검색
로고스

데이터3법 개정이 산업계에 미치는 영향 (1)

[ 2020.04.03. ] 



1. 데이터 활용 관련 우리의 현실

가. 사례1(개인정보)

2016. 11. 18. EBS가 주최한 장학퀴즈에 한국전자통신연구원(ETRI)이 개발한 엑소브레인(Exo-brain)이 출전하였습니다. 엑소브레인은 머신러닝과 딥러닝 기술을 장착하였는데, 무려 12만권의 책을 독파한 뒤 수능만점자, 퀴즈대회 상하반기 우승자 등 4명의 인간 경쟁자를 모두 누르고 우승하였습니다. 이후 ETRI는 엑소브레인에게 의료 빅데이터를 학습시켜 질병 진단에 도움을 주는 서비스 개발을 검토했으나 결국 중단하였습니다. 개인정보인 의료데이터에 접근할 수가 없었기 때문입니다. KAIST 인공지능연구센터 관계자에 따르면 엑소브레인 프로젝트는 현재 개인정보와 무관한 법률 정보 인공지능 서비스를 연구 중에 있습니다.


나. 사례2(신용정보)

2011년 글로벌 핀테크기업‘렌도(Lenddo)’는 데이터를 앞세워 금융시장에 파고들었습니다. 고객의 금융정보 뿐만 아니라 소셜네트워크서비스(SNS) 활동, 인성검사 결과 등으로 신용도를 평가하고, 대출을 해 주었습니다. SNS에 “차 사고가 났다.”, “직장 생활이 힘들다.”라는 글을 올리면 신용도에 부정적인 영향을 미치는 식입니다. 미국, 호주, 인도, 태국 등 20여 개국에 진출한 렌도의 가장 강력한 무기는 머신러닝으로 분석한 260억 개 데이터입니다.


2017년 대한민국. ‘이노렌딩랩’은 렌도의 신용평가 시스템을 도입해 국내 중금리 대출시장에 진출하였습니다. KB국민카드를 비롯해 SCI평가정보, 한국정보통신 등에게 출자를 받을 만큼 금융권과 IT업계의 기대를 샀습니다. 그러나 개인정보보호법에 막혀 결국 사업을 접었습니다. 비금융사가 금융정보에 접근하기 어려운 상황에서 신용평가를 실행하는 데 한계가 있었기 때문입니다.


다. 사례3(의료정보)

애플은 ‘애플 헬스 레코드’라는 플랫폼을 만들어, 개별 병원에 저장된 각 환자의 진료·처방기록과 진단결과, 예방주사 기록들을 환자가 자신의 아이폰에 다운로드 할 수 있도록 하였습니다. 각 개인은 자신의 의료정보를 한데 모아 보면서 사전에 건강 관리를 할 수 있습니다.


그러나 애플의 이러한 서비스를 우리나라에서는 이용할 수 없습니다. 개인정보보호법 및 의료법에 따르면 환자는 자신의 의료정보를 의료기관으로부터 받은 출력된 사본으로만 확인할 수 있기 때문입니다. 의료기관 역시 환자를 제외한 다른 의료기관이나 타인에게 의료정보를 제공할 수 없습니다.



2. 기존 데이터3법에 기한 개인정보 등 데이터의 활용 제한

가. 현행 법령상 데이터의 활용 제한

1) 개인정보보호법 상의 활용 제한 

최근 들어 인공지능(AI)이 우리 실생활에 폭넓게 활용되기 시작하였습니다. 흔히 알 수 있는 예로는 ‘구글의 유튜브’가 있습니다. 구글은 인공지능을 활용해 이용자 개개인의 입맛에 맞는 영상을 계속 추천해 줍니다. 구글 직원에게 “왜 이 영상을 추천했나요?”라고 물으면 직원은 “저도 몰라요.”라고 대답합니다. 유튜브가 딥러닝을 통해 스스로 최적의 추천 알고리즘을 찾기 때문입니다. 유튜브가 이용자의 입맛에 꼭 맞는 영상을 추천할 수 있는 것은 일차적으로 구글의 인공지능 기술력 때문이지만, 사실 더 중요한 것은 구글이 수집한 광범위한 개인정보의 이용 때문입니다.


