한국인터넷진흥원(KISA)이 공공기관들의 '개인정보보호 위험도'를 관리하고 위험도가 높은 기관의 개인정보보호 관련 사고를 집중 예방하겠다는 구상을 내놨다. 이는 정부의 데이터경제 활성화 정책 대응방안 가운데 KISA 보유 데이터를 활용하는 시나리오 중 하나로 언급됐다.
1일 KISA 정현철 개인정보보호본부장은 "KISA 자체 데이터를 개방해 데이터경제 활성화에 대응할 것"이라며 "그간 공공기관 대상 온라인 점검과 오프라인 개인정보보호 수준진단을 수행하고 개별 관리했던 이력을 통합해 위험도가 높은 기관(의 유출 사고)을 집중 예방하겠다"고 밝혔다.
KISA의 개인정보보호 관리수준 진단은 공공기관의 개인정보보호 관리체계와 침해예방활동을 진단하고 기관평가에 반영해 개인정보보호 수준 향상을 유도하는 업무다. 지난해 하반기 759개 공공기관의 관리체계 구축, 보호대책 수립, 침해대책 수립, 3개 분야 대상으로 진행됐고 올해 점검도 진행 중이다.
정 본부장은 공공기관의 위험도를 평가하는 세부 기준이나 평가 결과 공개에 대해 "분산된 과거 여러 점검 결과와 데이터를 통합하는 게 먼저"라며 "어느 기관이 얼마나 위험한지, 가중치를 적용할지 등은 더 세밀히 연구해야 할 부분이고 구체적으로 결정된 건 아니다"고 밝혔다.
이어 "여러 기관이 데이터를 많이 보유했어도 뿔뿔이 흩어져 있어 데이터 분석이 어렵거나 불가능한데, 일단 하나로 모으는 게 활용의 첫 단계"라며 "KISA도 여러 데이터를 집중해 공유를 원활하게 하는 부분을 우선시해 데이터를 집중시키고 통합하는 단계를 밟으려 한다"고 덧붙였다.
KISA는 공공기관 점검 및 수준진단 이력뿐아니라 민간 부문에서 수집해 온 스팸 전화 및 이메일 데이터와 민간이 보유한 '사물 위치정보'의 개방과 활용 방안도 검토 중이다. 스팸전화번호는 이미 스팸차단 앱 '후후'같은 업체에 공유되고 있는데, 단순 정보제공을 넘어 데이터 자체를 개방한다는 구상이다.
KISA는 휴대전화 1만8천개, 이메일 계정 13만개, 게시판 100개 규모로 '스팸트랩 시스템'을 운영 중이다. 스팸트랩을 통해 연간 9천만건, 신고를 통해 3천만건, 도합 1억2천만건에 달하는 유무선 스팸 정보를 쌓고 있다. 이를 비식별 처리해 내년부터 산업계, 학계, 연구계에 시범적으로 개방할 계획이다.
정 본부장은 "비식별 처리돼 식별정보가 노출될 위험이 제거된 유무선 스팸 정보가 인공지능(AI) 기술을 접목한 스팸차단과 봇넷탐지 등 학계와 산업계 다양한 분야에서 활용할 수 있다"며 "개방, 공유 범위를 사이버위협정보와 정보보호R&D데이터셋 등으로 확대할 예정"이라고 말했다.
KISA는 스타트업 등이 활용할 수 있게끔 민간과 협의해 사물위치 정보 개방도 유도할 방침이다. 사물 위치정보는 공공장소나 건물에 설치된 와이파이(Wi-Fi) 네트워크 장비의 위치정보 등을 의미한다. 위치정보 사업 스타트업의 시장안착을 지원하는 '생애주기별 관리체계' 운영도 구상 중이다.
정 본부장은 "개인정보 범위에서 제외된 사물 위치정보 개방과 공유를 촉진하면 위치정보의 정확도를 높여 긴급구조같은 공익 목적 그리고 이밖에 다양한 산업적 목적으로도 활용할 수 있게 된다"고 언급했다.
그는 KISA 자체 데이터 개방 외에도 KISA 본부간 협력을 통한 개인정보보호 기능과 산업활성화 및 침해대응 기능간 협업 강화, KISA 비식별지원센터의 정책 및 기술 전문 연구조직으로 확대 같은 방안을 제시했다.
■ "본부간 협업 강화해 개인정보 보호-관련 산업활성화 추진"
KISA는 개인정보보호본부와 인터넷기반본부, 정보보호산업본부, 사이버침해대응본부 등 4개 본부간 협업을 강화할 방침이다.
KISA 편제상 인터넷기반본부는 정보보호산업본부와 함께 신기술 및 신사업의 발전을 위한 정책수립과 지원 기능을 맡고 있다. 정보보호산업활성화와 사물인터넷(IoT) 융합서비스 지원, 최근엔 블록체인 활성화 분야도 담당한다. 개인정보보호본부는 이 두 본부와 협력해 블록체인, IoT, AI 등 신기술 분야 규제개선과 개인정보 자기결정권 보장을 통한 산업활성화 방안을 연구할 계획이다.
사이버침해대응본부는 해킹 등 사이버위협을 예방하고 사이버 침해사고 대응 및 복구를 지원하는 기능을 맡고 있다. 주요기반시설 보안지원, 침해사고분석 및 위협정보 공유, 침해사고대응 및 상황관제가 주업무다. 개인정보보호본부와의 협업 초점은 개인정보유출사고의 주요 원인인 해킹 피해의 배경인 보안미흡 문제에 함께 대응하고 국민과 기업의 불편을 줄이는 제도를 개선하거나 프로세스를 간소화하는 데 맞춰진다.
