이 기사는 바이라인네트워크가 운영하는 팟캐스트  IT TMI의 12월 9일 방송 내용입니다.

남혜현: 안녕하세요. IT Too Much Information, IT TMI에 오신 걸 환영합니다. 저는 진행을 맡은 바이라인네트워크 남혜현이고요,

심스키: 펭하! 여러분, 안녕하세요. 심스키입니다, 반갑습니다.

남혜현: 여러분은 모르시겠지만 이 펭하를 녹음 전부터 연습을 했어요(웃음). 혹시 펭하 모르시는 분들이 있을 수 있으니까, 요즘 EBS의 가장 인기 캐릭터죠. 펭수의 인사법입니다. (심스키를 보며) 펭하 뭔지 알고 하시는 거죠?

심스키: 펭수 하이~!

남혜현: 펭수는 펭수고, 오늘은 우리의 할 이야기를 해야겠죠. 그래서 오늘은 IT 업계 가장 뜨거운 화두인데요, 데이터 3법에 대해서 이야기를 좀 나눠 보려고 해요. 심스키님, 데이터 3법이 뭔지 아시나요?





심스키: 어… 대충은 알죠. 개인정보 보호법에, 정보통신망법이 있고, 신용정보법. 오, 나 다 알아! 예~

남혜현: 요 세 개가 아직 국회의 문턱을 못 넘고 있는데, 사실 어제 그 세 개 중에 마지막 하나인 정보통신망법이 상임위를 통과했어요. 그래서 관련된 이야기를 조금 나눠보려고 하는데, 저도 이분들을 이렇게 빨리 다시 소환하게 될 줄은 몰랐는데요(웃음), 얼마 전에 망분리 때 나오셨었죠? 스타트업얼라이언스의 송명진 전문위원님, 그리고 원동은 매니저님 나오셨습니다. 반갑습니다!

심스키: 어서오세요~

송명진, 원동은: 안녕하세요?

남혜현: 국회 본회의가 얼마 남지 않아서, 이 문제가 아주 시급하거든요.

심스키: 요즘 20대 국회 마지막 회기잖아요, 정기국회. 이때 통과가 안 되면 내년부터는 선거가 된단 말이야, 선거 기간에는 국회가 안 열리니까. 요 타임 놓치면 21대 국회로 넘어가야 해서, 처음 법상정부터 다시 해야 돼. 그래서, 지금 뭐든 해야 할 일은 지금 해야 됩니다.

남혜현: 그래서 급할 때 빨리 이분들께 이야기를 좀 부탁을 해야 할 것 같은데요, 송 위원님께서 아까부터 공부를 열심히 하셔서 하실 말씀이 많을 것 같아서, 데이터 3법이 뭔지 원 매니저님께 먼저 설명을 부탁드려도 될까요?

원동은: 데이터 3법은 심스키님이 말씀하신 것처럼 개인정보보호법, 정보통신망법, 신용정보보호법 이 세 가지를 데이터 3법이라고 하고 있고요. 업계에서 개정 요구를 하는 거는 크게 두 가지 이유 때문이에요. 첫 번째는 데이터 경제 활성화 때문이고요, 두 번째는 개인정보 관련 규제 효율화의 측면인데요. 첫 번째 데이터 경제 활성화 측면부터 보면, 이번 정권에서 데이터 경제 되게 얘기 많이 했었잖아요? 과기부 쪽에서도 사실 이번 정권 때 화두로 던졌던 게 DNA라 해가지고, 혹시 들어보셨는지 모르겠는데,

심스키: 데이터, 네트워크, 하나는 뭘까요?

송명진: AI

원동은: 네, 이 세 개예요. 그래서 네트워크 같은 경우에는 5G로 됐다고 치고, 데이터와 AI가 남았는데 사실 AI는 여러 가지 관련 정책이 쏟아지고 있지만, 가공을 하고 뭔가 하려면 데이터가 있어야 하는 거잖아요?

심스키: 그렇죠, 데이터가 중요하죠.

원동은: 근데 당장 데이터부터 모을 방법이 없는 거예요. 그래서 지금 개정을 해달라. 그리고 지금 아까 개인정보 규제 효율화라고 넓게 말씀드렸는데요, 이게 유럽의 GDPR이라는 제도가 있어서 여기에 대응을 하려고 그러는 거예요. GDPR 같은 경우에는 유럽은 정말 개인정보보호 규제라고 할 수 있는데, 규제 수준이 올라왔다고 증명이 된 다른 국가들하고는 좀 자유롭게 데이터가 왔다 갔다 할 수 있는데, 만약에 우리 급이 아니다, 뭔가 수상쩍고 데이터 다루는 게 안 좋은 것 같다 싶으면 유럽에서 데이터 서로 주고받기를 하지 않는다는 말이에요.

