[IT돋보기] '데이터3법'에도 활용 '미흡'…"늦은 CC인증·가명기준 모호" 호소


보안인증체계 개선 '시급'…'동형암호' 차세대 암호기술로 각광

[아이뉴스24 박진영 기자] 데이터3법 개정에도 불구하고 데이터 활용이 미흡하다는 업계 지적이 따랐다.

매번 바뀌는 등의 까다로움뿐만 아니라 시장 발전 속도에 맞지 않는 보안인증체계 개선이 시급하다는 주장이다. 또한 공공기관에 대한 가명처리의 모호함으로 인해 분명한 가이드라인 마련에도 집중해야 한다고 제언했다.

이 가운데 데이터 활용 발전을 위한 차세대 신기술로 '동형암호'에 대한 진흥책 마련도 필요하다는 분석이다.

윤종인 개인정보보호위원회 위원장과 이원태 한국인터넷진흥원 원장이 지난 14일 오후 서울 마포구 상암동에 있는 컴투테크놀로지를 방문하여 '개인정보 톡톡릴레이'를 진행했다. [사진=개인정보보호위원회 ]

개인정보위는 지난 14일, 서울 마포구 상암동 소재 컴트루테크놀로지에서 14번째 '개인정보 톡톡릴레이'를 열고, 개인정보 보호와 활용을 위한 대응 기술과 R&D 방향에 대한 자유토의를 진행했다.

이날 행사에는 윤종인 개인정보위 위원장, 이원태 한국인터넷진흥원장(KISA), 개인정보위 제 1회 스타트업 챌린지 수상기업인 컴트루테크놀로지, 데이타스, 센스톤 대표와 크립토랩 대표 등이 참석했다.

◆ 수상기업 3개사, 보안인증체계 개선 '시급'

수상기업 3사 대표들은 보안 관련 솔루션 인증이 까다로워 스타트업들이 사업을 추진하기에 애로사항이 많다는 데 입을 모았다.

AI기반 문서 자동 분류를 통해 개인정보 비식별화 기술을 개발한 박노현 컴트루테크놀로지 대표는 "보안 관련 솔루션 인증의 유효기간이 3년인데, 규정이 매번 바뀌다 보니 3년후 재인증을 받기 위해 까다로운 절차를 또다시 거쳐야 한다. 때문에 사업의 연속성을 갖기 어려운 경우가 있다"고 밝혔다.

일회용 사용자 인증코드(OTAC) 기반의 IoT 기반 스마트 인증기술을 보유한 김애숙 센스톤 부대표도 "회사는 영국에 자회사를 설립할 정도로 해외에서 개인정보 보호 기술력을 인정받았음에도, 공통평가기준(CC) 인증이 없어 국내 공공기관에 기술을 도입하지 못하는 상황"이라면서, CC인증 제도 개선의 필요성을 강조했다.

최근 기업들이 CC인증을 받기 위해 최대 1년까지 기다려야 하는 상황이 되자, 정부는 올초부터 CC인증 적체 문제를 해결하기 위한 개선작업을 추진 중이다.

이원태 KISA 원장은 "개인정보보호 활용 기술과 관련, 공공기관에 적용하기 위한 보안인증 허들이 높다는 업계의 어려움을 알고 있다"면서, "개인정보 보호 기술과 기존 보안인증 체계에서 상호 관계를 검토해, '정보주체의 권리 보장'이라는 관점에서 개선된 인증체계를 시급히 마련할 것"이라고 말했다.

이어 "보안인증 재심사 시 몇가지 사항을 면제해주는 내용을 포함한 보안인증체계 개선안을 준비하고 있으며, 내년도부터 시행할 계획"이라고 덧붙였다.

◆데이터3법 개정에도 데이터 활용 '미흡'

데이터3법 개정에도 데이터 활용이 미흡하다는 지적이 잇따랐다. 시장이 아직 규제중심의 관성을 가지고 있어 개인정보 활용에 대한 불안감이 높고, 공공에서 절차적인 통합 가이드라인 수행이 미흡하다는 지적이 나왔다.

