“흔히 익명 처리하면 원본이 많이 망가진다고 생각한다. 하지만 익명정보만으로도 충분히 개인정보를 보호하면서 활용 가능한 데이터를 만들어 낼 수 있다. 익명정보로는 데이터 활용이 불가하다고 하는 것은 산업계의 무지다.”
이원석 연세대학교 컴퓨터과학과 교수는 최근 지디넷코리아와의 인터뷰에서 이 같이 밝히며 "익명정보를 놔두고 가명정보에만 집중하는 형국이 안타깝다. 데이터 강국을 위해 '익명 정보'를 적극 활용해야 한다고 강조했다.
정부는 지난 6월 ‘데이터를 가장 안전하게 잘 쓰는 나라’라는 목표를 내걸고 개인정보 활용 촉진을 위한 여러 방안을 내놨다. 특히 현재의 개인정보 범위가 불명확하며, 활용 가능한 개인정보가 불충분하다는 지적 등을 받아들여, 개인정보보호법 등 관련법 개정을 추진하고있다.
현재 논의되고 있는 개인정보에 대한 법적 개념 체계는 크게 개인정보, 가명정보, 익명정보로 나뉜다. 가명정보는 실명 대신 가명을 사용해 바로 식별할 수 없지만, 별도 추가 정보가 있으면 식별이 가능한 정보를 말한다. 익명정보는 가명정보보다 비식별 조치를 강하게 취한 정보로 다른 정보와 결합해도 특정 개인을 알아볼 수 없는 정보를 말한다.
익명정보는 개인정보로 분류되지 않아 개인정보보호법의 적용을 받지 않는다. 가명정보는 아직 법제화가 되지 않은 개념으로 제대로 활용되지 못하고 있다.
지난 달, 개인정보보호법 소관부처인 행정안전부는 개인정보와 관련 법적 개념체계에 가명정보 개념을 도입하고, 이를 활용할 수 있는 개인정보보호법 개정을 연내 추진하겠다고 밝혔다. 앞서 열린 해커톤에서는 개인정보의 법적 개념 체계를 개인정보, 가명정보, 익명정보로 구분하기로 합의한 바 있다.
이 교수는 가명정보에 초점이 맞춰지는 현 상황에 대해 “현재 산업계에서 너무 가명정보만을 바라보고 있다”며 “익명의 세상이 없다고 접어버리는 게 안타깝다”고 토로했다.
그는 “익명정보만으로도 충분히 데이터 활용이 가능하다”며 “익명정보로는 데이터 활용이 어렵다는 건 기우이자 무지”라고 주장했다. 이어 “익명정보로도 여러 단계, 여러 수준으로 데이터를 뽑아낼 수 있다”며 “익명정보로 재식별 불가성을 유지하면서도 데이터 활용이 얼마나 가능한지 실증해보자”고 제안했다.
■ “가명화 기술로는 글로벌 기업에 밀려…익명기술로 경쟁력 쌓아야”
그는 가명화 기술이 사용 가능해지면 한국 기업은 구글, 페이스북에 먹힐 것으로 전망했다. “데이터를 활용할 때 익명 기술을 이용해야 글로벌 기업으로부터 또 하나의 보호막을 가질 수 있다. 미국과 일본, 유럽 등의 산업계에서는 익명기술을 안 쓰기 때문에 그들이 주목하고 있지 않은 기술을 우리가 빨리 개발시키고 발전시켜 경쟁력을 가져야 한다”고 설명했다.
그는 “데이터 활용 잘한다는 SKT와 같은 국내 기업들은 아마존이 들어오는 순간 다 날아간다”며 “한국은 보유 측면에서는 데이터 선진국이라 할 수 있지만, 활용 측면에서는 후진국”이라고 평가했다. 따라 아직 글로벌 기업이 데이터 시장이 들어오지 않았을 때, 한국의 익명화 기술을 키워야 한다는 주장이다.
또 가명정보는 돈이 많이 든다는 단점도 언급했다. 이어 “대기업은 돈을 많이 주고도 가명정보를 쓰겠다 하면 되지만, 그럴 수 없는 중소기업은 익명정보를 가지고도 충분히 활용할 수 있게 해야 한다”고 덧붙였다.
그는 익명정보에 대한 소유권이 누구에게 있는지 사회적 합의가 필요하다고 말했다. “익명 처리를 했다고 해서 원래 정보의 주인과 상관없다고 하면 안 된다”며 “익명처리를 할 때 개인에게 보상을 해주는 방식으로 가야 한다”고 말했다. 특히, 익명정보는 공공기관에서 많이 필요하다고 설명했다. 민간기업에서는 일대일 서비스를 주로 원하기에 개인 맞춤형 데이터가 필요할 수 있으나, 공공기관에서는 특정 개인에 관한 정보를 정확히 알 필요 없이 그저 패턴을 찾아낼 수 있기만 하면 활용이 가능하다는 것이다.
이 교수는 익명처리와 익명결합이 같이 가야된다고도 주장했다. 익명결합은 익명정보끼리 결합하는 걸 말한다. 그는 “2016년에 나온 비식별화 결합은 가명결합”이라며 “결합할 때 개인별 번호를 임시키로 부여하는 결합으로 식별이 가능하다”고 지적했다.
이어 익명결합에 대해 “아직 익명결합이라는 개념이 없어 생소할 수 있지만, 기술적으로는 원본이 거의 훼손되지 않게 결합할 수 있다”며 “익명결합을 활용하면 개인정보 보호와 활용이라는 두 마리 토끼를 잡을 수 있기 때문에 익명결합에 대해 실증을 과감히 해야 한다”고 강조했다.