심스키: 유럽 수준으로 맞춰야 우리가 데이터를 주고받을 수 있다,

원동은: 맞아요. 그걸 해야 하는데, 우리나라 같은 경우에는 정보보호 수준이 높은 편이라서 다른 건 다 맞아요. 그런데 그중에 안 되는 요건이 두어가지 있는데 대표적인 것이 개인정보보호를 담당하는 부처가 없다. 개인정보보호 같은 경우에 세 가지 부처에 나누어져 있거든요. 외국에서 개인정보침해가 발생한 것 같은데, 그러면 대체 어디에 컴플레인을 해야 할지 모르는 거예요. 그래서 (부처를) 일원화를 시키자. 그런 게 있고, 컴프레인을 하는 것도 보면, 예를 들면 유럽에 있는 개인정보가 우리나라에 넘어왔는데 이게 다시 중국이나 러시아로 넘어갈 수 있잖아요?  3국 유출이라고 하는데 그런 것들을 어떻게 대응할지 세세하게 명시가 되어 있어야 GDPR을 통과할 수 있는데 우리나라는 그런 게 안 돼 있다는 거죠. 그런 거에 대응하기 위해서 법을 바꾸자, 그렇게 크게 두 가지 이유가 있었어요.

심스키: 그러면 데이터 3법이 이렇게 있다는 건 알겠는데, 그 세세한 내용을 좀 설명을 해주세요.

원동은: 개인정보보호법 같은 경우에는 일단 데이터를 활용을 해야 하는 데 지금까지는 개인정보 활용을 못하게 되어 있잖아요. 식별이 다 되다 보니까 못 하게 되어 있는 거잖아요? 식별을 못 하게 가명정보 라는 걸 만들자가 골자고요. 개인식별불가능한 가명 정보를 제품이나 서비스를 만들 때 활용을 할 수 있도록 허용을 하자. 그 내용이 하나가 있고.

심스키: 그게 핵심인가요? 가명 정보를 활용한다,

원동은: 네, 가명정보를 활용을 한다는 거 하나. 두 번째 내용이 관리감독하는 권한을 개인정보보호위원회로 일원화하자, 이 두 가지고요. 정보통신망법 같은 경우에는 이쪽에도 개인정보 보호하는 법률이 있단 말이에요, 이거를 개인정보보호법으로 일원화시키자는 내용이고요. 세 번째 신용정보법 같은 경우에는 첫 번째 개인정보보호법이랑 비슷한 건데, 가명정보를 금융분야 빅데이터에 쓸 수 있도록 하자,

심스키: 지금까지는 가명정보를 금융정보에 못 썼군요?

원동은: 네, 그런 거죠.

심스키: 아, 지금까지는 가명정보라는 게 없었으니까

원동은: 쓸 수가 없었죠

송명진: 동의를 받아서,

심스키: 지금까지는 동의를 받아서만 쓸 수 있었는데

남혜현: 이제는 임의로 가명으로 전환을 해서 쓸 수 있게 한다는 거죠.

심스키: 가명 정보라는 걸 만들어서 동의 없이 쓸 수 있게 하자, 이게 핵심인 거군요.

남혜현: 사전 동의 없이 사후에 문제가 생겼을 때 책임을 지는 형태로만 가는 건 거죠?

송명진: 네, 맞습니다. 동은님께서 말씀을 잘 해주셨는데 두 가지 사안으로 크게 나누어 봐야 하는 게, 지금 가장 크게 문제가 되고 있는 거는 가명 정보를 어떻게 잘 활용할 수 있는지, 거기에 대해서 보호 조치가 잘 되어 있지 않다고 시민단체들이 많이 이야기를 하고 있잖아요? 그 부분만 중요한 게 아니라 사안을 두 가지로 쪼개서 볼 필요가 있는 거죠. 이 가명정보의 활용과 보호라는 측면에서 싸우고 있는 부분과 또 하나는 아까 말씀하신 GDPR 관련 때문에, 그 개인정보를 통합하여 총괄하는 그 관리 감독 기구를 만들어서 만약에 문제가 생겼을 시, 예를 들면 어떤 작은 정보가 하나 뭔가 누출이 됐을 때 이걸 누구한테 따지면,

남혜현: 그렇죠, 책임 소재.

송명진: 바로바로 이게 해결이 될 수 있는지, 관리감독기관을 신설하는 거. 이 두 가지가 가장 큰 거라고 보시면 되고요. 사실은 두 번째의 이유 때문에 시민단체들도 그런 측면에서는 국익이랑 어쨌든 연결이 되는 것도 있기 때문에 GDPR 통과할 수 있는 그런 건 사실, 우리나라 입장에서는 필요한 거고 좋은 거잖아요. 그러다 보니까 이 부분은 상대적으로 잘 동의가 되는데 개인정보를 가명정보화 시켜서 그걸 다시 활용하는 부분에서는 아직 덜 보호가 되고 있는 거 아닌가, 이걸 다시 한번 재조합 해가지고 썼을 때 개인정보가 누출되면 큰일 나는 거 아닌가 하는 것을 제시하고 있는 형편입니다.

심스키: 그럼 원초적인 질문을 하나 해볼게요. 가명정보라는 게 어떤 거예요? 가령 심재석을 심스키라고 하면 가명 정보인가요? 가명정보는 내 개인정보에 무슨 처리를 하는 게 가명정보가 되는 건가요?

남혜현: 예를 들어서 본인이 ‘심스키’ 이렇게 정할 수 있는 건 아니잖아요?

송명진: 네, 맞아요. 암호화를 통해가지고 예를 들면, 송명진 같은 경우에 ‘S1’으로 만든다든지 이런 식으로.

