우리는 사람과 사물, 서비스가 인터넷을 통해 그물처럼 연결된 초 연결 시대의 한 가운데 살고 있다. 이 복잡한 빛과 전자의 길을 통해 현대인들은 삶의 많은 부분을 인터넷에 '업로드'했다. 이 길을 따라 이동하는 정보 중에는 이름, 생년월일, 서비스 계정, 주소, 신용카드 번호 등 수많은 개인정보도 포함되어 있다. 서비스에 전달된 개인정보는 보고싶던 영화, 새로운 보험 계약, 내일 아침 반찬거리, 고장 난 수도꼭지를 대체할 부품 등으로 바뀌어 온·오프라인을 통해 우리에게 되돌아온다. 기본적인 의식주 활동부터 노동, 여가생활까지 온라인에 의존하는 시대에, 인터넷이 없는 현대인의 삶을 상상할 수 있을까?

많은 온라인 서비스는 서비스 제공을 위해 여러 가지 개인정보를 요구하며, 사용자의 활동을 시스템에 다양한 기록으로 남긴다. 이 같은 정보가 인터넷 상의 특정 서비스에 쌓이면 빅데이터 분석을 통해 개인과 집단의 취향과 행동 패턴을 파악할 수 있는 기초 자료가 되기도 하고, 수집된 회원정보를 활용하는 새로운 서비스가 탄생하기도 한다. 정보가 집중되는 곳에 새로운 서비스의 기회, 다시 말해 재화 창출의 기회가 생기는 것이다. 하지만 정보주체는 이 과정에서 자신의 개인정보 사용에 따른 권한을 충분히 행사하지 못해 피해를 입기도 한다.

이번 보안 칼럼에서는 4차산업혁명 시대에서 중요성이 한층 강조되고 있는 개인정보를 보호하기 위한 제도의 발전 과정을 살펴보고자 한다. 또한 개인정보 보호의 중요성이 높아지면서 개인이 자신의 정보를 스스로 관리하고 통제하기 위해 나타난 ‘자기주권 신원(Self-sovereign Identity, SSI)’ 개념과 관련 기술인 ‘탈중앙화 신원관리(Decentralized identity management)’ 기술에 대해서도 알아본다.

개인정보 인식의 태동과 개인정보 보호법의 발전 과정

해외

개인정보 보호 개념의 태동과 발전 과정은 각국의 경제 규모와 정보화 수준과 궤를 같이 한다. 국가별로 개인정보 보호 인식과 제도가 어떻게 형성되고 발전해왔는지 살펴보자.

1. 선진국: 정보화의 급격한 진전과 강력한 개인정보 보호 법제화

선진국은 정보화 초기 단계부터 인터넷과 정보통신 기술이 빠르게 확산되었기 때문에, 개인정보 보호의 필요성도 일찍부터 대두되었다. 개인정보 보호 개념은 선진국에서 1960~1970년대에 만들어졌으며, 컴퓨터가 등장하고 데이터 처리 기술이 발전하면서 개인의 정보가 전자적으로 수집, 저장, 처리되는 방식이 확산되었다. 이에 따라 개인정보의 무분별한 수집과 사용을 방지하기 위한 법적 보호 체계가 필요하다는 인식이 형성되었다.

최초로 개인정보 보호 개념을 법제화한 정부는 독일의 헤센(Hessen) 주다. 1970년 10월 7일, 헤센 주는 세계 최초로 데이터 보호법(Datenschutzgesetz)을 제정했다. 이 법은 현대적 의미에서 공공 부문의 개인정보 처리에 관한 규칙을 정립한 개인정보 보호법의 시초로 여겨지고 있으며, 이후 다른 나라의 법제도 도입에도 영향을 끼쳤다.

미국에서는 1974년 ‘프라이버시법(Privacy Act)’이 제정되어 연방 정부가 보유한 개인정보를 보호하기 위한 최초의 법적 장치가 마련되었으며, 이후 민간 부문에서도 개인정보 보호에 대한 논의가 이루어졌다. 미국은 다른 선진국에 비해 연방 차원의 포괄적인 개인정보 보호법이 상대적으로 약한 대신 금융, 건강, 소비자 정보 등 부문별 법률이 발전해 왔다.

유럽에서는 1980년대부터 개인정보 보호가 중요한 사회적 이슈로 떠올랐다. 유럽평의회는 1981년 ‘개인정보 자동 처리에 관한 개인 보호 협약(Convention 108)’을 채택해 개인정보 보호의 법적 기반을 마련했다. 이는 세계 최초의 개인정보 보호를 위한 국제 협약이었으며, 이후 유럽 전역에 걸쳐 개인정보 보호법이 제정되었다.

