"개인정보 보호, 투자의 대상이지 회피 대상 아니다"

윤종인 개인정보보호위 위원장 "데이터, 안전하게 잘 활용하는 나라로 거듭나야"

컴퓨팅입력 :2021/03/10 08:59    수정: 2021/03/10 09:15

김우용, 김윤희 기자

“대통령 말씀처럼 우리나라가 '전세계에서 데이터를 가장 안전하게 잘 활용하는 나라'로 거듭났으면 하는 희망을 갖고 있다. 그러기 위해서는 민관 협력이 절대 필요하다. 전문가들과 함께 개인정보 이슈를 다루는 '미래 포럼'을 만들어 디지털 시대에 발빠르게 대처하는 제도를 만들어가겠다."

윤종인 위원장은 개인정보보호위원회 독립 출범 6개월을 맞아 최근 지디넷코리아와의 특별 인터뷰를 통해 이같이 말했다. 윤 위원장은 특히 개인정보의 '보호'와 '활용'이라는 '양날의 칼'을 잘 조율하는 일이 얼마나 어렵고 중요한 문제인지에 관해 '자동차의 브레이크'에 대한 비유로 설명했다.

윤 위원장은 또 개인정보보호위원회가 별도 기구로 독립한 뒤 민관 협업을 통해 '코로나19 개인안심번호'를 기획해 낸 일과 '가명정보'란 개념을 세계적으로 유일하게 도입했다는 점을 적잖은 성과로 자평했다.

윤 위원장의 말처럼 데이터의 중요성이 날로 커지는 시대에 개인정보의 '보호'와 '활용'이란 이슈는 '양날의 칼'이 됐다. 최근 인공지능(AI) 챗봇 '이루다' 사태는 이 문제의 어려움 잘 드러냈다. 개인정보보호위원회는 이같은 시대적 질문에 전면에서 답해야 하는 부처다. 이에 맞춰 현행 개인정보보호법을 더 민첩하고 유연하게 진화시켜나가는 것이 개인정보보호위의 큰 숙제다.

다음은 윤 위원장과의 일문일답. (대담: 지디넷코리아 김우용 소프트웨어블록체인팀 팀장, 정리: 김윤희 기자)

윤종인 개인정보보호위원회 위원장

최근 수기 명부 상의 개인정보 유출을 예방할 수 있는 '코로나19 개인안심번호'를 기획했다. 안심번호 사례는 민관 협업의 좋은 성과로 보인다. 사회 변화에 필요한 개인정보 정책을 개발하기 위해 어떤 고민을 하고 있나.

"수기 명부에 입력하는 이름, 거주지, 휴대폰 번호 등과 관련해 개인정보 유·노출 논란이 있었다. 그렇다고 없앨 수도 없는 게, 방역 당국은 역학조사 과정에서 수기 명부가 꼭 필요하다는 입장이었다. 고민하던 차에 코드포코리아와 이동통신사가 협조를 해줘 안심번호를 도입하게 됐다. 이런 민관 협업 사례를 개인정보 보호 영역에서 많이 늘릴 필요가 있다.

미래 포럼에는 각계 전문가 30인 내외가 참여할 예정이다. 개인정보보호법은 공공, 의료, 재산권 등 폭넓은 분야를 아우르는 법이다. 때문에 많은 분야의 전문가들을 모으고, 정책 자문을 하려 한다.

온라인 정책자문단도 준비 중이다. 다양한 분야의 전문가 200여명으로 구성해 주요 정책 및 현안 이슈를 논의하고, 필요 시 미래 포럼과의 연계 활동도 추진하려 한다. 상반기 중에는 정부와 기업, 학계, 시민사회 등이 함께 참여하는 ‘개인정보보호 자율실천협의회’(가칭)을 구성할 계획이다.

개인정보위가 출범한 지 6개월이 지났다. 행정안전부 차관이었다가 신생 조직인 개인정보위의 위원장을 맡게 됐는데, 그간의 소회는 어떤가.