남혜현: 규칙에 의해 글자가 쪼개지는 거예요?

송명진: 규칙이 있을 수 있고요, 아니면 암호화를 통해서. 그렇게 당연히 규칙에 의해서 바뀔 텐데 그 부분이 사실은 가장 첨예한 갈등인 건데, 시민단체들은 “그 규칙을 알고 있는 사람은 다시 재조합 할 수 있는 것 아니냐”,

남혜현: 그렇죠,

송명진: 식별할 수 있는 것 아닌가라고 이야기를 하고 있고, 지금 그걸 상대적으로 대응하고 있는 측면에서는 “그 부분을 어떤 인증을 받은 감독기관이 잘 처리하면 문제가 없을 거고, 문제에 대해서 상당한 과징금을 때리면 문제들이 해결이 될 거다”라고 이야기를 하고 있는 거죠.

심스키: 그러니까 개개인의 이름, 전화번호, 이메일 주소 이렇게 되어 있는 정보를 이름은 저는 심스키니까, ‘S 어쩌고’로 바꾸고 전화번호는 010 XXXX로 바꾸고, 나이는 사십몇, 이렇게 바뀐다는 거죠? 다른 데이터는 놔두고 개인을 식별하는 정보만 바꾼다는 거죠? 다른 걸로?

송명진: 그런데 가명정보랑 익명정보를 또 나누어 가지고 말씀하시는 분들도 계세요. 가명정보는 말하자면 식별자를 대체키로 만드는. 예를 들면 심스키님은 S1으로 바꾸는. 익명정보는 식별자는 아예 삭제하고 다른 속성자를 익명성을 넣어가지고.

심스키: 이름 필드를 아예 빼고, 전화번호 필드는 빼버리고, 40세 남성 여기까지만 보는 게 익명정보군요.

남혜현: 그러니까 익명정보는 연구하는 분들한테는 유용하겠지만 상업적 마케팅을 하려는 분들한테는 가명정보가 필요할 테니까,

송명진: 맞아요.

심스키: 이 사람이 누군지는 모르지만 야구를 좋아하는 사람이니까 야구와 관련한 프로모션을 해보자, 이럴 수 있다는 거죠?

송명진: 네, 그러다 보니까 가명정보의 범위라든지 활용영역에 대해서 좀 더 세세하게 분류를 세워서 거기에 따라서 처벌도 달라져야 한다는 이야기를 많이 하고 있는데요, 예를 들어서 우리가 이름 같은 경우는 상당히 중요한 정보잖아요? 그런데 이메일 주소 같은 경우는 사람들이 뭐 그냥 노출돼도 크게 상관이 없다고 생각하는, 약간

남혜현: 허들이 낮다.

송명진: 네, 낮은 중요도를 가진 정보라고 치면, 예를 들어 DNA 같은 경우에는 너무나 중요한 거잖아요. 거기에 따라서도 처벌 수위가 달라져야 하고, 결정해야 할 것들이 많이 남아 있기는 합니다.

남혜현: DNA 정보 같은 경우에는 가명이어도 꺼림칙한 게 좀 있는 것 같아요, 일반적인 생각에서는 그렇게 느낄 수도 있는 것 같은데요. 지금 그러면 어느 정도 범위까지 개인의 정보(활용을) 논의가 되고 있는 거예요?

원동은: 일단 데이터 3법 같은 경우에는 법 세 가지를 일단 먼저 좀 볼 필요가 있는데 개인정보보호법 같은 경우에는 일반법이에요. 그래서 그냥 모든 사람들한테 대체로 적용이 되는 법이라고 보시면 되고요. 망법 같은 경우에는 인터넷 업체에 한정해가지고 적용이 되는 법이고, 신용정보법 같은 경우에는 금융기관에 적용이 되는 법이다 보니까, 이번 데이터 3법 같은 경우에는 사실 금융 쪽을 다루는 인터넷 업체, 핀테크 쪽에 특화된 법이라고 할 수 있고요. 아까 말씀하신 DNA 같은 쪽이나 의료법이라든지 교육 관련된 데이터 같은 것이 있을 수 있잖아요? 교육법 같은 데 따로 명시가 되어 있다 보니까,

남혜현: 네이스(NEIS),

원동은: 네, 맞아요.

심스키: 아, 이번에는 DNA는 상관없는 거군요.

원동은: 이번에는 그렇긴 한데, 이게 통과가 되면 물꼬가 터지는 상황이 있을 수 있으니까 시민단체에서 약간 우려를 하시지 않나.

심스키: 지금 우리나라는  개인정보를 동의를 해주면 사용할 수 있잖아요. 데이터 3법의 핵심 목표는 동의 없이 사용할 수 있도록 하자는 거잖아요? 그러기 위해서 누군지 모르게 만들어 가명화 시키는 일을 하자는 거잖아요. 내 동의 없는 내 데이터를 가져다가 뭘 하려고 하는 거예요?

