[법과 정치] 지성우의 헌법과 정치-빅데이터, 클라우드 환경에서 개인정보보호법의 문제점 및 개선 방안

2017-12-28 14:26

Ⅰ. 들어가는 말

초고속 인터넷이 발달하면서 정보화사회가 가속화되고 이를 기반으로 한 신기술이 개발‧활용되고 정보화사회를 넘어 제4차 산업혁명이라고 불리는 지능정보사회로 진화하고 있다. 이 중심에는 클라우드 컴퓨팅과 이를 기반으로 하는 빅데이터가 있다.

인터넷을 기반으로 대량의 컴퓨팅 파워를 바탕으로 기존에 불가능하게 여겨지던 것들을 순식간에 해결할 수 있는 연산능력을 제공하고 있다. 과거 수퍼컴퓨터에서나 가능하던 일을 클라우드컴퓨팅으로 인해 손쉽게 해결할 수 있고, 이러한 컴퓨팅 파워를 기반으로 빅데이터 기술을 활용한 다양한 새로운 비즈니스가 개발되고 우리 일상에 널리 활용되고 있다.

이러한 정보통신의 발달과 함께 개인정보보호 문제와 이와 관련하여 개인정보자기결정권이 문제되고 있다. 개인정보자기결정권은 정보통신의 발달에 따라 개인에 관한 정보가 손쉽게 수집되고 활용될 수 있다는 점에서 발전한 인격권 내지 프라이버시권과 유사하지만 독자적인 기본권의 하나로 인정되고 있다. 일상생활에서 널리 활용되는 신기술과 이로 인해 침해될 수 있는 개인정보자기결정권의 문제는 현 시점에서 매우 중요한 이슈이자 해결해야하는 과제이다.

이하에서는 클라우드컴퓨팅, 빅데이터 개념 및 특성을 살펴보고 이러한 기술 환경에서 개인정보보호법의 개선방안이 무엇인지 살펴보기로 한다.

Ⅱ. 클라우드컴퓨팅의 개념 및 특성

1. 클라우드컴퓨팅의 개념

우선 ‘클라우드’라는 단어의 의미에 대하여 그 정확한 의미 내지는 연원을 알 수 없다. 다만 ‘클라우드’는 네트워크(인터넷)을 의미한다는 견해, 서로 연결된 대규모 컴퓨터 집단을 말한다는 견해도 있다. 즉 어느 하나의 대형 서버에 소프트웨어나 데이터가 저장되는 것이 아니라, 네트워크로 연결되어 마치 구름처럼 고정된 형태가 없는 가상세계의 서버에 저장된다는 의미이다.

또한 클라우드라고 명명한 이유에 대하여 원래 컴퓨터의 네트워크를 도식화할 때 구름모양으로 표현한다는 점과 이용자는 자신이 이용하는 서버의 환경이나 시스템에 대해 알 필요도 없고 보이지도 않는다는 의미에서 유래되었다고 하는 견해도 있다. 이처럼 ‘클라우드’에 관한 의미조차 통일된 설명이 없다는 점이 ‘클라우드컴퓨팅’의 개념에 관하여 통일되고 정리된 정의를 내리기 곤란하게 만든다.
‘클라우드’를 다양하게 해석하는 것과 같이 ‘클라우드컴퓨팅’의 정의 또한 다양하게 내려지고 있다.

우선 제3자가 관리하는 하드웨어와 통신망을 통하여 필요에 따라 거의 무제한의 전산자원을 이용할 수 있는 가입 기반의 서비스라고 정의하기도 하고, 컴퓨터 자원인 저장기술과 통신기술을 가상화기술 또는 분산처리기술을 이용하여 하나의 컴퓨터 자원처럼 활용하는 기술적 사상으로 이야기하기도 한다. 또 단순하게 자신의 컴퓨터가 아니라 서비스 제공자의 컴퓨터에서 응용 프로그램을 실행하고 저장하는 것이라고 단순하게 정의하기도 한다.
클라우드컴퓨팅은 권위 있는 기관들에 의하여도 다음과 같이 다양하게 정의가 내려지고 있다.
먼저 가드너에 의하면 인터넷 기술을 활용하여 다수의 고객에게 확장성과 탄력성을 가진 IT자원들을 서비스로 제공하는 하나의 컴퓨팅 스타일로 정의하고 있다.

또한 포레스터 리서치는 표준화된 IT기반기능들이 인터넷프로토콜을 통해 제공되며, 언제나 접근이 허용되고, 수요의 변화에 따라 가변적이며, 사용량이나 광고에 기반을 둔 과금모델을 제공하며 웹 혹은 프로그램 인터페이스를 제공하는 장치로 정의하고 있다.

