신용정보법 개정안이 국회 정무위원회 법안심사를 통과하면서 갈등이 봉합됐지만 논란은 계속될 전망이다. 그동안 국회 내에서 공방이 계속됐고, 금융·산업계와 시민단체들은 여전히 한치의 양보없이 팽팽히 맞서고 있다.

쟁점이 되고 있는 신용정보법 개정안은 추가 정보없이는 특정 개인을 알아볼 수 없도록 소위 '가명조치'를 한 개인신용정보를 개인의 동의 없이 제3자에게 제공할 수 있도록 하는 내용이 주요 골자다.

28일 김병욱 더불어민주당 의원은 기자회견을 열고 "신용정보법은 금융이력이 없는 금융 소외계층과 대다수 금융서비스 이용자인 국민에게 혜택을 주고, 양질의 일자리 창출과 관련 산업 발전을 함께 가져오는 '국민과 국가, 기업' 모두 윈-윈이 되는 정책"이라고 밝혔다.

신용정보법 개정은 빅데이터 활용과 관련이 깊다. 법개정을 추진하는 정부와 여당은 4차 산업혁명의 중요한 토대인 데이터 산업 발전을 위해 가명정보의 활용이 중요하다는 입장이다.

또한 빅데이터를 활용함으로써 개인의 신용평가를 보다 정확히 할 수 있고 맞춤형 금융상품 제공과 산업발전에 따른 양질의 일자리 창출 등 긍정적인 효과를 강조하고 있다.

하지만 법개정을 반대하는 시민단체 등은 개인정보 주체인 국민의 동의없이 기업들이 정보를 공유·판매하는 등 상업적으로 이용할 수 있고, 의료관련 정보까지 기업의 손에 넘어갈 수 있는 등 개인정보 유출에 대한 우려가 크다.

정부와 여당이 개인의 식별이 어려운 가명정보를 활용하겠다고 밝혔지만, 식별 가능성이 높다는 게 과학적으로 입증됐다며 반론을 펴고 있다.

◆신용정보법 개정안 주요 내용은 = 신용정보법 개정안은 가명정보 개념을 법에 명시하고 통계작성(시장조사 등 상업적 목적의 통계작성을 포함)과 연구(산업적 연구 포함), 공익적 기록보존 등을 위해 가명정보를 신용정보주체의 동의 없이 이용하거나 제공할 수 있도록 하고 있다.

기업들이 빅데이터를 분석하고 이용할 수 있는 법적 근거를 마련하는 게 주요 내용이다. 특정 개인을 알아볼 수 없도록 한 익명조치에 대해서는 금융위원회가 지정하는 데이터전문기관의 적정성 평가를 거치게 하고, 이 과정을 거치면 가명정보로 추정하는 것이다.

영리 또는 부정한 목적으로 특정 개인을 알아볼 수 있게 가명정보를 처리하면 금융위가 전체 매출액의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있고, 5년 이하의 징역 또는 5000만원 이하의 벌금을 받게 된다.

또한 개정안에는 공공기관으로부터 신용정보원으로 수집하는 대상에 국세기본법 고용보험법 산업재해보상보험법 등이 포함돼 있다. 개인의 소득세와 재산세, 4대보험 정도 등도 개인의 동의없이 제공될 수 있도록 한 것이다.

하지만 지상욱 바른미래당 의원이 문제제기를 하면서 이 부분은 포함시키지 않는 것으로 국회에서 합의를 했다.

고의 또는 중대한 과실로 개인신용정보가 누설되거나 분실 도난 누출 변조 또는 훼손돼 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대해 손해액의 3배를 넘지 않는 범위에서 배상책임을 명시하고 있다. 이 부분은 법안 수정 과정에서 손해액의 5배로 확대됐다.

◆"빅데이터 활용 전 세계 추세, 우리나라만 뒤쳐져" = 신용정보법 개정의 필요성을 역설하는 정부와 여당은 데이터 활용 관련 규제를 완화하려는 국제적인 추세에 우리나라가 뒤처지게 된다는 점을 강조하고 있다.

스위스 국제경영개발원(IMD)가 '빅데이터 사용 및 분석'과 관련해 발표한 국가 순위를 보면 우리나라는 전체 63개국 중 31위에 그쳤다. 중국(12위)과 인도네시아(29위)에도 뒤처지는 순위다.

미국은 2009년부터 오픈데이터 정책을 추진하면서 빅데이터 기술개발과 인력확충, 협력생태계를 구축하고 있다. 개인정보 동의에 있어 옵트아웃(Opt-out, 거부의사를 밝혀야 개인정보 활용을 하지 않는 방식) 정책을 적용하고 있어 개인정보 수집이 비교적 용이하다. 개인정보와 관련된 일반법이 없고 의료, 교육 등 개별적인 법률에 규정하고 있다.

