Medium App

Experience a richer experience on our mobile app!

페이스북發 기업 개인정보 무단 수집 논란…"사후 관리 감독 규제 강화해야"

by

글로벌 소셜네트워크 서비스업체인 페이스북의 개인정보 무단 수집 논란이 확산되면서 국내의 기업의 개인정보 활용에 대한 소비자의 불안이 커지고 있다. 페이스북이 이용자 정보의 제3자 유출을 사실상 방치한 것으로 알려짐에 따라 국내 기업 확보하고 있는 광범위한 고객 정보도 비슷한 문제점을 드러낼 수 있다는 것이다. 방송통신위원회와 과학기술정보통신부는 지난달 30일 페이스북을 비롯해 네이버, 카카오 등 국내외 주요 모바일 앱 기업의 개인정보보호 실태 조사에 착수한 상태다. 개인정보나 통화 문자 내역 등을 무단 수집했는지 점검하는 차원에서다. 국내 기업들은 개인정보 관리를 철저히 하고 있다고 강조하고 있지만 시민단체들은 정부 차원에서 개인기업의 정보 보호 강화 규제를 만들어야 한다는 목소리를 내고 있다.

1일 한국인터넷진흥원(KISA)에 따르면 국내에서 기업이나 기관이 개인정보를 활용하는 방법은 크게 3가지다. 법률이 허용하는 범위에서 활용하는 방법, 정보주체의 동의를 얻는 방법, 비식별 처리 등이다. 기업과 기관은 주정보주체(고객)의 동의를 얻는 방법을 적극 활용하고 있다. 법률이 허용하는 범위나 비식별 처리 등은 방법이 매우 제한적이고 까다롭기 때문이다.

비식별 처리 정보도 선호하는 경향을 보인다. 현재 다양한 분야에서 사용되고 있는 것도 이 때문이다. 현행 개인정보보호법은 연구, 안전, 재산상의 이익 등을 위해 필요한 경우 제한적으로 개인정보의 활용을 허용하고 있다. 비식별 처리 정보가 이같은 경우에 해당된다. 비식별 정보란 누구에 대한 정보인지를 확인할 수 없도록 조치한 개인정보로 주민등록번호처럼 특정인을 구분할 수 있는 것을 뺀 정보를 뜻한다.

비식별 처리의 경우 정부의 가이드라인이 마련돼 있다. 2016년 6월 마련된 '개인정보 비식별 처리 가이드라인'은 가명 처리나 데이터 일부 삭제 및 범주화 등을 통해 정보 대상이 누군지 알 수 없게 하는 것이 핵심이다. 비식별 익명정보는 당사자의 동의 없이 자유롭게 활용할 수 있다. 정의당 추혜선 의원실이 작년 10월 공개한 자료에 따르면 비식별 가이드라인 도입 이후 현재까지 비식별 처리를 거친 개인정보 결합물 3억4000여만건이 기업 등에 제공됐다.

그러나 처리 과정이 까다롭고 비용이 들다 보니 대부분의 기업은 비식별 처리보다는 고객의 동의를 얻어 자체 수집한 정보에 의존한다. 익명정보가 데이터로서 가치가 떨어지는 점도 한몫했다. 원본 데이터를 개인 식별이 어렵게 두루뭉술하게 만들기에 분석을 통해 도출할 수 있는 결과가 제한된다는 지적이다.

최근 기업은 익명의 비식별 처리 정보보다 가명정보에 주목하고 있다. 가명정보는 추가 정보가 있으면 대상이 누구인지 알 수 있는 정보를 말한다. 익명정보보다 세부 정보가 많아 분석 데이터로서 가치가 더 높다. 다만 가명정보와 관련한 국내 규정은 모호하다. 비식별 조치 가이드라인은 단순 가명처리한 정보는 동의 없이 활용할 수 없도록 규정할 뿐 익명정보와 가명정보를 뚜렷이 구분하지 않는다. 익명과 가명정보가 모두 비식별 정보로 뭉뚱그려지면서 제대로 활용되지 못한다는 얘기다. 상황이 개인정보의 무단 사용 가능성이 높다. 시민단체 등이 정부차원에서 기업의 개인정보 보호 규제를 강화해야 한다는 목소리를 내는 것도 이 때문이다.

정부는 이같은 점에 주목, 익명과 가명정보를 분리해 관리하는 방안을 추진 중이다. 대통령 직속 4차산업혁명위원회는 지난달 토론회(해커톤)에서 개인정보 관련 법적 개념을 '개인정보', '가명정보', '익명정보'로 구분해 정비한다는 방침을 세웠다. 익명정보는 개인정보보호법 대상에서 제외하고 가명정보는 정의와 활용에 대한 법적 근거를 마련한다는 것이다. 익명정보는 규제를 풀어 자유롭게 활용할 수 있고, 가명정보는 거꾸로 법의 보호를 받게 해주겠다는 취지다.

개인정보의 활용과 보호 사이에서 균형을 잡겠다는 목표지만 비식별 정보 규제를 푸는 것을 두고 우려도 제기된다. 가명 혹은 익명 처리를 하더라도 추가 정보가 충분하면 개인이 식별될 위험이 있기 때문이다. 지난해 11월 참여연대를 비롯한 12개 시민단체는 비식별 가이드라인에 따라 당사자 동의 없이 개인정보 결합물을 기업에 제공한 혐의로 한국인터넷진흥원, 금융보안원 등 공공기관과 기업 20여곳을 검찰에 고발한 바 있다. 비식별 처리 정보라고 하더라도 기업이 보유한 원데이터와 결합하는 등의 방식을 통해 재식별화 위험성이 높은 점에 주목했다.

업계 관계자는 "기업의 개인정보 수집 범위가 광범위해지고 있는 상황에서 개인정보 보호는 기업이 안고가야 할 숙명과 같은 문제"라며 "정부차원의 개인정보 관련 규제 강화와 기술적인 관리 등도 중요하지만 무형의 정보라는 특성상 관리에 한계가 있어 기업별 사후 관리에 대한 관리감독 강화에 초점을 맞춘 규제 강화가 현실적인 대안이 될 수 있을 것"이라고 말했다.

김세형 기자 fax123@sportschosun.com