이중에 가장 권위 있고 일반적으로 많이 인용되는 정의는 미국국립표준기술원(NIST)의 정의이다. NIST는 클라우드컴퓨팅의 개념을 최소한의 관리나 서비스 제공자의 작업만으로 신속히 제공․배포될 수 있고, 요구에 따라 변경될 수 있는, 컴퓨팅 자원들(네트워크, 서버, 스토리지, 어플리케이션, 서비스 등)의 공유된 집합에 언제, 어디서나, 편리하게, 수요에 따라 네트워크를 통해 접속할 수 있도록 하는 컴퓨팅 모델이라고 정의하고 있다.

2. 클라우드컴퓨팅의 특성

첫째, 경제적 이점이 있다. 클라우드컴퓨팅은 IT자원을 직접 구축하지 않고 접속하는 만큼 비용을 지불할 수 있어 이용자의 비용부담의 최적화를 달성할 수 있다. 예컨대, 2007년 미국 뉴욕타임즈는 아마존의 클라우드 서비스인 웹서비스와 S3를 이용해 1851년부터 1922년까지 1100만 건에 이르는 신문기사를 PDF로 전환하는 작업을 수일 만에 수백 달러의 비용으로 해결한 사례가 대표적이라 할 수 있다.

또한 값비싼 서버, 소프트웨어를 살 필요가 없을 뿐만 아니라 그것들을 유지하기 위한 IT 인력이나 데이터센터 관리비용 등을 지불할 필요가 없다. 클라우드 서비스 제공자의 서버, 어플리케이션 등을 이용하고 그것에 대한 임대료만 지급하면 되는 것이다. 특히 소규모 기업을 창업할 경우 초기 비용을 대폭 절감할 수도 있을 것이다.

둘째, 유연성이 있다. 기업들이 사업을 지원하기 위한 기술보다는 사업자체에 집중할 수 있다. 클라우드 서비스를 활용함으로써 사업 지원을 위한 소프트웨어, 하드웨어 네트워크 인프라 등에 직접 투자할 필요가 없는 것이다. 또한 클라우드를 통해서 사업 구성원간의 지식과 정보를 쉽게 공유할 수 있다.

셋째, 클라우드컴퓨팅의 장점으로서 신속한 구현을 들 수 있다. 자체적인 시스템 구축시간을 단축할 수 있어 결과적으로 신속한 사업개시가 가능하다.

넷째, 효율성을 증가 시킬 수 있다. 클라우드컴퓨팅은 임무수행에 필수적인 작업에 더 많은 시간을 보내고, IT 작동과 유지에는 적은 시간을 보낼 수 있도록 함으로서 시스템 구성 및 유지의 IT시스템의 미세한 세부사항으로부터 사용자들을 자유롭게 한다.

다섯째, 클라우드컴퓨팅은 에너지 효율성을 실현시키는 이점을 지니고 있다. 자원이 공동화됨으로서, 개별 이용자들이 서버나 소프트웨어를 구입할 필요가 없기 때문에 그만큼 추가적인 생산이 필요없게 되고 또 서버 등을 개별적으로 유지하기 위한 전기에너지와 같은 자원을 절약할 수 있을 것이다.

여섯째, 이용자는 클라우드컴퓨팅을 이용할 때 어플리케이션 등을 자신의 컴퓨터(단말기)에 저장해 두어야 할 필요가 없기 때문에 컴퓨터 관리가 쉽고 항상 최신의 어플리케이션을 이용할 수 있다. 또한 이용자는 컴퓨터 관리에 필요한 복잡한 기술이나 인프라에 대한 전문 지식이 필요 없게 되어 누구든지 보다 쉽게 컴퓨터를 이용할 수 있게 된다.

Ⅲ. 빅데이터의 개념 및 특성

1. 빅데이터의 개념

빅데이터를 양적으로 정의할 경우 ‘거대한 데이터의 집합’ 또는 ‘과거 아날로그 환경에서 생성되던 데이터에 비하면 그 규모가 방대하고 생성주기도 짧고 형태도 수치 데이터뿐만 아니라 문자와 영상데이터를 포함하는 대규모 데이터’라고 할 수 있다. 기술적 측면에서 대규모 데이터에서 ‘가치 있는 내용을 추출하는 기술’을 빅데이터로 정의하기도 한다.

