GDPR, 가명화 처리가 필요하답니다

영국 정보위원회(Information Commissioner’s Office, ICO)가 7월 8일 영국항공(British Airways)이 해킹으로 인하여 고객 50만 명의 개인정보를 유출시킨 건에 대하여 1억 8,300파운드(한화 약 2,700억 원)의 과징금을 부과했다. 또 하루 뒤인 9일에는 미국 메리어트 인터내셔널(Marriott International, Inc.)에 대하여 3억 3,900만 명의 고객정보 유출에 대한 책임을 물어 9,920만 파운드(한화 약 1,460억 원)의 과징금을 부과했다.

 

위 과징금은 일반정보보호법(General Data Protection Regulation, “GDPR”)에 따른 것으로 2018년 5월 유럽연합(EU)이 GDPR을 시행한 이후 역대 최대 규모의 과징금 사례로써, 영국항공과 메리어트 인터내셔널 각 사의 지난해 매출액의 약 1.5%에 해당한다고 한다. 말 그대로 ‘벌금폭탄’을 날렸다. 당연히 두 회사 모두 항소에 돌입한다.

 

GDPR은 고객 개인정보를 제대로 보호하지 못한 기업에 최대 2,000만 유로(약 248억 원)또는 전 세계 매출의 4% 중 높은 금액으로 벌금으로 부과할 수 있어, 유례없이 강력한 정보보호법으로 평가되고 있다. 영국항공과 메리어트 인터내셔널은 위의 과징금 외에도 데이터 복구, 보안시스템 보완, 고객 손해배상 등의 막대한 비용을 지불하게 된다. 예고되었던 GDPR 이행의 막대한 비용이 현실로 드러난 판결로써 GDPR의 적용을 받게 되는 전 세계 기업들은 마치 경고장을 받은 듯한 느낌이 들 것 같다.

 

GDPR은 정보주체 즉 개인의 권리를 확대하고 기업의 책임을 강화한 것이 골자다. GDPR은 EU 사업장이 있는 경우 기본적으로 적용되고, EU에 사업장을 가지고 있지 않더라도, EU 내에내에 있는 정보주체에게 재화나 서비스를 제공하는 경우 혹은 EU 내에 있는 정보주체에 대하여 EU 내에서의 행동을 모니터링하는 경우에는 적용된다.  

 

GDPR은 강력한 개인정보보호 규제이긴 하지만, 규정이 준수되는 범위 안에서 개인정보의 활용을 보장하는 법이기도 하다. 까다롭긴 해도 요구되는 조치사항을 취했을 경우 개인정보 주체의 동의를 받은 범위 내에서 개인정보 활용이 가능한 것이다. 개인정보 관리자에게 요구되는 조치 중 가장 논의가 활발한 분야가 바로 개인정보 비식별화다.  

 

개인정보 비식별 처리는 크게 가명화와 익명화로 구분할 수 있는데, 익명화(Anonymization)는 개인정보에 익명 처리 기술을 통해 개인을 식별할 수 없는 정보로 처리하는 방식을 뜻한다. GDPR에서는 익명화 기술 중 Add Noise(애드노이즈)와 Delete(딜리트) 기법을 강조하고 있다. 애드노이즈는 문자 등을 넣어 개인정보를 식별할 수 없게 만드는 기법이고, 딜리트는 개인정보를 삭제해 식별하지 못하도록 하는 기법인데 딜리트 기법의 대표적인 기술이 Data Masking(데이터 마스킹)이다. 데이터 마스킹은 데이터에서 특정 정보를 없애는 방식이다. 예를 들어 서류에서 주민등록번호를 별표(*)로 표시하는 등 데이터를 가공하는 것이다.

 

GDPR에서 가장 강조되는 개념 중 하나가 가명화(Pseudonymisation)이다. GDPR에서 요구하는 가명 처리는 소스 데이터의 포맷을 유지하면서도 데이터를 인식이 불가능한 형태로 만드는 것이다. 즉, 가명화된 정보는 추가적 정보를 활용하면 개인을 식별할 수 있는 정보이기 때문에 법에 의해 보호받게 되지만 다른 한편으로는 가명 처리라는 안전조치가 적용된 것으로서 프라이버시 침해 위험을 감소시켜 일정한 범위에서 활용하는 것이 허용된다는 논리다. 다시 말해서, 이 가명화의 개념은 개인정보 규범의 적용대상이 되는 개인정보와 적용대상이 되지 않는 익명정보 간의 절충적인 개념으로써 GDPR이 빅데이터 활용 등 개인정보 활용에 중요한 대안을 제공한 것으로 해석된다.

 

가명화의 기법에는 무엇이 있을까? 공부하다가 멈췄다. 내가 섣불리 아는 척 할 수 있는 분야가 아니라는 판단이 섰기 때문이다.

 

출처: https://teskalabs.com/blog/personal-data-deindetification-2-data-encryption-gdpr

 

GDPR 법령을 읽다가 Anonymization과 Pseudonymisation 두 분을 처음 만나고 멘붕에 빠졌던 기억이 난다. 이래저래 IT 전문가와 필수적으로 친해져야 하는 세상이다.