클라우드 확산 막는 ‘손톱 밑 가시’ 개인정보 위탁 규제

  • 동아일보
  • 입력 2019년 8월 25일 17시 41분


코멘트
최근 온라인 판매시스템의 클라우드 전환을 추진하는 국내 뷰티기업 A사는 난감한 상황에 빠졌다. 이 회사는 웹사이트 회원가입을 통해 지금까지 수집해 온 개인정보와 구매정보를 전문 클라우드 기업의 빅데이터 솔루션을 통해 분석, 더 정교한 마케팅 계획을 짜려고 했다. 그런데 정보통신망법상 개인정보를 외부 기업의 클라우드에서 돌리려면 다시 회원들의 개별 동의 절차를 거쳐야 한다. A사 관계자는 “수 만 명의 동의를 다시 받는 게 단기간 내에는 불가능하다”고 토로했다.

이달 국회의 ‘데이터3법(개인정보보호법·정보통신망법·신용정보보호법)’ 개정안에 대한 심사가 재개된 가운데 ‘개인정보 제 3자 위탁 시 동의 규제’를 개선해야 한다는 목소리가 나온다. 개인정보 위탁은 다른 기업에 개인정보가 이전된다는 점에선 ‘제 3자 제공’과 같다. 하지만 위탁자의 업무에 클라우드, 인공지능(AI) 등을 접목하기 위한 것이라는 점에서 제공받는 기업의 이익을 위해 활용하는 제 3자 제공과는 다르다. 그런데 같은 수준의 엄격한 동의절차를 요구하고 있는 것이다.

정보통신망법의 개인정보 위탁 관련 규정은 통신업체, 인터넷기업뿐만 아니라 인터넷뱅킹이나 홈트레이딩 서비스를 제공하는 금융업체, 인터넷 쇼핑몰 운영사 등 IT를 접목하는 기존 기업들에도 적용된다. 예컨대 시중은행이 클라우드 시스템을 새로 도입하려면 1000만 명이 넘는 이용자의 동의를 모두 개별적으로 받아내야 한다. 한 은행 IT부서 관계자는 “지금까지는 고객 개인정보가 포함되지 않은 인사, 노무 등 비핵심정보만 클라우드를 이용해왔다”며 “고객 개인정보를 클라우드 시스템으로 옮기는 건 현행법 내에서 어려워 보인다”고 말했다.

이 같은 경직된 규제가 클라우드 도입, 빅데이터 활용 등 기업의 ‘디지털 트랜스포메이션’을 저해한다는 우려의 목소리가 크다. 이진규 네이버 정보보호최고책임자(CISO)는 최근 국회 토론회에서 “소비자에게 정보 위탁에 대한 추가 동의를 받는 게 현실적으로 쉽지 않은 상황에서 아마존웹서비스(AWS)처럼 인공지능(AI)이나 클라우드 기술을 보유한 전문 기업에 개인정보가 담긴 데이터를 넘기는 게 불가능하다”고 설명했다.

OECD에 따르면 지난해 기준 한국의 기업 클라우드 도입률은 12.9%로 OECD 전체 평균(30%)의 절반에도 못 미쳐 27위에 불과하다. 지난해 스위스 국제경영대학원(IMD)가 발표한 빅데이터 활용·분석 국가별 순위도 31위에 그쳤다. 미국, 유럽 등 주요 국가에서는 개인정보 위탁은 개인정보 주관자(위탁자)와 처리자(수탁자)의 계약에 일임할 뿐 별다른 규제가 없다. 위탁하는 기업이 책임지면 될 뿐 별도의 동의 절차를 요구하진 않는 것이다.

개인정보 위탁과 제 3자 제공을 구분해 위탁 시에는 사실 공개와 고지 등의 의무만 부과한 개인정보보호법과 상충된다는 지적도 나온다. 정부는 유럽의 개인정보보호규정(GDPR)을 준수하기 위해 데이터3법의 개인정보 관련 규정을 개인정보보호법으로 모두 이관하는 방안을 추진 중이다. IT업계 관계자는 “정부가 빅데이터 산업 증진을 위해 데이터3법의 통합과 정보주체의 동의 없이도 활용할 수 있는 가명정보 영역 신설 등을 추진하고 있지만 그 전에 정보통신망법의 위탁 규제를 개선하지 않으면 공염불이 될 것”이라고 지적했다.

황태호 기자 taeho@donga.com
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스