우리 국가정보화전략위원회는 빅데이터를 ‘대용량 데이터를 활용, 분석하여 가치 있는 정보를 추출하고, 생성된 지식을 바탕으로 능동적으로 대응하거나 변화를 예측하기 위한 정보화 기술’이라고 정의한다. 또한 빅데이터의 유연성을 비즈니스에 집중시켜 빅데이터 비즈니스를 ‘빅데이터를 이용하여 사회・경제적 문제를 해결하고 업무의 부가가치 향상을 행하거나 또는 지원하는 사업’이라고도 정의하기도 한다.

2, 빅데이터의 특성

빅데이터는 우리 주변 세계를 이해할 기회를 제공하며 엄청난 양의 데이터를 처리하며 한편 빅데이터는 빠른 속도의 데이터 생성이라는 특징을 갖는다. 또한 빅데이터는 다양하고 이질적인 데이터를 갖는 것이 특징이다. 텍스트 데이터 이외에도 사진이나 동영상 같은 비텍스트 데이터들이 엄청나게 증가하고 있다.

한편 빅데이터는 정확하지 않은 들쭉날쭉한 데이터도 포괄한다. 또한 빅데이터는 데이터 분석을 통해 예측을 시도한다. 빅데이터가 수집하고 저장・관리하는 방대하고 이질적인데 다양한 데이터를 분석함으로써 새로운 통찰이나 가치를 창출한다. 빅데이터의 이용가치를 인식한 앞서가는 기업들은 빅데이터를 이용하여 소비자 및 주주를 위해 새로운 가치의 원천을 만들어 내고자 하였다. 가장 대표적인 통찰이 바로 ‘예측’이다. 요즘 대부분의 기업들은 빅데이터에 관심을 가지면서 이를 비즈니스에 활용하려고 한다.

또한 빅 데이터를 통해 사회적 패러다임이 변화된다. 빅 데이터는 우리 삶의 형식, 사회적 구조, 더 나아가 사회의 패러다임을 바꾸게 될 것이다. 정보화사회에서는 사회 모든 영역에 정보가 존재하고 그 정보는 엄청나게 증가한다. 정치체계나 경제체계가 생산하는 각종 정보뿐만 아니라, 건강, 위치, 자연환경, 차량의 상태 그리고 SNS에서 이루어지는 각종 소통 및 감정을 포함한 우리 인간의 모든 행동 및 커뮤니케이션 역시 정보가 된다.

빅데이터 과학은 이렇게 세상 곳곳에 퍼져 있는 정보를 수집하는 것에서 출발한다. 정보는 일정한 가공과정을 거쳐 데이터로 전환되고 정보가 데이터화를 거쳐 데이터가 되면 이를 분석하고 시각화하는 과정을 거치게 되는데 소위 ‘데이터 마이닝’(data mining)이라고 칭하며 빅데이터를 분석하여 새로운 통찰이나 가치를 발견하는 과정을 일컫는다.

Ⅳ. 클라우드컴퓨팅, 빅데이터 환경에서의 개인정보보호법의 문제점 및 개선방안

클라우드컴퓨팅과 빅데이터 환경에서 개인정보보호에 관한 쟁점은 여러 가지 있을 수 있으나 본고에서는 2가지만 논하기로 한다. 우선 클라우드컴퓨팅의 특징 중 하나인 정보통신자원의 임차개념 즉 빌려쓰는 개념에서 도출될 수 있는 개인정보의 위탁문제와 빅데이터를 위해 필수불가결한 정보의 수집 관련한 개인정보의 정의 개념문제이다.

전자의 경우에는 현행 개인정보보호법과 정보통신망법에 따라 개인정보 취급자의 위탁자 책임의 문제이며, 후자는 개인정보의 정의규정 및 동의에 따른 문제이다.

1. 개인정보 취급자의 위탁자 책임 관련입법 개선방안

앞서 살펴본 바와 같이 클라우드컴퓨팅은 정보의 집적과 정보의 정보통신자원을 임대하여 이용한다. 정보통신자원 임대와 관련하여 정보를 위탁하게 되는 결과를 야기한다. 이러한 특징은 개인정보보호에도 그대로 나타난다. 정보의 집적은 개인정보의 침해 또는 유출의 경우 막대한 손해를 야기할 수 있는 문제점이 있으며, 정보통신자원의 임대의 성격은 개인정보 수탁자의 책임문제와 직결된다.

우선 클라우드컴퓨팅의 구조적인 모습으로 인하여 클라우드컴퓨팅 서비스를 이용하는 기업의 경우 개인정보 취급자에 해당한다. 이 경우 클라우드컴퓨팅 서비스 제공자는 개인정보 취급 수탁자의 지위를 갖게 된다. 그러나 현행 개인정보보호법 내지는 정보통신망법의 경우 개인정보 취급 수탁자는 일정한 책임을 부담한다.

