[아이뉴스24 성지은 기자] 안전한 개인정보 활용은 가능할까.
일본은 이 같은 화두의 답을 찾기 위해 지난 2015년부터 매년 'PWS(Privacy Work Shop)컵'을 열고 있다. 특정인을 식별할 수 없게 개인정보를 익명화˙가공화한 '익명가공정보'가 재식별되지 않고 안전하게 활용될 수 있는지를 연구하기 위해서다.
PWS컵을 주관하는 메이지대학 기쿠치 교수는 31일 서울 소노펠리체 컨벤션에서 열린 '안전한 개인정보 비식별 활용 세미나'에 참석 그동안의 대회 추진 사례를 공유했다.
◆日, 10년만에 법 개정…개인정보보호·활용 추진
일본은 2015년을 기점으로 개인정보보호·활용에 전향적인 움직임을 보이고 있다. 10년 만에 개인정보보호법을 개정하고 빅데이터 처리 목적의 익명가공정보 규정을 신설한 것.
개정안에 따르면, 익명가공정보는 본인 동의 없이 제3자에게 제공할 수 있고 마케팅 등 사업 목적으로 활용할 수 있다. 익명가공정보는 국내에서 논의되는 '비식별정보'와 같다. 특정인을 식별 할 수 없도록 개인정보를 가공한 것으로, 재식별이 불가능한 정보다.
가령 '앨리스가 1월 20일에 사탕을 샀다(1/20·Alice·Candy)'는 데이터는 익명화·가공화 과정을 거쳐 'A1이 1월 29일에 사탕을 샀다(1/29·A1·Candy)' 같은 데이터로 등치될 수 있다.
익명화·가공화 과정을 거치면 프라이버시 침해 가능성은 낮추되 마케팅 전략 수립 등 산업적 측면에서 데이터를 폭넓게 활용할 수 있다.
일본은 개인정보보호·활용을 양립하기 위해 이 같은 개정안을 지난해 5월 30일 본격 발효했다. 독립적인 관리감독기구로 개인정보보호위원회(PPC)를 2016년 창설하고 관련 가이드라인을 발표하기도 했다.
물론 익명가공정보도 대량의 데이터가 쌓이면 여러 정보를 조합하고 특정인을 재식별하는 일이 발생할 수 있다.
기구치 교수는 "익명가공정보의 안전성을 평가할 수 있는 충분한 사례가 아직 부족하다"며 "재식별에 대한 명확한 기준이 없고 리스크가 명확히 드러나지 않았다"고 말했다.
이어 "이 같은 문제를 해결하기 위해 기업과 대학의 연구자를 중심으로 PWS컵을 2015년부터 개최했다"며 "안전하고 유용한 익명가공기술을 개발하고, 익명가공화된 데이터가 얼마나 안전한지를 평가하고자 했다"고 덧붙였다.
◆개인정보 안전한 활용 가능?…콘테스트 통한 연구 '활발'
PWS컵에 참가하는 13~15개팀은 비식별화와 재식별화를 겨룬다. 각 팀은 주어진 구매정보 데이터세트에서 특정인을 식별할 수 없게 개인정보를 익명화·가공화하는 '비식별화' 조치를 취한다. 이와 함께 비식별화된 데이터는 개인을 식별할 수 있도록 복원하는 작업인 '재식별화'를 거친다.
이때 재식별 가능성은 낮추고 데이터의 유용성을 높인 팀이 승리를 거머쥔다. 구매정보 데이터세트에서 개인정보 복원 가능성은 최소화하면서 데이터의 활용 가치를 높인 팀이 우승하는 것.
대회는 예산과 본선으로 구성됐다. 예선에서는 프로그램을 통해 재식별 위험도를 평가하고, 본선에서는 사람이 직접 재식별 작업을 실시하고 위험도를 분석했다.
그 결과 사람이 작업할 경우, 익명가공정보를 재식별할 가능성이 높아지는 것으로 나타났다. 사람을 통한 재식별 가능성은 시스템을 통한 재식별 가능성보다 평균 84%가 높게 나타났다.
또 데이터를 가공할수록 보안은 강화되지만, 데이터의 유용성은 감소하는 것으로 나타났다. 즉 재식별 가능성은 감소하지만 반대로 데이터의 활용 가치는 하락하는 것.
기구치 교수는 "데이터를 익명화·가공화할수록 안정성은 높아지되 유용성은 잃는 반비례(trade off) 관계로 나타났다"고 설명했다.
일본 개인정보보호단체인 일본정보경제사회추진협회가 발표한 '익명가공정보 사례집'에 따르면, 200개 기업이 익명가공정보를 활용했다. 그러나 일본 내에서도 개인정보활용에 대한 부정적 여론 때문에 기업들이 이 같은 사실 공개를 꺼리는 상황.
기구치 교수는 "(개인정보보호법 개정안이 실행되고 나서) 기업들이 익명가공정보를 충분히 활용한다고 말하기는 어렵다"며 "2013년 동일본철도가 고객정보를 동의 없이 판매한 사실이 드러나면서, 일본 내에서 기업이 데이터를 활용하는 데 대한 부정적 시선이 있다"고 설명했다.
그는 이어 "다만 기업이 데이터를 활용해 사용자 편의를 개선하는 사례를 보여주면 활용 사례가 늘어날 것"이라고 기대했다.
국내에서도 한국인터넷진흥원(KISA)이 일본 PWS컵을 벤치마킹한 '개인정보 비식별 컨테스트'를 준비하고 있다.
김석환 KISA 원장은 "어느 정도까지 개인정보를 비식별화해야 신원 복원이 어려우면서 경제적 유용성을 확보할 수 있을지 고민하고 CTF(Capture The Flag)를 준비하고 있다"며 "제도 설계에도 관심을 두고 있다"고 말했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기