고객정보 활용해 만드는 SKT-신한카드 '데이터 댐', 100% 안전할 수 없는 이유
상태바
고객정보 활용해 만드는 SKT-신한카드 '데이터 댐', 100% 안전할 수 없는 이유
  • 장경윤 기자
  • 승인 2021.02.04 17:21
  • 댓글 0
이 기사를 공유합니다

- SKT와 신한카드, 유통 및 부동산 분야 기업들과 함께 민간 최초로 '데이터 댐' 구축하겠다 밝혀
- 각 사가 보유한 개인정보 가명정보로 처리해 취합하고, 이를 서비스 및 상품 연구에 사용할 예정
- 가명정보 100% 안전하지 않아…SK텔레콤, 내부적으로는 관리하나 외부 기업은 악용할 가능성 있어
- 전문가들 "여러 기업들이 관여하는 만큼 더 꼼꼼한 감시망과 보완책 필요"
민간 데이터댐 개념도.

SK텔레콤과 여러 기업들이 각 사의 고객정보를 가명처리해 마케팅 및 서비스 개발 등에 활용할 예정이다. 기업들은 특정인을 식별할 수 있는 정보를 제외해 보안상 문제가 없다는 입장이나, 전문가들은 가명정보 활용에도 여러 맹점이 있다고 지적하고 있다.

SK텔레콤은 4일 각 사업 분야에서 최고 수준의 데이터를 가진 기업들과 함께 민간 최초의 '데이터 댐'을 구축한다고 밝혔다. 참여 기업은 신한카드, 코리아크레딧뷰로(KCB), GS리테일, 부동산 114 등으로 알려졌다.

데이터 댐은 여러 곳에서 생산되는 데이터를 한 데 취합해 목적에 따라 가공 및 활용하는 것을 말한다.

이번 데이터 댐 사업은 각 사들이 보유한 가명정보(개인의 이름, 이메일 등 식별 가능한 정보를 삭제해 식별 불가능하게 만든 정보)를 모아 다양한 분야의 서비스 및 상품 개발 연구에 사용할 예정이다.

예를 들어, SKT 지오비전의 유동인구 데이터와 신한카드의 소비 정보 등을 가명 정보화해 비식별 결합하면 원하는 분야에서 이전보다 훨씬 안전하고 고도화된 데이터 상품을 만들어낼 수 있다.

또한 소비·유통 정보를 결합하고 자동차 브랜드별 소유주의 소비패턴을 분석해 어떤 차종의 소유주가 백화점에서 소비성향이 높은가에 대한 분석결과도 얻을 수 있다. 업체들은 해당 데이터를 활용한 효과적인 타겟 마케팅이 가능하다.

SKT 측은 "향후 골목 상권 상인들에게 인근 거주자·방문자의 업종 별 소비 특성, 취향 등에 대한 정보를 제공함으로써 마케팅 시기 및 방법론에 대한 가이드를 제시할 수 있다"며 "소상공인과 스타트업의 데이터 기반 사업 활성화에도 도움이 될 것으로 기대한다"고 설명했다.

다만 일각에서는 가명정보를 활용한 데이터 댐도 보안상 100% 안전한 기술은 아니며, 이에 여러 보안책이 사전에 마련되어야 한다는 비판이 제기된다.

가명정보도 특정인 식별할 수 있는 위험 있어

가명정보는 개인정보의 수많은 요소 중에서 특정인을 식별 가능케하는 정보를 제외하는 방식으로 만들어진다. 그러나 개인정보 속 비식별정보들은 의무 제외 대상이 아니다.

개별 가명정보가 여러 기관을 통해 취합될 경우 비식별정보를 통해 특정인을 유추해낼 수 있는 가능성이 높아지게 된다.

특정 자동차를 소유하고 있다는 정보는 비식별정보로 분류되나, 여기에 지역 정보가 더해져 서울에 특정 자동차를 소유한 사람이 1명 뿐이라는 결과가 나온다면 특정인을 유추할 수 있는 것이다. 해킹 등에 의해 재식별(가명정보를 다시 식별정보로 전환하는 행위)이 이뤄질 가능성도 배제할 수 없다.

이번 데이터 댐 역시 각 기업이 가지고 있는 기명정보의 기준이 완전히 동일하지는 않다. 이름, 전화번호 등 명확한 식별정보는 제외되나, 위치 정보 등은 특정 기업에 따라 보유 중인 것으로 파악됐다.

권헌영 고려대학교 정보보호대학원 교수는 "식별정보만 삭제하면 가명 정보가 되기 때문에 식별할 수 없는 데이터라도 많이 모이게 되면 어떤 모양으로든 변화할 수 있고 변수가 생긴다"며 "기업들 역시 이러한 위험을 잘 알고 있고, 이를 비즈니스에 활용하는 만큼 그에 따른 책임을 져야 한다"고 설명했다.