"직접 와서 보니 더 빨리 (개인정보 통합 부처로 독립을) 추진했어야 했다 싶다. 좀 늦었다 싶을 정도다. 개인정보위가 디지털 시대에 해야 할 일이 정말 많다.

지난 6개월을 돌아보면 국민의 개인정보를 보호하면서도 기업의 안전한 데이터 활용을 지원하기 위해 노력해왔다. 개인정보 정책 컨트롤타워로 개인정보 보호와 활용을 위한 정책을 수립, 집행하면서 개인정보 침해 사고가 발생하면 사실조사와 처분을 하는 감시자 역할을 해왔다. 만약 개인정보위가 독립기관으로 출범하지 않았더라면, 페이스북 같은 글로벌 사업자를 대상으로 한 행정처분이나, ‘코로나19 개인안심번호’ 등의 정책들이 과연 나올 수 있었을까 자문도 한다.

앞으로 책임감을 갖고 일해서, 대통령의 표현을 빌리자면 '전세계에서 데이터를 가장 안전하게 잘 활용하는 나라'로 거듭났으면 하는 희망을 갖고 있다."

일각에선 개인정보위를 규제기관으로서 강하게 인식한다. 개인정보위가 시장 진흥의 장애물로 작용할 수 있다는 우려도 제기된다. 취임 당시부터 보호와 활용의 균형을 강조했는데, 산업 진흥 측면에서 ‘보호’의 의미를 어떻게 긍정적인 방향으로 각인시킬 수 있을까.

"저는 자동차 브레이크에 비유한다. 브레이크가 잘 들어야, 차도 시속 300킬로미터까지 달릴 수 있다. 전기차에서 엔진이 없어져도 브레이크는 없어지지 않는 것과 마찬가지다. 개인정보를 잘 보호하는 것은 활발한 데이터 활용을 위해서 필수다. 아직 조사 중이긴 하나, '이루다' 사태를 보면 국민이 희망하는 개인정보 정책 방향을 알 수 있다. 데이터 활용을 통해 '유니콘', '데카콘' 기업이 등장하는 것은 좋지만 기업이 개인정보를 투명하게, 책임감 있게 활용해야 한다는 것이다."

이루다를 계기로 개인정보를 다루는 AI에 대한 사회적 논란이 큰 상황이다. 데이터의 양과 질이 경쟁력을 좌우하는 AI 특성상 개인정보 활용은 갈수록 늘어나야 하지만, 이용자 거부감이 상당하다. 이런 거부감을 해소하면서 AI의 산업적 활용도도 높일 수 있는 방안은 뭘까.

"AI란 불가피하게 다가오는, 확정된 미래다. 다만 이루다 사태는 혁신적이고 편리한 기술이라도 개인정보가 안전하게 보호되지 못하면 국민의 선택을 받을 수 없고, 윤리적 측면에서도 대응해야 한다는 정책적 시사점을 보여줬다. 우리가 어떻게 AI를 활용할 것인지에 대한 사회적 공론화 계기가 되기도 했다. 실태조사 결과 발표를 통해 위원회 공식 입장을 밝힐 예정이다.

위원회 차원에선 크게 세 가지 방안을 고려하고 있다. (AI에서 이뤄지는)자동화된 의사결정에 대한 이의제기권, 설명요구권, 거부권을 개인정보보호법에 신설하는 방안을 고려하고 있다. AI의 결정이 어떻게 이뤄진 건지 설명을 요구할 수 있는 권리다.

AI 서비스를 개발하고, 또 이용하는 과정에서 지켜야 할 'AI 개인정보보호 수칙'도 만들고 있다. 수칙은 법을 일일이 다 찾아보지 않더라도, 이것만 보면 어떻게 해야 할지 알 수 있다는 게 강점이다. 작년부터 준비해온 사항이다.