정보통신망법 제25조는 개인정보 처리를 위탁하는 경우 이용자에게 수탁자 등을 알리고 동의를 받도록 하고 있으며, 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정하고, 수탁자가 이 목적을 벗어나서 개인정보를 처리해서는 아니되며, 수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 규정을 위반한 경우 정보통신서비스제공자의 소속 직원으로 본다고 규정하고 있다.

또한 위탁자는 수탁자를 관리‧감독 및 교육을 하여야 한다고 규정하고 있다. 한편 개인정보보호법은 수탁자에 대하여 위탁자(개인정보처리자)의 여러 가지 의무 즉 개인정보의 수집‧이용 등의 동의, 개인정보 제공 동의 등을 준용하도록 하고 있어 실질에 있어서 개인정보처리자와 유사한 의무를 부과하고 있다. 이러한 의무부과가 클라우드컴퓨팅 서비스 제공자의 입장에서 타당한가를 살펴보면 과도한 면이 있다.

클라우드컴퓨팅 서비스를 제공하는 사업자의 경우 물리적인 정보통신자원 즉 PC 등을 제공하는 것이 아닐뿐 실질에 있어서는 이와 유사하게 인터넷을 통하여 정보통신자원 즉 CPU, 저장소 등을 제공하는 것이며, 이용자의 정보가 어떠한 내용인지 알 수 없는 것이 원칙이다. 특히나 저장된 정보도 분산처리되어 있으므로 악의적으로 내용을 보려고 하지 않는 이상 어떠한 내용인지 즉 개인정보인지 일반적인 정보인지 알 수 없는 것이다.

또한 현행법상 위탁자의 수탁자에 대한 교육의무 부과도 현실적이지 않다. 클라우드컴퓨팅 서비스를 이용하여 사업을 하는 사업자의 경우 1인기업 및 중소기업도 포함하고 있는바, 이들이 클라우드컴퓨팅 서비스 제공자를 관리감독 및 교육한다는 것은 실질에 있어서 불가능에 가깝다.

이러한 현실은 감안해 볼 때 클라우드컴퓨팅을 활성화하는 측면과 정보주체의 보호라는 측면을 조화롭게 운용할 필요가 있다. 따라서 명시적으로 개인정보의 위탁·수탁 계약을 맺거나 최소한 개인정보가 보관되어 있다는 점을 알 수 있었을 경우에 한하여 위탁·수탁 관계가 성립된다는 입법적 해결이 필요하다고 하겠다.

또한 위탁자의 수탁자에 대한 관리감독 및 교육의무도 완화할 필요가 있다. 최근 개정된 정보통신망법은 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다고 개정하여 개인정보의 위탁 시 동의절차를 간소화하였다.

2. 개인정보의 정의 및 동의규정 관련 입법 개선방안

빅데이터는 정보의 수집을 통한 데이터 분석이 본질이다. 그러나 현행 개인정보보호법 또는 정보통신망법의 개인정보의 개념이 너무 광범위하여 빅데이터 사업을 하는데 어려움이 있다는 지적은 새삼스러운 것이 아니다.

개인정보보호법은 제2조제1호에서 “개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.”고 정의하고 있다. 즉 개인정보보호법상 개인정보는 개인에 관한 정보로, 개인식별성과 정보성이라는 두 가지 요소로 구성되어 있다.

개인식별성은 살아 있는 개인을 전제로 하여, 해당 정보만으로 개인을 알아볼 수 있거나 해당 정보와 다른 정보를 결합하여 개인을 알아볼 수 있는 경우를 말한다. 개인정보보호법은 정보성과 관련, 정보내용에 대해서 아무런 제한을 두고 있지 않다.

개인정보보호법 제2조 제1호에서 정의하고 있는 개인정보에 대한 주된 비판은 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.”고 규정함으로써 개인정보 보호범위가 무한대로 확장할 수 있다는 비판이 제기되고 있다. 현행 규정에 의하면 기업이 자유롭게 활용할 수 있는 개인정보와 정보주체의 동의를 받아야만 활용할 수 있는 개인정보의 구별이 불분명하기 때문에 빅데이터(big data) 등 신산업의 발전가능성을 저해한다.

