금융위 비식별정보 사고팔기 '신용정보법' 개정 추진
비식별정보 타정보와 결합하면 최대 45% 식별 가능
[뉴스핌=조세훈 기자] # 1997년 미국 매사추세츠주는 연구 목적으로 '이름, 주소, 사회보장번호 등'을 제거한 비식별화된 주정부 소속 공무원의 병원 진료기록을 공개했다. 하지만 개인정보가 재식별화되는 사고가 발생했다. 일부 연구자가 비식별화한 진료기록을 케임브리지시 선거인명부와 비교 분석해 윌리엄 웰드(William Weld) 주지사 등의 의료정보는 물론 거주지와 우편번호 등을 알아낸 것이다.
# 2006년 미국 넷플릭스는 영화 추천 알고리즘의 정확성을 높이기 위해 경연대회를 열었다. 50만명 이용자의 6년 동안 영화 평가 1억건을 비식별 정보화화해 공개했다. 즉 이름, 나이 등 개인을 식별할 요소는 지우고 평가 점수, 평가 일시는 공개했다. 그런데 취약점이 드러났다. 텍사스 대학 연구팀이 온라인 영화전문사이트에 공개한 영화평가와 넷플릭스의 데이터를 대차비교해 개인을 재식별해냈다. 이에 미국 연방거래위원회(FTC)는 정보 유출 위험성을 지적하며 2차 경연대회를 취소했다.
이르면 내년부터 금융분야의 빅데이터를 자유롭게 활용하거나 사고 파는 시대가 열리린다. 하지만 개인정보유출에 대한 우려의 목소리도 커지고 있다.
금융위원회는 지난 19일 ‘금융 분야 데이터 활용 및 정보보호 종합방안’을 발표했다. 앞으로 민간 영역에서도 금융 분야의 익명 정보를 거래할 수 있도록 해 핀테크 산업을 육성하겠다는 것. 금융위는 올해 상반기 신용정보법을 개정해 내년부터 시행한다는 방침이다.
예컨대 특정 고객이 제2금융권 대출 기록 중에서 이름과 주민등록번호, 주소, 전화번호 등 개인정보를 삭제하고 '부산 거주 50대 직장인'으로 비식별화한다. 이를 금융회사나 핀테크 기업들이 다양한 상품을 만드는데 활용할 수 있도록 하겠다는 것이다.
금융위는 구체적으로 은행의 대출, 연체 등의 기록이 있는 신용정보원과 보험 가입 정보가 있는 보험개발원의 데이터를 개인 이름 등 신원을 특정할 수 있는 정보를 지우고 금융회사, 핀테크 기업 등에 제공키로 했다. 비식별 처리한 정보는 거래가 가능토록 했다. 금융보안원이 일종의 거래소인 플랫폼을 구축해 그곳에서 공급자와 수요자 간 사고 팔기가 이뤄지도록 할 계획이다.
금융위는 정보유출 방지를 위한 안전장치도 마련했다. 가명처리정보의 기술·관리 보호조치를 의무화하고, 재식별행위를 비롯해 관리의무를 위반하면 형사·제재를 부과할 방침이다.
문제는 이러한 안전장치가 무용지물돼 나도 모르는 사이에 개인 정보가 유출 될 수 있다는 우려가 사라지지 않는다는 점이다. 비식별화 조치를 마친 데이터라고 해도 다른 두 기관의 자료와 결합해 재식별화될 가능성이 존재한다.
또 개인 SNS 등의 여러 정보를 교차활용하다보면 개인이 특정될 위험성이 존재한다. 희귀 질환과 같은 질병 이력자나 집합군이 적은 정보 등은 찾아내기 더 쉬울 수도 있다. 2013년 한국전자통신연구원(ETRI)이 SNS 데이터를 분석한 결과에 따르면, SNS 정보 등이 타 정보와 결합하면 최대 45%까지 식별이 가능하다.
전국사무금융노동조합은 논평에서 "개인정보를 유포시켜 놓고 거꾸로 개인정보 보호를 강화하겠다는 억지 궤변"이라며 "빅데이터 활용보다 더 중요한 것은 개인정보라는 불가침의 기본권 인권을 보장하는 것"이라고 지적했다.
[뉴스핌 Newspim] 조세훈 기자 (askra@newspim.com)