[개인정보 보호와 활용⑦] 비식별화 솔루션 등장했지만 시장 활성화는 ‘아직’
상태바
[개인정보 보호와 활용⑦] 비식별화 솔루션 등장했지만 시장 활성화는 ‘아직’
  • 김선애 기자
  • 승인 2019.04.21 08:31
  • 댓글 0
이 기사를 공유합니다

개인정보보호법 개정안 국회 통과 시급…재식별 가능성 차단한 비식별화 조치 마련

본격적인 5G 시대가 열리면서 개인정보 보호에 비상이 걸렸다. 5G를 기반으로 한 다양한 융복합 서비스가 등장해 사람들의 삶을 풍요롭게 만들어 줄 것으로 기대되지만, 이러한 서비스는 광범위한 개인정보를 기반으로 설계되기 때문에 개인정보의 수집과 활용, 그 과정에서 개인정보 탈취와 오남용 등의 문제가 발생할 수 있다. 개인정보 보호와 활용의 이상적인 방안을 살펴본다.<편집자>

비식별화, 고도의 전문성 필요

개인정보 비식별화에 대해서는 해외에서도 아직 명확한 개념이나 활용범위가 제정된 것은 아니다. 비식별 정보 활용에 대해서는 이제 본격적인 논의가 시작된 단계이며, 비식별화 방법도 다양하게 등장하고 있는 상황이다. 글로벌 컴플라이언스에서도 비식별화 수준에 대해 논의하면서 합의점을 찾아가고 있다.

가장 일반적으로 받아들여지는 비식별화 수준은 ‘상식적인 노력을 통해 재식별되지 않도록 조치하는 것’이라고 말할 수 있다. 예를 들어 고가의 수퍼컴퓨터를 이용해 6개월간 분석해 재식별될 수 있는 수준이라면 재식별 가능성이 높지 않다고 본다.

공격자들은 개인정보를 입수하기 위해 모든 방법을 다 동원한다. 그러나 투자한 비용과 시간 대비 수익이 낮다면 그 방법을 애써 사용하지 않으며, 다른 방법을 사용할 것이다. 비식별화 데이터를 재식별하는 것보다 보안 수칙을 지키지 않는 내부 사용자를 해킹해 고객정보 서버에 접근하는 것이 더 쉬울 수 있다.

현재 우리나라에서 주료 사용하는 비식별화 방법은 ▲일정 확률 수준 이상으로 비식별되도록 처리하는 ‘k-익명성’ ▲k-익명성에 대한 동질성 공격 및 배경 지식에 의한 공격을 방어하기 위한 ‘ℓ-다양성 기법’ ▲ℓ-다양성에 대한 쏠림 공격 및 유사성 공격 등을 보완하기 위한 ‘t-접근성’ 등이 있다.

개인정보 비식별화에 사용되는 알고리즘은 20여가지에 이르며, 업무에 따라, 데이터의 성격에 따라 맞는 것을 선택해야 하고, 재식별 가능성이 있는지 확인하고, 실제로 사용할 가치가 있는 정보만을 비식별화할 수 있도록 선택하는 것도 중요하다. 따라서 비식별화를 수행하는데 있어 높은 전문성이 필요하며, 전문 서비스 기관으로부터 컨설팅을 수행하고 비식별화를 도와주는 솔루션을 이용하는 것이 바람직하다.

김기태 파수닷컴 부장은 “현재 일부 국내 금융기관에서 자체적으로 비식별화 솔루션을 개발해 필요한 부분에 대한 비식별화를 진행하고 있다. 금융기관은 이 분야에 투자할 수 있는 전문성과 예산이 충분하기 때문에 자체적으로 진행하지만, 그렇지 않은 경우, 혹은 비용과 시간을 더 단축하고자 한다면 전문기관의 서비스와 솔루션을 사용하는 것이 바람직하다”고 말했다.

▲개인정보 비식별 조치 예시(자료: 개인정보 비식별조치 가이드라인)

금융·통신·의료 기관서 높은 관심

비식별화는 금융기관, 통신사, 의료기관 등에서 많은 관심을 보이고 있다. 금융과 통신은 다양한 개인 맞춤형 서비스를 제공하기 위해 비식별화가 시급히 필요하다. 금융·통신사는 그동안에도 개인화된 서비스를 다양하게 제공하면서 정제된 고급 개인정보를 확보하고 있다. 따라서 개인정보보호법이 개정되면 비식별화 사업으로 인한 효과를 즉시 볼 수 있다. 반면 의료기관은 의료 연구 등을 위해 비식별화가 필요하지만, 의료 데이터의 민감도가 높기 때문에 쉽게 사업이 진행될 수 있을 것으로 보이지 않는다.

비식별화를 도와주는 솔루션도 이미 출시돼 있다. 이지서티, 파수닷컴, 펜타시스템 등이 비식별화 솔루션을 출시하고 주요 고객들에 공급하고 있다. 개인정보보호법이 개정돼 개념이 모호한 비식별화 범위에 대해 정확하게 정리돼야 시장이 활성화 될 수 있을 것으로 보인다.

이지서티의 ‘아이덴티티 쉴드(IDENTITY SHIELD)’는 다양한 개인정보·비식별정보 특허를 보유하고 있으며, 인메모리 기반 설계로 빠르게 비식별 처리가 가능하다. 향후 클라우드 기반 서비스와 AI 활용 솔루션을 추가 개발할 예정이다. 이 솔루션은 국가정보자원관리원, 국민권익위원회, 한국전력, KB국민카드 등 다수의 공공기관과 기업에 공급됐다.

파수닷컴의 ‘애널리틱디아이디(AnalyticDID)’는 스파크 구조와 인메모리 기술을 적용했으며, 데이터 케이스만 선택적으로 판단해 계산하는 알고리즘 등 4개의 특허기술이 반영돼 있다. 의사결정에 도움을 줄 수 있도록 빅데이터 분석 효용성과 위험에 대한 다양한 지표를 제공한다.파수닷컴은 개인정보 보호 및 비식별화 컨설팅과 함께 솔루션을 공급할 수 있어 더 효과적인 비식별화를 지원한다고 강조한다.

펜타시스템은 오랜 기간 빅데이터 관련 사업을 수행하면서 쌓은 전문성이 특장점이라고 강조한다. 통신사, 금융, 정부기관 등 여러 산업 분야에서 빅데이터 사업을 진행하면서 축적된 전문성을 기반으로 개발된 ‘데이터아이 피디(DataEye PIDI)’는 데이터 변환과 이관 처리를 위한 ETL 솔루션 PDI(Penta Data Integrator)를 내장하고 있으며, 인메모리 DB를 활용해 대용량 데이터 처리 성능을 향상시켰다.

탈레스 이시큐리티는 포맷유지 암호화(FPE), 토큰화를 통해서도 비식별조치가 가능하다는 점을 강조하며 토큰화 솔루션을 소개한다. 다이내믹 데이터 마스킹과 토큰화를 지원하는 이 제품은 PCI-DSS와 EU GDPR을 준수할 수 있도록 지원한다.

김현준 탈레스코리아 이사는 “국내 개인정보보호법에서 토큰화를 비식별화 조치로 인정하고 있지 않지만, 개정안에서는 인정받을 수 있을 것으로 기대된다. 빅데이터 환경에서는 거의 모든 데이터를 클라우드에 올려야 하는데, 기존의 암호화 시스템으로는 이와 같은 요건을 만족시키지 못한다. FPE, 토큰화를 통해 빠르고 가벼우면서 안전하게 데이터를 활용할 수 있어야 한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.