EU(유럽연합)는 지난해 5월부터 개인정보보호법(GDPR)을 시행하고 있다. 가명처리 정보 개념을 도입해 특수한 목적(공익을 위한 기록보존, 과학적 연구, 통계작성 등)을 위한 경우에는 최초 수집 목적과 양립이 가능한 것으로 판단해 수집 목적 이외 이용이 가능하도록 규정하고 있다.

일본은 정보은행 개념을 도입했다. 정보은행이 개인 데이터 활용 계약 등에 따라 개인 데이터를 관리하고 개인이 정한 조건에 따라 개인 대신 타당성을 판단해 데이터를 제3자에게 제공하는 일종의 정보신탁 방식이다. 개인정보 제공 여부에 대한 판단을 정보은행이 전적으로 위임받아 개인정보를 운용한다.

김병욱 의원은 "가명정보는 산업적, 상업적 목적으로 활용되더라도 단순 1:1마케팅 등에 정보가 활용되는 것은 아니고 혁신적 상품 및 서비스 개발, 전략 수립 등을 위한 통계 작성 및 연구에 활용되는 것"이라며 "대한민국은 IT 강국으로 비식별조치하는 암호화기술은 세계 최고 수준임에도 불구하고 데이터 강국을 위한 세계적 흐름에는 한참이나 뒤쳐져 있다"고 말했다.

◆네이처지 논문 "재식별 99% 가능" = 신용정보법 개정에 반대하는 시민단체 등은 개인을 특정하기 어렵다는 가명정보가 얼마든지 재식별화 될 수 있다는 우려를 하고 있다.

올해 7월 과학전문 잡지인 '네이처 커뮤니케이션'에는 비식별화된 데이터에서 특정 개인을 정확히 찾아낼 수 있다는 논문이 게재됐다. 몽조이 교수 등 연구진은 미국과 터키 등에서 공개된 데이터로 실험을 했다. 기계학습 알고리즘을 이용해 가명정보에서 특정 개인을 찾아내는 '재식별화 모델'을 만들었다. 실험결과 이 모델은 15개의 인구통계적 속성(나이 성별 결혼여부 우편번호 등)만 알아도 익명화된 데이터를 99.98%의 정확도로 개인을 구분해 낼수 있었다.

몽조이 교수의 연구가 주목받는 이유는 표본으로부터 정확히 개인을 특정했다는 것이다.

비슷한 연구에서는 회사가 100만명의 고객의 데이터 중 1만명의 표본만 뽑아서 비식별화를 하고 데이터를 팔았다면 재식별화가 어렵다고 봤다. 100명 가운데 1명꼴로 뽑은 표본이기 때문이다. 하지만 몽조이 교수 연구에서는 특정화가 가능했다.

몽조이 교수는 뉴욕타임스와의 인터뷰에서 "비식별화라는 패러다임 자체를 전환할 필요가 있다"며 "익명성이란 데이터 세트의 속성이 아니라 그것을 쓰는 사람이 어떻게 쓰느냐에 달려 있다"고 말했다.

여러 정보를 결합하면 개인이 특정될 수 있는 만큼 관리감독의 문제가 중요하다는 말이다.

관리감독과 책임 문제는 신용정보법 개정을 반대하는 또 다른 주요 이유 중 하나다.

신용정보법 개정안은 정보주체인 개인에 대한 권리조항이 미흡하고 가명정보에 대한 개념도 모호하다는 지적을 받고 있다.

신용정보업 관련 회사 대표 A씨는 "익명조치와 가명조치의 개념 차이가 명확하지 않아서 데이터 결합기관과 해당 기업 정보처리자의 자의적 판단에 맡길 수밖에 없다"며 "익명조치가 제대로 이뤄지지 않아 개인정보 침해가 발생한 경우 그 책임소재가 불분명하다"고 말했다.

익명조치를 제대로 하지 않은 개인 정보관리자의 책임인지, 아니면 적정성 평가를 잘못 수행한 금융위 또는 데이터전문기관에게 책임이 있는지가 모호하다는 말이다.

개인정보를 침해를 당한 피해자의 권리구제 방안도 부족하다.

정보유출에 대한 과징금 부과를 강화하고 손해배상 범위를 확대하기로 했지만 피해구제는 소송을 통해서만 가능하다.

이 때문에 신용정보법 개정안은 정보의 활용에 초점을 맞추고 있을 뿐 피해를 구제하기에 현실적인 한계가 있다는 비판에서 자유로울 수 없다.

A씨는 "우리나라의 경우 주민등록번호로 전 국민의 식별이 용이하고 성명·휴대번호 등 개인정보 데이터베이스가 대량 유출돼 음성적으로 거래되고 있어 가명정보 재식별 위험성이 크다"며 "국민적 동의가 없는 가명정보의 유통을 금지하고 필요하다면 공익적 목적에 한정해서 활용해야 한다"고 말했다.