[월요논단]'프라이버시 바이 디자인(Privacy by Design)'

1997년작 영화 '페이스오프'는 얼굴 피부 이식으로 첩보요원과 악당의 운명이 뒤바뀐다는 독특한 설정으로 이목을 끌었다. 사반세기가 지난 오늘날에는 수술 없이 얼굴 정보 메트릭만 변경하면 전혀 다른 인물로 인식되는 세상이 왔다. 지난해 8월부터 개인정보보호법은 얼굴 정보를 민감정보로 규정해 특별히 보호하고 있다. 최근 정부에서 체온측정용 열화상 카메라를 점검한 결과 일부 모델에서 얼굴 영상 저장·전송 기능 탑재를 확인했다. 해킹 등 유출이 없어서 다행이라 여긴다면 중요한 문제를 놓치는 일이다. 체온측정과 무관한 민감정보 저장·전송 기능이 아무 경각심 없이 제품 설계에 반영돼 제조·유통된다는 사실, 그 자체가 위협적이다. 이 사례에서 개인정보 침해 위험을 원천 봉쇄하는 방법은 없을까.

해답은 간단하다. 열화상 카메라 제조 단계에서 얼굴영상 저장·전송 기능을 탑재하지 않거나 비활성화를 기본값으로 설정하면 된다. 이른바 '프라이버시 바이 디자인'(PbD, Privacy by Design)이다. PbD란 기기나 애플리케이션(앱) 또는 서비스의 기획부터 폐기까지 전 주기에 걸쳐 프라이버시를 고려한 기술·정책을 시스템 엔지니어링에 반영토록 요청하는 접근법이다. 예를 들어 민감정보 수집은 비활성화를 기본값으로 설정하고 네트워크 전송구간을 암호화, 정보기술(IT) 자산 폐기 시 개인정보 삭제 확인 등을 해야 한다. 2008년에 시행된 유럽연합 개인정보보호법(제25조)은 PbD를 새로운 개인정보보호 위협에 대한 최적 방안으로 제시하고 있다. 개인정보위도 지난 5월 선보인 '인공지능 개인정보보호 자율점검표'에서 PbD 적용을 최초로 공식화했다.

디지털 시대의 개인정보 보호에 PbD가 주목받는 이유는 무엇인가. 우리 주변을 둘러보자. 사물인터넷(IoT), 빅데이터, 인공지능(AI) 등의 기술 발전으로 개인정보를 수집·분석·저장·활용하는 디지털기기 및 서비스가 폭증하고 있다. 스마트폰은 5259만 회선이 보급돼 이미 인구수를 넘어섰고, AI스피커 이용자는 2500만명이 넘는다. 직장인의 하루 폐쇄회로(CC)TV 노출 횟수가 100회에 이른다는 조사 결과가 있지만 공공기관이 운영하는 CCTV만 133만대가 넘는 상황을 고려하면 놀라운 숫자가 아니다.

여기에 데이터를 실시간·대용량 처리하는 자율주행차가 상용화를 앞두고 있고, 스마트시티 구현도 머지않은 일이다. 디지털기기와 서비스의 특징은 전 생애주기에 걸쳐 개인정보 처리기술이 적용되고 그 과정에 서비스설계자, 제품제조자, 네트워크 운영자, 클라우드 사업자 등 다양한 이해관계자들이 개입된다는 사실이다. 이에 따라 새로운 디지털 환경에서 실효적 개인정보보호를 위해서는 전통적 개인정보 처리자 외에도 다양한 이해관계자를 포함하는 프레임워크 구축이 필요하다. PbD는 이들까지 개인정보보호 책무 확장에 필요한 핵심 논거이며, 보호조치 적용 단계의 실행 원칙이다.

개인정보위는 특히 신기술 분야에 PbD가 효과적으로 정착되도록 역량을 집중하고자 한다. 먼저 분야별 개인정보보호 가이드라인을 제시하고 기술 발전 수준에 맞게 주기적으로 보완할 계획이다. 이미 AI, 생체정보에 대한 가이드라인을 공개해 비즈니스 불확실성을 꽤 완화했다는 평가를 받고 있다. 올해 안으로 자율주행차, 스마트시티, 드론에 대한 개인정보보호 가이드라인도 선보일 예정이다. 다음으로 제조 단계부터 PbD 적용을 촉진할 제도적 방안을 검토할 계획이다. 산업계, 학계, 소비자보호단체 등의 활발한 참여와 논의가 필요한 과제다.

하루가 다르게 새로운 데이터 기술이 등장하고, 데이터를 둘러싼 경쟁이 치열해지는 시대다. 개인정보를 보호하고 이를 통해 인간 존엄과 자유를 지키는 일은 더욱 어려워지고 있다. 기업·시민·정부 모두가 현명해지고 냉정해져야 한다. 얼굴 촬영 열화상 카메라 사례가 주는 무거운 교훈이다.

윤종인 개인정보보호위원장 lmj777@korea.kr