각국은 4차 산업혁명에 맞춰 개인정보 보호와 활용을 적극 추진한다. 유럽연합(EU)은 단일 개인정보보호법을 제정해 익명정보, 가명정보처리 규정을 마련했다. 일본 역시 개인정보보호법 개정을 통해 익명가공정보 규정을 신설한다. 우리는 강력한 개인정보보호법 체계를 갖췄지만 유출 사고는 지속된다. 4차 산업혁명 시대를 맞아 개인정보를 활용해 신산업을 이끌 기업 활동도 둔하다. 아마존, 구글, 애플 등은 개인정보를 활용해 맞춤형 서비스로 무장한 인공지능(AI) 서비스를 하는데 국내 기업은 활용할 자산이 없다.
◇법은 강한데 사고는 지속
2016년 개인정보보호 실태조사에 따르면 전체 91.7%가 개인정보보호법을 알고 있다. 이 중 73.4%가 침해 사고를 경험했지만 특별한 조치를 하지 않는다. 한번 유출된 개인정보는 신속히 탐지하기 어렵고 삭제도 한계가 있다. 암거래 시장에서 한국 개인정보를 사고파는 사례는 여전하다.
국내 기업은 고객 개인정보를 수집하려면 사전 동의를 받는다. 사전 동의를 받은 후 과도한 개인정보 수집은 관행처럼 이뤄진다. 사이버 공격 기법은 날로 고도화하면서 개인정보 보관은 더욱 어렵다. 개인정보유출 원인 중 외부 공격이 59%에 달한다. 탈취된 개인정보는 대포폰 개설과 신용카드 발급에 악용되거나 스팸, 스미싱 등 사이버 사기에 쓰인다.
◇구시대에 머문 개인정보보호 법체계
예를 들어 택배 업자는 온라인으로 접수하고 오프라인으로 배송한다. 여행사도 온라인으로 예약하고 오프라인으로 여행한다. 이런 서비스 사업자는 어느 쪽 법을 지켜야 하는지 혼란스럽다. 개인정보보호법과 정보통신망법을 모두 지켜야 하면서 법 적용 혼란과 형평성 문제가 발생한다.
최경진 가천대 교수는 “하나의 법과 규제체계로 통합하는 것이 맞는지는 고민해야 할 문제”라면서 “개인정보보호법 규제를 완화해 활용과 조화를 이뤄야 한다”고 말했다.
◇탄력적 개인정보 동의 시대 열자
사물인터넷(IoT) 확산 등 스마트 사회로 진입하면서 개인정보보호 원칙을 재정립 하자는 목소리도 높다. 가트너에 따르면 2020년까지 260억개 장치가 인터넷에 연결된다. IoT 취약점으로 인한 개인정보 유출이나 IoT 기기가 생성하는 개인정보가 논란이 된다. 정보주체에 사전 동의를 받기 어렵다.
산업계는 개인정보 활용 요구가 높다. 신규 ICT산업 활성화를 위해 비식별 조치 허용과 규제 완화를 요구한다. 구태언 테크앤로 대표변호사는 “구글, 아마존 등이 빅데이터를 활용해 AI 서비스 시장을 장악한다”면서 “우리 기업은 강력한 개인정보보호법에 막혀 산업이 발전할 기회를 잃고 있어 개인정보보호 정책에도 유연성이 필요하다”고 지적했다.
IoT 환경에 적합한 탄력적인 개인정보보호 동의 제도 마련에 힘이 실린다. 개인정보 중요도에 따라 '옵트인(정보주체가 동의해야만 개인정보 처리)', 옵트아웃(정보주체 동의 없이 개인정보처리 거부 의사 밝히면 처리 중지)을 병행하고 스마트폰 앱 확인절차 등 정보주체에 편리하게 고지하는 식이다. 개인정보 판매에 대한 합리적 대응도 필요하다. 개인정보 판매 사실을 명확히 알고 동의하는 방안이 요구된다.
◇ 개인정보보호 신뢰 회복
개인정보는 '활용'과 '보호'라는 양면성을 지닌다. 국민은 개인 맞춤형 서비스를 받으며 정보가 안전하게 보호된다고 전제하기 때문에 편익과 결과에 만족한다. 기업은 개인정보보호를 법령에 따라 준수해야 할 사항이 아니라 고객과 약속이자 사회적 책임으로 받아들여야 한다.
김원 한국인터넷진흥원 개인정보보호본부장은 “서비스를 제공하는 자와 제공받는 주체 사이에 사회적 신뢰가 형성될 때 '보호'와 '활용'이 균형을 이룰 수 있다”고 설명했다. 그는 “개인정보보호에 대해 국민 신뢰를 얻는 것이 빅데이터 등을 기반으로 한 4차 산업혁명 시대 가장 중요한 선행 과제”라고 강조했다.
개인정보 침해사고 현황
김인순 보안 전문기자 insoon@etnews.com
![[사이버 보안 새틀을 짜자]<4>개인정보 보호와 활용 패러다임을 바꾸자](/news/photo/201910/28786_craw4.png)
저작권자 © PRESS9 무단전재 및 재배포 금지