[데이터3법④] 걸음마는 뗐지만··· 데이터3법, 후속 과제는?
바야흐로 데이터 활용의 시대다. 지난 1월9일 ‘데이터3법’으로 분류되는 개인정보보호법·신용정보법·정보통신망법 개정안이 국회 통과하면서 데이터 활용의 물꼬가 트였다. 데이터를 활용한 새로운 산업과 서비스가 대거 등장할 것으로 예상된다. 개인정보보호 문제도 이제 새로운 관점에서 바라봐야 할 시점이 됐다. 데이터3법 개정안, 또 이로 인해 생길 변화를 짚어본다. <편집자 주>
[디지털데일리 이종현기자] 1월9일 우여곡절을 거쳐 데이터3법(개인정보보호법·신용정보법·정보통신망법)이 국회를 통과했다. 하지만 법이 통과됐다고 해서 끝난 게 아니다. 2월4일 개정법이 공포됐고 6개월 이후인 오는 8월5일부터 시행된다. 그 사이에 데이터3법 개정법과 관련해 산적한 문제를 해결해야 한다.
◆개인정보보호 약화 우려=데이터3법은 통과 이전부터 찬반 논란이 많았던 법이다. 데이터 활용을 늘림으로 인해 개인정보보호 기능이 약화될 것 이나냐는 우려가 대표적이다. 실제로 데이터 활용을 확대하면 개인정보보호는 약화될 수밖에 없다. 보호와 활용은 반비례하기 때문이다.
일각에서는 추가정보 없이 개인을 알아볼 수 없도록 하는 ‘가명정보’를 활용하기 때문에 유출되더라도 심각한 개인정보침해는 없을 것이라고 주장한다. 하지만 가명정보도 유출되면 안 된다는 게 개인정보보호론자의 주장이다. 가명정보가 아닌 익명정보에 대해서도 보호가 필요하다. 익명정보에 비해 개인정보에 더 가까운 가명정보라면 더더욱 보호해야 한다는 의견은 외면할 수 없는 정론이다.
또한 데이터3법 시행 이후 폭발적으로 늘어날 데이터 유통의 부작용도 우려된다. 기존의 경우 데이터 활용에 대한 규제가 많았던 만큼 이를 활용하려는 기업들은 한정돼 있었다. 규제 속에서도 이를 활용하려는 기업은 주로 대기업 위주였고, 이들 기업은 정보보호에 막대한 예산을 투입하는 기업들이다.
이를 예측해볼 수 있는 구체적인 사례가 있다. 은행, 증권 등 전통적인 금융권과 암호화폐거래소 등의 핀테크 기업 사례다.
은행의 경우 대단히 높은 수준의 보안체계를 구축하는 업종이다. 가령 2018년 발생했던 우리은행 해킹시도 당시 5일 동안 한 IP에서 75만 건의 접속 시도와 5만여건의 로그인 성공이 있었다. 하지만 로그인 성공 이후 인터넷뱅킹의 이체 등을 위해 추가인증을 해야 하는 멀티팩터 보안으로 인해 출금 피해액은 0원이었다. 이에 반해 암호화폐거래소의 경우 지난해에만 800억원 가량의 유출사고가 발생했다. 최근 3년 사이 발생한 암호화폐 유출은 8건에 달한다.
시장에 막 진입하는 신규 플레이어가 막대한 자산을 바탕으로 보안체계를 구축한 기존 플레이어에 비해 허점이 많은 것은 어쩔 수 없는 일이다. 하지만 데이터 유통이 활성화된다면 비교적 정보보호에 투자할 여력이 적은 기업들도 데이터를 활용하게 된다. 이 경우 해커가 공격할 수 있는 ‘공격면’이 늘기 때문에 개인정보 유·노출의 범위도 늘고 공격 성공률도 높아지는 만큼 개인정보보호의 약화에 대한 우려가 생길 수밖에 없다.
◆가명처리의 기준 마련 시급=개정법의 핵심은 가명정보 개념 도입이다. 동시에 개인정보보호와 데이터 활용의 열쇠를 쥔 것도 가명정보다. 정확히는 ‘가명처리의 기준’이다.
가명정보는 1을 대상으로 한 정보를 2 이상으로 인식되도록 가명처리를 거친 정보다. 하지만 개정법에서는 가명처리의 기준에 대한 구체적인 내용이 제시되지 않았다. 데이터3법의 시행령, 가이드라인 등의 후속 조치가 중요한 이유다. 하지만 법에서 가명처리 기준을 명확히 하는 것은 쉬운 일이 아니다.
‘대한민국 19대 대통령’이라는 정보가 있을 경우 이는 1명을 가리키는 개인정보다. 하지만 여기서 ‘19대’를 지운다면 ‘대한민국 대통령’이라는 12명을 나타내는 정보가 된다. 이는 1이었던 정보를 2 이상으로 만들었기에 가명정보라고 볼 수 있다.
이 경우 ‘19대’는 이름, 주민번호, 전화번호, 이메일 등의 식별자가 아닌 ‘속성자’가 된다. 단순히 식별자를 비식별조치한다고 해서 가명처리가 되는 것은 아니라는 의미다. 그렇다고 포괄적인 비식별조치를 강제할 수는 없다. 데이터 활용을 늘린다는 입법 취지에서 벗어나기 때문이다.
