[크래프톤-보안기고] 혁신과 규제 속 개인정보의 안전한 활용

바야흐로 빅데이터의 시대다.

넘쳐나는 데이터의 홍수 속에서 이 데이터를 얼마나 의사결정 과정에서 잘 활용하는가에 따라 각 개인, 기업의 생존과 심지어 국가 경쟁력에도 영향을 미칠 수 있다.

한편, 데이터를 활용하는 것도 중요한 일이지만, 그 안의 개인정보를 보호하는 것도 고려되어야 할 측면이다. 한 학술지에 따르면, 온라인 상의 디지털 데이터 중 70% 이상이 개인정보를 포함하고 있다는 연구결과가 있다. 이렇듯 개인정보가 포함된 수많은 데이터를 수집 및 활용하는 단계에서, 개인정보처리자가 알아야 할 몇 가지 포인트를 카페 사장 A씨의 사례를 통해 살펴보고자 한다.

■개인정보 처리단계별 요구사항

1. 수집 단계

카페 사장 A 씨는 마일리지 무료쿠폰 서비스 제공을 위해 손님들로부터 휴대폰번호를 수집하고 있다.

그런데 거창한 개인정보 수집이용 동의창을 보고 마일리지 서비스 가입단계에서 POS기 앞을 떠나는 고객들이 꽤 있었다.

뭔가 자신의 개인정보를 활용해도 된다고 ‘동의’하는 행위 자체에 거부감을 느끼는 고객들도 있어 보였다.

이렇듯, 우리는 통상 정보주체로부터 개인정보를 수집하기 위해서는 ‘동의’를 받아야 한다고 알고 있다.

하지만, 최근 개인정보보호 위원회에서는 정보주체의 ‘자유로운 의사’와 무관하게 반드시 동의해야만 서비스를 이용할 수 있는 이른바 “필수동의”를 제거해달라고 권장하고 있다. 고객과 체결한 계약을 이행하거나 계약을 체결하는 과정에서 고객의 요청에 따른 조치를 이행하기 위하여 필요하다면 동의 없이 수집이 가능하다는 개인정보보호법 개정이 그 골자다.

법 제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

마일리지 쿠폰을 많이 쌓는 고객일수록 카페를 자주 방문하고 있음을 알고 있는 A씨는 좋은 방법이 있을지 알아보던 차에 마일리지 무료쿠폰 서비스 제공이라는 계약을 이행하기 위해 필요한 경우, 동의를 받지 않아도 된다는 사실을 알게 되었다. 이에따라 다소 무거워 보이는 동의화면 UI가 제거되자 가입률이 증가했고, 무료쿠폰 10장을 채우기 위한 손님들의 재방문율도 꽤 늘었다.

2. 활용 단계

어느 날 마감 후, 월간 정산을 하던 A 씨는 인플레이션으로 재료값이 너무 올라서 영업이익이 3개월 연속으로 계속 떨어지고 있음을 발견했다.

그렇다고 커피 값을 올리면 옆집 카페들에 비해 경쟁력이 떨어질 것이기에 낭비되는 재료를 최대한 줄이기 위한 방법을 찾아야겠다고 생각했고,

마일리지 서비스 제공 목적으로 수집한 데이터를 바탕으로 ‘날씨와 시간대에 따라 재료를 어떻게 효율적으로 준비할 수 있을지’ 알아보기 위해 아래와 같은 통계처리를 해보았다.

△여름철 점심시간대에는 아이스 아메리카노가 주문량의 90%를 차지함

△겨울철 아침시간대에 따뜻한 카페라떼가 주문량의 55%를 차지함

이 정보를 가지고 A씨는 ‘아하 좋은 사실을 알았다.' 하고 그냥 퇴근할 것인가? 그렇지 않다. 소중한 인사이트를 바탕으로 계절과 시간대에 따라 준비해두는 재료를 달리하는 등 카페 운영 효율을 도모할 것이다.

그런데 여기서 한 가지 의문이 생긴다. 이 개인정보는 ‘마일리지 무료쿠폰 서비스’를 제공하려는 목적으로 수집했는데 카페를 효율적으로 운영하기 위해 통계처리하여 사용해도 되는 걸까? 개인정보보호법에서도 최초 수집목적을 초과하여 이용할 수는 없다고 명시한다.

법 제18조(개인정보의 목적 외 이용ㆍ제공 제한)

① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.

하지만, 이렇게 통계처리를 거친 정보는 원본 개인정보 파일과는 다르게 더 이상 개인을 알아볼 수 없는 정보다.

법 제58조의2(적용제외) 이 법은 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.

수집한 개인정보를 목적 외로 사용하는 것과 별개로 개인정보가 아닌 데이터가 되는 것이기 때문에 법 적용의 예외가 되어 문제없이 사용할 수 있는 것이다.

그런데 여기서 또 애매한 부분이 생긴다.