정 본부장은 "정보보호관리체계(ISMS)와 개인정보보호관리체계(PIMS) 인증이 통합되는 배경은 두 인증 기준이 상당부분 중복돼 있었기 때문"이라며 "이처럼 기업에 대한 중복규제 불편을 최소화하고 118 사이버민원센터 상담과 같은 국민신고 및 상담시 불편도 최소화하겠다"고 말했다.
■ "비식별 지원센터를 정책·기술 전문 연구조직으로 확대"
KISA는 개인정보 보호와 활용의 조화라는 구호아래 민간의 개인정보 비식별조치 및 활용을 지원하고 있다. 향후 개인정보보호본부의 개인정보기술단에 속한 '개인정보 비식별조치 지원센터'를 관련 정책 및 기술 분야 전문 연구조직으로 확대할 계획이다.
비식별 기술 분야에선 기술연구와 기업 활용 지원, 비식별 컨테스트를 통한 기술 검증과 인식제고, 해외 선진 제도 벤치마킹을 통한 전문인력 양성, 기업 대상 테스트베드와 컨설팅 제공지역을 서울에서 5대 권역으로 점진 확대한다.
정 본부장은 "(4차산업혁명위원회 규제개혁) 해커톤에 참가한 시민단체와의 협의를 통해 사회적으로 합의한 가명정보와 익명정보 등 개념을 담은 개인정보보호법 개정안 법제화 중"이라며 "KISA는 비식별 컨테스트를 통해 다양한 비식별조치 기술 연구 기회를 제공하고 해외 비식별조치 교육이나 인증제를 벤치마킹해 국내에 양질의 교육을 제공할 예정"이라고 말했다.
비식별 정책 분야에선 정부부처와 협력해 개인정보 감독 정부부처를 지원하는 '제3의 신뢰기관(TTP)' 등 안전한 데이터 활용 체계를 정립하고 가명처리 및 익명처리 절차와 데이터 결합 절차 가이드를 제시한다.
이밖에 정보주체가 자기 개인정보를 스스로 관리, 활용하는 '퍼스널데이터스토어(PDS)' 모델에 블록체인 기술을 접목하는 시범사업으로 개인정보보호 적정성 검증과 제도개선안 도출을 꾀하고 의료 빅데이터활용 시범사업 기술협의회에도 참여한다.
정 본부장은 "PDS의 걸림돌은 자기 데이터를 누가 어떻게 활용할지 의구심을 가질 수 있는 정보주체의 신뢰 부분"이라며 "데이터의 사용 이력과 추적성, 투명성, 위변조불가 등 특징을 갖는 블록체인 기술을 접목해 신뢰성을 높이는 시범사업을 구상하고 있다"고 말했다.
■ "비식별 기술 경진대회로 산업계-시민사회 합의점 도출"
KISA는 11월중 '개인정보 비식별 기술 경진대회'를 연다. 개인정보 비식별 지원센터의 전문역량 확대 일환이다. KISA 측은 참가팀간 비식별조치 기술 경쟁을 유도하는 대회를 통해 신기술 개발과 연구활성화 촉진, 비식별관련 저변확대를 기대 중이다.
대회는 참가팀마다 나름대로의 기법으로 주최측이 제공한 가상의 개인정보 데이터셋을 비식별조치하고 재식별화하며 그 기술과 아이디어의 우월함을 겨루는 방식으로 진행된다. 일본의 '프라이버시워크숍컵(PWS Cup)'을 벤치마킹해 올해 처음 기획됐다.
KISA는 지난달 18일까지 경진대회 예선 참가 접수를 받았다. 18개팀 50명 규모 인원이 접수했다. 오는 11월 1~2일 예선전이 시작된다. 11월 9일 본선진출 통보가 이뤄지고 월말께 본선전이 열린다. 오는 12월 12일 개인정보보호의 밤 행사에서 시상이 진행된다.
예선은 팀간 비식별조치 기술경쟁, 본선은 이를 재식별하는 기술경쟁이다. 참가팀이 제출한 비식별 처리된 데이터의 안전성과 유용성을 정량 평가하고 팀별 발표를 정성 평가하는 과정이다. 다만 데이터에 안전성이 없을 경우 유용성이 평가되기 전 탈락된다. 유용성은 원본 데이터와 비식별 처리된 데이터간의 평균값, 상관계수, 분포도 등 비교로 판정된다.
예선 결과를 통해 6개 안팎의 팀이 본선에 진출한다. 본선진출팀은 11월 29일 비식별 조치된 데이터를 재식별하는 기술로 경쟁한다. 문제로 제시된 비식별 처리된 데이터의 원본을 추정하는 경연이다. 예선 70%와 본선 30% 비중의 종합평가 점수로 3팀이 선발된다. 각 팀별로 100만~300만원 상금이 주어진다.
관련기사
- "데이터 경제 활성화 5개년 로드맵 연말까지 나온다"2018.10.01
- KISA, 개인정보 비식별기술 경진대회 참가자 모집2018.10.01
- 가명정보 활용범위 넒어져…악용 땐 처벌강화2018.10.01
- "고객 데이터 결합 확산 더뎌…이익 불확실 탓"2018.10.01
KISA 오용성 개인정보비식별지원센터장은 "개인정보 보호와 활용을 촉진하고 비식별화 정보가 재식별될 우려를 해소할 방안으로, 원래 예산에 반영되지 않았던 과제였던 개인정보 비식별기술 경진대회를 기획하게 됐다"고 설명했다.
이어 "지난해 비식별지원센터를 통해 비식별화 정보를 활용하려던 기업과 기관들이 (비식별정보 활용에 반대하는) 시민단체에 개인정보보호법 위반 사유로 고소를 당하는 일이 벌어지면서, 이 사안에 대해 산업계와 시민사회의 합의점을 도출할 방안을 구상해 왔다"고 덧붙였다.