물론 가명 정보가 악용될 가능성은 현실적으로 그리 높지 않다는 게 전문가들의 입장이다.

권 교수는 "재식별은 불법행위로 개인정보보호법상 무거운 처벌을 받게 된다"며 "보증 능력이 있는 기업들이 시행하기 때문에 이들을 믿고 허용한 기술"이라고 말했다.

SK텔레콤 역시 가명정보가 악용될 가능성은 없다고 주장했다. 설명에 따르면 SK텔레콤은 식별정보와 가명정보가 따로 저장되며, 누구도 두 데이터에 동시에 접속할 권한을 가질 수 없다.

SK텔레콤 관계자는 "가명정보는 기업들이 함께 관리하는 것아 아니라 정보취합기관에 보내져 불필요한 정보는 삭제된 뒤 각 기업에게 돌아오는 방식으로 부정한 개입이 있을 수 없다"며 "이를 검토할 자문기관도 두고 있어 SK텔레콤 내부에서 가명정보가 악용될 확률은 전혀 없다"고 단언했다.

SK텔레콤은 확신…그러나 다른 기업은?

중요한 문제는 SK텔레콤이 외부 기업에게는 이러한 보안 시스템을 적용할 수 없다는 데 있다.

만약 데이터 댐에 특정 정보를 요청한 고객사가 이를 악용하는 사례가 발생한다 해도, SK텔레콤은 이를 확인할 길이 없으며 해당 문제에 대한 책임을 져야 한다는 의무도 없다.

SK텔레콤 관계자는 "일차적인 책임은 가명정보를 악용해 범죄를 저지른 기업의 책임"이라며 "데이터 댐의 관계사들이 도의적인 책임을 질 수는 있으나, 아직 논의 단계에 있다"고 밝혔다. 명확한 책임 규정은 아직 정립되지 않은 셈이다.

권 교수는 "그간 개인정보 관련 사고가 많이 발생했는데 해커나 소규모의 악용 기업은 배상 능력이 없다"며 "결국 이러한 위험 요소를 초래한, 즉 댐을 만든 사람들이 이러한 문제에 책임을 지겠다는 보험체계를 마련해야 소비자들의 신뢰를 얻을 수 있을 것"이라고 강조했다.

특정 기업에게만 동의한 개인정보, 다른 기업이 '무단사용' 해서는 안 돼

진보네트워크센터의 오병일 대표는 "개인정보를 허락도 없이 특정 기업이 공유하는 것 자체가 문제의 소지가 있다"고 지적했다. 예를 들어 통신사에게만 제공 동의한 개인정보가 데이터 댐을 통해 다른 기업의 마케팅 연구에 활용된다면, 이는 아무리 가명처리가 됐다 하더라도 정보 보호원칙을 무너뜨리는 행위가 될 수 있다.

오 대표는 "정보 주체의 동의도 없이 정보를 가명처리 및 활용한다면 잡음이 끊이지 않을 것"이라고 전했다.

이어 "가명정보도 개인정보이기 때문에 뚜렷한 목적을 가지고 활용해야 하는 것은 물론 목적을 달성하면 폐기하는 게 원칙"이라며 "그런데 데이터 댐은 기업들이 가명정보를 기한없이 계속 보유하고 여러 목적에 활용하겠다는 것"이라고 덧붙였다.

이에 SK텔레콤 측은 "데이터 댐은 필요할 때마다 정보취합기관에 가명정보를 보내고, 목적을 달성하면 이를 쌓아놓지 않고 폐기하기 때문에 문제가 없다"고 맞섰다.

다만 고객의 개인 정보가 다른 기업에게도 동의 없이 활용될 수 있다는 문제점에는 "고객 정보를 SK텔레콤 내부에서 활용하는 데는 동의를 받았지만 그 이외의 사항은 확인이 필요하다"고 밝혔다. 

꼼꼼한 감시망이 필요하다

SK텔레콤은 내부적으로 확실한 관리 체계를 마련해 개인정보 관련 문제가 발생하지 않게 만전을 기한다는 입장이다.

그러나 데이터 댐 사업에 SK텔레콤과 신한카드 외에도 여러 기업이 관여하고, 고객사의 요청에 따라 가명정보가 여러 곳에 활용될 수 있는 만큼 조금 더 꼼꼼한 감시망이 필요하다는 지적이 나온다.

권 교수는 "정보를 악용하는 주체만 탓하고 데이터 댐 관련 기업들이 나몰라라 하는 상황이 나오면 안 된다"며 "정부와 학계, 시민단체 등이 데이터 댐 사업이 제대로 작용하는지 계속 지켜보고 살펴볼 필요가 있다"고 정리했다.

장경윤 기자  lycaon@greened.kr

▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.