개인정보 데이터를 ‘통계처리’하는 과정 자체가 개인정보의 “처리” 중 하나인 ‘가공', '편집’으로 볼 수 있고, 그렇다면 여전히 수집 목적 외로 개인정보를 처리하는 것이 아닐까?

법 제2조(정의)

2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

이와 관련해서는 개인정보 보호법 해설서를 통해 구체적인 내용을 확인해 볼 수 있는데 아래와 같다.

‘개인정보보호법’의 적용제외

시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보는 더 이상 개인정보에 해당되지 않는 바, 해당 정보는 개인정보보호법이 적용되지 않음을 명시하는 규정이다.

여기서 말하는 시간·비용·기술 등을 합리적으로 고려한다거나 다른 정보를 사용하여 개인을 알아볼 수 없다(또는 있다)는 점 등에 대해서는 법 제2조제1호가 적용된다.

한편, 개인정보보호법의 적용이 제외되는 범위는 제58조의2에 따른 정보를 처리하는 경우뿐 아니라 개인정보를 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없도록 처리하는 경우까지 포함한다. 따라서 개인정보처리자가 이러한 정보 생성을 위해 개인정보를 처리하는 경우에는 정보주체의 동의를 받을 필요가 없다.

이는 원본 개인정보 파일을 어떤 방식으로 처리하더라도 개인을 ‘알아볼 수 없도록’ 처리하는 개념이라면 수집 목적 외 처리가 아니기 때문에 별도 동의, 고지 등의 절차가 불필요하다는 개념이다.

•개인정보의 익명처리: 개인을 알아볼 수 없도록 처리

•익명정보의 처리: 이미 개인을 알아볼 수 없게 된 정보를 처리

반면, 원본 개인정보에서 개인을 알아볼 수 있는 상태 그대로 활용된다면 개인정보의 처리가 된다.

이를테면 휴대폰번호는 각 개인을 구분하는 유일한 식별자로서, 쉽게 결합하여 개인을 알아볼 수 있는 정보라고 할 수 있다. 이러한 휴대폰번호를 기준으로 개인에 대해서 통계처리를 한다면 집단에 대한 통계와는 다른 개념으로 개인정보의 처리인 것이다.

△휴대폰번호 '01012345676'인 고객의 구매내역 중 95%는 아이스 아메리카노

A 씨는 이러한 분석값을 바탕으로 해당 손님이 POS기에 휴대폰번호만 입력하면 바로 아이스 아메리카노를 추천메뉴로 팝업을 띄우는 고객 맞춤형 서비스 개발을 의뢰하기로 했다.

위 예시와 같은 경우에는 개인정보의 수집목적 외 이용을 위해 정보주체로부터 별도의 선택동의를 받거나, ‘가명처리’라는 제도를 활용하는 2가지 옵션이 있다.

또는, 최초 수집 목적과 ‘합리적으로 관련된 범위’에 해당한다면 별도 동의나 가명처리를 거치지 않는 제3의 옵션도 생각해볼 수 있다.

법 제15조(개인정보의 수집ㆍ이용)

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

하지만, ‘당초 수집 목적과 합리적으로 관련된 범위’를 개인정보처리자가 판단할 때에는 과도한 확대 해석이 되지 않도록 유의해야 한다는 점에서 한계가 뚜렷하다.

■결론

필자는 글의 서두에서 빅데이터의 시대임을 언급한 바 있다.

엑셀 형태의 개인정보 파일을 통해 고객 정보를 관리, 활용하는 소규모 카페에서도 개인정보 보호와 활용을 위해 고려해야 할 요소가 많은데, 대규모 고객 데이터를 처리하는 기업에서는 얼마나 많은 고민이 필요할까?

뿐만 아니라 산업의 특성에 따라 의료정보와 같이 민감한 성격의 정보, 영상정보 등 비정형데이터의 활용이 필요한 곳도 존재할 것이다.

개인정보보호위원회에서는 빅데이터 시대 개인정보 보호와 활용의 균형점을 맞추기 위해 △가명정보 처리 가이드라인 △인공지능 개발·서비스를 위한 공개된 개인정보 처리 안내서 △합성데이터 생성·활용 안내서 등의 가이드를 마련, 배포하며 각고의 노력을 다하고 있다.

동형암호, 합성데이터와 같은 게임체인저가 될 수 있는 기술들이 자리잡기 전까지는 보호위에서 제공해주는 가이드라인을 바탕으로 ‘개인정보-가명정보-익명정보’의 균형을 잘 맞춰 나가는 것이 필요할 것이고, 보다 근본적으로는 혁신과 규제가 반목하는 것이 아니라 조화로울 수 있다는 것에 산학연이 같은 인식을 공유하며 현재의 과도기적 상황을 슬기롭게 극복해 나가야 할 것이다.

[글. 크래프톤 프라이버시팀 류재하 / reus@krafton.com]

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업