보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

무엇이든 물어보세요! ‘마이데이터’와 ‘가명정보’의 모든 것

입력 : 2023-06-13 16:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보보호 관련 법제, 가장 큰 변화는 중심축 이동을 이룬 ‘마이데이터’
마이데이터 기대 효과...개인은 ‘편리성’과 ‘투명성’을, 기업은 ‘비용 절감’과 ‘신뢰 확보’
개인정보위 태현수 데이터안전정책과장, ‘마이데이터’와 ‘가명정보’의 효과적인 활용방안 제시


[보안뉴스 이소미 기자] 디지털 대전환 시대를 맞이하면서 ‘데이터’는 산업 발전의 중요한 자원이 됐다. 데이터의 중요성이 부각됨에 따라 정부 차원에서 국가전략 데이터 수립을 위한 다양한 시도를 하고 있다. 데이터 활용이 국가 안보 및 전략 자산 관점에서 상당히 중요한 위치를 선점했기 때문이다. 이처럼 데이터는 새로운 가치를 창출하는 주요 원동력으로 진화했다.

[이미지=gettyimagesbank]


데이터의 상당 부분을 차지하고 있는 ‘개인정보’와 관련해 개인정보보호위원회(이하 개인정보위)에서는 그동안 빈번하게 발생했던 개인정보 유출문제를 비롯해 취약한 부분을 선제 점검하고 위반 기관 제재를 강화하는 등의 노력을 기울이고 있다.

지난 8일~9일 양일간 열린 국내 최대 규모의 개인정보보호 콘퍼런스 ‘PIS FAIR 2023’에서 개인정보위 태현수 데이터안전정책과장은 ‘국민신뢰 기반의 데이터 활용 확대방안’을 주제로 강연을 진행했다. 그는 개인정보보호의 중심축을 이루고 있는 ‘마이데이터’와 ‘가명정보’ 제도에 대해 설명했다.

태 과장은 “‘데이터’라고 일컬어지는 대부분은 ‘개인정보’가 차지하고 있다”면서, “따라서 데이터를 활용한다는 것은 결국 개인정보를 얼마나 잘 활용하느냐를 의미하고 이를 보호하는 것이 또 다른 ‘가치 창출’이 되는 것”이라고 말했다.

지난 3월 개인정보보호법 개정으로 국민의 개인정보를 원하는 곳으로 전송할 수 있는 권리를 보장받게 됐다. 개인정보보호에 있어 가장 큰 변화라면, 개인정보 관리·활용의 ‘중심축 변화’다. 데이터 전송 권리 즉, 개인정보 관리·활용에 있어 기존의 기업·기관 중심이 아니라 ‘마이데이터 플랫폼’을 통해 정보주체인 개인에게 주도권이 이동하게 된 것이다. 마이데이터는 데이터로 존재하는 국민의 개인정보를 보다 안전하게 활용할 수 있는 체계 마련을 위한 제도라고 볼 수 있다.

해당 제도는 이미 전자정부법에 근거한 공공 마이데이터와 금융 마이데이터를 통해 통합 신용정보 조회, 비교·추천 서비스 등 많은 국민이 이용하고 있다. 그러나 기존의 공공·금융에 한정됐던 범위를 의료·복지·통신·유통 등 전 분야로 확대했다.

법률상 개인정보 전송 요구권은 크게 두 가지로 나뉜다. 바로 ‘다운로드권’과 ‘제3자 전송 요구권’이다. 여기서 다운로드권이란, 개인정보를 보관·관리하고 있는 기업·기관들로부터 원하는 개인정보를 단순 열람 차원에서 개인 저장매체에 보관할 수 있는 권리다. ‘제3자 전송 요구권’은 전송을 원하는 개인정보를 요청할 수 있는 권리로 개인정보 열람·전송·파기·허용범위를 포함한다.

