美, 동의 안받아도 개인정보 자유롭게 사용…EU, 공익 침해하지 않으면 상업적 활용 가능

배태웅 기자

입력2019.04.01 17:36 수정2019.04.02 01:18 지면A3

규제에 꽁꽁 묶인 데이터 경제

데이터산업 날개 달아준 美·유럽

미국에서 헬스베리티, 베릴리 같은 업체가 나올 수 있는 배경은 개인정보보호 제도의 기본 원칙이 ‘사후 동의’기 때문이다. 미국은 개인정보 활용에 관한 연방정부 차원의 법률이 존재하지 않는다. 그 대신 산업별로 개인정보 활용에 대한 법률을 갖추고 있다. 의료정보, 신용 보고서, 정확한 위치정보 등의 민감한 정보에만 사전 동의 방식이 적용된다.

美, 동의 안받아도 개인정보 자유롭게 사용…EU, 공익 침해하지 않으면 상업적 활용 가능

의료정보 등 민감한 정보도 기업이 활용할 길을 열어놨다. 미 보건복지부가 2012년 발표한 ‘건강보험 양도 및 책임에 관한 법(HIPAA)’ 비식별화 가이드라인이 대표적이다. 가이드라인에 따라 이름, 주소, 계좌번호 등 개인을 식별할 수 있는 18개 정보를 비식별화하면 이를 기업이 당사자 동의 없이 자유롭게 활용 가능하다. 비식별 조치의 안전성은 민간 전문가들이 판단하도록 하고 있다.

유럽연합(EU)이 채택한 일반개인정보보호법(GDPR)은 미국보다 개인정보를 엄격히 규제한다. GDPR은 이름, 성별, 나이 등 특정인을 식별할 수 있는 정보를 지운 ‘가명정보’도 개인정보로 간주하고 개인의 사전 동의를 구하는 것을 원칙으로 삼고 있다. 개인이 동의를 철회하면 기업은 언제든지 정보를 삭제해야 한다.

다만 공익·학술적 목적으로 빅데이터를 연구할 때는 예외다. 사전 동의 없이도 비식별 처리된 개인정보를 쓸 수 있다. 가명정보의 안전성은 미국과 마찬가지로 민간 전문가들이 판단한다. 학술적 목적으로 시작한 연구가 열매를 맺어 상업화됐을 때 역시 예외 범주에 들어간다. 학술적 목적의 범위를 넓게 잡고 있는 셈이다.

정보기술(IT) 법학 전문가인 심우민 경인교대 사회과교육과 교수는 “EU 내 기구인 유럽데이터보호감독관(EDPS)의 지침을 보면 공익을 현저히 침해하지 않는다는 조건하에 사전 동의를 받지 않은 가명정보도 상업적으로 쓸 수 있다”고 설명했다.

한국 정부와 여당이 추진 중인 개인정보보호법 개정안들은 GDPR을 상당수 참고하고 있다. 가명정보 개념, 공익·연구 목적에 제한한 사후 동의 등이 비슷하다. 그러나 비식별 조치 안전성 검증을 한국인터넷진흥원(KISA)과 같은 정부기관을 통해 하도록 하는 점, 데이터의 상업적 활용에 한계가 있다는 점 등은 크게 차이난다.