정보기술 업계에 따르면 네이버나 카카오 등 국내 인터넷 기업들이 회원들로부터 수집하는 개인정보항목은 각각 12개와 18개입니다. 반면 구글은 최대 57개 개인정보항목을 수집합니다. 페이스북도 사진 촬영 장소, 스마트폰 주소록, 이용자 위치 정보 등 개인정보 51개 항목을 수집합니다.


우리 기업들이 개인정보 수집에 미온적인 이유는 바로 개인정보보호법, 정보통신법 등 상대적으로 엄격한 국내법 때문입니다. 반면 글로벌 기업들은 해외에 서버가 있기 때문에 국내법 규제를 피해갑니다. 


현재 시행 중인 개인정보보호법은‘개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다(제3조 제1항)’라고 규정하여 개인정보를 최소한으로 수집할 것을 명시하고 있습니다. 심지어 방송통신위원회는‘온라인 개인정보처리 가이드라인’을 통해 서비스의 본질적 기능과 무관한 정보수집(연락처 등)은 일일이 이용자의 동의를 받도록 하고 있습니다. 또한 개인정보보호법에 따르면 이미 수집한 개인정보라도 처리 목적이 달라지면, 즉 신규서비스에 적용하려면 다시 이용자로부터 명시적 동의를 받도록 하고 있습니다(개인정보보호법 제15조 제2항 제1호). 


이러한 이유로 국내 기업이 개인정보 활용을 하는 것은 사실상 불가능한 상태입니다. 이는 통계를 보아도 알 수 있습니다. 2018년 한국데이터산업진흥원이 12개 업종 1204개 기업을 대상으로 조사한 결과 빅데이터 도입률은 10%에 불과했습니다. 스위스 국제경영개발대학원이 2018년 빅데이터 활용역량을 조사한 결과 한국은 63개국 중 31위였고, 국내총생산(GDP) 2만 달러 이상인 31개국 중에서는 21위에 그쳤습니다.


2) 신용정보법 상의 활용 제한

최근 취업에 성공한 직장인 A씨는 높은 대출 문턱에 좌절하였습니다. 급하게 자취방을 구하기 위해 은행에서 3,000만원을 대출받으려 했지만, 퇴짜를 맞았습니다. 연체는 물론 금융권 대출을 받은 적도 없었지만 “최소 3개월 이상 급여를 받아야 대출심사가 가능하다.”는 답변만 들었습니다. 결국 A씨는 금리가 높은 대부업체를 찾아갈 수 밖에 없었습니다. 


이 사례에서 A씨는 대출금을 갚을 능력과 의지가 있음에도 금융이력이 부족하다는 이유로 저신용자 취급을 받았습니다. 통신사 정보나 쇼핑몰 결제 이력 등 비금융데이터를 활용하면 신용등급을 올릴 수 있지만 현행 개인정보보호법 및 신용정보법 상으로는 불가능하기 때문입니다.


현재 우리나라의 금융이력 부족자(최근 2년간 신용카드를 이용한 실적이 없고, 3년 내 대출 경험이 없는 사람)는 지속적으로 늘어나는 추세에 있습니다. 특히 사회초년생이나 고령층 등 사회약자층 비중이 높습니다.


은행 대출은 신용정보회사(CB사)들이 고객의 금융거래 내역을 수집해 매긴 신용등급이나 점수를 기반으로 이루어집니다. 이에 따라 금융이력 부족자는 신용등급이 낮아 대출심사에서 탈락할 가능성이 높습니다.


은행 문턱을 넘지 못하면 금리가 높은 2금융권을 찾을 수 밖에 없습니다. 시중 은행 신용대출 금리가 연 3~5% 수준이라면, 대부업체에서는 20%에 육박합니다. 대출을 받아도 늘어나는 이자를 감당하지 못하면 언제나 파산이라는 악순환으로 이어질 수 있습니다. 


