사이언스타임즈

미래는 데이터가 돈이 된다. 기술 및 서비스가 지능화 되고 각종 IT 기술은 금융권의 경계를 허물 것이다.

부정적인 측면도 보인다. 처리되는 정보는 기하급수적으로 늘어나고 이에 따른 데이터 범죄도 획기적으로 증가할 것이다.

인공지능(AI), 사물인터넷(IoT), 빅데이타가 주도하는 4차 산업혁명 시대에 우리는 어떤 보안 패러다임으로 움직이고 있을까. 지능정보화 시대를 대비하기 위해서는 현재의 개인정보 보호법과 획일적으로 적용되고 있는 정보 보호법을 개선해야 한다는 의견이 제시되었다.

'익명화'를 '가명화'로 바꿔야

동국대 이창범 교수는 14일 (월) 서울 강남구 코엑스 인터컨티넨탈호텔에서 열린 '안전한 사이버 공간 한마음 축제 세미나 -세상을 바꾸는 보안과 보호의 힘'에서 "현재 국내 정보 보호 관련 법규와 정책들이 과보호되고 형식화 되어 있어 수요자들이 불편한 상황"이라고 지적하고 "앞으로 미래 4차 산업혁명 시대를 주도할 각종 핵심 기술들을 기반으로 한 새로운 보안 패러다임으로 정비해야 한다"며 변화를 촉구했다.

이창범 교수는 "개인정보 관련해서는 더욱 그렇다. 개인 정보는 그 자체로 중요한 것이지만 지나친 규제로 창조적 혁신적 서비스 창출이 저해되고 있다"며 문제점을 제기하였다.

14일 지능화 정보사회를 대비하기 위한 방향 모색 및 전망을 알아보기 위한 '안전한 사이버 공간 한마음 축제'가 한국인터넷진흥원 주관으로 열렸다. — 지능화 정보사회의 올바른 방향 모색 및 전망을 알아보기 위한 '안전한 사이버 공간 한마음 축제'가 14일 코엑스 인터컨티넨탈호텔에서 한국인터넷진흥원 주관으로 열렸다. ⓒ 김은영/ScienceTimes

이창범 교수는 국내의 개인정보 보호법이 너무 과잉 보호되고 있다고 지적했다. 우리나라 개인정보 보호법 제 18조 제 2항 제 4호에 의하면 통계작성 및 학술연구 등의 목적을 위해 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다고 명시되어 있다.

그러나 실제 현장에서는 이 법이 적용되기는 어렵다. 이 교수는 이에 대해 "법으로는 명시되어 있으나 실전 상황에서는 무용지물"이라며 안타까움을 토로했다.

이 교수는 '익명화'의 문제점을 제시했다. '특정 개인을 알아볼 수 없는 형태'로 제공되는 부분이 '익명화'이다. 하지만 익명화 된 데이터는 자료로써 가치가 낮다. 이 교수는 적어도 '가명화'는 되어야 데이터로 가치가 있다고 주장했다. 가명화란 'A와 B가 누군지는 모르지만 둘은 서로 다르다는 구별은 가능한 것'을 의미한다.

위치정보법 또한 마찬가지였다. 이 교수는 "위치정보법 제 21조 제 2호에 의하면 통계 및 학술 연구를 위해 특정 개인을 알아볼 수 없는 형태로 가공하여 위치정보를 사용할 수 있다고 명기되어 있으나 이 또한 사용하기 어렵다"고 말했다.

이 교수는 개인정보를 보호하는 방법이 익명화만이 아니라 가명화가 되어도 충분히 보호가 될 수 있으며 학술용∙통계용으로도 큰 가치를 지니기 때문에 현재 익명화만 고집하는 개인정보 보호법이 빅데이타가 활성화 되는 미래 정보화 시대로 나아가는 데 걸림돌이 될 수 있다고 지적했다.

세계는 급변하는 정보 보안 패러다임에 맞춰 발 빠르게 법을 개정하고 있다. 유럽연합(EU)의 경우만 봐도 그렇다. 우리나라 개인정보보호법은 1995년 유럽연합(EU)이 지정한 개인정보보호지침 제 6조 제 1항을 기반으로 작성되었다. 2016년 EU는 일반 개인정보 보호규칙을 공익 목적의 기록, 과학적 역사적 연구목적과 통계적 목적을 위해서는 개인정보의 추가적 처리가 가능하다고 개정했다.

이 교수는 "EU의 변화와 같이 국내 규정 또한 사회의 변화에 따라 달라져야 한다"고 강조했다.

핸드폰 보험 계약 할 때, 수많은 개인정보보호 읽어보고 동의하나?

사물인터넷, 핀테크 등의 금융 분야로 넘어오면 그 심각성이 더해진다. 이 교수는 핸드폰이나 보험을 계약할 때 수없이 많은 용지에 개인정보보호 동의에 서명하는 것을 대표적인 사례로 들었다.

동국대 이창범 교수는 "더이상 칸막이 법이 아닌 수요자 중심의 정보보안 및 보호법으로 변화해야한다"고 주문했다. ⓒ 김은영/ ScienceTimes

개인정보 보호법 제 17조 제 1항의 경우 정보주체와의 계약의 체결 및 이행을 위해서 불가피하게 필요한 경우에도 정보주체의 동의 없이는 개인정보의 제 3자 제공을 금지한다고 나와있다.

이 교수는 "바로 이러한 제약이 계약자가 실제로 읽어보지도 않고 형식적으로 사인하는 동의서의 결과로 이어졌다"고 지적했다.

이 교수는 지금의 사회는 '저신뢰 사회'라고 딱 그어 말했다. 현재의 과잉보호 된 개인정보 보호법 등은 '동의' 외에는 신뢰를 하지 못하겠다는 사회의 방증이었다. 이 교수는 "이렇게 계속 가다가는 창조적 혁신적 서비스가 곤란해진다"며 고개를 저었다.

미래의 지능정보화사회는 인공지능, 사물인터넷, 빅데이타 등 4차 산업의 바닥기술들이 서로 융합해 만드는 이종 서비스가 가장 큰 특징이다. 하지만 국내의 현실은 인공지능 자율주행차가 사고가 나면 자동차는 자동차 관련 법으로 IT분야는 정보통신 관련 법규가 적용된다. 책임의 주체를 따지기 어려워진다.

"우리나라 정보 보호법은 칸막이 법"이라며 이 교수는 단언했다. 그는 일반적으로 획일화 된 단일 산업에게만 적용되는 현재의 정부 규제 정책들과 보호법 등은 앞으로 개선되어야 한다고 주장했다.

이 교수는 "일대일 맞춤으로 정책을 가져갈 수는 없겠지만 산업별로 맞춤형 보안법을 적용시킬 필요가 있다. 이제 불신의 기반에 있는 법은 걷어내자"며 창조 혁신적 미래 지능화사회를 이끌기 위한 보안패러다임의 변화를 촉구했다.