배태웅 기자 btu104@hankyung.com

관련 뉴스

1

요지부동 '개·망·신法'…빅데이터의 눈물

지난해 8월 문재인 대통령은 “데이터는 미래의 석유”라고 강조했다. 기업이 개인정보를 자유롭게 활용할 수 있도록 하겠다고 밝혔다. ‘개·망·신법’으로 불리는 개인정보보호법, 정보통신망법, 신용정보보호법을 개정해 ‘데이터 강국’으로 가는 초석을 놓겠다는 얘기였다. 8개월이 흘렀지만 현실은 달라진 게 없다. 개정 법안들은 시민단체와 야당의 반대로 국회에서 잠자고 있다. 개인정보가 포함된 데이터를 사업화하려는 기업들이 국회만 바라보고 있다. 사업 조직만 꾸려놓고 개점휴업 상태인 업체가 수두룩하다. 개인정보를 수집하고 가공할 법적 근거가 없기 때문이다.현행법은 주민등록번호처럼 개인을 특정할 수 있는 데이터뿐만 아니라 다른 정보와 결합해 개인의 신분이 드러날 가능성이 있는 데이터도 개인정보로 간주한다. 본인 동의 없이 이를 사용하는 것은 불법이다. 개인정보 3법인 개·망·신법 내용은 비슷하다. 온라인이나 모바일로 사업을 하면 정보통신망법이, 금융회사에는 신용정보보호법이 적용된다.올 들어 헬스케어법인을 세운 네이버, 카카오는 사업 첫 단계인 의료 데이터 수집 작업에서 제동이 걸렸다. 야심 차게 출범한 신사업 조직을 놀리고 있다. 금융 데이터를 가공해 파는 사업을 준비 중인 핀테크(금융기술) 기업들도 당혹스러워하고 있다. 자산관리 앱(응용프로그램) 뱅크샐러드를 운영하는 레이니스트가 대표적이다. 김태훈 뱅크샐러드 대표는 “인공지능(AI) 기술을 활용한 컨설팅사업을 하기 위해 신용정보보호법 개정만 기다리고 있다”고 말했다.전문가들은 개인정보 관련 규제로 새 사업에 뛰어들지 못하는 기업이 수천 곳에 이를 것으로 보고 있다. 이민화 창조경제연구회 이사장(KAIST 교수)은 “데이터를 자유롭게 활용하게 하고 문제가 생기면 처벌하는 게 세계적 추세”라고 말했다. 이어 “데이터 규제 완화의 첫 단추인 개·망·신법 개정이 더 미뤄지면 빅데이터산업은 싹도 못 틔우고 고사할 것”이라고 지적했다.美벤처, 3억명 의료데이터 거래…네이버·카카오 헬스케어는 '개점휴업'미국 펜실베이니아주 필라델피아에 있는 스타트업(신생 벤처기업) 헬스베리티. 2014년 설립된 뒤 3억 명의 의료데이터 거래를 중개하는 비즈니스로 각광받고 있다. 의료데이터는 모두 개인을 특정할 수 없도록 ‘비식별화’ 조치를 거쳐 거래한다. 2017년 기준 글로벌 제약회사 10곳 중 8곳이 이 회사의 서비스를 이용했다. 헬스베리티는 성장세를 인정받아 다수의 벤처캐피털(VC)로부터 1000만달러(약 113억원)의 투자도 받았다. 규제에 발이 묶여 공회전만 하는 한국 기업들의 데이터 신사업 현주소와 대조된다.개인정보보호법 개정 안 돼 제동 걸려지난해 8월 문재인 대통령은 ‘데이터 경제’를 선언했다. 기업들이 자유롭게 데이터를 활용할 수 있는 여건을 조성해 헬스베리티와 같은 빅데이터 기업을 육성한다는 게 골자였다.선언 이후 8개월이 흘렀지만 바뀐 것은 많지 않다. 개인정보보호법 등 개인정보 관련법 개정안은 국회에서 표류 중이다. 데이터 규제와 관련한 논의도 흐지부지되고 있다. 기업들은 규제 완화를 예상하고 잡아놨던 사업계획에 브레이크가 걸렸다고 토로한다. 선제적으로 만들어 놓은 신사업 조직이 비용만 잡아먹고 있다는 설명이다.