72. 가명정보 제도와 활용: 정책 동향과 실무 사례

데이터 경제 시대를 맞아 개인정보 보호와 데이터 활용을 조화시키는 방안으로 가명정보 개념이 주목받고 있습니다. 가명정보란 개인정보 일부를 삭제하거나 대체하여, 정보 주체를 직접 식별할 수 없도록 만든 정보를 뜻합니다m.boannews.com. 완전한 익명화와 달리 데이터를 활용하면서도 개인정보 위험을 줄이자는 취지로, 우리나라에서는 2020년 개인정보 보호법 개정을 통해 가명정보 활용 제도가 공식 도입되었습니다m.boannews.com. 이번 글에서는 가명정보 제도/정책의 핵심 내용, 실제 기업 및 기관의 활용 사례, 그리고 실무 지침과 최근 동향을 알아보겠습니다.

개인정보 보호법 상 가명정보 제도

2020년 8월 시행된 개정 개인정보 보호법은 가명정보를 새롭게 정의하고, 이를 정보주체 동의 없이 활용할 수 있는 특별한 경우를 규정했습니다m.boannews.comm.boannews.com. 법에 따른 정의를 보면 “가명정보란 데이터의 가치는 최대한 유지하면서 개인정보의 일부 또는 전부를 삭제·대체하여 특정 개인을 알아볼 수 없도록 한 정보”를 말합니다m.boannews.com. 예를 들어 이름은 ‘홍○○’처럼 성(姓)만 남기고, 나이는 ‘30대 초반’의 범위로, 전화번호는 가운데 자리 ‘**’로 마스킹 처리한 식입니다m.boannews.com. 이렇게 원본의 식별성을 낮춘 데이터를 통계작성, 과학적 연구, 공익적 기록보존 목적으로 활용할 때에는 당사자 동의 없이도 가능하도록 법이 허용하고 있습니다m.boannews.com. 이는 데이터 활용을 촉진하되, 개인을 식별하지 않는 한도에서만 쓰도록 하는 일종의 안전장치입니다.

물론 가명정보라 해도 여전히 개인정보에 속한다는 점을 유의해야 합니다. 법적으로 가명정보는 “추가 정보와 결합해야만 특정 개인을 알아볼 수 있는 정보”로서, key만 없으면 식별이 어렵지만 열쇠를 갖추면 재식별이 가능한 준(準)개인정보입니다. 따라서 보호법은 가명정보 처리 시에도 개인정보와 유사한 보안 조치 의무를 부과하고, 재식별 행위 금지를 엄격히 규정합니다m.boannews.comm.boannews.com. 예컨대 가명처리 과정에서 원본 식별자가 남아있는지 적정성 평가를 해야 하고, 가명정보를 제3자에게 제공할 때 특정 개인을 알아볼 수 있는 추가 정보를 포함해서는 안 된다고 명시합니다m.boannews.com. 만약 가명처리 후에도 특정 개인이 식별될 우려가 있으면 해당 정보를 즉시 파기 또는 회수해야 합니다m.boannews.com.

특히 서로 다른 기관 간에 가명정보를 결합하여 활용하려는 경우, 결합전문기관을 통해서만 진행할 수 있도록 안전장치를 두고 있습니다m.boannews.comm.boannews.com. 결합전문기관은 개인정보위 등 공공기관으로부터 지정을 받아 운영되며, 두 이상의 기업이나 기관이 보유한 가명정보를 서로 합쳐도 개별 신원을 드러내지 않도록 중개하는 역할을 합니다etnews.com. 예를 들어 A회사와 B기관이 각자 가진 가명정보를 분석 목적으로 합치고자 하면, 결합전문기관에 의뢰하여 공용 결합키를 통해 데이터를 매칭하고, 추가 가명처리 및 반출심사를 거쳐 안전하게 결합 결과를 받는 식입니다m.boannews.com. 이때 결합 과정은 폐쇄된 작업환경에서 이뤄지고, 결과물도 개인정보 식별 위험이 낮은지 전문가들이 심사(반출심사)하여 통과된 경우에만 이용자에게 제공됩니다m.boannews.com. 이러한 절차는 비식별화 수준을 이중으로 검증함으로써 혹시라도 식별 위험이 높아지는 것을 막기 위함입니다.

한편, 유럽연합(EU)의 GDPR에서도 유사한 가명처리(pseudonymisation) 개념이 있지만, 적용 방식에 차이가 있습니다. GDPR에서는 가명정보도 전적으로 개인정보로 취급하며, 법적 근거 없이 마음대로 활용할 수는 없습니다. 다만 가명처리는 안전조치의 한 방법으로 권장될 뿐입니다. 이에 반해 우리나라 법은 아예 활용 목적을 한정하여 동의 면제 조항으로 규정한 점이 특징입니다. 즉, 한국은 제도적으로 “가명정보는 통계·연구·공익 목적이면 규제 샌드박스로 활용을 허용”한 반면, 유럽은 “가명처리는 했어도 여전히 개인정보라서 활용하려면 별도 법적 근거가 필요”한 차이가 있습니다. 결국 국내법이 데이터 활용 측면에서 좀 더 적극적인 유연성을 부여했다고 볼 수 있습니다.

