[판례로 보는 세상] 암호화 된 주민등록번호 개인정보인가?

서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 2014가합538302 판결

  • 프린트
  • 글씨작게
  • 글씨크게
1.들어가며

2018년 새해 벽두부터 4차 산업혁명 시대를 선도하려는 글로벌 기업과 세계 각국의 경쟁이 뜨겁다. 지난 9일 미국 라스베가스에서 열린 세계인의 전자 제품 축제 2018 CES (Consumer Electronics Show) 에서는 150여개국 4,000여 업체가 참여하여 인공지능, 가상증강 현실, 자율주행, 로봇, 사물인터넷 등 4차 산업혁명 핵심 기술이 집약된 제품을 대거 선보였다.

특히 인공지능 기술이 결합된 TV, 세탁기, 냉장고 등 생활가전 제품이 많은 관람객들의 눈길을 끌었다. 알파고와 이세돌 9단의 세기의 바둑 대결이 열린 지 불과 2년도 지나지 않아 인공지능 기술은 어느덧 우리의 일상생활에까지 성큼 다가와 있는 것이다.

1차 산업혁명의 핵심 기반기술이 ‘증기기관과 철도의 발명’ 이라면 2차 산업혁명의 기반기술은 ‘전기와 내연기관’, 3차 산업혁명의 기반기술은 ‘인터넷과 컴퓨터의 보급’을 들 수 있다. 그렇다면 4차 산업혁명의 핵심 기반 기술은 무엇일까? 아마도 ‘인공지능’과 ‘빅데이터’를 꼽을 수 있을 것이다.

사물인터넷, 로봇, 자율주행차 등 미래기술들은 공히 인공지능을 근간으로 하는데, 인공지능 기술의 발전을 위해서는 사전 학습을 위한 대량의 데이터가 필수적이기 때문이다. 19세기 증기기관이 석탄을 연료로 하고 20세기 내연기관이 석유를 필요로 하듯이 21세기 인공지능 기술은 빅데이터를 자양분 삼아 진화하는 셈이다.

문제는 데이터의 활용가치가 증대됨에 따라 개인정보 침해 위험성도 커진다는 점이다. 빅데이터의 활용은 인공지능 개발과 개인 맞춤형 서비스 제공에 필수적이지만 이에 발 맞추어 개인정보 보호정책 역시 강화하여야 한다는 목소리가 꾸준히 높아지고 있는 상황이다.

이에 주요 선진국을 중심으로 개인정보 침해가능성을 최소화 하면서 4차 산업혁명에 필수적인 빅데이터 활용방안을 모색하는 움직임이 일어나고 있다. 그 대표적인 방안이 "개인정보 비식별화 조치" 이다.

비식별화 조치는 수집된 정보 중에서 개인을 식별할 수 있는 요소를 삭제하거나 대체하여 해당 개인을 식별할 수 없도록 하는 것이다. 데이터의 일부 또는 전부를 마스킹하거나 암호화함으로써 개인정보 유출 혹은 침해 위험을 미리 차단하는 것이 예이다. 이와 같이 비식별화된 정보는 개인정보 침해 위험이 상대적으로 낮으므로 일정한 요건하에 산업적으로 활용할 수 있는 길을 열어 주는 것이다.

우리나라도 현행 법령의 틀안에서 빅데이터를 안전하게 활용할 수 있도록 하기 위해 2016년 관계부처 합동으로 '개인정보 비식별 조치 가이드라인‘을 제시한 바 있다. 하지만 이 가이드 라인은 법적인 구속력이 없기 때문에 설령 정부가 제시한 가이드라인대로 개인정보를 암호화하거나 비식별화 하더라도 실제 법 위반 여부가 다투어 졌을 때 정당성을 입증하기 위한 근거로 삼기 어렵다는 문제가 제기되고 있다.

그런데 최근 비록 지방법원 판결이지만 개인정보 비식별화 조치에 관한 구체적인 기준과 요건을 제시한 의미 있는 판결이 나왔다. 그 내용을 소개하고 비식별 조치의 기준과 비식별 정보의 활용범위에 대하여 생각해 보고자 한다.

2.사실관계

가.PM 2000 프로그램을 통한 개인정보 제공

대한약사회는 의약품 등의 생산진흥과 품질향상을 위한 조사연구 등을 목적으로 하는 사단법인이다. 대한약사회는 의약품 관련 정보를 수집하여 데이터베이스를 구축하고 의약품 관련 연구 용역사업을 수행하기 위해 산하기관으로 재단법인 약학정보원을 두고 있다.

