2014년 1월, 서울 종로구 국민카드 본사 앞에서 시민단체 회원들이 카드사의 개인정보 유출 사태에 대한 정부의 무감독·무대책을 규탄하고, 징벌적 손해배상제 등의 도입을 촉구하며 신용카드 해지·불매 및 절단 행위극을 벌이고 있다. 김태형 기자 xogud555@hani.co.kr
▶ 박근혜 정부는 2016년 6월 빅데이터 산업 활성화와 개인정보 보호에 균형을 맞추겠다며 법적 효력이 없는 ‘개인정보 비식별 조치 가이드라인’을 내놓았습니다. 개인정보에 대해 일정한 비식별 조치를 할 경우, 더이상 개인정보로 보지 않고 광범위한 활용 길을 터놓아 많은 논란을 일으켰는데요. 이 가이드라인이 현재 현실에서 어떻게 작동하고 있는지 짚어보았습니다.
40대 직장인 김경은(가명)씨는 고객의 소비패턴을 분석해 맞춤형으로 서비스한다는 광고가 달갑지 않습니다. 누군가 나를 들여다보고 있다는 이야기니까요. 아무리 ‘공짜’ 유혹이 강해도 마트 경품행사에 절대 참여하지 않습니다.
2006년 누군가 이름·주민등록번호를 훔쳐 게임 ‘리니지’ 계정을 만들었습니다. 개인정보 유출 ‘헬게이트’의 서막인 리니지 명의도용 사건 피해자 20여만명 가운데 한명이었지요. 1년여 뒤에는 ‘나’를 만났다는 남자들로부터 전화를 받기 시작했습니다. 누군가 또다시 이름과 휴대전화 번호를 훔쳐 경은씨 행세를 했던 겁니다. 극도의 불안감에 경찰서를 찾았지만 특별히 피해가 없다는 이유로 사건 접수가 되질 않았습니다. 지난해엔 은행으로부터 자동이체 신청을 ‘본인이 한 것이 맞냐’는 전화를 받았는데요. 어찌 된 영문인지 알 길이 없습니다.
기업도 정부도 내 정보를 보호해주지 않으니 웬만하면 개인정보를 내주지 않으려는 고된 길을 택한 것이죠.
도대체 비식별이 뭡니까?
최근 그는 개인정보를 지키려던 나름의 노력에 찬물을 맞는 듯한 뉴스를 접했습니다. 2016년 6월 박근혜 정부가 ‘개인정보 비식별 조치 가이드라인’(이하 비식별 가이드라인)을 마련한 이후 지금까지 이동통신사·보험·카드사 등이 각각 보유하던 개인정보를 ‘비식별 조치’해 3억4000여만건을 주고받았다는 겁니다. 이러한 기업 중에는 삼성생명과 삼성카드도 포함돼 있는데요. 경은씨는 하필 두 회사 상품을 모두 사용하고 있습니다. <한겨레>가 국회 정무위원회 소속 국민의당 채이배 의원실로부터 입수한 자료를 보면, 지난 2월 삼성생명·삼성카드 양사에 공통으로 가입된 고객 801만명과 847만명의 ‘가입 건수, 보험료, 가입기간, 가입상품 및 카드이용 실적 정보’ 등에 대해 비식별 조치를 한 뒤 전문기관으로 지정된 한국신용정보원에 보냅니다. 한국신용정보원은 두 기업이 보내온 데이터를 ‘매칭’시킨 뒤 241만명 정보를 두 기업에 보내주었고요.
경은씨는 삼성카드와 삼성생명이 자신이 내준 개인정보를 나도 모르게 비식별 조치한 뒤 사용했는지 궁금했습니다. 그리고 이 정보가 유출될 염려는 없는 것인지 걱정도 됐고요. 삼성카드 고객센터에 전화를 해봤습니다.
“언론보도에서 본 것처럼 내 정보도 비식별화돼 다른 기업으로 넘어갔는지 알고 싶다.”
“우리는 알 수 없다. 비식별에 대해 잘 모르는 사람이 많은데, 이름이나 생년월일을 지워 누구라고 특정할 수 없는 정보다. 예를 들어, 특정 아파트에 사는 고객의 월별 사용금액을 비식별화 평가단에 제출하면 그 특정 아파트에 사는 삼성카드 고객이 1~2명일지 모르니 이 부분을 수정하라고 한다. 서울 지역 30대 가정주부 월별 사용금액대, 이런 식으로 정보를 뭉뚱그리는 거다.”
그런데 비식별 조치 정보는 정말 누구의 것인지 알 수 없을까요? 비식별 조치란 가명화·범주화 등 여러가지 기법을 통해 데이터가 누구의 것인지 알아낼 가능성을 낮추는 것을 의미합니다. 이름을 밝히길 꺼린 데이터 보안전문가는 현재 비식별 가이드라인이 요구하는 수준의 조치가 ‘제대로’ 된다면 개인식별은 어렵다고 말했습니다. 그러나 현재 공개된 데이터나 미래에 기하급수적으로 늘어날 데이터와 합쳐질 경우 식별 가능성은 높아집니다.