이에 대해 고환경 법무법인 광장 변호사는 “가명처리의 방법과 수준은 자칫 가명처리에 대한 규제로 작용할 수 있어 조심스럽게 접근해야 한다”며 “하위법령 마련에 있어서 각 분야 전문가들로부터 광범위한 의견수렴을 거치는 것이 필요하다”고 제언했다.
◆지나치게 엄격한 형사처벌 조항··· 활용 억제 우려=개인정보보호를 위한 개정법의 장치가 지나치게 엄격한 것 아니냐는 우려의 목소리도 있다.
한국의 개인정보보호법은 여느 나라에 비해 처벌 조항이 엄격한 편이다. 개정법 발의를 위해 참고한 유럽연합(EU)의 일반개인정보보호법(GDPR)에는 없는 형사처벌 조항이 대표적이다.
개인정보보호법에는 ‘안정성 확보에 필요한 조치를 하지 않아 개인정보를 분실·도난·유출·변조 또는 훼손될 경우 2년 이하의 징역 또는 1000만원 이하의 벌금에 처한다’고 명시돼 있다. 이는 기업이 악의적으로 데이터를 유·노출하지 않고 해커에 의해 공격당하더라도 형사처벌이 가능하다는 것을 의미한다.
개정법에서 새로 도입된 가명정보에 대한 처벌은 특히 엄격하다. 개정된 개인정보보호법 제28조5에는 ▲누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다 ▲개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기하여야 한다 등의 내용이 있다. 이를 어길 경우 5년 이하의 징역 또는 5000만원 이하의 벌금과 전체 매출액 100분의 3 이하에 해당하는 금액을 과징금으로 부과받는다.
이런 형사처벌 조항은 개인정보보호를 위한 장치다. 하지만 악의적인 의도가 아닌 가명처리 과정에서의 실수로도 징역 5년 이하의 형사처벌 대상이 될 수 있다. 이와 같은 위험 부담을 기업이 반길 리 없다. 더군다나 현재 구체적인 가명처리의 기준조차도 마련되지 않은 상태다. 데이터 활용을 고대하던 업계에서는 “그렇잖아도 부족한 정보보호 전문가가 다 도망가게 생겼다”는 우려의 목소리가 나온다.
◆공 넘겨받은 개인정보보호위원회=데이터3법이 국회 문턱을 넘어 개인정보보호위원회(이하 개보위)가 공을 넘겨받았다. 8월5일 전까지 시행령과 가이드라인이나 법해설서 등을 마련해야 하는 만큼 책임이 막중하다.
개보위는 데이터3법 개정 후 행정안전부와 방송통신위원회(이하 방통위)의 개인정보보호 관련 기능 모두와 금융위원회(이하 금융위)의 일반상거래 기업 조사·처분권을 넘겨받은 일원화된 감독기구다. 역할이 커진 만큼 막강한 힘을 지니게 됐다.
개정법에서는 개보위는 국무총리 소속으로 상임위원인 위원장 1명, 부위원장 1명을 포함한 9명 위원으로 구성하도록 명시돼 있다. ▲위원장과 부위원장 2명은 국무총리 제청으로 ▲2명은 위원장의 제청으로 ▲2명은 대통령이 소속되거나 소속되었던 정당의 교섭단체 추천으로 ▲3명은 그 외의 교섭단체 추천으로 대통령이 임명 또는 위촉한다.
하지만 개보위가 국무총리 소속이라는 점과 정부 및 국회의 추천으로 임명되는 위원 구성 방식 등, 개보위 자체에 대해 우려하는 이들도 적지 않다.
시민단체에서는 기존 개보위가 대통령 소속에서 국무총리 소속으로 바뀐 것은 ‘격하’라고 꼬집었다. 동시에 위원장과 부위원장을 국무총리 제청으로 임명되는 것과 국무총리의 행정감독권(정부조직법 제18조)을 배제하지 않았다는 점에서 개보위의 독립성에 대한 신뢰성이 흔들릴 수 있다고도 지적했다.
가명처리의 기준 등 전문성이 요구되는 위원 중 5명을 여당과 야당이 추천하는 것에 대한 문제 제기도 있다. 자칫하다가는 개보위가 개인정보보호를 위한 기관이 아닌 정치적 대립의 장이 되는 것 아니냐는 목소리도 나온다.
이미 공은 굴러가기 시작했다. 개보위는 4일 각계 민간 전문가로 구성된 ‘개인정보보호 제도혁신자문단’을 발족하는 등 데이터3법 후속조치를 위한 정책 연구를 본격화했다.
김일재 개보위 위원장 대행은 “개보위는 올해가 개인정보보호 업무혁신의 원년이 될 수 있도록 민간·공공분야와의 소통·협력을 강화해 나갈 것”이라고 말했다.
<이종현 기자>bell@ddaily.co.kr
임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04비트코인이 불지른 가상화폐 ‘불장’… 금융당국, '이상거래' 모니터링 강화
2024-11-15 16:20:20