남혜현: 기업들은, 핀테크 업체들은 무엇을 하고 싶어서 이걸 요구하는가,

송명진: 예를 들면 금융정보와 비금융정보를 결합해서 신용도를 지금보다 훨씬 정교하게 평가를 한다든지 하는 방법 같은 경우를 예로 많이 들고 있는데요. 주로 주부나 학생 같은 경우에는 과거 기록을 토대로 신용을 측정하다 보니까, 사실은 주부들도 굉장히 돈 많고 여유로운 사람들이 있을 수 있는데 생각보다 주부들이 신용카드를 발급받는다든지 이럴 때 기록이 없기 때문에 자신의 카드를 만들기가 어려운 상황에 처해요. 금융 기록 데이터가 많이 없는 사람을 ‘씬 파일러’라고 하는데, 그런 사람들을 비금융정보를 활용해서 신용 등급을 개선해 줄 수 있거든요. 예를 들면 통신기록하고 결합을 할 수 있대요.

심스키: 통신비 잘 냈는지, 이런 거?

송명진: 그거는 그전에도 계속해서 신용정보에 들어갔었어요. 휴대폰 한 달 밀리면 그게 신용정보에 바로 반영이 되고 그랬거든요,

심스키: 그래서 내가…

남혜현: 몇 등급이세요?

심스키: 몰라(웃음).

송명진: 지금 통신 기록에서 추출할 수 있는 게 한 500개 정도 정보를 추출할 수 있대요. 너무나 많은 정보가 있는데 그중에서도 특히 약 30개 정도는 금융관련 정보로 사용이 가능하대요. 예를 하나만 들어드릴게요. 로밍 서비스를 많이 받으면 아, 이 사람이 해외에 많이 다니면서 출장도 잦구나. 상대적으로 경제적으로 윤택하구나, 이런 식의 추측을 할 수 있잖아요?

남혜현: 오핸데요?(웃음)

송명진: 예를 들면, 그 정도의 수준의 직장을 다닐 가능성이 높고, 이런 것 중에 추측할 수 있는 정보들이 있기 때문에 상대적으로 예전보다 신용등급이 낮았던 사람들이 올라갈 수 있는, 그런 여지를 주는 거죠.

심스키: 음, 나는 주부인데 신용거래를 해본 적이 없고, 월급을 타 본 적도 없고, 그러니까 은행에서는 내가 어떤 사람인지 모르니까 신용등급을 높게 줄 수 없는데 내가 해외여행을 자주 다니는 걸 알게 됐으니 나 신용등급 높여줘, 이럴 수 있다는 거군요? 나 좀 있는 집 자식이야(웃음).

남혜현: 혹시 또 있나요? 재미있어서 그러는데, 로밍 말고요.

송명진: 그거 말고 위치정보로도 할 수 있는데,

남혜현: 아 혹시 강남에 주로 있나, 그런 거예요?

송명진: 휴대폰을 들고 다니잖아요. 많이 돌아다니면 아, 이 사람이 혹시 영업직인가? 이런 생각을 할 수 있게 만드는? 그래서 요즘은 운동정보, 만보기 이런 거가 같이 탑재해 있잖아요, 토스에도 만보기가 생겼더라고요. 몇 걸음 걷는지

심스키: 나중에 그거 보험회사에 팔 수 있겠다,  많이 걷는 사람들

원동은: 그런 기록들을 이용해서 보험료를 깎아주는 서비스 같은 것들도 있잖아요,

심스키: 자동차 보험 같은 경우에는 조금 달리면 깎아주잖아요,

원동은: 맞아요. 급정거 급제동 같은 거 최대한 삼가시고,

송명진: 그래서 500Km까지 티맵이랑 연동해서,

심스키: 그런 식으로 기존에 이용되지 않았던 개인정보를 내 신용등급을 높여주거나 정확하게 측정해줄 수 있는 그런 도구로 써가지고 금융기관이 활용을 하면 지금까지 대출을 못 받았던 사람들이 1금융에서 받을 수 있다, 이런 말 인거죠? 개인한테도 도움이 되는 거네요.

송명진: 네, 도움이 되기도 하는데 또 한 편으로는 약간, (등급이) 떨어지는 사람도 있겠죠?

심스키: 돈을 잘 갚는 사람인 줄 알았더니 알고 보니 통신비는 안 낸다, 이런 거(웃음)

송명진: 통신비도 그렇고,

원동은: 로밍 같은 경우도 올려주는 경우도 있지만, 반대인 경우도 있을 수 있으니까,

남혜현: 움직이는 것도, GPS가 안 움직이고 한 자리에만 있으면 출퇴근도 안 하는 것 같고 그럴 수 있겠네요.

원동은: 사무직으로 본다고 하더라고요, 단말을 들고 움직일 때마다 기지국이 계속 다른 데로 붙잖아요? 그 기록이 다 남아 있다고 하더라고요.

심스키: 핀테크 업체들은 데이터 3법 이야기가 나오면 꼭 마이데이터라는 걸 이야기하더라고요. 마이데이터가 뭔지 설명을 좀 해주세요.