대한약사회는 일선 약국에 PM 2000 이라는 조제료 및 복약지도료 청구 프로그램을 배포하였다. 환자들이 병원에서 발급 받은 처방전을 약국에 제출하면 약국에서는 처방전에 기재된 사항을 이 프로그램에 입력하는데 입력된 정보는 건강심사평가원으로 전송되고 이를 토대로 약국은 조제료, 복약지도료 등을 청구하게 되는 것이다.

PM 2000 프로그램에 입력된 정보들은 환자성명, 주민번호, 의료기관의 명칭 및 전화번호, 질병분류기호, 의료인의 성명, 면허종류 및 면허번호, 처방의약품의 명칭, 분량 및 용법, 처방전 발급 연월일 및 사용기간 등이다.

2011년 1월경 PM 2000 프로그램이 업데이트 되었는데 이 때 일선 약국에 저장된 처방전 정보를 약학정보원에 자동으로 전송하는 프로그램까지 업데이트에 포함되어 자동으로 설치되었다. 약국에서 PM 2000 프로그램에 처방전 정보를 입력하면 이 정보들이 고스란히 약학정보원의 중앙서버에도 저장되게 된 것이다.

약학정보원은 의약품 관련 시장조사 회사인 A사와 정보 공동사용 계약을 체결하고 수집된 정보를 A사에 제공한 후 A사로부터 이에 대한 대가를 받기까지 하였다.

나.정보의 암호화

그런데 약학정보원에 전송되어 다시 A사에 전달된 환자의 정보 중 일부는 다음과 같이 암호화처리가 되어 있었다. 다만 그 정도와 방법이 시기에 따라 다른데 크게 다음 3기로 나누어 볼 수 있다.

1기 : 13자리 주민등록번호 중 홀수자리와 짝수자리를 각각 다른 암호화 규칙에 따라 영어 알파벳으로 치환한 다음 양 끝 2자리에 임의의 알파벳으로 노이즈를 추가하는 방식으로 양방향 암호화.

2기 : 주민등록번호를 복호화가 불가능한 방식으로 일방향 암호화

3기 : 주민등록번호는 수집하지 않고 성명, 생년월일, 성별로 환자를 특정한 후 이를 같은 방법으로 일방향 암호화

3.쟁 점

이 사건에서 가장 중요하게 다투어 진 쟁점은 위와 같이 암호화 되어 개인을 식별할 수 없는 정보가 과연 개인정보보호법 상 "개인정보"에 해당하는지 여부이다.

특히 해당 정보가 과연 어느 정도까지 암호화가 되어야 개인정보로서의 성질이 사라지게 되는지 즉 적절한 "개인정보 비식별화 조치"의 기준이 무엇인지가 정면으로 다투어 졌다.

4.법원의 판단

가.비식별화된 정보도 개인정보에 해당하는지에 관한 재판부의 판단은 다음과 같다.

(1)법에 의하면 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다. 또한 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다 (개인정보보호법 제2조 제1호).

(2)따라서 개인정보는 해당 정보를 처리하는 자의 입장에서 특정 개인을 식별할 수 있는 정보를 의미하는데 개인정보에 암호화 등 적절한 비식별화 조치를 취함으로써 특정 개인을 식별할 수 없는 상태에 이른다면 식별성을 요건으로 하는 개인정보에 해당한다고 볼 수 없다.

(3)따라서 이러한 (비식별화 조치가 취해진) 정보를 정보주체의 동의 없이 통계작성 등의 용도로 이용하거나 제3자에게 제공하더라도 개인정보보호법을 위반하였다고 볼 수 없다.

(4)다만 비식별화 조치가 이루어졌다고 하더라도 재식별 가능성이 현저하다면 적절한 비식별화 조치가 이루어지지 않은 것이므로 여전히 개인정보보호법이 적용되는 개인정보에 해당한다.

나.적절한 비식별화 조치가 이루어졌는지 여부는 다음과 같은 점을 종합적으로 고려하여야 한다고 판시하였다.

●원본 데이터의 특성
●비식별화된 정보가 사용된 특정한 맥락이나 상황
●비식별화 조치에 활용된 기법ž세부기술의 수준
●비식별화된 정보를 제공받은 자의 이용목적 및 방법, 이용기간, 전문지식이나 기술력 경제력에 따른 재식별화 능력
●비식별화된 정보를 제공받은 자가 재식별화로 얻을 수 있는 이익의 유무
●비식별화된 정보를 제공받은 자의 개인정보 보호 수준
●비식별화된 정보와 외부정보 사이의 결합 가능성
●비식별화된 정보를 제공한 자와 제공 받은 자의 관계
●비식별화된 정보에 대한 접근권한 관리 및 접근통제 등

다.이 사건 개인정보보호법 위반여부에 대하여는 1기와 2ž·ž3기를 구별하여 아래와 같이 판단하였다.