이러한 문제 해결을 위한 방법은 무엇일까요. 바로 (비금융)데이터를 활용하는 것입니다. 예컨대 신용평가사들이 통신사 요금이나 국민연금 등을 6개월 이상 납부한 실적이 있으면 신용등급을 책정할 때 가점을 주거나, 은행이 금융 이력이 부족해 대출심사에서 탈락한 고객들을 재심사하며 통신3사 정보를 반영한 신용평가시스템을 활용하는 것입니다. 


문제는 현재 데이터 3법 하에서는 비금융데이터를 활용할 길이 좁다는 것입니다. 금융이력 부족자가 신용등급 가점을 받으려면 직접 관련 내역에 대한 정보제공 동의서를 제출하고 이를 1년마다 업데이트를 하여야 합니다. 은행이 비금융데이터를 활용하려면 외부업체와 개별적으로 제휴하고 사전동의를 받은 데이터만 공유·검증하는 절차를 거쳐야 합니다. 


현행 신용정보법은 신용정보회사, 신용정보제공·이용자 등이 신용정보를 수집·조사 및 처리하기 위하여는 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집·조사 및 처리하여야 하고(신용정보법 제15조 제1항), 개인신용정보를 수집하기 위하여 해당 신용정보주체의 동의를 받아야 하며(신용정보법 제15조 제2항), 신용정보제공·이용자가 개인신용정보를 타인에게 제공하려는 경우에는 해당 정보를 제공할 때마다 미리 개별적으로 동의를 받아야 하기 때문입니다(신용정보법 제32조 제1항).


결국 국내 금융기관은 비금융데이터 등의 정보를 활용하기도 사실상 어려운 구조라 할 것입니다.


3) 정보통신망법 상의 활용 제한

클라우드 서비스는 현재 IT 업계 신성장 동력으로 꼽히고 있습니다. 클라우드 서비스를 이용하면 쿠팡·위메프 같은 온라인 쇼핑몰에서 이벤트로 고객접속이 폭주해도 서버가 다운되지 않습니다. 자동으로 서버 용량이 늘어나기 때문입니다.


구글이나 네이버 등에서 내놓은 인공지능, OCR(광학문자인식), 음성인식 등 최신 IT기술도 그대로 가져다 쓸 수 있습니다. 즉, 네이버 쇼핑몰에서 추천하는 인공지능 상품 추천기능을 자신이 운영하는 쇼핑몰에서 쓰고 싶으면, 네이버 클라우드를 이용하면 손쉽게 구현이 가능해집니다.


소프트웨어 작동도 과거 아래아한글 등은 PC에 설치해서 사용했지만, 요즘엔 클라우드 상에서 구동됩니다. ID와 비밀번호만 입력하면, 어떤 컴퓨터에서든 내가 저장한 문서와 사용환경을 그대로 불러올 수 있습니다.


그러나 현재 정보통신방법에 따르면, 정보통신서비스 제공자가 개인정보를 위탁할 경우 모든 이용자에게 사전에 개별 동의를 받아야 합니다(제25조). 예를 들어 A카드사가 고객의 구매성향을 분석해 마케팅에 활용하려 한다면, A사는 먼저 고객 구매 관련 정보를 클라우드로 옮겨야 하는데 데이터를 옮기는 과정에서 의무적으로 고객 동의를 일일이 받아야 합니다. 고객의 동의 없이 클라우드에 포함된 인공지능(AI), 머신러닝 기능을 활용해 마케팅 목적으로 고객데이터를 분석할 수 없습니다. 그러나 현실적으로 클라우드 이전 과정에서 모든 고객의 동의를 받는 것은 불가능합니다. 기업이 클라우드를 사용하려는 주된 목적이 구글·아마존·네이버에서 제공하는 인공지능(AI), 머신러닝 등을 통해 고객데이터를 분석하고, 이 분석데이터를 매출 증가를 위한 마케팅에 활용하려는 것임을 고려할 때 현행법 하에서는 기업이 클라우드를 활용하기란 사실상 불가능한 것입니다.


이러한 규제로 인하여 한국의 기업용 클라우드 서비스 사용률은 2016년 기준으로 경제협력개발기구(OECD) 33개 회원국 중 12.9%로 27위에 불과하였습니다. 1위는 핀란드로 사용률이 56.9%, 무려 한국의 4배였습니다.