(이루다 건을 보면)법령에 대한 이해나 적용 측면에서의 노력이 소홀하지 않았나 싶다. 스타트업들을 찾아가 개인정보 보호 컨설팅을 제공하는 방안도 고려 중이다. 스타트업들이 개인정보 침해를 하고 싶어서 하는 건 아니다. 고의가 없음에도, 서비스 개발 단계에서 발생하는 실수들을 바로잡아주자는 취지다."

글로벌 시장에서의 개인정보 이슈 중에선 최근 애플과 페이스북 간 첨예한 갈등이 눈에 띈다. 인터넷 맞춤형 광고를 두고 각각 이용자 프라이버시 보호와, 소비자 혜택 증진 및 소상공인 육성이란 가치가 대립한다. 어떻게 바라보고 있나.

"애플은 사용자의 개인정보 통제권을 높여 개인정보 보호를 강화하려 하고 있다. 페이스북의 경우 맞춤형 광고 시장의 활성화가 소비자와 중소기업 모두에 유익하다는 입장이다. 애플은 개인정보 보호 전략으로, 페이스북은 독과점 방지 전략으로 데이터 시장에서의 주도권 경쟁을 하고 있는 셈이다. 결과는 지켜봐야 하겠지만, 여론은 애플에 좀더 유리한 쪽으로 흘러가고 있는 것 같다.

(사진=씨넷)

우리에게 시사하는 바는 결국 안전한 데이터 활용의 중요성이라 본다. 애플은 개인정보 보호를 고객에게 제공하는 가치 중 하나로 강조한다. 서비스 개발·이용 단계부터 사생활 보호 여부를 잘 살피고, 이용자에게 이런 내용을 투명하게 알려 신뢰를 쌓으면 이용자도 안심하고 그 기업에 개인정보를 맡길 수 있다. 결과적으로 기업의 성장도 촉진될 수 있다. 이용자 데이터를 오·남용하다 사업 상 피해를 입는 것보다 훨씬 나은 결과다. 개인정보 보호는 투자의 대상이지, 회피의 대상이 아니라는 것이다."

작년 독립 부처로 출범한 뒤 개인정보를 데이터로서 안전하게 활용하는 정책을 추진해왔다. 그러나 의료, 공공 등 데이터 개방이 더딘 분야가 있어 산업계에서 아쉬워한다. 현재 가장 큰 걸림돌은 뭐라고 보는가.

개인정보보호법에 가명정보란 개념을 도입한 게 전세계적으로 유일한 사례일 것이다. 개인정보를 활용하되 안전하게 활용하는 방향을 찾자는 의미로 도입한 정책이다. 이런 제도를 도입했음에도 아직 산업계에서 도입 효과를 피부로는 못 느끼는 듯하다. 이해할 수 있는 반응이다. 각종 데이터를 많이 갖고 있는 공공기관들과 협력해서 길을 내보고 있다. 5대 분야에서 가명정보 결합 시범사업을 진행, 7개 과제를 선정해 진행 중이다. 가명정보를 활용하는 길이 선명하게 보이면, 산업계에서 느끼는 개인정보 활용 방법과 이해도 높아질 것으로 본다.

그 가운데에서 위원회의 해야 할 일은 기업이 데이터를 안전하게 활용할 수 있는 길을 보여주자는 것이다. 데이터 개방 정책을 보면 최근 4차산업혁명위원회에서 ‘국가데이터 정책 추진방향’을 의결하고, 공공기관의 미개방 핵심 데이터를 민간 수요에 맞게 개방하는 것을 중점과제로 제시한 바 있다. 의료 분야에서는 보건복지부와 함께 ‘보건의료 데이터 활용 가이드라인 개정안’과 ’마이헬스웨이' 도입 방안을 내놓고 의료 데이터의 개방 및 활용 확대를 추진하는 상황이다.