▲ 개인정보보호위원회 태현수 데이터안전정책과장이 8일 ‘PIS FAIR 2023’에서 국민신뢰 기반의 데이터 활용 확대방안을 주제로 강연하고 있다[사진=보안뉴스]


마이데이터의 기대 효과, ‘편리성’과 ‘투명성’
마이데이터의 주체가 정보를 제공하는 개인이 되면서 그동안 개인정보 수집·관리·활용·전송 과정에서 발생하는 복잡한 단계가 간편화된다. 기존의 개인정보 수집·전송 과정에서 수많은 서류들을 발급받고 개인 저장매체를 통한 보관·이동 등의 번거로운 과정이 축소된다. 또한, 각 기업들 간의 ‘융합’을 통한 식별인증 체계 연계로 새로운 혁신 서비스 기대효과와 함께 정보 주체자인 개인은 해당 데이터가 언제, 어떻게 활용되는지 투명하게 확인할 수 있게 된다.

이에 따라 개인정보 데이터 확보를 위한 기업 간의 경쟁보다는 민간·공공 간의 데이터 공유를 통해 △고령화 △사회복지 △사각지대 현상 등의 여러 사회적으로 발생할 수 있는 문제들을 마이데이터 기반 내에서 해소할 수 있는 효과를 기대할 수 있다.

태 과장은 “실사례로 요양병원에 계신 부모님이 그날 어떤 처치를 받아 투약·치료를 받았는 지 자녀들이 확인할 수 있고, CD나 종이 서류 형태로 받는 병원의 MRI·CT 같은 검사 결과 등을 진료받고 싶은 특정 대형병원에 쉽게 전달할 수 있다”며, “교육 분야에서도 학습 결과를 토대로 ‘맞춤형 서비스’ 개발 및 활용이 가능하다”고 덧붙였다.

정보제공자(전송의무자)에 해당되는 기업은 데이터 전송을 위한 식별·인증·보안과 관련해 유출 위험이 없는 전송 시스템과 함께 보유한 데이터를 정해진 표준화 규격에 맞춰 가공 및 API 호출이 가능한 시스템을 구축해야 한다. 그러나 이러한 데이터를 받기 위해서는 비용 부담이 적지 않은데, 스타트업과 같은 중소기업의 경우 이러한 시스템 구축 비용과 데이터 송·수신에 따른 전송 과금에 대한 비용 부담은 물론 수신받은 개인정보의 안전한 처리 역량 확보에 한계를 느낄 수 있다.

태 과장은 “주민등록번호·CI·ID·PW 등 다양한 식별인증 체계 연계가 필요하다”면서, “병원은 주민등록번호로 개개인을 식별하지만 다른 기업은 그렇지 않은 경우가 있다. 이처럼 서로 다른 식별자를 갖는 경우 안전한 식별데이터 인프라를 마련하지 않는다면 사실상 마이데이터는 성공하기 어렵다”고 말했다.

이에 전 분야 마이데이터 안착과 활성화를 위해 ‘데이터 표준화’를 이룰 수 있는 기업 간 데이터 상호 이동이 가능한 ‘데이터 중계 인프라’ 구축을 위해 국가적 차원에서 마이데이터 추진 전략을 마련했다. 해당 전략은 크게 △핵심 인프라 구축 △생태계 활성화 △신뢰성 확보로 나뉜다.

먼저, ‘핵심 인프라 구축’에 해당하는 전략으로 △법제도 세부기준 △마이데이터 플랫폼 △분야별·단계별 접근 방식, 데이터 표준화 등이 있다. 또한, ‘생태계 활성화 차원’에서는 △국민 체감 선도 서비스 △데이터 혁신기업 지원 △데이터 전송 부담 낮추는 능동적 참여 인센티브 등의 과금체계 마련 등이다. 마지막으로 ‘신뢰성 확보’ 측면에서는 △개인이 우려하는 전송유도·사기(다크패턴) 방지 △식별·인증·보안체계 마련 △정보수신자 관리·감독 △유출, 위변조시 엄정 제재 등이 있다. 이러한 추진전략을 바탕으로 마이데이터 도입 분야와 데이터 범위 등을 단계적으로 확대해나갈 예정이다.

