본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

[보안동향] 내 ‘습관’도 개인정보에 속할까?

2021.01.20

2020년 1월 데이터 3법 개정과 4월 정부의 디지털 뉴딜 정책 발표를 전후로 데이터가 산업 전반에 걸친 중요한 인프라라는 사실이 좀 더 명확해졌습니다. 한국판 뉴딜 10대 과제 중 첫 번째로 선정된 『데이터 댐』 과제는 ‘데이터 수집•가공•거래•활용기반을 강화’하여 데이터 경제를 가속화하고 5G 이동통신 및 AI 융합 확산을 이끌어내야 하는 중요한 선도 과제입니다.

한편 2020년 델 테크놀로지가 발표한 ‘글로벌 데이터 보호 인덱스(GPI)’에 따르면, 2019년 기준 세계 기업이 관리하는 데이터 총량을 13.53 페타바이트(PB. 1PB=1024 테라바이트)로 집계했습니다. 2016년 1.45PB 대비 831%, 2018년 9.7PB 대비 약 40%가 증가한 수준입니다.(전자신문, 2020.04.01 “델 테크놀로지스, 글로벌 보안 인덱스 발표. 세계 데이터양 40% 증가”)

데이터의 양적인 증가와 더불어 데이터 기반 비즈니스의 성공으로 데이터의 경제성 측면이 부각될수록, 개인정보 여부를 판별하는 컴플라이언스 측면 또한 중요하게 되었습니다. 방대한 데이터의 활용 가치를 높이면서 동시에 규제를 준수하는 것은 쉽지 않습니다. 그렇기 때문에 데이터 비즈니스를 지향하는 기업은 데이터를 다룰 때 보다 섬세한 접근이 필요하게 되었습니다.

우리 정부는 GDPR(General Data Protection Regulation) 등 해외 법률의 변화와 발맞춰 기업의 데이터 활용을 적극 지원하고 있습니다. 이를 위해 가명 정보라는 새로운 유형의 개인정보를 법 제도 안으로 들여 데이터 활용 활성화를 지원하는 방향으로 정책을 개선했습니다. 그럼에도 불구하고 법 제도 밖에 있는 익명 정보와 가명 정보의 구분, 가명 정보를 처리하는 활용 영역은 기업의 실행 관점에서 여전히 어려운 과제로 남아 있습니다.

데이터 활용 시 필수적인 규제 준수의 출발점으로, 우리가 다루는 데이터에 대해서 한 Depth 더 내려가 살펴보려고 합니다. 지금부터 개인 식별 목적으로 법률 속에 명시된 개인정보와 데이터 활용 단계별 유의사항을 법률적 근거에 준하여 살펴보겠습니다.

개정된 법 기반 개인정보의 개념 이해

‘개인정보’는 살아 있는 개인을 알아볼 수 있는 정보로, 신분 관계나 사회 경력, 경제 관계뿐 아니라 사상, 신조, 종교 등의 내면의 비밀도 해당됩니다. 또한 개인의 인증 수단으로 도입되고 있는 지문, 홍채 등의 생체인식 정보도 포함됩니다.

개정된 개인정보 보호법에 따르면 ‘개인정보’란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다.

1.성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보
2.해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 함
3.가명 처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용•결합 없이는 특정 개인을 알아볼 수 없는 정보(‘가명 정보’라 함)

※ ‘가명 처리’란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말함

다른 정보와 결합하면 쉽게 개인이 식별되는 정보의 예는 다음과 같습니다.(네이버 프라이버시 센터 개인정보의 이해)

(예시 1) 이름 + 주소: ” ~에 거주하는 누구”의 경우,
주소가 상세할수록, 개인을 특정할 수 있는 가능성이 높아집니다.

(예시 2) 이름 + 전화번호: ” ~의 전화번호”의 경우,
시점이 명확할수록 전화기의 소유, 점유 관계가 명확해져 개인을 특정할 수 있는 가능성이 높아집니다.