송명진: 마이데이터는 기존의 각 기관에 있던 개인 정보의 소유권을 소비자에게 돌려주는 거예요. 사실은 나의 신용정보가 지금은 금융회사들이 주로 이야기를 하잖아요. 그런데 사실은 내 정보잖아요? 그러니까 그 소유권 자체가 사실은 내 거다, 라는 기본 개념을 가지고 금융 소비자한테 나의 흩어진 금융 정보를 한눈에 파악할 수 있도록 돌려주는 거고요. 그거를 산업화하는 걸 마이데이터 산업이라고 이야기를 하는데. 기본적으로 그 자료를 한 눈에 파악할 수 있도록 모으고 그 후에 관리하는 거까지 다 포함이 되는 거죠.

남혜현: 데이터를 모아서 한 번에 중개해서 파는 기업들이 생겨나는 거겠네요.

송명진: 마이데이터하고 오픈 뱅킹이라는 거 요즘 나오잖아요, 10월 31일부터 시범 도입됐고, 12월부터 전면 시행되고 있는. 소비자가 은행별로 일일이 앱을 설치할 필요가 없이 하나의 은행 앱이나 핀테크 기업의 앱에 자신의 은행 모든 계좌를 등록을 해서 결제, 송금, 이체를 할 수 있는. 요 두 가지가 합쳐져서 맞물리면 상당히 고도화된 종합 자산관리까지 가능할 것으로 이야기를 하고 있어요.

심스키: 내 앱 하나로. 내가 거래하는 은행 앱이나 핀테크 앱 하나로 나의 모든 자산을 관리할 수 있는. 내 데이터는 내가 관리한다, 이런 거군요.

남혜현: 지금 토스가 약간 그런 형태 아닌가요?

송명진: 아니요, 지금은 토스보다는 뱅크샐러드가 오히려 그런데 포지셔닝을 하고 있고요. 뱅크샐러드는 항상 이야기하는 게 “나는 금융비서다” 그렇게 이야기를 하는데, 카드 같은 거 한 번에 다 모아서 가계부처럼 다 볼 수 있고,

남혜현: 보험도 거기서 다 정리가 되는 거 같더라고요

송명진: 네네, 맞아요.

심스키: 그러면 이 마이데이터가 왜 논쟁이 되는 거예요?

송명진: 마이데이터 산업에 있는 업체들이 그 정보를 모아다가 혹시 다른 곳으로 팔 수 있고, 거래가 가능하게 되면은 내 정보를 맡긴 업체뿐만 아니라 다른 업체들도 내 정보를 가질 수 있게 되고, 만약의 경우에 퍼즐처럼 조합돼서 식별 가능하게 되면은,

남혜현: 아, 완전히 털리니까

송명진: 개인정보가 너무 많이 누출될 수 있다고 생각하는 겁니다.

원동은: 이번에 신용정보법 개정안을 보면 고유업무와 부수업무가 있는데, 사실 고유업무 부분은 우리가 아는 마이데이터 ‘내 데이터는 스스로 관리한다’ 그 부분에 초점이 맞춰져 있는데 뒤에 부수업무, 겸영업무를 보면 데이터를 활용을 한다거나 맞춤 서비스 추천을 한다거나 그런 것들이 뒤에 붙어 있어요. 고유업무 쪽이 마이데이터의 정의에 가깝긴 하지만 돈이 되는 쪽이 부수업무 겸영업무 쪽이라서 그쪽에 조금 더 초점을 맞추고 있지 않나.

심스키: 얼핏 잘 이해가 안 가는데 사례를 들어서 마이데이터가 어떻게 활용되는지 설명할 수 있을까요?

송명진: 예를 들면 뱅크샐러드 같은 경우에 지금 소비자 입장에서 편리한 거는 카드 내역들이 전부 다 뜨고 이걸로 가계부처럼 보여주기 때문에 내가 이번주에는 10만원 정도 썼는데 갑자기 50만원을 쓰면 “너무 많은 지출을 했어요” 하고 알려주기도 하니까 고마운 면도 있는데, 문제는 카드 같은 것들을 정보를 분석해서 다른 카드를 추천해주기도 하거든요. 그런 서비스들이 수익모델이 되는 거죠. 그랬을 때 저 같은 사람은 그게 추천을 해주니까 좋은 거 아닌가 생각을 하지만 한편으로는 침해하는 거라고 생각을 할 수도 있는 거죠. 자기들 돈 벌기 위해서, 어쩌면 이 정보를 잘못 이용해서 자기들이 원하는 카드만 이쪽으로 밀어 넣는 거 아닌가 하는 의혹을 제기할 수도 있고.

남혜현: 어쨌든 거기도 회사고 돈은 벌어야 하니까. 편리함을 얻는 데 따르는 비용인 건거죠.

송명진: 네, 그리고 그 정보를 재가공을 해서 다른 데다 넘길까 봐 겁나는?

심스키: 그런 거죠, 만약에 나는 SK텔레콤 유저고 내 통신데이터는 SK텔레콤한테 저장되어 있잖아요? 그런데 이제 SK텔레콤한테 “내 정보 뱅크샐러드에 보내” 그러면 보내야 하는 상황인 거죠? 그게 마이데이터인 거죠?

