개인정보보호법에 대한 나의 여정은 흥미로운 오해에서 시작되었다. 많은 사람들이 ‘가명처리’라고 하면 단순히 닉네임을 사용하는 것으로 생각한다. 연예인들의 예명처럼 말이다. 하지만 법적 의미의 가명처리는 그것과는 전혀 다른 개념이었다.
가명처리의 실체
개인정보보호법에서 말하는 가명처리란 개인을 완전히 비식별화하는 과정이다. 단순히 이름만 바꾸는 것이 아니라 그 사람을 특정할 수 있는 모든 요소를 제거하거나 변환해야 한다. 이는 생각보다 훨씬 복잡하고 깊은 개념이다.
과거에는 구글에 주민등록번호를 검색하면 관련 개인정보가 노출되던 시절이 있었다. 미국에서도 사회보장번호(SSN)가 쉽게 접근 가능했다. 하지만 지금은 한국의 주민등록번호는 동의가 있더라도 함부로 수집할 수 없는 특별한 정보로 법적 보호를 받는다. 금융기관이나 공공기관만이 이를 수집할 수 있으며, 그럼에도 대체 식별 방법을 제공해야 한다.
내 프로젝트의 접근법
이런 이유로 내가 개발 중인 사이트는 개인정보 수집 자체를 하지 않고 로그인도 필요 없게 설계했다. 미래에 로그인 기능을 추가할 때도 앱을 통해 정보를 로컬에만 저장하고, 인증도 로컬에서 처리하는 방식을 고려 중이다. 신뢰 확보를 위해 소스코드도 공개할 계획이다.
블록체인 기술은 이러한 접근에 유용한 해결책이 될 수 있다. 이름, 전화번호, 비밀번호 등의 조합으로 해시코드를 생성하면, 원래 정보는 알 수 없지만 사용자 인증은 가능해진다. 이런 방식이라면 개인화된 서비스를 제공하면서도 개인정보보호법의 규제에서 자유로울 수 있다. 물론 서비스의 안전성 검증을 위해 관련 소스코드를 완전히 공개하는 투명성이 필요하다.
개인정보보호의 복잡성
개인정보보호법을 공부할수록 그 뒤에 숨겨진 수많은 고민과 고려사항들이 보인다. 예를 들어, 때로는 직업이 강력한 식별정보가 될 수 있다. ‘부산 특정 구의 국회의원’이라고 하면, 국내 국회의원이 300명밖에 없기 때문에 금방 개인을 특정할 수 있다.
이런 정보를 기업 간에 거래하는 것은 사실상 식별정보를 판매하는 행위다. 개인정보 이전을 통해 기업들이 이익을 얻기 때문에 법은 점점 더 엄격해질 수밖에 없다.
IT와 법의 교차점
IT 전문가로서 법까지 알아야 하는 시대가 왔다. ‘법은 최소한의 도덕’이라는 말이 있지만, 실제로 법적 지식이 필요해질 줄은 예상하지 못했다. 그럼에도 이를 무시할 수 없기에 최소한의 이해는 필수가 되었다. 너무 모르면 관련 전문가에게 질문조차 할 수 없기 때문이다.
naver.how에서는 ‘security’보다 ‘privacy’도 중요하다고 보고, ‘p’라는 약어로 관련 내용을 정리하고 문서화할 계획이다. 개인정보 자체는 공개해서는 안 되지만, 그것을 어떻게 다룰지에 대한 논의는 최대한 공개적으로 이루어져야 한다고 믿는다.
개인정보 주권에 대한 아이디어
개인정보보호법을 공부하다 보니 7조 규모의 아이디어도 떠올랐다. 간단히 말하면, 7천만 국민에게 개인정보 제공의 대가로 10만 원씩 지급하고, 그 정보가 사용될 때마다 수수료를 받게 하는 시스템이다.
이 시스템에서는 쇼핑몰 등이 직접 개인정보를 보관할 수 없고, 해시만 가질 수 있다. 실제 배송이나 서비스 제공 시에는 사용자의 동의를 얻어 진행하는 방식이다. 이렇게 하면 개인정보가 무분별하게 국외로 유출되는 것을 방지하고, 개인은 자신의 정보를 통해 수익을 얻을 수 있다.
초기에는 7조라는 예산이 필요하지만, 이는 국민에게 환원되는 비용이며, 장기적으로는 국가 주도의 개인정보 관리 체계를 통해 추가 수익 창출도 가능하다. 이런 시스템은 자국 서비스를 보호하고 국민의 데이터 주권을 강화하는 방향으로 진화할 수 있다.
마치며
개인정보보호에 대한 공부는 계속될 것이고, 새로운 아이디어와 통찰이 생길 것이다. 이미 알고 있는 분들은 잘못된 점을 지적해 주시고, 함께 배워가는 과정이 되었으면 한다. 법과 철학은 깊이 있는 주제이니 ‘고급 편’에서 더 논의해 보고자 한다.
오늘 하루도 지나면 다시 오지 않는다. 모두 행복한 저녁 시간을 보내시길 바란다.
답글 남기기