(예시 3) ID + IP Address: ” ~의 IP를 할당받은 누구”의 경우,
유동•고정 IP 여부 확인 및 해당 ID가 이용된 서비스를 확인할 수 있다는 전제하에, 서비스 제공자나 ISP의 협조를 구하여 개인을 특정할 수 있는 여지가 있습니다. 단, IP Address는 그 자체로서 개인정보로 인정되기 어려운 성질을 가지고 있을 뿐 아니라, 서비스 이용 시간대 및 해당 IP Address를 할당받은 기기의 접근 가능한 인원 등 다양한 요소를 고려해야 개인을 특정할 수 있습니다.

여기서 주목할 점은 다른 정보와 결합을 통해 개인을 식별할 경우, 다른 정보의 입수 가능성과 이를 위해 소요되는 시간, 비용, 기술 등의 합리적인 고려가 있어야 합니다.

이전 법령에서 볼 수 없었던 부분입니다. 위의 예시와 같이 IP Address가 ID와 결합되어 개인정보 인가를 판단할 때, IP Address의 입수 가능성과 정보 획득을 위해 투입된 시간, 비용, 기술의 합리성을 고려하는 과정을 거친 후에 개인정보로 특정할 수 있음을 알 수 있습니다.

개인정보의 구체적인 예시

개인정보는 이름, 주민등록번호, 생년월일 등의 인적 사항 뿐 아니라 개인의 신념, 성향, 종교 등까지 포함하는 광범위한 개념입니다. 새로운 대고객 서비스와 IT 기기가 늘어날수록 개인정보에 포함될 수 있는 새로운 정보도 증가하고 있습니다. 행정안전부에서 제시한 아래와 같은 개인정보 분류를 보면 일상의 많은 정보가 개인정보가 될 수 있음을 확인할 수 있습니다.

개인정보 (출처: 개인정보침해 신고센터_개인정보란-개인정보)

한편 대법원 판례를 통해 살펴본 개인정보는 다음과 같이 공개된 개인정보까지 포함한다고 정의하고 있습니다.

“개인정보 자기 결정권의 보호 대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 인격 주체성을 특징짓는 사항으로써 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하며, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지도 포함한다.”

  • 대법원 2016. 3. 10. 선고 2012다105482 판결. https://www.scourt.go.kr/sjudge/1457682496225_164816.pdf –

개인정보 보호 관련 법률

개정 데이터 3법 즉 개인정보 보호법, 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률(이하, 정보통신망법), 신용정보의 이용 및 보호에 관한 법률(이하, 신용정보법) 외에도 개인정보를 다루는 법률이 정보처리의 주체에 따라 다음과 같이 20여 개 이상으로 제정되어 있습니다.

  • 빅데이터 활용을 위한 개인정보 비식별화 기술 활용 안내서 –
일반•공공 부문
민간 부문

법률 속에 정의된 개인 식별 정보

법적 처리 근거에 의해서 수집하는 개인정보는 개인정보 침해 문제가 발생하지 않도록 법률에서 요구하는 보호 조치를 수행한 후에 사용해야 합니다. 법 조항의 개인 식별 정보는 이름, 주민등록번호 등 그 자체로 개인을 알아볼 수 있는 정보들이 다수를 이루고 있습니다. 그리고 다른 정보와 결합해서 식별할 수 있는 개인 및 신체 등 특성 정보 유형은 소수임을 알 수 있습니다. 실제 법률 속에 정의된 개인 식별 정보들은 다음과 같습니다.

일반•공공 부문
민간 부문

다음 편에는 오늘에 이어서 ‘데이터 활용 단계별 개인정보 취급 유의사항’에 대해 알아보겠습니다.

글 l 전경화 책임
ICT 분야 21년 경력의 정보관리기술사. 국내 최초 정부통합전산센터 보안 체계 구축 및 국내 최대 규모의 데스크탑 클라우드 전환, 아시아 최초 바이오 정보 탑재가능한 전자여권 인증체계 프로젝트 등을 이끈 정보보호전문가다.

챗봇과 대화를 할 수 있어요