네이버는 지난달 15일 대웅제약, 분당서울대병원 등과 헬스케어 합작법인인 다나아데이터를 설립했다. 카카오도 올 1월 서울아산병원과 인공지능(AI) 기반의 의료 빅데이터 업체 아산카카오메디컬데이터를 세웠다.네이버와 카카오의 비즈니스 모델은 비슷하다. 빅데이터와 AI 기술을 활용해 질병을 진단하고 예방하는 사업이다. 구글의 헬스케어 자회사 베릴리를 벤치마킹했다. 베릴리는 30만 명의 안구를 스캔한 데이터를 기반으로 심혈관 질환을 진단하는 기술로 유명하다.베릴리가 사업화에 성공한 반면 다나아데이터와 아산카카오메디컬데이터는 개점휴업 상태다. 개인정보보호법 개정안이 국회에서 처리되지 않아 한국 두 회사는 빅데이터 헬스케어 사업의 ‘첫 단추’에 해당하는 데이터 수집 작업에 제동이 걸렸다. 현행법은 의료·건강정보를 활용할 때 당사자의 사전 동의를 받아야 한다고 규정하고 있다. 개인을 특정할 수 없도록 가명처리한다고 해도 예외를 인정받기 힘들다.헬스케어업계 관계자는 “법 개정이 안 되면 수만 명에 달하는 고객에게 일일이 정보사용 동의를 받아야 하는데 이는 현실적으로 불가능한 얘기”라고 하소연했다.국회만 바라보는 것은 금융회사들도 마찬가지다. 지난 2월 말 국내 8개 신용카드 업체는 금융당국이 운영 중인 ‘카드산업 건전화 및 경쟁력 제고 태스크포스(TF)’에 빅데이터 규제 완화를 건의했다. 활용할 수 있는 데이터의 종류, 데이터 사업 허용 범위 등이 명확하지 않아 신규 사업 진출이 힘들다는 게 카드회사들의 주장이다.한 카드사 관계자는 “신용카드사들은 보유하고 있는 고객 데이터를 활용한 컨설팅 서비스를 준비 중이지만 법 개정이 없이는 사업 진행이 불가능하다”고 토로했다.영리 목적 개인정보 활용 ‘첩첩산중’전문가들은 가명정보의 개념을 구체화하는 것은 데이터 규제를 푸는 첫걸음에 불과하다고 설명한다. 기업들이 자유롭게 데이터 비즈니스를 하기까지 추가로 손을 대야 할 법령이 상당하다는 지적이다.영리 목적으로 가명처리를 한 개인정보 사용을 허용할지가 최대 관심사다. 정부와 여당의 개인정보보호 관련법 개정안들은 통계 처리, 연구목적 등으로 가명정보를 활용하는 것을 골자로 하고 있다. 이를 상업적으로 활용할 수 있느냐는 다른 문제다.예컨대 헬스케어 기업이 가명정보를 상업적으로 쓰려면 보건의료진흥법을 뜯어고쳐야 한다. 이 법은 순수한 연구목적 외에는 개인정보를 활용할 수 없다고 명시하고 있다. 지난해 10월 국정감사 때도 이 문제가 도마에 올랐다.박능후 보건복지부 장관은 당시 “카카오 자회사인 아산카카오메디컬데이터가 의료정보 상업화를 꾀하는 게 아니냐”는 질문에 “엄격히 규제하겠다”고 답했다.개인정보 관련 규제 컨트롤타워를 일원화하는 문제 역시 갈 길이 멀다. 지금은 과학기술정보통신부, 금융위원회, 행정안전부 등으로 규제·감독 권한이 나뉘어 있다. 새 사업을 하는 것에 문제가 없는지 확인받는 데만 수개월이 걸린다는 불만이 쏟아지고 있는 배경이다.정부는 이 문제를 풀기 위해 개인정보보호법 개정안에 현재 심의기능만 있는 개인정보보호위원회를 정식 정부부처로 승격해 독립시키는 법안을 제출해놨다. 하지만 ‘공룡 부처’의 탄생을 우려하는 야당의 반대가 심해 국회 문턱을 넘지 못하고 있다.송형석/윤희은 기자 click@hankyung.com
2

