데이터 3법 개정안과 DID 개인정보 처리에 대한 대안 기술

[wpseo_breadcrumb]

2020. 7. 24

CLIPBOARD

글. 이태호 수석(아이티아이즈 기술연구소)

지난 7월 14일 정부는 한국판 뉴딜 국민보고대회를 통해 ‘한국판 뉴딜 종합계획’을 발표한 바 있다. 디지털 뉴딜은 그린 뉴딜과 함께 한국판 뉴딜의 한 축을 담당하고 있는 분야이다. 디지털 뉴딜은 코로나19 위기 극복과 함께 글로벌 경제 선도를 목표로 2025년까지 58조 2천억원을 투자해 90만 3천개의 일자리를 창출하고 디지털 전환을 이루겠다는 것이다.

그러나 정부에서 이야기하고 있는 디지털 뉴딜에는 데이터의 중요성을 강조하고 있지만, ‘개인정보가 아닌 데이터’와 ‘개인정보인 데이터’를 구분하지 않는 것은 심각한 문제라고 일각에서는 지적하고 있다.

개인정보보호법 시행령

지난 1월에 통과된 ‘데이터3법’ 중에 ‘개인정보보호법’은 가명정보라는 개념을 도입했고, 가명정보 도입을 통한 데이터 이용 활성화, 개인정보 보호체계 일원화, 금융분야 데이터 신산업 도입, 전문기관을 통한 데이터 결합 지원 등을 위한 데이터3법 시행령 개정안이 지난 5월 11일까지 입법예고를 거쳤고, 8월 5일 공포·시행된다.

8월 시행 예정인 데이터3법은 일부 조항들이 최근 문재인 정부가 발표한 ‘한국판 뉴딜’에도 역행한다는 의견이 있다. 연초 국회 통과 당시만해도 데이터 경제 시대 포문을 열 것으로 기대됐던 데이터 3법이 정작 하위법령 마련 과정에서 몇 가지 쟁점을 낳게 되었다.

논란의 주인공은 바로 개인정보보호법 시행령 개정안이다. 현재 공개된 시행령 개정안의 구체적인 내용을 보면 기대와 달리 이용 요건 등을 엄격하게 규제해 법 개정의 취지를 살리지 못하고 있다는 의견이 있다.

개인정보보호법 시행령 개정안에 대해서는 14조2항 등을 독소조항으로 손꼽는다.

개정안에 따르면 정보 주체 동의 없이 개인정보를 추가 이용·제공할 때 ①당초 목적과의 상당한 관련성이 있을 것, ②추가 이용 예측 가능성이 있을 것, ③제3자 이익 침해를 방지할 것, ④가명 처리를 의무화 할 것 등 4가지 요건을 모두 갖춰야만 한다. 가명 처리를 하지 않아도 되는 부분까지 가명 처리를 해야 하는 상황으로 현재 글로벌 표준으로 인식되고 있는 유럽연합(EU)의 개인정보보호규정(GDPR)보다 훨씬 더 엄격하다는 의견이다.

특히 시행령 내 ‘상당한 관련성’, ‘관행에 비춘’, ‘제3자의 이익’ 등 모호한 단어들도 포함되어 있어서 혼란을 가중시킨다. ‘상당한 관련성’이 있고 ‘관행에 비춘’ 점을 법적으로 입증하지 못할 경우 형사 처벌을 받게 되는 만큼 법원 판례가 나오길 기다렸다가 사업을 해야 하는 것이 아니냐는 우려도 있다. 스타트업 기업이나 중소기업들로는 법적 분쟁에 휘말릴 가능성도 있다.

가명정보 결합절차와 관련된 29조2항 역시 결합전문기관만 거치는 신용정보법과 달리 연계정보 생성기관과 결합전문기관 두 곳을 거치도록 규정됐다. 결합된 정보를 결합전문기관 내 물리적 공간으로 한정한 것 역시 원활한 데이터 결합을 방해하는 요소이기도 하다.

이러한 비판에 대해 최근 정보는 “데이터 산업 발전을 후퇴시키는 독소 규제”라는 비판이 커지자업계 의견을 대폭 수용한 재개정안을 내놓았고, 행정안전부에서는 기업의 개인정보 활용 지침 등을 담은 개인정보보호법 시행령 개정안을 7월 14일 재입법예고하겠다고 밝혔다.

가장 크게 고친 것은 독소 조항으로 꼽혀왔던 14조2항이다. 가령 온라인 게임업체가 게임을 이용하려고 서비스에 가입한 사용자에게 게임 캐릭터 관련 상품 출시 등을 안내하는 경우에 적용된다. 재개정안에서는 ‘제3자’에 대한 문구가 사실상 다른 모든 소비자로 해석될 여지가 있고, ‘상당한’이란 용어도 모호해 예측 가능성이 떨어져서 이 내용을 삭제되며, ‘네가지 조건을 고려한다’로 조문을 고칠 예정이다. 또한, 29조5항에 있는 한번 이용한 가명정보를 즉시 파기하도록 한 규정도 없앤다.

마이데이터 사업자가 지켜야 하는 규제도 있다. 콜 마케팅 등 아웃바운드 영업은 금지된다. 금융소비자 보호를 위한 다양한 규제도 적용된다. 특정 고객 이익을 해하면서 제3자의 이익을 도모하는 행위가 금지되고, 금융소비자의 이익에 부합하는 금융상품 추천·권유 알고리즘도 운영한다. 또 마이데이터 사업자는 홈페이지나 모바일 앱 같은 고유 서비스 채널을 운영해야 한다. 위탁 등의 형태로 제3자가 운영하는 서비스 채널만을 이용한 업무는 불가능하다.