선진국에서는 1990년대 이후 인터넷과 전자상거래의 확산으로 개인정보 보호가 더욱 중요해졌다. 특히 EU(유럽연합)는1995년 ‘데이터 보호 지침(Directive 95/46/EC)’을 통해 개인정보를 보호하기 위한 강력한 규제를 시행했다. 이는 각 회원국이 개인정보 보호법을 제정하고 집행하는 기초가 되었으며, 2018년 시행되어 전세계 개인정보법에 영향을 미친 ‘General Data Protection Regulation(GDPR)’ 의 모태가 된다.

GDPR은 전 세계에서 가장 엄격한 개인정보 보호 규제로 알려져 있으며, 개인정보의 처리에 관한 명확한 규정을 제공하고, 정보주체의 권리를 강화했다. 이 규정은 전 세계적으로 개인정보 보호의 기준이 되었고 미국, 일본, 캐나다, 호주 등 선진국은 GDPR에 기반하여 자체 법률을 개정했다. 우리나라의 개인정보 보호법 또한 GDPR의 직간접적인 영향을 받았다.

선진국에서는 개인정보 보호 방안이 법적 규제와 기술적 대응을 통해 체계적으로 발전해 왔다. 법적인 측면에서는 개인정보 보호법을 제정하고 시행했으며, 개인정보 보호를 위한 별도 기구를 설립하고 독립성을 강화하였다. 기술적으로는 암호화, 가명화, 익명화, 영지식증명 등 다양한 수단으로 개인정보를 보호하고 있다.

2. 개발도상국: 법적 제도 도입과 적용의 균형 찾기

개발도상국에서는 선진국에 비해 개인정보 보호 개념이 비교적 늦게 형성되었다. 하지만 인터넷과 스마트폰의 보급률이 급격히 증가하면서 개인정보 보호의 중요성도 함께 부각되었다. 개발도상국에서 개인정보 보호에 대한 논의는 2000년대 초반부터 본격화되었으며, 인터넷의 확산과 함께 디지털화된 개인정보가 수집/처리되며 이를 법적으로 보호하기 위한 필요성을 인식하기 시작했다.

인도에서는 2011년 ‘정보기술법(Information Technology Act)’이 개정되면서 개인정보 보호와 관련된 조항이 포함되었다. 이후 개인정보 보호에 대한 대중의 관심이 급격히 증가했고, 2019년 GDPR을 모델로 한 ‘개인정보 보호 법안(Draft Personal Data Protection Bill)’이 도입되어 개인정보가 법으로 보호받을 수 있게 됐다.

브라질은 2018년 ‘일반 데이터 보호법(LGPD: Lei Geral de Proteção de Dados)’을 제정하여 GDPR과 유사한 개인정보 보호 체계를 도입했다. 이 법은 브라질의 개인정보 보호 수준을 한 단계 높이는 계기가 되었으며, 이 법에 따라 데이터 보호를 감독하기 위한 기관도 설립되었다.

제도는 마련되었지만, 실제 실행과 감독에서 개발도상국은 선진국에 비해 한계를 보이는 경우가 많다. 기술적으로 이를 통제할 수 있는 기반이 갖춰지지 않았거나, 사회 전반적인 인식이 법제도를 따라잡지 못하는 사례도 있다. 하지만 이들 국가는 개인정보 보호 수준을 국제적인 기준에 맞추기 위해 지속적인 노력을 기울이고 있다. 

3. 후진국: 개인정보 보호 인식의 미흡과 법적 제도의 부재

아프리카를 비롯한 후진국에서는 개인정보 보호에 대한 인식이 비교적 미흡한 편이다. 인터넷 보급률이 낮고 디지털 인프라가 충분히 구축되지 않았기 때문에, 개인정보 보호에 대한 논의 자체가 늦게 시작되거나 아직 관련 인식이 형성되지 않은 경우가 많다. 또한 정부의 통제 아래 개인정보가 중앙집중적으로 관리되어, 개인의 정보 보호보다는 정보 수집과 관리가 우선시되는 경향이 있다.

이 같은 여건으로 인해 많은 아프리카 국가에서는 아직 개인정보 보호 법제가 제정되지 않았거나 이행이 매우 미흡하다. 그러나 케냐와 남아프리카공화국 등 일부 국가에서는 최근 몇 년간 개인정보 보호에 대한 법적 틀이 마련되고 있다.

다음으로는 우리나라의 개인정보 보호 제도와 사회적 인식의 발전 과정을 살펴보자.