원동은: 네, 맞아요. 제가 더 찾아온 게 있는데, 이걸 ‘개인정보 자기결정권’이라고 하더라고요. 그래서 지금 크게 두 가지로 나누어져 있는데. 하나는 개인 신용정보의 전송요구권이라고 해서 아까 말씀하신 “SK텔레콤에서 뱅크샐러드로 보내줘”하는 그런 게 있고요,

두 번째가 자동화평가 대응권이라고 해서, 프로파일링 이야기하셨는데 그 이야기거든요. 제 신용정보를 누군가가 보고 크레딧을, 얼마나 신용등급이 높은가를 판정을 해주는데 뭘 보고 판정을 하는지 근거가 뭔지. 나한테 불리한 근거로만 판정을 했으면 나한테 유리한 근거도 이렇게 많은데 이걸 가지고 판단해라, 이렇게 줄 수 있는 권리까지 다 있는 거예요. 이번에는 그런 것까지 포함이 돼서 들어갔다고 하더라고요.

심스키: 그러면 지금까지 뱅크샐러드는 어떻게 카드비를 알 수 있는 거죠?

송명진: 지금까지는 스크래핑 기술이라고 해가지고, 공인인증서와 연결되도록, 연동 시켜 놓는 작업이 한 번은 필요한데 그 후에는 내가 너한테 계속해서 연동될 수 있도록 위임을 해놓은 거죠. 그러면 접속을 할 때 다시 그쪽 금융회사에 가서 그 정보들을 다시 업데이트해오는 그런 방식으로 진행이 되고 있습니다.

심스키: 그래서 이 스크래핑이 해킹이냐 아니냐는 논란이 좀 있었어요. 서로 합의된 데이터를 주고받는 상태가 아니기 때문에 이게 해킹의 일종이라고 주장하는 사람들이 있었고, 이거는 그냥 스크래핑이라는 다른 특정한 하나의 기술이라고 뱅크샐러드 같은 곳은 맞서왔던 거고. 논쟁이 좀 있던 영역인데 마이데이터가 되면 합법적으로 이용자들이 원할 때 원하는 데이터를 줄 수 있다는 거죠.

송명진: 지금까지는 스크래핑으로 했었는데 이게 합법화되면 표준 API 기술을 써서 동의한 것만 긁어가는 걸로 바뀐다고,

남혜현: 합법적으로 저한테 (지출이 많다는) 잔소리를 하겠군요.

심스키: 지금은 내 통신비는 SK텔레콤 앱에 가서 보고 내 카드비는 국민카드 앱에 가서 보고, 또 뭐 있냐 내가 돈 쓰는 거(웃음), 내가 총체적으로 얼마나 쓰는지 잘 모르잖아요. 그런데 이제 내가 쓰는 모든 돈을 이 앱 하나에 올린다면 한눈에 나의 모든 금융정보를 볼 수 있는 상태가 되는 거죠.

남혜현: 이 법들이 아직 통과가 되고 있지 않잖아요. 지금 상황이 어떻죠?

송명진: 이 법 자체의 시작은 되게 좋게 시작을 했어요.

남혜현: 이거 여야가 다 반대를 하지 않는 법안이었잖아요?

송명진: 네, 맞아요. 2018년 4월에 4차산업혁명위원회에서는 규제혁신 해커톤 해가지고, 거의 큰 틀에서 개인정보 규제 개선이 필요하다는 점에 합의를 했고, 8월에 문 대통령이 판교 스타트업 캠퍼스에서 “데이터 고속도로를 구축하겠다”고 하는 바람에 11월 15일에 인재근 의원 안, 김병욱 의원 안, 노웅래 의원 안 이렇게 세 가지 개인정보보호법, 신용정보보호법, 정보통신망법이 발의가 됐어요. 그런데 거의 1년 동안 지지부진. 사실상 논의를 거의 못 했었죠. 그러다가 이제 국회가 문을 닫을 때쯤 다 되어가니까 부랴부랴 통과를 시키긴 하는데, 상당히 어려움이 많았었고,

남혜현: 이제부터는 점을 치는 영역 같은데요. 통과를 할 것이냐, 말 것이냐는.

심스키: 제가 점을 치겠습니다. 통과될 겁니다.

남혜현: 어려워 보이는데, 어떻게 보세요? 전문위원님은?

송명진: 글쎄요, 이게 상당히 합의가 어렵다고 얘기를 많이 하는 게, 중간중간에 걸고넘어지는 사람들도 많았어요.

남혜현: 그러면 개인정보 보호는? 이런 거로요?

송명진: 네네 맞아요. 신용정보법 같은 경우에도 지상욱 의원이 조건부로 통과를 시켰거든요. 예를 들면 과세정보나 고용정보 이런 것들. 공공 데이터의 경우에는 당사자 동의를 받았는지 확인을 하도록 조건을 달아가지고 법안 소위에서 통과를 하고 그렇게 했었거든요. 그런데 지금 법사위에서 채이배 의원이, 이분이 제가 알기로는 상당히 규제 쪽으로 목소리가 높으신 분이세요.

남혜현: 이번에도 반대를 해가지고,

송명진: 네, 맞습니다. 법사위에서 반대를 했는데 국회 내부에 들리는 정보에 따르면, 사실상 시민단체의 의견을 많이 받아들여가지고 반대했다는 이야기를 하는데, 일단 표면적으로는 3법 간 연관성이 크다. 그런데 지금 법사위에는 개인정보보호법, 신용정보보호법만 처리하는 것이 올라와으니까 그거에 대해서는 반대다. 과방위가 정보통신망법을 아직 건드리지 않은 상태에서 두 개만 하는 게 말이 안 된다, 해가지고 오히려 그게 더 촉진이 돼서 과방위가 정보통신망법 개정안을 통과시키는,

심스키: 3법 모두 각자의 상임위는 통과를 한 거예요? 그러면 법사위에 모여 있는 상태인가요?