인증 방식 변화를 통한 개인정보 유출 방지

최근 블록체인과 같은 분산시스템을 활용한 신원인증 방식에 대한 관심이 증대되고 있다. 이러한 방식을 미디어에서는 보통 ‘분산 ID 혹은 Decentralized ID, 줄여서 DID’로 표현하고 있다. 이러한 DID 방식은 데이터3법 시행을 앞두고 개인정보 유출 방지 기술로 최근 각광받고 있다.

<출처 : 금융보안원>

개인의 정보 공유 범위를 결정하는 ‘셀프 소버린(SSI, Self-Sovereign Identity)’, 즉 자기정보결정권의 시대가 열리면서 개인 데이터를 보호하기 위한 다양한 시도에 이목이 쏠리고 있다. 그 중에서 블록체인에 기반한 DID 방식은 기존 신원확인 체계와 달리 개인의 데이터 소유권을 개인에게 돌려줘 데이터 주권을 지킬 수 있게 해준다. DID 기술 접목 시, 개인은 여러 곳에 흩어진 신원 정보를 개인이 원하는 곳에 저장하고 필요시 몇 개의 정보만 추려서 전송·사용할 수 있다. 개인이 직접 정보를 관리하는 만큼, 관리 책임 역시 개인이 진다.

데이터3법 시행을 앞두고 DID 기술은 마이데이터 사업과 같이 개인정보를 활용하는 업무에 개인정보 유출을 최대한 방지하고 법이 규정하는 범위 내에서 시스템을 구축할 수 있는 방안으로 거론되고 있다. 또한, DID 매커니즘은 다양한 증명정보 발급기관과 정보이용기관이 개인을 매개로 N:1:N으로 연계, 확장성을 담보하여 사업자와 출입보안회사 간의 DB연동을 끊고 개인이 자신의 정보를 단말에 보관하며 필요시 제3자에게 정보를 전송하는 방식으로 정보의 흐름을 바꾸게 된다.

그리고, 데이터가 원본임을 증명하기 위해 PKI(비대칭전자서명)와 같은 암호학적인 증명방식을 활용하며, 블록체인 원장에는 증명발급기관이 발행한 증명서를 누구나 검증할 수 있도록 검증에 필요한 데이터들을 저장하고 공유한다. 여기에 자기주권신원(SSI) 모델을 통해 기업이 개인정보를 보관하고 유통하는 방식에서 개인이 직접 개인정보와 본인에 대한 증명을 유통할 수 있다.

코스콤이 참여하고 있는 ‘이니셜 DID 연합’은 ‘2019 블록체인 민간주도 국민 프로젝트’를 계기로 결성된 연합체이다. 이니셜 DID 연합은 지난 4월 모바일 전자증명 서비스인 ‘이니셜 앱’을 구글 플레이스토어와 애플 앱스토어에 출시했으며, 주민등록등본, 재학증명서, 재직증명서, 은행잔고증명서 등 각종 증명서를 이니셜 앱을 통해 발급받을 수 있도록 했다.

최근 과학기술정보통신부는 지난 6월 초연결·비대면 신뢰사회를 위한 ‘블록체인 기술 확산 전략’을 발표하였고, 7대분야에 전면 도입하도록 했다.
온라인상에서 신원증명을 제공하고 개인정보를 직접 관리할 수 있는 비대면 경제의 맞춤형 기술로서 분산신원증명(DID) 서비스를 활성화한다. 이를 위해 분산신원증명 기술 활성화를 위한 원칙을 마련, 일관된 정책을 추진하는 한편, DID 기반 공공서비스 이용시 기관별로 별도의 앱을 설치하여 사용하는 불편함이 없도록 통합 공공플랫폼 구축·지원체계를 마련한다.

<출처 : 과학기술정보통신부>

마이데이터 산업과 DID (Decentralized ID)

최근 다양한 분야에서 논의되고 있는 DID는 마이데이터의 기능을 대부분 매우 효과적으로 구현할 수 있다. 마이데이터가 특별히 블록체인이나 DID를 특정하고 있지 않지만 DID를 고려하고 만들었다고 판단될 정도이다. 추가로 마이데이터에 DID를 적용하면 주민번호로부터 성인여부를 판단할 수 있듯이 정보 유추가 가능한 형태로 구현이 가능하며, 이는 더욱이 개인정보 노출 없이 가능하다. 또한, 중앙화된 관리 주체가 아닌 필요한 시점에 생성하여 관계를 맺음으로써 개인정보 노출의 위험성을 줄일 수 있다.

DID는 또한 개인정보를 사용하는 매 순간 목적과 내용에 대해 동의를 받아야 하기 때문에 개인정보 동의를 받은 기업의 입장에서 해당 데이터를 잃어버린다고 하더라도 동의를 부인할 수 없게 만든다. DID는 기본적으로 위변조가 불가하고, 자격을 가진 사람이면 누구나 내용을 확인할 수 있는 신뢰 프로토콜을 기반으로 한다.

마이데이터와 DID는 결론적으로 개인이 자신의 정보 공유 범위를 결정한다는 측면에서 동일한 패러다임을 가진다. 이는 개인정보를 더 안전한 방식으로 보호하면서 데이터의 주체인 고객에게 제공되는 서비스를 변화시킬 것이며, 이는 다시 산업을 변화시킬 것이다. 데이터3법의 시행과 함께 마이데이터 사업 뿐만 아니라 개인정보를 다루는 모든 사업에서는 개인정보를 다루는 방식에 대해 다시 한번 고민해야 할 것이다. DID가 데이터3법의 모든 문제를 해결한다고 할 수 없지만 최소한 개인정보를 다루는 방안으로 DID는 충분히 고려할 만한 가치가 있는 기술이라고 생각한다.