[기고] 프라이버시가 경쟁력이다

염흥열 순천향대 정보보호학과 교수

염흥열 순천향대 정보보호학과 교수

필자는 2017년 말 미국 워싱턴주 레드몬드에 본사를 두고 있는 다국적 소프트웨어 및 하드웨어 회사를 방문한 적이 있다. 이때 그 회사의 최고개인정보책임자에게 들었던 인상적인 언급은 "제품이나 서비스 경쟁력 강화를 위해 프라이버시 고려가 최우선이며, 정보주체 통제권을 보장하기 위해 이용자 편의성이 강화된 대시보드 형태의 프라이버시 통제권을 보장하는 것"이라고 강조한 것이었다.

우리나라에서 시행되고 있는 '정보보호 및 개인정보보호 관리체계'(ISMS-P) 인증을 받기 위해 인증심사를 신청하는 글로벌 기업들이 최근 급격히 늘고 있다.

여기에는 미국과 중국 등 주요국의 글로벌 클라우드 사업자를 포함하고 있다. 이러한 추세는 앞으로도 지속될 것이며, 국내 클라우드 서비스 시장이 커진 점에 1차적 원인이 있다고 본다. 그러나 이들 사업자가 서비스를 제공하는 국가나 지역의 프라이버시 규제를 존중하면서 서비스를 제공해야 고객의 신뢰를 얻을 수 있다는 인식의 변화에 기인한다고 생각한다.

향후 10년간 나타날 정보통신 환경을 살펴보면, 사물인터넷을 통한 다양한 이용자 디바이스가 증가할 것이고, 6G 이동통신 네트워크가 나타날 것이며, 정보통신기술이 모든 산업 부문에 적용이 확대되면서 다양한 산업 부문에서 디지털 혁신을 촉진하는 융복합 서비스가 확대될 것이다. 융복합 서비스 환경에서 수집되고 처리되는 데이터의 양이 크게 증가할 것으로 예측되고 있다. 2020년대 후반에 상용 양자컴퓨터가 출현할 가능성이 크다.

이러한 정보통신 환경에서 프라이버시 측면의 위협은 더욱 증가할 것이다. 인공지능, 기계학습을 통한 데이터 분석 능력이 강화되면서 기업이 정보주체의 데이터 처리시 프라이버시를 침해할 가능성이 커질 것이고, 당초 수집 목적을 벗어난 데이터 처리가 빈번해질 것으로 예측되고 있다.

이러한 신규 정보통신 환경에서 프라이버시 위협에 대처하기 위해 기업의 조직적·관리적·기술적 프라이버시 보호대책의 수립과 운영이 요구된다. 또한, 스마트 시티, 핀테크 서비스 등 융복합 서비스를 위한 프라이버시 보호 대책의 작용과 이를 위한 효율적인 거버넌스 구축 및 효율성 강화도 필요하다.

데이터는 생성, 수집, 이용, 제공, 파기 등 생명주기를 갖는다. '프라이버시 내재화'(privacy by design)는 데이터 전 생명주기 동안 프라이버시 요구사항이 고려되어야 하는 원칙이다. 예를 들어 데이터가 수집될 때 사용자의 명시적 동의를 통한 최소 데이터가 수집되어야 하고, 당초 수집 목적에 적합하게 활용되어야 하며, 꼭 필요한 최소의 기관에게만 데이터가 제공되도록 해야 하며, 처리 목적을 달성한 데이터는 빠른 시간 내에 안전하게 파기되는 것이다.

'프라이버시 기본'(privacy by default)은 시스템이나 서비스의 초기 기본 모드 설정시 프라이버시가 먼저 고려되어야 한다는 원칙이다. 예를 들어 서비스에 필요한 최소 데이터만이 수집되도록 데이터 수집의 초기 모드를 설정하고, 불필요하게 제3자에게 데이터가 제공되지 않도록 초기 모드를 설정하는 것이다.

최근 국제표준화 기구에서도 국제표준을 개발할 때 적용해야 할 프라이버시 원칙이 속속 발표되고 있다. 대표적으로, 이용자 인증에 대한 표준화 기구인 FIDO 얼라이언스에서도 인증기술 국제표준 개발시 적용되어야 할 8대 프라이버시 원칙을 최근 발표했다. 이는 사용자 개인정보를 이용하는 동작에 대해서는 반드시 정보주체의 명확하고 인지된 동의를 받아야하며, 인증 동작을 위해 이용자에게 분명한 환경을 제공하며, 인증 목적을 위해 최소의 개인정보를 수집해야 하는 등을 포함하고 있다.

개인정보 보호 원칙을 충실히 구현하는 기술을 말하는 '프라이버시 향상 기술'(privacy enhancing technology)은 영지식 증명, 동형암호, 안전한 다자간 계산, 차분 프라이버시 등으로 구성되는 암호 메커니즘, 가명화 및 익명화 기술과 같은 데이터 중심 기술, 그리고 합성 데이터 생성, 분산 학습 방법 등 인공지능·기계학습 지원 기술 등으로 구분된다. 프라이버시 내재화 원칙을 고려한 신규 융복합 서비스를 제공하기 위해서는 다음을 고려해야 한다.

먼저, 신규 융복합 서비스나 제품에 '프라이버시 내재화' 원칙과 '프라이버시 기본' 원칙을 우선적으로 적용해야 한다. 이들 두 원칙은 서비스의 전 생명주기 동안에 적용되어야 한다. 서비스나 제품의 글로벌 상호 연동성을 보장하기 위해 우리나라 기업에 의한 국내 표준의 개발과 국제 표준화 활동 참여를 확대해야 한다.

둘째, 신규 융복합 제품이나 서비스는 '프라이버시 향상 기술'의 적용을 확대해야 한다. 제품이나 서비스 설계 단계에서부터 이들 향상 기술의 적용이 필요하다. 이제 '프라이버시 향상 기술'의 적용은 선택이 아니라 필수이다. '프라이버시 향상 기술'이 구현된 제품 및 서비스만이 글로벌 수준의 고객 신뢰를 얻을 수 있어 글로벌 경쟁력을 강화할 수 있다.

셋째, '프라이버시 향상 기술'의 개발이 필요하고, 기술 인력의 양성도 필요하다. 프라이버시 기술에 대한 지식에 더해 경영 및 법 준수에 해박한 지식을 갖춘 전문 인력 양성이 요구된다. 또한, 디지털 뉴딜 사업에서 요구되는 인공지능 등을 이용한 다양한 신규 융복합 서비스에 대한 프라이버시 가이드라인의 개발과 보급도 필요하다.

프라이버시는 제품이나 서비스의 경쟁력 강화의 핵심 열쇠다. 모든 참여주체가 최우선으로 인식해야 하는 프라이버시 리터러시의 조성도 필요하다.