송명진, 원동은: 네, 맞습니다.

심스키: 그럼 통과되겠네요.

남혜현: 왜 이렇게 낙관하시죠?(웃음)

심스키: 원래 법사위는 법의 체계나 자구, 이런 걸 검토하는 곳이지 법 내용을 가지고 하는 곳이 아닙니다. 법 내용은 해당 상임위에서 하는 거고,

남혜현: 아니, 그런데 회기가 너무 조금 남아 있으니까.

심스키: 그런데 이게 혹시 이번 국회에 안 돼도, 임시 국회가 열릴 수도 있고, 선거모드로 들어가서 임시 국회가 열리지 않아도 이 사람들이 다 떨어지고 난 뒤에, 4월 이후에 7월, 아니 5월인가? 이쯤에 한 번 국회가 다시 열려요. 그때는 이제 붙을 사람 붙고 떨어질 사람 떨어졌잖아요, 에라 모르겠다, 통과! 이렇게(웃음).

송명진: 그래서 법사위에서 막힌 게 말이 되나 라는 이야기를 많이 하는 게 그 당시에 법제 사법위원장이었던 여상규 위원장이 개정안이 오늘 갑자기 상정되어서 심도 있는 논의가 이뤄지지 않았던 것 같다고 이야기를 했는데, 솔직히 이게 올라올 거 다 알고 있었는데 여태까지 뭐 하고 있었는데, 이런 비판도 많이 받고 있고요. 문제는, 12월 10일에 끝나는 정기 국회에,

심스키: 12월 10일 밤 11시 30분에 통과될 겁니다(일동 웃음).

송명진: 근데 정보통신망법은 크게, 저희는 통과되지 않아도 큰 문제가 없다고 생각을 한 게, 개인정보보호법이 모법이라는 개념으로 이야기를 하는데. 어차피 정보통신망법에서는 대부분 개인정보보호법에 있는 부분을 준용하는 식으로 적혀 있기 때문에 신법 우선 적용의 원칙이라는 게 있어요. 그래서 중복 상충되는 규정에 대해서는 개정된 개인정보보호법이 우선적으로 적용이 되기 때문에,

심스키: 개인정보보호법이 모법이에요?

송명진: 네, 정보통신망법은 개정이 되지 않아도 크게 상관이 없다, 라고 이야기를 했었고요.

남혜현: 어차피 같이 올라갔으니까요,

송명진: 네, 맞습니다. 그런데 그걸로 문제 삼는다는 것 자체가 좀 말이 안 된다는 거죠.

심스키: 그건 저는 이론적으로 가능하다고 생각해요. 법사위는 법의 체계나 자구를 다루는 곳이기 때문에 법체계가 안 맞잖아요. 서로 연관 있는 법에서 이 법은 되고 이 법은 안 되면 안 되니까, 같이 되도록 하자라는 매우 합리적인 지적인 것 같은데요?

남혜현: 합리적이지만 보는 사람은 속이 터지는 거죠.

심스키: 이 업계에서는 속이 터지지만, 체계를 맞추는 사람들 입장에서는,

남혜현: IT 업계에서는 경쟁력이 떨어지는 원인이다, 다른 나라들은 AI 엄청 나가는데,

송명진: 해외 사례 같은 걸 살펴보면 일본 같은 경우에는 데이터 3법, 가명 정보와 유사하게 익명 정보 가공을 도입해서 특정 개인을 식별할 수 없도록 개인정보를 가공하고, 가공된 정보로부터 해당 개인 정보를 복원할 수 없도록 기술 조치까지 취했다면 이게 사실상 가명 정보잖아요? 우리가 생각하는? 그러면 본인의 동의 없이도 재이용이 가능하도록 허용하고 있고요. EU도 지금 GDPR에서 가명정보를 처음 이야기했었는데, 거기서도 마찬가지로 과학 또는 역사 연구, 상업적 연구까지 전부 다 이야기를 하면서 정보 주체의 동의가 없어도 목적 외로 추가적인 처리가 가능하다고 이야기를 하고 있어요. 미국은 아예 개인정보보호를 규율하는 일반법 자체가 없어요. 그래서 개인정보의 비식별화와 관련해서는 HIPAA 프라이버시 규칙 이런 것들이 있는데, 이런 것들이 아무런 무리 없이 산업을 육성해가고 있습니다.

심스키: 미국은 데이터를 브로커가 모아다가 파는 그 산업이 엄청 커요.

송명진: 그 산업이 오래된 산업이라고,

심스키: 그 브로커한테 일반인들은 자기 데이터를 파는 거잖아요. 그냥 안 팔고 뭘 받고 팔잖아. 그것도 알바가 된다고.