가명정보 활용 사례: 국내 기업·기관 중심으로

가명정보 제도 시행 후 여러 분야에서 데이터 결합과 활용 사례들이 나타나고 있습니다. 정부 주도로 실시된 가명정보 결합 시범사업에서는 의료, 통신, 금융, 유통 등 다양한 영역에서 유용한 인사이트를 도출했습니다m.boannews.comm.boannews.com. 예를 들어 의료 분야에서는 국립암센터와 건강보험공단 자료를 결합하여 “암환자의 합병증 및 만성질환 예측 연구”를 수행함으로써 치료법을 개선하는 성과를 거뒀습니다m.boannews.com. 암 환자의 임상 데이터와 보험 청구 데이터를 가명 결합하여 분석한 결과, 암 생존자에게 향후 발병할 수 있는 부작용을 사전에 예측하고 최적의 후속 치료법을 제공하는 데 도움을 준 사례입니다m.boannews.com. 이를 통해 암 생존자의 의료 효율을 높이고 합병증 관리에 기여한 것으로 평가됩니다.

통신 분야에서는 한국인터넷진흥원(KISA)과 통신사가 협업한 흥미로운 사례가 있습니다. KISA가 보유한 스팸 문자 신고 정보와 이동통신사의 가입자 특성 정보(연령대, 성별 등)를 삼성SDS 결합전문기관의 중개를 통해 결합한 것입니다samsungsds.com. 그 결과 연령대별·성별 불법 스팸 피해 실태를 정확히 파악하여, 방송통신위원회가 세대별 맞춤형 스팸 예방 교육 정책을 수립하는 데 활용했습니다samsungsds.comm.boannews.com. 이는 민간 통신 데이터와 공공 신고 데이터를 국내 최초로 가명결합한 사례로서, 스팸 차단 정책의 효과성을 높였다는 평가를 받았습니다samsungsds.comsamsungsds.com.

유통·소비 분야에서도 편의점 업체가 고객 구매 데이터와 외부 상권 데이터를 결합해 AI 상품추천 모델을 개발한 사례가 있습니다m.boannews.com. 가명정보를 활용함으로써 고객 개개인의 신원을 드러내지 않으면서도 구매 패턴과 상권 특성을 분석하여, 매장에 적합한 상품을 예측·추천하는 시스템을 만든 것입니다. 또한 금융 분야에서는 여러 금융기관과 공공데이터를 결합해 *“수요자 맞춤형 금융지원 정책”*을 발굴하기도 했습니다m.boannews.com. 예컨대 소상공인 대출 데이터와 지역 상권 데이터를 결합 분석하여, 어느 지역에 어떤 지원이 효과적인지 데이터 기반 정책 설계를 시도한 것입니다.

이렇듯 가명정보 결합 활용 사례들은 사회적 가치 창출과 비즈니스 인사이트 발굴 두 측면에서 성과를 보이고 있습니다. 불법 장기이식 적발이나 아동 보호, 교정행정 등 공익 분야 문제 해결에도 가명정보 활용이 검토되고 있으며m.boannews.com, 기업들도 신규 서비스 개발이나 마케팅 고도화에 가명정보 분석을 활용하는 움직임이 늘고 있습니다samsungsds.comsamsungsds.com. 특히 “모든 데이터를 연결하는 디지털 플랫폼 정부”를 표방한 정부 기조에 따라, 공공과 민간의 데이터 협력 프로젝트가 계속 확대되는 추세입니다m.boannews.com.

실무 지침과 고려사항

가명정보를 다룰 때는 안전하면서도 효율적인 처리를 위해 지켜야 할 실무 지침들이 있습니다. 개인정보보호위원회와 관계 기관은 가명정보 처리 가이드라인을 통해, 가명정보 활용 프로세스를 5단계로 관리하도록 권고하고 있습니다m.boannews.com:

1. 사전준비: 활용 목적 설정 및 적합성 검토. 가명처리가 목적 달성에 필요한 수준인지 계획 수립.
2. 위험성 검토: 데이터 자체와 처리 환경에서 식별 위험 요인 평가. (예: 데이터에 희귀한 항목이 있어 특정인 식별 우려는 없는지 등)
3. 가명처리: 결정된 방법과 수준에 따라 식별자 암호화·대체, 세부 정보 일반화, 마스킹 등의 가명조치 수행m.boannews.com.
4. 적정성 검토: 가명처리 결과가 목적에 부합하고 식별 위험이 낮은지 검토 및 승인. 필요 시 재처리.
5. 안전한 관리: 처리 후에도 재식별 방지 조치 유지. 접속 권한 통제, 처리 기록 보관, 지속 모니터링 등.

