데이터 활용에 걸림돌 너무 많아 …국회입법조사처 세미나[아이뉴스24 최은정 기자] 국내 법이 고객 데이터를 활용한 신규 사업에 걸림돌이 되고 있다. 더욱이 유럽의 강력한 개인정보보호 규제보다 더 많은 제약을 두고 있다는 것.

자칫 미래 산업 국가 경쟁력이 떨어질 수 있어 서비스 혁신을 위한 규제 개선이 시급하다는 지적이다.

이진규 네이버 정보보호최고책임자(CISO)는 5일 국회입법조사처가 마련한 정책 세미나에 참석, '데이터 활용과 프라이버시'에 관한 주제발표를 통해 이 같은 국내 법제 문제를 지적했다.

이진규 네이버 이사 겸 정보보호최고책임자(CISO)가 서울 여의도 국회입법조사처에서 '데이터 활용과 프라이버시' 주제 토론회에서 발표하고 있다.

◆개인정보 '정의' 같지만…'범위' 해석 제각각

이날 세미나에서는 현행 개인정보보호법과 정보통신망법 상 개인정보 보호 관련 규정이 유럽연합(EU)의 강화된 개인정보보호규정(GDPR)에 비해서도 지나치다는 지적이 나왔다.

국내 개인정보보호법과 GDPR은 '개인정보'를 거의 유사하게 정의하고 있으나 국내는 법원 판결 해석에 따라 개인정보 범위가 달라지기도 한다는 것.

가령 개인정보보호법 제2조 제1항에서 정의하는 개인정보는 '살아있는 개인에 관한 정보로서 성명, 주민등록번호·영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 것을 포함한다)'로 규정하고 있다.

문제는 '쉽게 결합해'라는 문구에 대한 확대 해석으로 과거 휴대폰 유심칩 일련번호, 핸드폰 번호 뒷자리 4자를 수집한 사업자가 법적 처벌을 받기도 한 것.

이 같은 휴대폰 유심칩 번호와 뒷번호 4자리는 고유 개인정보라 보기 힘들다는 지적이다.

이진규 CISO는 "가입시 회원정보를 받지 않았던 해당 앱 업체는 유심칩 번호로 다운로드 고객수를 정확히 파악하려 했고, 개인이 한번 혹은 여러번 다운로드 했는지 구분하려 기기 고유 번호를 수집한 것"이라고 이를 설명했다.

이어 "개인정보를 취급하는 이동통신사에 문의해야 정확한 이용 주체가 나오지만, 법적 근거없이 알려주면 위법이 되는 사안"이라고 부연했다.

그는 또 "제한된 집단 내에서 휴대폰 번호 뒷자리는 개인을 특정할 수 있어 개인정보에 해당된다는 법적 판결도 있었다"며 "이렇듯 어떤 경우 개인정보로 취급되는지 사업자가 임의로 판단하기 어려운 상황"이라고 지적했다.

이와 달리 GDPR에서 말하는 개인정보 범위는 비교적 명확해 이 같은 혼란을 줄일 수 있다는 설명이다.

예시를 추가해 모호할 수 있는 부분을 추가적으로 설명하고 있고, 특히 성과 이름 두 개가 결합된 정보, 풀네임이 포함된 이메일 계정만 개인정보로 규정하고 있다. 가령 일반적인 아이디(ID)를 가진 이메일은 개인정보로 취급하지 않는 것. 국내 규정이 더 제약이 많은 셈이다.

◆ 유효기간제와 위수탁 제도도 복잡

유럽은 GDPR 법률사실 설명부(Recital) 47번에 따라 기업이 직접적인 마케팅 목적으로 개인정보를 사용할 수 있도록 했다. 즉 사업자가 정보주체에 영리목적으로 광고성 정보를 이메일, 메시지, 전화 등의 수단으로 제공해도 되도록 허용하고 있다는 설명이다.

또 사업자가 개인정보 사용시 개인정보보호법 제15조 제1항에 따라 정보주체에게 일일이 '동의'를 구하는 우리와 달리 유럽은 정보주체와 '계약'을 맺는 형식으로 진행하고 있는 것도 차이다. 계약 조건 내에 개인정보를 어디에 사용할지 누구와 공유할지 등 내용이 상세히 포함돼 있어 이의 활용에 문제가 없다는 얘기다.

이 CISO는 "정보주체의 '동의'는 형식적인 절차일 뿐 자세하게 어떤 정보가 어디에 쓰이는 지 파악하는 과정이 없다"며 "사업자 입장에서는 손해볼 것은 없지만 정보주체 입장에서는 박스에 체크만 하는 과정을 반복해 피로현상을 일으킨다"고 덧붙였다.

국내의 유효기간제와 위수탁 제도도 사업자의 데이터 활용을 저해하는 법적 요소로 지적됐다.

개인정보 유효기간제는 정보통신서비스 이용자가 1년 동안 서비스를 이용하지 않을 경우 서비스 제공자가 이용자의 개인정보보호를 위해 개인정보 파기 등 필요 조치를 하도록 한 규정(정보통신망법 제29조 제2항)이다.

즉시 파기하거나 다른 이용자의 개인정보와 분리해 별도로 저장·관리해야 한다는 시행령에 따라 기업은 데이터베이스(DB)를 물리적 혹은 논리적으로 분리해야 한다.

이 탓에 비용 등 문제로 별도의 DB를 구축해 개인정보를 물리적으로 분리하는 것보다 논리적으로 분리하는 방식이 선호되고 있다. 문제는 해커 입장에서는 논리적으로 분리해 놓은 부분에 침투, 정보를 유출하기 쉽다는 점에서 이에 악용될 소지도 크다.

이 CISO는 "유효기간제 문제점은 서비스 연속성이 떨어져 이용자들의 불편이 가중되고, 데이터 삭제시 활용 불가능, 데이터 가치가 휴면과 비휴면으로 나뉘어 해커에게 높은 데이터 가치를 제공하고, 데이터 관리 복잡도가 증가하는 데 있다"며 "특히 기업 입장에서 컴플라이언스 비용이 너무 많이 들어 경제성이 떨어진다"고 강조했다.

더욱이 국내에서 아마존웹서비스(AWS)와 같이 머신러닝 기술 등을 보유한 회사에 개인정보가 담긴 문서를 위탁 처리할 수도 없는 실정이다.

사업자가 정보주체 동의 없이 다른 사업체에 문서를 넘길 경우 법에 저촉될 수 있기 때문. 소비자에게 정보 위탁에 대한 추가 동의를 받는게 현실적으로 어려운 상황이어서 소비자가 아마존의 머신러닝 서비스를 제공받기 조차 쉽지 않다.

이 CISO는 "국내에서 기업이 개인정보 활용 불가토록 하는 법제 문제는 굉장히 다양하게 존재한다"며 "이런 부분을 포괄적으로 다시 검토해야 한다"고 주장했다.