다만 이런 과정에서 '안전'이란 가치를 놓쳐선 안 된다. 제대로 바늘귀에 실을 묶어 쓰는 길을 찾는 게 저희 일이라 본다. 개인정보위가 신경 써야 하는 부분은 데이터 안의 개인정보를 어떻게 다뤄야 하는지다. 이 방법 중 하나가 가명정보고, 다른 하나가 이번 개인정보보호법 개정안에 담긴 '개인정보이동권'이다. 가명정보는 비식별화하는 것이고, 이동권은 정보 주체가 정보 이동을 요구할 수 있는 것으로, 가명화가 필요치 않다. 법안이 도입되면 공공, 의료 등 분야에서 개인정보이동권에 따른 정보 이동이 활성화될 것으로 본다.

'사일로(Silo)에서 스퀘어(Square)로 흘러가야 정보가 더 잘 활용될 수 있다'고 항상 주장한다. 그 과정에서 개인정보를 잘 다룰 수 있느냐가 저희 숙제다."

윤종인 개인정보보호위원회 위원장

올해 통신대리점, 오픈마켓, 배달 앱, 택배, 인터넷광고 등 5대 생활밀착 분야에 대한 개인정보 관리실태를 집중 조사한다고 밝혔다. 개인정보 침해 발생 시 책임 소재가 애매해질 가능성이 큰 분야들 같다. 어떻게 대응하려 하나.

"코로나19로 '집콕' 생활이 늘어나면서 각종 개인정보 침해 문제들이 더욱 속출한 측면이 있다. 다양한 분야에서 개인정보가 오남용되고 있다는 국민 불편이 존재했다. 독립 부처로서 새롭게 출범하는 개인정보위에 대해 제 역할을 해야 한다는 기대가 있으리라 봤다. 기대에 부응할 정책을 고민하다 이런 분야들에 주목하게 됐다.

생활밀착 분야의 경우 사례가 워낙 다양하기 때문에 개인정보 침해 발생 시 책임 소지는 조사 결과에 따라 판단이 달라진다. 오픈마켓으로 예를 든다면, 오픈마켓 서비스 제공자가 관련 법규를 준수하지 않아 판매자 계정 도용 문제가 발생했을 경우 오픈마켓 서비스 제공자에게 책임 소재를 물을 수 있다."

관련기사

해외 사업자가 일으키는 국민 개인정보 유출 사고 등 위법 행위에 대한 이용자 우려가 높은 상황이다. 국외에 본사를 둔 글로벌 기업을 우리나라 규제기관이 적절히 감시하고, 제재할 수 있을지에 대한 우려가 존재한다. 적절한 대응책이 있을까.

"페이스북을 조사하면서, 외국에 본사를 둔 기업을 직접 조사하는 게 쉽지 않다고 느꼈다. 그런 측면에서 국제 공조는 꼭 필요하다. 침해 대응 글로벌 공조 네트워크를 활성화하는 내용이 업무계획에도 있다.

각국의 감독기관 간 협조 분위기가 있다. 글로벌 IT 기업에 개인정보 관련 문제가 제기됐을 때, 이는 특정 국가에만 해당되는 내용이 아니기 때문이다. 문제가 되는 알고리즘은 해당 기업이 서비스를 제공하는 전세계 지역에 공통으로 적용된다. 페이스북의 경우에도 그랬다. 페이스북 계정을 통해 타 사이트에 회원가입을 하면 이용자 본인 외 친구로 연결된 사용자 정보까지 넘기는 정책이 문제였다. 미국에서 문제시됐지만, 우리나라에서도 똑같이 문제가 됐다. 조사 과정에서 미국 기관의 도움을 받지 않았다면 어려움이 있었을 것이다. 반대로 개인정보위 조사 내용을 타국에 공유할 수도 있는 거다. 그런 공조가 상당히 필요하다. 데이터 경제 자체가 국경이 없기 때문이다."