[미디어스=송창한 기자] 박근혜 정부 당시 빅데이터 활용을 활성화한다는 명분으로 추진된 ‘개인정보 비식별조치 가이드라인(비식별 가이드라인)’에 의해 3억 4천여만건의 개인정보가 기업들에게 결합·제공된 것으로 드러났다. ‘비식별 가이드라인’은 사실상 공공기관을 통해 기업과 기업간 개인정보를 공유할 수 있도록 하는 내용을 담고 있다. 게다가 익명성을 완전히 보장하지 못해 개인이 특정될 가능성이 있어 제도적 보완이 필요하다는 지적이 나오고 있다.

추혜선 정의당 의원(국회 과학기술정보방송통신위원회)이 한국인터넷진흥원, 정보통신산업진흥원, 금융보안원, 한국신용정보원 등 비식별 전문기관 4곳으로부터 입수한 자료에 따르면, 비식별 가이드라인 도입(2016.6) 이후 현재까지 이들 기관이 총 26건의 ‘정보집합물 결합서비스’를 통하여 3억 4천여만 건의 개인정보 결합물을 기업 등에 제공한 사실이 확인됐다.

‘비식별 가이드라인’은 박근혜 정부 시기 방송통신위원회를 비롯한 6개 관계부처가 합동으로 발표한 정책이다. 가이드라인에 담긴 ‘정보집합물 결합서비스’는 서로 다른 두 기업이나 기관이 보유한 개인정보들을 상호 조합해 활용하고자 할 때 공공기관이 이를 비식별 처리한 후 결합하여 양측에 다시 제공하는 서비스다. 공공기관이 기업들로부터 개인정보를 추합해 빅데이터 개인정보를 기업들에게 나눠주는 셈이다.

기업들은 ‘정보집합물 결합서비스’를 활용해 서로 보유한 개인정보를 실제로 교환했다. 자료에 따르면 삼성생명과 삼성카드는 2017년 2월 양사에 동시 가입한 240만여 고객의 ‘가입건수, 보험료, 가입기간, 가입상품, 및 카드이용실적정보’ 등의 개인정보를 13회에 걸쳐 공유했다. 현대자동차와 보험개발원은 1억 5천만 건의 고객정보를 두 차례에 걸쳐 결합제공 받았다.

더 큰 문제는 비식별 처리된 데이터가 개인정보를 보호하지 못한다는 점이다. ‘비식별 가이드라인’에 제시된 비식별 조치를 살펴보면 개인정보 원본에서 일부 정보만을 마스킹 하는 방식으로 개인정보가 처리된다는 것을 알 수 있다. 비식별 조치는 개인정보 전체를 익명조치하는 것과는 달리 일부 개인정보가 명시돼 있어 재식별 여지가 남는다.

추혜선 의원은 “비식별조치와 적정성평가를 거친 개인정보라도 원래 보유하고 있던 개인정보 및 공개정보 등과 대조하면 재식별 가능성이 여전히 남는다”며 “비식별 조치된 개인정보는 정보 주체 동의 등 절차와 책임이 생략되므로 본인의 정보가 기업에 제공되어 활용되더라도 정보 주체가 그 사실을 알 수 없고, 따라서 개인정보 재식별과 대량유출 등 문제가 발생해도 소송 등을 통한 보상을 받을 수 없다”고 설명했다.

또 추혜선 의원은 “정보집합물 결합지원 서비스가 정보주체의 의사와 상관없이 기업들 간 정보공유를 위한 장치로 활용되어서는 안 된다”며 “개인정보 보호에 대한 안전장치 없이 추진된 ‘개인정보 비식별 조치 가이드라인’을 폐기하고, 개인정보 보호를 위한 빅데이터 정책 보완이 시급하다”고 촉구했다.