■ “익명결합한 정보는 동의 없이 사용할 수 있는 옵트온(Opt-on) 방식 법제화하자”
그는 개인정보를 빅데이터로 이용하기 위해 옵트온 방식을 부수적으로 사용하자고 제안했다. 옵트온 방식은 이 교수가 만든 익명정보를 활용하는 체계다. 익명으로 처리된 정보를 가지고 익명결합을 했을 시에는 동의를 받지 않고 쓸 수 있게 하는 방식을 말한다.
현재 한국은 당사자의 동의를 받아야만 개인 정보를 수집할 수 있는 옵트인(Opt-in)방식을 채택하고 있다. 그는 “옵트인은 개인정보를 운영 계에서 동의받고 운영하는 방식이라면, 옵트온은 분석 계에서 동의를 안 받고 쓸 수 있는 방식”이라고 소개했다.
그는 “개인정보, 가명정보 등 개인정보를 보호해야 하는 정보에서는 옵트인 방식을 유지하되, 익명처리를 하고 익명결합을 한 정보에 관해서는 개인정보 동의가 필요 없는 옵트온 방식을 함께 쓸 수 있도록 옵트온을 법제화하자”고 주장했다.
그는 “현재 데이터 활용을 둘러싸고 마치 샅바싸움 하듯 산업계는 개인정보를 다 쓰게 해달라고 요구하고, 시민단체는 못 쓰게 하는 등 양극만 존재한다”며 “개인정보는 여러 단계로 나눠 쓸 수 있는 패턴이 많은데, 모 아니면 도 방식의 논의는 지양해야 한다”고 말했다.
교육의 중요성도 강조했다. 그는 “모든 국민이 개발자가 될 필요는 없지만, 모든 국민이 데이터는 이해해야 한다”고 말했다. 인터넷 시대에 인터넷을 모르면 기회를 놓치고 손해듯이, 데이터 시대에는 데이터 분석을 하지 못하면 기회를 똑같이 놓치게 된다는 얘기다.
이어 “데이터 강국으로 가기 위해서는 몇 명만이 데이터를 하는 게 아니라 전 국민이 데이터를 이해해야 한다”며 “지금부터 데이터 교육을 하지 않으면 시너지가 안 생겨 결국 산업도 막히게 될 것”이라고 경고했다.
하지만 그는 “교육에만 투자해서는 안 된다”며 “교육은 민간의 역할이며, 정부는 산업에 투자해야 한다”고 말했다. “산업에 투자하게 되면, 산업체가 필요하게 되고 그러면 결국 교육 전문기관이 여럿 생기게 되는 것”이라며 “정부는 교육에 투자해 생태계를 망가뜨리지 말고 산업을 활성화해야 한다”고 역설했다.
■ “데이터는 SW가 아니다...데이터에 특화된 R&DB 필요”
그는 하드웨어는 고체에, 소프트웨어는 유체에, 데이터는 기체에 비유했다. “소프트웨어는 틀이 없어 유연하지만 보이긴 한다. 하지만 기체는 한 번 나가면 관리하기가 너무 어려운 기체와도 같다”고 설명했다. 따라 “소프트웨어와 데이터가 이렇게 차이가 나는데 이 둘을 같다고 보면 데이터는 망한다”고 지적했다. 이어 “지금 정부는 하드웨어와 소프트웨어의 연구개발만 하지, 데이터까지 연결하는 연구개발은 하지 않는다”고 꼬집었다.
그는 “미국은 이미 구글, 페이스북 등 단일 회사들이 경쟁력을 가지고 데이터 연구개발을 하고 있다”며 “하지만 한국은 후발주자이고 시장도 작기 때문에 처음에는 국가 주도형 연구개발이 필요하다”고 말했다.
그는 국가 주도형 연구개발을 위해 거버넌스 차원에서 데이터 국을 만들어야 한다고 제언했다. “미래 사회는 기업도, 국가도, 개인도 최적화가 필요한 최적화 사회”라며 “이제는 나의 경험만으로는 더는 유효한 가치를 얻을 수 없고, 가치 있는 변화를 알기 위해서는 빅데이터가 필요하다”고 설명했다.
관련기사
- "비식별 가명정보 쓰게해야 데이터 활성화"2018.08.20
- 헬스케어 의료데이터 가명정보 이용을 허하라2018.08.20
- 개인정보보호법학회 14일 학술세미나2018.08.20
- 행안부, 15개 여론조사기관 개인정보보호실태점검2018.08.20
데이터 기반 사회가 되기 위해서는 연구개발에서만 그치는 게 아닌, 실증까지 이어져야 한다고 그는 강조했다. 이른바 R&DB(Research and Development Business)를 해야 한다는 것이다. “예전 하드웨어, 소프트웨어는 연구소에서 나온 연구 결과를 가지고 행정을 했다. 하지만 데이터 산업은 연구소에 있으면 안 된다”며 “데이터에서 결과를 도출해내고 그 즉시 현업에서 같이 적용, 분석하면서 써야 한다”고 설명했다.
그는 “그동안 진행됐던 개인정보 보호 관련 해커톤도 진일보했지만, 실제로 R&DB를 하지 않았다”며 “법, 행정 등의 관점에서 내가 알고 있는 개인정보 보호 인지상에 있는 데이터를 활용하려면 어디까지가 안전한지 데이터를 가지고 검증해야 한다”고 덧붙였다.