개인정보법 개정안의 핵심, 가명정보·익명정보가 뭐지?

국회에 계류 중인 개인정보 관련법 개정안엔 가명정보, 익명정보 등 생소한 개념이 등장한다. 개인을 특정하기 어렵게 가공한다는 점은 동일하지만 어떻게 분류하느냐에 따라 활용 방식이 제각각이다.기존 개인정보보호법은 이름·주민등록번호처럼 개인을 확실하게 구분할 수 있는 정보, 자동차 번호판처럼 해당 정보만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합하면 개인을 특정할 수 있는 정보 등을 개인정보로 규정했다.개정안엔 가명정보라는 개념이 추가된다. 개인정보를 보호하기 위해 특정인을 식별할 수 있는 정보의 상당 부분을 가렸다는 의미다. 신용카드 사용정보를 떠올리면 이해가 쉽다. ‘홍××, 1977년 6월생, 남성, 서울 강남구, 2018년 3월 신용카드 사용금액 127만원’처럼 데이터로서의 가치는 있지만 개인을 특정하기 어렵게 한 게 가명정보다.익명정보는 여기서 한발 더 나아간 개념이다. 이름, 생년월일 등의 사람을 구분하는 핵심 식별 정보를 철저히 제거한다. ‘남성, 40대, 2018년 3월 신용카드 사용금액 127만원’ 정도만 남으면 데이터 결합을 통해서도 개인을 특정하는 게 불가능하다고 간주해 제한 없이 활용할 수 있는 익명정보가 된다.개정 법안이 통과되면 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보 주체의 동의 없이 가명정보를 사용하는 게 가능해진다. 비식별화 조치가 제대로 이뤄졌다는 전제 아래 제3자에게 정보를 제공할 수도 있다.가명정보 활용이 허용돼도 논란의 여지가 남는다. 국회에 올라온 법안들은 기업 내부 데이터는 자체적으로 결합할 수 있지만 기업 간 데이터를 결합해 가명처리를 하려면 정부 허가를 받은 데이터거래소를 이용해야 한다고 규정하고 있다. 결합 데이터 수요자들이 가명 처리 수준을 결정하는 게 불가능한 구조다.기업들의 관심은 정보를 만들 때 개인을 식별할 수 있는 요소들을 얼마나 제거하느냐에 쏠려 있다. ‘홍××, 1977년 6월생, 서울 강남구’ 수준이 아니라 ‘홍××, 197×년, 서울’처럼 익명정보에 가까운 데이터만 허용하면 분석의 의미가 퇴색할 수밖에 없다고 지적한다.송형석 기자 click@hankyung.com
3

