ICT 기술의 진화에 따라 모든 사물이 네트워크에 연결돼 데이터가 생성 수집 활용되는 환경이 도래했다. 사물인터넷(IoT)의 확산은 자료수집이 가능한 디바이스의 증가, 많은 양의 데이터 축적, 다방면에 걸친 데이터 활용이라는 측면에서 개인정보보호에 대한 요구를 증가시키고 있다.
반면 지나치게 이용자 보호에 치우친 국내 개인정보보호 제도가 관련 산업 활성화를 저해하고 있다는 비판도 있는 상황이다.
정보통신정책연구원(KISDI)은 최근 'IoT 환경에서의 개인정보보호 이슈'란 보고서를 통해 "정책적 관점에서 개인정보보호와 IoT 활성화를 조화시키려는 노력이 필요하며, 개인정보의 개념 재정립, 사전동의제도 보완 등 제도 개선을 통해 실질적인 이용자 보호, 데이터의 활용, IoT 서비스 개발이 더 자유로운 환경을 조성할 필요가 있다"고 밝혔다.
IoT는 홈 오토메이션, 커넥티드 카, 헬스케어 등의 분야에서 구체화되고 있으며, 보안·농업·유통 등 전산업에 걸친 ICT 융합의 원동력으로 부상하고 있다. 시장조사업체 가트너에 따르면 IoT 디바이스는 연평균 35.2% 증가하고 있으며, IoT 서비스 시장은 연평균 30% 커지고 있다.
IoT 확산은 동시에 자료수집이 가능한 디바이스의 증가, 방대한 양의 데이터 축적과 다방면에 걸친 데이터 활용이라는 측면에서 개인정보보호에 대한 요구를 증가시키고 있다.
가령 스마트홈의 경우 집 내부의 사람 움직임, 방안의 온도, 습도 등을 기록하고, 스마트 그리드는 어떤 활동에 전기를 많이 소모하는지 여부, 여행 여부 등을 파악할 수 있다. 또 스마트헬스는 건강 상태, 질병 여부, 신체정보 등 개인정보보호법상 민감정보에 해당할 여지가 있다.
더구나 빅데이터 기반의 정보 활용에 따라 개인정보의 목적외 이용 가능성을 배제할 수 없으며, 서비스별 협업 증가에 따라 개인정보 공유가 빈번하게 발생할 가능성이 크다.
이에따라 정보통신망을 통한 개인정보 수집과 이용이 증가하면서 개인정보 침해사고 또한 급속도로 늘고 있다. 지난해 행정자치부·개인정보보호위원회의 조사결과에 따르면 개인정보 침해에 대한 상담 건수는 15만8900건으로 2005년 대비 약 8배 이상 증가했다.
개인정보 침해사고의 증가와 보호 수준에 대한 부정적 인식은 국내 개인정보보호 관련 규제의 지속적 강화를 불러온다. 우리나라의 경우 개인정보보호법을 기본으로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률', '위치정보의 보호 및 이용 등에 관한 법률' 등에서 개인정보보호와 관련된 사항을 규정하고 있다.
지난해 12월30일 행정자치부는 최근 개인정보 대규모 유출 사건과 모바일 기기를 활용한 개인정보 처리의 확산에 대응하기 위한 목적으로 '개인정보의 안전성 확보조치 기준'을 개정 고시하기도 했다. 내부관리계획 조항을 신설하고, 개인정보 암호화 조치 강화, 물리적 접근 방지 조항 신설, 개인정보 파기 조항 신설 등 관련 기준이 엄격하고 구체화하는 방향으로 변경된 것이다.
이렇듯 우리나라는 제도적으로 기업의 개인정보 활용을 매우 엄격하게 규율해, 주요국 대비 규제 수준이 높은 것으로 평가되고 있다. 영국 소재 대형 법률사무소인 호간 로벨스(Hogan Lovells)에 따르면 한국은 아시아에서 개인정보 관련 규제 수준이 가장 높은 국가로 평가됐다.
서울 SK텔레콤 보라매 사옥에서 SK텔레콤의 구성원들이 IoT 서비스를 위한 가상화 교환기 'vEPC'를 운용하고 있다. 사진/뉴시스
보고서는 높은 수준의 규제가 반드시 이용자 보호 강화를 의미하는 것은 아니라고 설명했다. 다만 관련 규제의 강화는 IoT, 빅데이터 등 데이터 활용이 필수적인 신산업의 성장을 저해할 가능성을 우려한 것이다.
또 다른 모든 규제와 마찬가지로 개인정보보호 제도를 충족시키기 위한 부담은 기존 기업들보다 창업기업들에 크게 나타나 인터넷, SW 분야 등에서 창업활동을 제약할 우려가 있을 것으로 내다봤다.
특히 글로벌 시장 선점을 위한 경쟁이 가속화되고 있는 인터넷 비즈니스의 경우 국가별로 상이한 개인정보보호 규제 수준으로 인해 국내 기업의 서비스 개발과 글로벌 경쟁력 확보에 부정적 영향을 미칠 가능성을 크게봤다.
나성현 정보통신정책연구원 연구위원은 국내 개인정보보호 제도는 실질적인 이용자 보호 강화와 데이터의 활용, IoT 서비스 개발의 자유도를 증가시키는 방향으로 개선될 필요가 있다고 지적했다.
형식적 사전규제의 강화는 실질적인 이용자 보호 없이 기업의 창업할동과 글로벌 경쟁력 약화를 가져올 수 있으므로 대규모 침해사고에 따라 증가하고 있는 이용자 보호에 대한 요구는 사후규제, 보안수준의 강화를 통해 해결하는 것이 바람직하다는 의견이다.
또 IoT 비즈니스의 추진과 서비스 활성화를 뒷받침하기 위해 개인정보의 범위를 명확히 하고 경직적인 사전동의 제도를 개선할 필요가 있다고 설명했다.
나성현 연구위원은 "IoT 환경에서는 정보주체가 인지하지 못하는 상황에서의 자료수집이 빈번하게 발생하기 때문에 현행 사전동의 제도는 속성상 IoT 비즈니스 모델과 충돌한다"며 "이용자 입장에서도 수집 당시의 고지, 동의 절차보다는 수집 이후 충분한 통제권 보장이 더 중요하다"고 말했다.
IoT 활성화와 개인정보보호 모두를 충족시키기 위해서는 비식별화 조치를 전제로 개인정보의 활용 가능성을 높일 필요도 있다고 주장했다. 비식별화 조치는 정보에 포함돼 있는 개인정보의 일부 또는 전부를 삭제하거나 다른 정보로 대체함으로써 다른 정보와 결합해도 특정 개인을 식별하기 어렵게 하는 일련의 조치를 의미한다.
재식별 위험성을 최소화하기 위한 기술적, 관리적 수단의 강화를 전제로 비식별화된 개인정보의 활용에 유연하게 대처할 필요성을 강조한 것이다.
특히 IoT 서비스의 신뢰성 강화를 위해 개인정보보호와 함께 해킹 등 개인정보 침해사고 예방을 위한 정보보안 강화 필요성을 제언했다.
나 연구위원은 "현재까지 대규모 개인정보 침해사고는 상당 부분 해킹 등 외부적인 요인에 따라 발생했다"며 "안전한 IoT 이용 환경 조성을 위해서는 핵심기술 개발과 산업경쟁력 강화를 통해 전반적인 보안 수준을 향상할 필요가 있다"고 강조했다.
이지은 기자 jieunee@etomato.com