국내

우리나라에서는 1990년대에 개인정보 보호 관련 논의가 본격적으로 시작되었다. 이 시기에는 가파른 경제 성장에 힘입어 급속도로 보급된 컴퓨터와 인터넷을 통해 개인정보가 대규모로 수집되고 처리되기 시작했다.

1. 초기 개인정보 보호 개념의 태동 (1990년대 ~ 2000년대 초)

우리나라의 첫 개인정보 보호 관련 법률인 ‘공공기관의 개인정보보호에 관한 법률’이 1995년에 제정되었다. 이 법은 공공기관이 개인정보를 수집하고 관리하는 과정에서의 보호를 규정하였으며, 주로 공공부문에서의 개인정보 보호에 초점을 맞췄다. 이전까지는 민간 부문에서의 개인정보 보호에 대한 논의가 상대적으로 적었다.

2. 본격적인 법제도화 (2000년대 중반 ~ 2010년대 초)

1990년대 후반부터 시작된 초고속 국가통신망 건설 사업과, 차세대 이동통신 IMT-2000 기술 개발이 2000년대 초반에 결실을 맺으면서 우리나라는 세계 최고 수준의 고속 통신 인프라를 갖추게 되었다. 이 같은 기반 위에 대중화된 PC를 통한 웹, 인터넷의 확산으로 전자상거래가 활성화되며 민간 기업들이 대량으로 개인정보를 수집하고 활용하는 사례가 늘어났다. 이에 따라, 2001년에는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 개정되어, 민간에서의 개인정보 보호를 강화하려는 시도가 이루어졌다. 특히 정보통신 서비스 제공자를 대상으로 개인정보 수집과 처리, 보관 관련 규제를 강화했다.

이후 2005년에는 공공기관 뿐만 아니라 민간 부문을 포괄하는 ‘개인정보 보호법’을 논의하기 시작해, 2011년 3월에 ‘개인정보 보호법’이 제정됨으로써 개인정보 보호에 관한 법적 장치가 구체화되었다. 이 법은 모든 공공 및 민간 기관을 대상으로 개인정보의 수집, 보관, 처리 그리고 파기 과정에서의 보호를 명확히 규정한 포괄적인 법률이다.

3. 개인정보 보호 인식의 발전과 국제 규범의 영향 (2010년대 중반 ~ 현재)

2010년대 이후, 개인정보 유출 사건이 빈번하게 발생하면서 개인정보 보호와 관련된 사회적 인식이 크게 변화했다. 대표적으로 2014년 발생한 ‘카드 3사 개인정보 유출 사건’은 신용평가사 직원이 주민등록번호를 포함한 약 1억 건 이상의 상세한 개인정보를 유출하면서 전국민적 파장을 일으켰다. 이 사건은 2011년에 발생한 네이트와 싸이월드 회원 3,500만 명의 정보 유출과 더불어 국내에서 발생한 개인정보 유출 사례 중 가장 큰 규모다. 이 사고 이후, 금융기관이라 하더라도 개인정보의 수집 범위와 보유 기간을 제한하고 제3자 제공을 엄격히 제한하는 등 제도를 강화하는 방안이 추진되었다.

다양한 사건과 환경의 변화를 거쳐 발전해 온 개인정보 보호법은 2018년 유럽연합의 GDPR이 시행되면서 또 한 번 진보하는 계기를 맞는다. 우리나라에서도 국제적인 개인정보 보호 규범에 부합하는 법적 체계를 마련하려는 움직임이 강화되며, 개인정보보호법 개정을 통해 정보주체의 권리 강화와 데이터의 이동성 보장, 가명(pseudonymization) 처리, 국제 데이터 전송 규정 강화 등 GDPR의 내용을 반영하였다. 또한, 2020년에는 GDPR의 기준에 맞춰 개인정보보호위원회를 중앙 행정기관으로 격상해 개인정보 보호의 관리와 감독 기능, 독립성을 강화했다.

우리나라의 개인정보 보호를 위한 법제도는 기술 발전과 함께 변화하고 있다. IT 기술은 AI, 빅데이터, 클라우드 등 대다수 첨단 분야에서 개인의 신원, 건강 정보, 온·오프라인 활동 기록과 더불어 생체정보에까지 접근하고 있다. 정부는 하루가 다르게 발전하는 첨단 IT 산업과 개인정보 보호 사이의 균형을 고려해 정보주체의 권리 보장과 기업의 준법 의무를 엄격히 규정하는 방향으로 개인정보 관련 법안을 지속적으로 개선 및 보완하고 있다.

이어지는 ‘개인정보 보호를 위한 법제도의 변화와 자기주권 신원 기술 동향’ 파트2에서는 사회 인식과 법제도의 변화에 따라 변화한 개인정보 관리 기술에 대해 알아본다.