동형암호, 양자내성암호 등 암호분야 강소기업 천정희 크립토랩 대표는 "데이터 3법 통과 이후에 데이터 활용이 활발해질 것으로 기대했으나 현실은 달랐다"라면서, "가명정보 결합 이후에도 개인정보 보호에 대한 시장의 불안감이 높아 아직 잘 활용하기 어려운 것"이라고 지적했다.

개인정보 가명·익명조치 통합관리 기술을 보유한 데이타스의 김현진 대표도 "사회보장기본법 등에 따라 관련 데이터를 다른기관으로부터 제공받을 때, 해당 기관이 가명처리를 해야한다. 민간이 공공기관에 데이터를 요구했을 때, 공공기관이 응해야할 제도적 가이드라인이 없어 데이터를 선뜻 내주지 않을 수도 있다"면서, "기업들이 공공기관부터 가명처리를 요구했을 때, 공공기관이 쉽게 제공할 수 있는 절차적 가이드라인이 필요하다"고 밝혔다.

이에 대해 윤종인 개인정보위 위원장은 "현재 각 부처에서 자체적으로 결합기관을 지정하도록 하고 있기 때문에, 그 기관에 관련 데이터 가명화 및 결합 제공을 요구하면 해당 기관은 이에 당연히 응할 것"이라면서, "더불어 개인정보위 차원에서도 개인정보 보호와 활용을 위한 인식개선과 홍보를 지속적으로 해나가겠다"고 말했다.

◆ '동형암호' 차세대 암호기술로 각광

천정희 대표는 "가명정보 결합기관들이 데이터를 결합하고 분석결과만을 내놓아야 하는데, 원문데이터를 결합한 내용을 내놓는 경우가 많다. 그렇게 되면 기술적으로 누군지 식별이 가능해질 수 있게 된다"면서, "데이터 활용 발전을 위한 차세대 신기술로 '동형암호'가 해답이 될 수 있다"고 강조했다.

동형암호는 데이터를 암호화한 상태로 분석·처리가 가능하도록 한 기술로, 데이터를 가공하는 과정에서도 보안을 유지해줄 수 있어 기존 기술보다 보안성이 높다는 평가를 받고 있다.

천 대표는 "동형암호는 암호화된 정보를 이전시키기 때문에 결합 과정에서 보안성이 높은 편이라 마이데이터 시대에 개인정보 유출 우려를 낮출 수 있을 것"이라면서, "아직 관련 가이드라인 수립이나 제도적 논의가 이뤄지지 않아 활용이 더딘 편이지만, 기술의 장점이 높은 만큼 동형암호에 특화된 결합전문기관을 지정하는 등 (정부가 나서서) 기술 활용성을 높일 필요가 있다"고 주장했다.

윤 위원장은 "국제적으로 동형암호 표준화 작업이 진행되고 있는 만큼, 국내에서도 관심을 기울여야 할 것"이라면서, "현재 개인정보위 R&D 과제에도 포함돼 있으며, 동형암호 특화 결합전문기관에 대해서도 적극적으로 검토해 보겠다"고 밝혔다.

이원태 KISA 원장도 "개인정보 보호와 활용 사이에서 상충될 수 있는데 이를 극복할 수 있는 메타적 기술이 필요한 시점이다. 그 중 하나로 동형암호가 해법이 될 수 있다고 생각한다"면서, "또 개인정보 기술과 활용 기술 개발에 예산 30억은 부족하다. 앞으로 활발한 논의를 통해 R&D 예산을 확대해 나가도록 하겠다"고 말했다.

한편, 개인정보위는 내년도 '개인정보 보호·활용 기술 R&D 중장기 로드맵'을 세우고, 내달 중 발표할 계획이다. R&D 주요 과제로는 ▲대화형 텍스트 데이터에서 맥락기반 개인정보 탐지 기술 개발 ▲트랜잭션 및 스트림 데이터의 개인정보 실시간 비식별 처리 기술 개발 ▲정보주체의 온라인 활동기록 통제 기술 개발 ▲비정형 영상정보에서의 AI기반 개인정보 검색 기술 개발 등이 있다.

/박진영 기자(sunlight@inews24.com)







포토뉴스