[뉴스토마토 심수진 기자] 디지털 대전환이 심화하는 가운데 개인정보보호 강화기술(PET)을 놓고 산·학·연·관 전문가들이 한자리에 모였습니다. 데이터 분석·활용을 확대하기 위해 PET 기술들이 도입되는 상황에서 PET의 현황과 한계, 과제에 대한 논의가 이뤄졌습니다.
20일 서울 삼성동 코엑스에서 개인정보보호위원회가 주최한 '개인정보 기술포럼' 세미나가 열렸습니다. 이번 세미나는 지난 5월 '초거대 AI 시대, 개인정보 보호·활용 정책 및 기술 방향'을 주제로 개최한 제1회 세미나에 이어 두 번째입니다.
PET는 개인정보 침해 위험을 관리하기 위한 핵심 기술로 암호화, 익명화 등 개인정보를 보호하는 기술에서 사용자가 직접 개인 정보를 통제하기 위한 기술까지 다양한 사용자 프라이버시 보호 기술을 통칭합니다.
개인정보보호위원회는 '개인정보보호 강화기술(PET)을 이용한 데이터 활용 확대 방안'을 주제로 20일 오후 서울 삼성동 코엑스에서 2023년 제2회 '개인정보 기술포럼' 세미나를 개최했다. (사진=개인정보보호위원회)
김주영 한국인터넷진흥원(KISA) 개인정보본부장은 "최근 대량의 데이터를 기반으로 AI가 급부상하고 있기 때문에 개인정보를 합법적으로 안전하게 활용하기 위한 PET가 더 주목받고 있다"라며 "PET는 데이터가 주도할 기술 경쟁과 사회적 문제 해결에서 영향력을 발휘할 잠재력이 있다"고 강조했습니다.
최대선 숭실대 AI보안연구실 교수는 PET 기술과 데이터 활용 확대 방안을 발표했습니다. 데이터 활용이 급증하고 있지만 정보 주체자(이용자)의 동의, 가명처리, 익명처리 등은 원활한 데이터 활용을 가로막는 요소입니다. 제한된 목적이나 기간, 인원, 환경과 식별 가능성으로 인한 데이터 변경은 유용성을 감소시킵니다.
이 같은 한계를 해결할 수 있는 차분 프라이버시, 동형암호, 합성데이터 등의 기술을 PET로 통칭합니다. 차분 프라이버시는 특정인이 포함된 경우와 아닌 경우의 데이터 차이를 최소화해주는 기술로, 일정 확률의 안정성을 보장해주고, 재식별 우려로 인한 완벽한 익명 추구를 낮춰 정보 활용성을 높일 수 있습니다.
합성데이터는 원본 데이터로 모형을 만들고, 그 모형이 생성한 데이터를 활용하는 것입니다. 최 교수는 "합성데이터가 가명인지, 익명인지에 대한 법적 지위를 설정하는 것이 필요하고, 이 정보가 어느 정도 안전했는지에 대한 산정 기준이 필요하다"고 말했습니다.
동형암호는 데이터를 암호화해 노출시키지 않은 상태에서 분석하거나 AI가 학습할 수 있도록 하는 기술입니다. 기존 암호화 방식이 연산 전에 평문으로 복호화해야 하는 반면, 동형암호는 암호화된 상태로 직접 연산이 가능합니다.
이어진 토론에서는 PET의 활용 현안과 한계점에 대한 논의가 이어졌습니다.
김정선 LG유플러스 전문위원은 "데이터의 특성과 이용 목적에 따른 적절한 PET 기술 적용이 중요하고 다양한 사례 확보가 필요하다"라며 "아직까지는 그마저도 내부 실험 수준에 그쳤기 때문에 공공데이터 활용 능력에서 시장에 적용되는 사례가 확산될 수 있게 정부에서 노력해주는 게 필요하다"고 말했습니다.
윤효진 삼성SDS 상무는 "해외에 비해 우리나라에서 PET 기술이 활성화되지 않은 것은 한국이 명문화된 것만 할 수 있기 때문에 외국과는 출발점이 다르다고 생각한다"라며 "PET는 사내테스트(PoC)나 단편적으로 사용하는 것 외에 꾸준히 사용하기엔 현실적으로 어렵다"고 말했습니다. 윤 상무는 이어 "기업에서는 투자 대비 효과를 생각할 수밖에 없는데 아직 우리나라는 데이터를 이용해서 돈을 버는 능력이 부족하고, PET로 돈을 버는 매커니즘이 만들어지지 않아 활성화에 시간이 더 걸리지 않을까 생각한다"고 덧붙였습니다.
기술을 활용할 수 있도록 기준이 유연해져야 한다는 의견도 있었습니다. 김현태 연세대 교수는 "합성데이터가 다른 PET 기술보다 많이 사용되고 있는데, PET 기술 활용의 걸림돌을 규제적 측면에서 보자면 관련된 주요 법이 개인정보보호법과 신용정보법 정도인데, 실무에서 사용되는 가이드라인을 보면 익명데이터가 되기 위한 요소가 제시돼 있다"라며 "구체적이면 도움은 되지만 뒤집어보면 마스킹을 세게 하지 않을 경우 익명데이터로 인정하기 어렵다는 의미이며, 이 가이드라인에서 익명데이터로 인정 받는 게 현실적으로 어려워 새로운 가이드라인을 정부에서 기업, 학계와 협력해 빨리 만드는 것이 시급하다"고 강조했습니다.
개인정보위는 기업이 실제로 합성데이터 기술을 활용할 수 있도록 합성데이터 5가지 사례를 직접 만들어 제시할 예정입니다.
태현수 개인정보위 과장은 "합성데이터를 만들 때 안전성이나 위험성을 측정하는 지표가 명확한 게 없기 때문에 기업이 활용하기 어려운데, 실제 합성데이터 5가지 종류를 만들고 어떤 기준과 절차로 만들면 안전한지 사례를 보여주고 이를 계속 축적해 가이드라인에 반영할 예정"이라고 말했습니다.
심수진 기자 lmwssj0728@etomato.com