송명진: 그게 개인정보의 보호냐 활용이냐 하는 이슈는 사실은 극과 극의 해석이라서, 합의가 쉽지는 않은 건데. 우리가 사실 그냥 개인정보는 반드시 지키고 4차 산업혁명하고 살아가겠다, 하면 그냥 그대로 두고 개인정보만 계속 지킬 수가 있는 건데. 하지만 산업적으로 중요한 이슈다 보니까 어느 적정선을 찾아서 처리를 좀 해야 하는 것 아닌가 하는 게 저의 생각입니다.

심스키: 좀 우스갯소리긴 하지만 우리나라 사람들이 더 이상 개인정보를 보호할 필요가 있을까요?

남혜현: 이미 다 털렸잖아,

송명진: 이미 한 명당 10원에서 60원 사이라고,

심스키: 미국처럼 하면 내가 내 데이터를 만원, 10만원, 100만원에 팔 수가 있는데 이게 10원씩에 팔리고 있으니까.

송명진: 예전에는 스팸메일 오면은 얘들이 어떻게 알았을까, 신경질이 나고 그랬는데 이제는 그냥 삭제 버튼 누르고.

심스키: 개인정보 활용을 높이면 잘못된 상황에 대한 처벌 이야기도 있어야 하잖아요?

송명진: 처벌 규정을 좀 더 높여야 한다는 이야기를 하는데, 그전에 우리 망분리 때도 이야기했었는데, 지금은 개인정보를 관할하는 사람을 형사처벌하고 이런 일이 많이 있는데, 사실 기업에 치명타를 주려면 매출액 기준으로. GDPR 기준같이 전 세계 매출의 4%. 그런 식으로 세게 처벌을 내려서 부과를 할 필요가 있는 것 같아요. 지금 GDPR 적용된 사례를 보면 브리티시 항공 같은 경우에 작년 9월에 이름, 우편주소, 신용카드 정보 이 정도 나갔는데 거기에 대해서 약 2700억원 벌금을 받았거든요. 이 정도 되면 개인정보를 관리하는 업체들이 상당히 조심할 수 있는 정도가 되는 거겠죠.

심스키: 2700억원 정도 되면 우리나라 회사들은 다 망하지 않습니까?(웃음)

남혜현: 그런데 사실 우리나라 기업들도 개인정보에 민감하게 된 지 얼마 안 됐어요. 큰 기업들도 몇 년 전만 하더라도 웬만한 정보들을 인터넷 URL 주소 조금만 바꾸면 정보가 나오게 그런 식으로 운영을 한 곳도 있었거든요.

원동은: 맞아요.

심스키: KT가 홈페이지에서 유출됐을 때 보안하는 사람들이 “이게 안 되어 있었단 말야”

송명진: 거액의 과징금을, 형사처벌로는 조금 부족하고.

심스키: 우리나라는 이상하게 자꾸 형사처벌 하려고 들어. 감옥에 집어넣으면 뭐 할 거야.

원동은: 규제 이야기하니까 하나 더 생각이 났는데요. 아까 미국 쪽은, 지금은 개인정보 관련 규제가 없는 게 맞긴 한데, 2020년 1월부터 CCPA 법이라는 게 생기기는 해요. 캘리포니아주에서 한정으로 나오는 프라이버시 법인데, 이건 GDPR보다 수위가 낮다고는 하기는 하거든요. 아직 시행이 안 됐으니까 어떻게 될지는 모르겠지만, 더 무서울 수도 있는 게 과징금 상한선이 없어요. 그래서 시행이 되어봐야 얼마나 파괴력이 있을지 알겠지만, 미국에서도 이런 게 생기고 있으니까. 규제 같은 게 생기고 있긴 한데 어떻게 산업이 맞춰가지고 갈 건지가 중요한 것 같고.

이번에 CCPA 같은 경우에도 GDPR과 비교해서 특이한 점이 IoT 기기가 정보를 워낙 많이 수집을 하잖아요? 그런 거에 어떻게 대응을 할지 거기서 약간 명시를 하고 있다고 하거든요. 우리나라도 조금 더 이런 IoT 기기에서 수집하는 정보라든지 다양한 층위의 정보에 대해서 가이드라인 같은 게 나올 필요가 있는 것 같아요. 스타트업 같은 경우에는 정책을 일일이 알아서 대응하기 너무 어렵잖아요? 규제로 정하는 건 좋지 않지만 어떻게 대응을 하면 좋을지 가이드라인 같은 거는 정부에서 마련을 해주는 게 좋지 않나.

심스키: 그런데 제 질문은 처벌 규정이 뭐냐였는데, 처벌이 중요하다 말하고 끝난 것 같아요.

송명진: 처벌 규정을 높여야 한다는.

남혜현: 시행령에서 정하는 건가요?

송명진: 향후 시행과정에서 보완할 점 같은 데서 항상 지적되는 부분이거든요. 그래서 법률 개정이나 시행령 개정에서 보완해야 한다는 이야기를 하고 있습니다.

남혜현: 어려운 주제의 이야기를 그래도 잘 풀어서 이야기해주셔서 고맙습니다. 나와주셔서 두 분 감사드리고요, 청취자 여러분께 다 같이 인사드릴까요? 여러분 들어주셔서 고맙습니다.

심스키, 송명진, 원동은: 감사합니다!