‘가명정보’에 대한 오해와 진실
마이데이터와도 연관 있는 ‘가명정보’ 제도는 2020년도에 도입된 제도로 크게 대중화되지 않아 아직까지 활용도가 높지 않은 것이 사실이다. ‘가명정보’는 ‘개인정보’와 달리 가명처리를 통해 원래 상태로의 복원을 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보를 말한다. 이에 따라 가명처리 솔루션 개발 및 가명정보 관련 사업들이 지속적으로 발전하고 있다.

태 과장은 가명정보 활용에 있어 보건·의료 등 일부 분야에서는 모범 활용사례가 꾸준히 나오고 있다며, 가명정보에 대한 오해와 효과적인 활용방안을 설명했다.

기본적으로 개인정보는 사전에 정보주체의 동의를 받은 범위 내에서만 수집·활용이 가능하다. 반면, 가명정보는 정보주체자의 동의 없이도 3가지로 제한된 목적인 △통계작성 △과학적 연구 △공익적 기록보존 내에서 활용할 수 있다. 이에 따라 개인식별정보만 제거하면 가명정보라고 생각하고 무분별하게 활용할 수 있는데 ‘희귀성씨, 희귀직업’ 같은 ‘특이정보’가 포함된 경우 ‘안전한’ 가명정보로 볼 수 없어 주의가 필요하다.

태 과장은 “안전한 가명처리 수준에 대한 일률적인 기준 지정이 필요하지만, 사실상 활용목적, 상황·분야별 데이터처리 맥략 등을 고려하면 기준 제시가 상당히 어렵다”면서, “현 시점의 가명처리에 대한 국제적인 흐름은 정보처리자가 적정성 검토를 거쳐 가명처리 수준을 직접 결정하고 식별 위험에 대한 관리를 요구하는 것”이라고 말했다.

이어 그는 “합리적인 가명처리 수준 보장과 국제 흐름을 고려할 때, 우리 법의 적정성 검토와 유사한 형태인 ‘전문가 판단 방식’ 관점을 유지하는 것이 적절하다”고 덧붙였다. 그러나 이에 대한 적정성 검토 과정에서 내부 인원을 활용해 자체적인 검토가 가능하며, 전문성이 필요한 경우 외부 전문가의 도움도 받을 수 있다.

가명정보를 제3자에게 재제공하는 것은 개인정보보호법에서 정한 목적으로 처리하거나 결합하는 경우에 한해서만 가능하다. 다만, 그 외 다른 목적으로 사용하는 경우에는 목적에 해당되는 필수적인 항목만으로 구성해야 하고, 처리환경이 달라지는 경우에는 추가 가명처리를 반드시 거쳐야 한다. 만약 가명정보를 제공받은 자가 안전조치 미이행 등으로 문제가 발생하거나 고의로 재식별 행위가 이루어졌을 시 형사처벌도 받을 수 있다.

가명정보 유상판매의 경우, 과학적 연구 등 법에서 허용하는 범위 내에서는 대가를 받는 것은 가능하나 해당 범위를 벗어나 ‘판매 목적’으로 가명처리하는 것은 금지되어 있다. 또한, 목적과 관계없이 가명정보를 축적하거나 불특정 제3자에게 공개하는 것도 금지하고 있다.

태현수 과장은 “현장에서는 가명정보 활성화 제약 요인에 대한 우려의 목소리가 나오고 있다”면서, “이러한 제약요인을 해소하기 위해 정책 개선방안을 마련 중”이라고 밝혔다.

향후 가명정보 제약요인 해소를 위한 정책 개선방안으로 △가명정보 제공·활용 인센티브 확대 △가명정보 활용 지원 강화 △가명정보 활용 절차 및 규제 개선 △안전한 제도 활용을 위한 관리·감독 강화 등이 추진될 예정이다.
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)