이 중 특히 유념할 것은 3단계 가명처리 방법과 4단계 적정성 평가입니다. 가명처리 시 일반적으로 식별자 제거뿐 아니라, 남은 준식별자에 대해서도 범주화(예: 상세주소를 시·군 단위로 줄이기), 마스킹, 랜덤 치환 등의 기법을 병행합니다m.boannews.comm.boannews.com. 또한 여러 데이터셋을 결합할 때 쓰는 결합키는 반드시 전문기관을 통해 매칭하고, 원 데이터에 그 키를 보관하지 않도록 합니다. 이렇게 해야 각 기관별로는 개인을 알아볼 수 없고, 결합기관만 일시적으로 매칭 역할을 하며, 결합 완료 후에는 키를 폐기하여 재식별 위험을 통제합니다.

적정성 평가는 내부 점검과 외부 전문가 참여 모두 이루어져야 합니다. 데이터 셋에 남은 개인 식별 가능성을 정량 지표(k, l, t 값 등)로 계산함과 동시에, 맥락상 식별 위험(데이터 조합이나 배경정보 등을 고려)을 정성 평가합니다ggbang.tistory.comggbang.tistory.com. 예컨대 가명처리 후에도 유니크한 레코드가 존재하지 않는지(k-익명성 확인), 민감정보 편중은 없는지(t-근접성 관점 확인) 등을 점검합니다. 그리고 반출심사위원회 등에서 독립적인 전문가들이 결과물을 검토하여, 식별 위험이 매우 낮은 경우에만 외부 제공을 허용합니다m.boannews.com.

가명정보 활용의 최근 동향을 보면, 제도 시행 초기보다 활용 범위는 늘었지만 여전히 해결과제도 존재합니다. 2021년부터 지정된 가명정보 결합전문기관은 한때 25곳까지 증가했으나, 실제 결합 수요 저조와 절차상의 어려움으로 일부 기관들이 지정을 반납하고 있습니다etnews.cometnews.com. 예를 들어 대기업 계열 IT서비스사인 S사는 기대했던 데이터 사업 시너지가 크지 않자 결합전문기관 자격을 취소하기도 했습니다etnews.com. 2024년 현재 공공·민간 합쳐 약 22개 기관이 결합전문기관으로 남아 있습니다etnews.com. 업계에서는 금융 데이터와 비금융 데이터의 분리 규제도 활용 저해 요인으로 지적합니다. 현행법상 금융 분야 데이터 결합은 신용정보법에 따른 별도 전문기관에서만 해야 해서, 일반 가명정보 전문기관들은 가치 높은 금융 데이터는 취급하지 못하는 한계가 있습니다etnews.com. 게다가 결합 절차도 복잡하고 시간도 오래 걸려, 긴급한 비즈니스 활용에는 부적합하다는 현실적인 지적도 나옵니다etnews.com.

정부는 이런 애로사항을 해소하고자 모의결합 시범, 표준 결합 도구 제공, 결합 비용 지원 등의 보완책을 내놓고 있습니다korea.krbyline.network. 2023년에는 개인정보보호위원회가 가명정보 결합 가이드라인을 개정하여, 결합 전에 결합률(매칭율) 예측을 해볼 수 있는 모의결합 절차를 도입했습니다korea.krbyline.network. 이를 통해 서로 다른 기관 데이터의 교집합이 얼마나 되는지 미리 확인하고, 효과가 낮을 경우 애초에 결합을 신청하지 않도록 하여 비효율을 줄이는 것이 목적입니다. 또한 결합 전 가명처리 지원이나 결합 후 반출심사 간소화 등 현장의 목소리를 반영한 정책 개선도 추진 중입니다dailysecu.comm.boannews.com.

정리하면, 가명정보는 개인정보를 완전 삭제하지 않고도 상당 수준 보호하면서 데이터 활용을 가능케 하는 절충안으로 자리 잡았습니다. 시행 초기에는 법·제도 정비와 인식 제고에 중점을 뒀다면, 이제는 실제 활용을 활성화하면서도 안전 확보를 위한 정교한 장치들을 마련해가는 단계입니다. 궁극적으로 가명정보 제도가 데이터 산업 혁신과 개인정보 보호의 윈윈(win-win) 전략이 되려면m.boannews.com, 지속적인 기술 발전과 제도 보완, 그리고 참여자들의 윤리의식이 함께 가야 할 것입니다.