‘개인정보 비식별 조치 가이드라인’에 따라 기업들이 보유 정보에 대해 비식별 조치를 한 뒤 서로 맞교환했다. 정부가 지정한 개인정보 비식별 조치 지원 전문기관에 기업들이 낸 데이터 결합 신청서를 보면, 정보 맞교환 목적이 모호하게 표현돼 있다.
개인정보 아니라지만 개인정보 같은
비식별 조치 정보는 개인정보일까요 아닐까요? 참으로 애매한 문제에 대해 박근혜 정부는 법적 효력이 없는 가이드라인을 통해 ‘개인정보가 아닌 정보’로 해석합니다. 비식별 정보는 개인정보가 아니므로 해당 정보를 제공한 이들에게 동의를 구하지 않아도 활용이 가능하다는 겁니다. 우리 개인정보보호법에 따르면 개인정보를 수집·활용, 제3자에게 넘기려면 정보 주체인 ‘나’에게 사전 동의를 받아야 하고 수집 목적 내에서만 활용해야 합니다. 다만 ‘개인을 알아볼 수 없게 처리된 정보’는 따로 동의를 받지 않고도 학술연구 및 통계작성 목적으로 사용할 수 있게 돼 있는데요. 기업들은 이러한 현행법 조항만으로는 유의미한 데이터를 한데 모아 분석하는 데 한계가 많다고 주장합니다.
세계적인 보안 전문가 브루스 슈나이어는 저서 <당신은 데이터의 주인이 아니다>(원제: 데이터와 골리앗·2015)를 통해 사람·사물 등이 광범위하게 연결돼 데이터가 대량 노출된 현대 사회에서 신원을 감추는 건 불가능하다고 주장합니다. 2006년 미국 인터넷 기업 아메리카온라인(AOL)은 이용자 65만7000만명이 3개월 동안 검색한 2000만건의 데이터를 연구에 도움이 될 것이라고 여겨 공개했는데요. 이 과정에서 누구의 정보인지 식별이 될 것을 우려해, 이름을 숫자로 대체했다고 합니다. 그러나 연구자들은 개인의 검색 내력에 포함된 여러가지 데이터로 이름을 밝혀냈습니다.
경은씨 정보가 비식별 대상이었는지 아닌지 확인이 불가능한 만큼, 비식별 조치 정보가 구체적으로 무엇이었는지 어떤 조치를 통해 어떤 정보와 합쳐졌는지 알 길도 없습니다. 에스케이텔레콤 등이 연구해 올해 4월 정부에 제출한 ‘개인정보 비식별 자료 생성·유통의 현장 적용을 위한 실증 최종보고서’에는 에스케이텔레콤과 한화생명보험이 20대 고객층의 신용도를 책정할 수 있는지 분석을 목표로 고객정보를 비식별한 뒤 서로 결합시킨 내용이 나와 있는데요. 비식별 조치 뒤 두 회사가 공유한 정보는 주민번호 앞 7자리, 나이, 성별, 직업, 신용대출 건수, 최초 계약월, 최초 연체 등록월, 총 신용대출 금액, 총 상환 금액, 신용대출 연체율, 보험료 연체율, 추정소득, 자동이체 실패 월수, 월평균 통화시간, 요금 납부 방법, 남은 할부원금, 태블릿이나 스마트 워치 보유 여부, 멤버십 월 사용금액, 미납 횟수 등이었습니다.
과도한 수집·부실 관리, 지금은?
비식별 가이드라인에 따라 이동통신사 등과 데이터를 주고받은 기업 중에는 ‘나이스평가정보’와 ‘코리아크레딧뷰로’(KCB)도 포함돼 있습니다. 금융기관·대부업체·공공기관으로부터 정보를 쓸어담아 개인 신용평가를 하는 민간 신용조회사(CB)인데요. 2014년 3개 신용카드사에서 1억건이 넘는 개인 신용정보가 유출되는 사상 초유의 사태가 촉발된 곳이기도 합니다. 당시 코리아크레딧뷰로는 이들로부터 위탁을 받아 ‘신용카드 부정사용 방지시스템’(FDS)을 구축하고 있었는데요. 이 회사 직원이 이렇게 어마어마한 데이터를 빼돌린 것이지요. 당시 카드 3사를 비롯해 금융회사들이 상상 이상의 다양한 정보를 본인 동의와 무관하게 축적하고, 최소한으로 수집하려는 노력도 없이 부실하게 관리해왔다는 불편한 진실이 세상에 드러났습니다.
반복되는 개인정보 유출 피해에 내 정보 반쯤은 포기했다는 경은씨. 이젠 ‘비식별’이란 어려운 용어까지 이해해야 하는 일상이 피로하기만 합니다. 그렇지만 내 정보가 비식별 조치돼 다른 곳으로 넘어가거나 영리 목적으로 활용되는 걸 원하지 않습니다. 이미 활용된 건은 어쩔 수 없으니, 앞으로는 비식별 조치 뒤 분석되는 대상에서 내 정보를 뺄 순 없는 걸까요?
지금으로선 방법이 없습니다. 비식별 조치만 하면 무조건 개인정보가 아니라는 상황에선, 정보 주체인 ‘내’가 행사할 수 있는 그 모든 권한이 원천 봉쇄되기 때문입니다. 박현정 기자
saram@hani.co.kr