삼성전자,AI·빅데이터·로봇분야 석학 대거 영입

삼성전자가 인공지능(AI), 빅데이터, 로봇 등 4차 산업혁명의 핵심 분야를 연구할 국내외 전문가를 대거 영입했다. 미래 신기술을 ‘선점’하고, 산업의 경계를 넘어 적극적으로 사업 영토를 확장하기 위해서다.삼성전자는 AI 연구 역량을 강화하기 위해 위구연 미국 하버드대 전기공학·컴퓨터과학과 석좌교수를 ‘펠로우’로 영입했다고 31일 발표했다. 펠로우는 삼성전자가 세계 최고 수준의 기술을 보유한 전문가나 석학에게 주는 연구 분야 최고직이다. 위 교수는 2013년 세계에서 가장 작은 비행 곤충 로봇인 로보비의 센서와 프로세서 등 핵심 기술을 개발한 AI 프로세서 부문 세계적 석학이다. 그는 삼성전자 AI 연구를 총괄하는 삼성리서치에 소속돼 인공신경망 기반 차세대 AI 프로세서를 연구하게 된다.삼성전자, 하버드대 교수에 AI…애플·아우디 출신에 마케팅 맡긴다삼성전자가 위구연 하버드대 석좌교수를 영입한 것은 석학 중심의 ‘S급 인재풀’을 확보하겠다는 회사의 의지가 반영됐다는 분석이다. “단순 엔지니어 수준을 넘어 세계적으로 저명한 분들을 모셔오겠다”(김현석 삼성전자 CE부문장 겸 삼성리서치 소장)는 방침을 실행에 옮긴 것이다.지난해 6월 인공지능(AI) 분야 세계적 석학인 세바스찬 승 미국 프린스턴대 뇌과학연구소 컴퓨터공학과 교수와 다니엘 리 코넬대 전기공학과 교수를 부사장으로 영입한 뒤 9개월 만이다. 위 교수는 하버드대 석좌교수를 겸직하는 조건으로 영입됐다. 미국과 한국을 오가며 AI 프로세서 관련 연구를 한다. 삼성전자가 외부 인사에게 펠로우 직급을 부여한 것은 이례적이다. 그동안 삼성전자 내 펠로우는 3명뿐이었다. 위 교수의 합류로 펠로우는 4명이 됐다.세계적 석학·전문가 잇달아 영입삼성전자의 인재 확보는 AI 분야에 국한되지 않는다. 빅데이터 분석 전문가인 장우승 전 아마존 선임과학자를 무선사업부 빅데이터 개발을 총괄하는 전무로 영입했다. 장 전무는 미국 미주리대 산업공학과 교수를 지냈다. 2015년부터 아마존 선임과학자로 일하며 사용자 분석을 통한 물량 예측 시스템을 개발했다.로봇 기술 개발을 강화하기 위해 강성철 전 한국과학기술연구원(KIST) 의료로봇연구단장도 전무로 기용했다. 그는 KIST에서 의료, 구조, 국방, 우주항공 등 다양한 분야의 로봇 프로젝트를 이끌었다.패션 마케팅 전문가부터 자동차 디자이너까지 정보기술(IT) 기업의 영역을 넘어선 외부 인재도 수혈했다. 무선사업부 리테일·이커머스 총괄 부사장으로 온 윌리엄 김 전 올세인츠 최고경영자(CEO)가 대표적이다.구찌, 버버리를 거쳐 2012년 영국 패션 브랜드 올세인츠 CEO를 맡아 브랜드 가치를 끌어올린 주역이다. 디지털 마케팅 전문가인 그는 “아날로그는 설탕보다 나쁘다”며 올세인츠 마케팅은 물론 제조, 물류, 판매 등 모든 업무 프로세스를 디지털로 바꿨다. 온라인 매장을 밀레니얼 세대(1981~1996년생)의 입맛에 맞게 뜯어고치며 ‘디지털 전환’을 완성했다는 평가를 받는다. 앞으로 삼성전자 GDC(global direct to consumer)센터를 이끌며 온·오프라인 채널에서 소비자와의 접점을 강화해 스마트폰 판매를 늘리는 역할을 맡는다.북미·유럽서 현지 마케팅 전문가 기용삼성전자는 민승재 폭스바겐 미국 디자인센터 총괄 디자이너도 디자인경영센터 상무로 영입했다. 민 상무는 폭스바겐에서 제품 디자인과 사용자경험(UX) 디자인을 융합한 차세대 디자인을 주도했다. 삼성전자 디자인경영센터에서는 전장 부문을 포함해 IT 전반의 미래 디자인 트렌드를 읽고 선행 디자인을 기획하는 일을 하게 된다.국내뿐 아니라 해외법인의 마케팅 역량을 강화하기 위해 북미·유럽에서도 현지 마케팅 전문가를 수혈했다. 미국 법인은 경쟁사인 애플에서 채널 마케팅을 총괄했던 제임스 피슬러를 TV·오디오 등 홈엔터테인먼트 영업·마케팅을 담당하는 현지 임원으로 임명했다. 구주총괄 마케팅 책임자(CMO)로는 아우디 등에서 마케팅을 맡았던 벤자민 브라운을 선임했다.삼성전자의 대규모 인재 영입은 IT, 자동차, 소프트웨어 기업들이 ‘무한 경쟁’을 벌이는 상황에서 인재를 미리 확보하지 못하면 도태될 것이라는 위기의식 때문이라는 분석이다. 해외에서 활동하는 한국인이나 한국계 2세를 집중적으로 영입하는 점도 눈에 띄는 대목이다. 언어적 차이를 쉽게 극복할 수 있고, 상대적으로 문화적 이질감이 작아 한국의 기업 문화를 잘 이해하고 시너지도 낼 수 있다는 판단에서다. 삼성전자 관계자는 “앞으로도 다양한 사업 분야에서 우수 인재 영입을 확대해 나갈 방침”이라고 말했다.고재연 기자 yeon@hankyung.com