 주장까지 백가쟁명이 벌어지고 있다. 이 논쟁이 끝나서 합의에 도달할 가능성은 희박하다. 세월이 흘러 우리 세대가 헛된 곳에 힘을 쏟았다는 한탄이 나올까 걱정된다. 2018년은 데이터 혁명에 대처하기 위한 지혜를 구해야 하는 시점이다. 개인정보 규제 혁신에 대한 핵심 쟁점만이라도 사회적 합의를 이끌어 내는 지도자를 보고 싶다.
[글_ 권헌영 고려대학교 정보보호대학원 교수(khy0@korea.ac.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)