만약 이러한 규제가 철폐된다면 개인정보를 위탁할 때 이용자 동의가 아닌 홈페이지 등을 통한 고지 방식으로도 가능해, 이종 산업 간 데이터 이동이 자유로워져 기업용 클라우드 서비스 사용도 늘어나게 될 것입니다.


4) 기존 데이터 3법에 대한 IT 업계 등 산업계의 우려

데이터 빅뱅 시대에서 빅데이터의 활용은 미래 먹거리와 직결되는 문제입니다. 이른바 ‘ABC산업’으로 불리는 인공지능(AI), 빅데이터(Big Data), 클라우드(Cloud) 등 미래 산업은 모두 데이터를 기반으로 하고 있습니다. 이에 따라 현재 산업계 곳곳에서는 빅데이터를 활용하고 기술력을 확보하려는 노력이 이어지고 있습니다. 


특히 벤처나 스타트업 기업의 경우 독특한 아이디어만 있으면 큰돈 없이도 빅데이터를 활용한 다양한 비즈니스 모델을 만들기 위해 노력하고 있습니다. IT 벤처 관계자에 따르면, “데이터 3법이 개정되어 데이터만 충분히 확보할 수 있다면 분야별, 도메인별로 데이터를 나눠 각 카테고리에 학습엔진만 돌려도 사업을 할 수 있는 것들이 많이 생길 수 있다”고 합니다. 이와 같이 인공지능(AI) 등 산업이 진화하기 위해서는 보다 많은 빅데이터를 수집해 정확도를 높여야 할 필요가 있습니다. 


그러나 지금까지는 데이터 활용의 법적 제약 탓에 산업 성장에 한계를 보여 왔습니다. 특히 개발 중간에 수익이 나지 않으면 투자도 못 받고 결국 사업을 접어야 할 수 밖에 없는 스타트업의 경우 데이터 3법으로 인해 제대로 출발도 못 하고 있는 실정입니다.


나. 데이터 활용을 위한 그 동안의 노력

(1) 이러한 업계의 목소리를 반영하여 2016년 정부는 ‘개인정보 비식별조치 가이드라인’을 발표하여 기업이 보유한 고객 정보를 한국인터넷진흥원 등 전문기관에 넘겨 다른 기업이 보유한 정보와 결합할 수 있도록 하는 길을 열었습니다. 이에 통신3사를 비롯한 국내 20개 기업은 한국인터넷진흥원, 신용정보원 등 비식별조치 전문기관을 통해 3억 4,000만 건에 달하는 개인정보를 가공 의뢰하였습니다.


예를 들어 SK텔레콤이 보유한 통신료 납입 정보, 단말기 정보 등과 한화생명이 보유한 추정소득금액, 추정주택가격, 보험 가입건수 등을 결합하여 여러 기업이 공유하려 하였습니다.


그러나 2017년 11월 시민단체들이 이 기업들을 개인정보보호법 위반(정보주체의 동의 없는 제3자 제공)으로 고발하였고, 검찰이 무혐의 처리하였으나 결국 기업들은 더이상 데이터 활용 문제를 진행하지 않아 위 가이드라인은 사실상 사문화되고 말았습니다.


(2) 2018년 10월경 국회 과학기술정보방송통신위원회 국정감사에서 김범수 카카오 의장은 “카카오브레인의 대표를 하면서 카카오의 비전과 대한민국의 미래를 위해 필요한 인재를 모았는데, 30% 밖에 확보하지 못했다. 이들은 국내에 남지 않는 이유를 데이터의 수집과 활용이 어려운 구조라고 하였다.”고 하며, “AI기술은 데이터를 활용하는 경험이 많을수록 발전할 수 밖에 없다, 골든타임을 놓치면 과학기술의 미래는 어둡다.”고 강조하였습니다.


이에 문재인 대통령은 ‘데이터 경제’를 선언하며 “데이터 고속도로를 구축하겠다.”고 천명하였습니다. 더불어민주당은 ‘데이터3법 개정’을 당론으로 채택하고 국회 통과를 추진하였습니다.



이호영 변호사 (hylee@lawlogos.com)

미국변호사

관련 법조인