빅데이터 사업을 시행하는 기업은 불가피하게 개인과 관련된 정보를 보유하게 되는데 이 과정에서 개인정보보호법 위반이 발생할 수 있기 때문이다. 그러나 이러한 주장에 대해서는 개인식별가능성의 범위를 과도하게 축소하는 결과를 야기한다고 하여 비판하는 목소리도 높다. 즉 정보주체의 권리가 과도하게 침해받을 수 있다는 것이다.

정보통신기술의 발전으로 개인정보의 수집이 일상화되고 있기 때문에 개인식별된 정보뿐만 아니라 식별가능한 정보까지 개인정보의 개념에 포함하는 것이 타당하다는 전제아래 다만 개인정보의 정의조항의 불명확성을 피하기 위해 개정되거나 해석이 정리될 필요가 있다고 한다. 개인정보의 개념과 관련하여 헌법재판소가 판시한 개인정보의 범위는 개인정보보호법이 정의하는 개인정보 보다 좁다.

개인정보보호법에서는 개인에 관한 일체의 정보를 개인정보라고 하는데 반해 헌법재판소는 개인에 관한 정보 중 개인의 인격주체성을 특징짓는 사항을 개인정보로 한정하고 있다. 식별가능한 개인을 전제로 하는 것은 동일하다. 이러한 차이점은 개인정보의 범위를 획정하는데 우리에게 시사점을 제공한다. 또 한가지 고려할 점은 개인정보 보호체계에 관한 문제이다. 우리나라에서는 개인정보의 처리에 반드시 정보주체의 동의가 필요하고, 동의 없는 개인정보 처리는 형사처벌의 대상이 된다. 이러한 체계는 개선의 필요가 있다.

Ⅴ. 결론

개인정보 보호의 관리체계를 개선하는 데 있어서 중요하게 고려 사항은 바로 개인정보의 활용이다. 정보화 사회에서 개인정보는 보호의 대상이면서 동시에 활용의 대상이다. 유럽연합의 경우 1995년 지침 등에서 개인정보 처리에 관한 개인의 보호와 관련된 규범이자, 개인정보의 자유로운 이동에 관한 규범이라는 점을 명확히 하고 있다.

또한 독일연방헌법재판소는 개인정보자기결정권을 헌법상 권리로 인정한 인구조사판결에서 개인이 자신의 정보에 대하여 절대적이고 무제한적인 지배권을 갖는 것이 아니며, 개인은 사회공동체 내에서 전개되고 의사소통하는 인격체이므로, 개인에 관한 정보는 사회 현실을 반영한 것이므로 이를 배타적으로 그 사람에게만 귀속시킬 수 없다고 판시하였다.

이에 반해 우리나라 개인정보보호법은 개인정보를 보호의 대상으로만 파악하고 있다. 그러나 개인정보도 정보이며, 정보는 기본적으로 자유로운 활용을 전제로 하는 개념이기 때문에 개인정보의 자유로운 활용도 개인정보 보호법제가 추구하여야 할 또 다른 가치이다. 이러한 성격을 인정할 경우 동의를 필요로 하는 정보와 그렇지 않은 정보를 구분할 수 있을 것이다.

즉 헌법상 개인정보자기결정권의 대상이 되는 인격주체성과 관련 있는 개인정보에 대해서는 정보주체의 권리를 보장하고, 인격주체성과 관련 없는 개인정보는 원칙적으로 정보주체의 동의가 없어도 자유롭게 유통되도록 하는 입법이 필요하다.

* 개인정보보호법에 대한 SWOT 분석

1. 장점(Strength)
스마트 미디어시대에는 빅데이터와 클라우드 컴퓨팅 기술을 활용하여 보다 편리하고 신속하게 정보를 처리하고 이를 바탕으로 대규모의 정보를 규격화·비개인화하여 처리할 수 있다.

2. 단점(Weakness)
개인정보를 처리하는 데 있어 익명화된 정보가 자칫 암호가 해독되어 유출되는 경우 또는 의식적으로 특정 개인의 정보가 인식되는 경우에는 개인정보보호에 심각한 문제가 발생할 수 있다.

3. 기회(Opportunity)
현재와 같은 개인정보보호 문제를 보다 확실히 보장하는 정책과 함께 국가가 가진 정보를 익명화하여 민간에 제공한다면 민간기업의 정보처리능력이 획기적으로 제고될 수 있다.

4. 위협(Threat)
만일 개인정보처리와 익명화 과정에서 개인정보 유출이 반복되는 경우에는 국민들이 개인정보를 제공하는 것을 거부할 것이고, 이렇게 되면 줄기세포를 금지하여 의학기술의 발달이 뒤처지고 있는 생명공학분야에 있어서처럼 우리나라의 국가경쟁력 저하될 가능성도 있다.