(1)1기의 경우 – 개인정보보호법에 위반됨

양방향 암호화 방식은 ① 암호화 규칙이 단순하여 복호화가 쉽게 이루어 지는 점, 실제 수사기관에서도 이를 쉽게 복호화 하기도 한 점, ② 약학정보원 서버에 복호화 함수가 이미 업로드 되어 있었었고, A사 직원이 쉽게 접근할 수 있었을 것으로 보이는 점, ③ A사 역시 암호화에 관한 지식, 기술 등을 보유하고 있었을 것으로 보이는 점 등을 감안할 때 다양한 추론을 통해 쉽게 해당 정보를 복호화 할 수 있어 개인이 식별될 우려가 있다고 보았다.

특히 정보 접근권한이 A회사 직원 1인에게 전적으로 맡겨져 있어 암호화된 정보를 재식별하여 이용할 위험이 제대로 통제되고 있지 않았음을 지적하며 이 기간 동안에 암호화된 정보는 재식별 가능성이 현저하다고 판단하였다.

이처럼, 1기 제공 정보에 대해서는 적절한 비식별 조치가 이루어 졌다고 보기 어렵고 정보주체의 동의를 받았거나 법령에서 이를 허용하는 경우로도 볼 수 없어 개인정보보호법에 위반된다고 보았다.

(2)2·ž3기의 경우 – 개인정보보호법에 위반된다고 볼 수 없음

반면 2기와 3기의 암호화 조치는 ① 일방향 암호화(one-way encryption 또는 hash)를 사용하여 난수를 생성하는 기법으로 이론상 양방향 암호화에 비하여 더욱 안전하고 효과적인 비식별 기술에 해당하는 점, ② 암호화의 기술적 수준이 높아 A사에서 자체적으로 복호화 하는 것이 원칙적으로 불가능한 점 등을 감안하여 적절한 비식별화 조치가 이루어 졌다고 보았다.

당시 A사는 약학정보원으로부터 암호화 방식으로 생성한 환자의 고유번호와 이에 대응되는 암호화 방식의 주민등록번호를 기재한 매칭테이블을 제공 받은 사실이 있으나, 이러한 매칭테이블을 제공 받았다고 하더라도 A사에게 암호화된 정보를 재식별할 경제적 유인이 없었던 것으로 보이고 실제 복호화를 시도하지 않았다는 점 역시 고려하였다

따라서 ① 이 기간 동안 제공된 정보는 개인정보로 볼 수 없으며, ② 이를 제공한 행위는 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공한 경우 (개인정보보호법 제18조 제2항 제4호)에 해당하므로 ③ 정보주체나 제3자의 이익을 부당하게 침해할 우려가 없는 한 개인정보보호법 위반에 해당하지 않는다고 판단하였다.

5.판결의 시사점

개인정보보호법상 개인정보에 해당하려면 ‘식별가능성’이 있어야 하므로 반대로 식별가능성이 없는 경우에는 개인정보에 해당하지 않는다.

그런데 실제 ‘식별가능성’을 판단하는 것은 쉬운 일이 아니다. 현행 개인정보보호법이 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 경우까지도 개인정보에 포함된다고 규정하고 있는데 (법 제2조 제1호) 어디까지를 식별가능성이 있는 정보로 볼 것인지는 규정만으로는 명확하지 않기 때문이다.

그런 와중에 위 판결은 현행 개인정보보호법 하에서도 일정한 수준 이상으로 비식별화 조치된 정보는 개인정보에서 제외될 수 있음을 확인한 점, 나아가 적절한 비식별화 조치가 이루어 졌는지 여부를 판단하기 위한 세부적인 기준을 제시하였다는 점에서 큰 의미가 있다고 생각한다.

위 판결을 양방향 암호화는 비식별화 조치로 불충분하고, 일방향 암호화는 비식별화 조치로 충분하다는 식으로 이해하는 것은 판결을 지나치게 단순화한 것으로 생각된다. 어느 정도로 비실명조치를 하여야 개인정보로서의 성질이 사라지는지는 구체적인 사안별로 다를 수 밖에 없기 때문이다. 심지어 현 시대에 가장 안전한 것으로 여겨지는 방법으로 암호화된 정보도 기술 발전에 따라 재식별이 가능할 수 있다.

이런 점에서 단순히 비식별화 조치에 활용된 기법과 기술의 수준만을 판단기준으로 제시한 것이 아니라 이를 제공 받은 자의 재식별화 능력, 외부정보와의 결합 가능성, 비식별화된 정보에 대한 접근통제 가능성 등 비식별화 조치 전후의 제반 사정까지 종합적으로 고려하였다는 점에서 진일보한 판결로 평가할 수 있겠다.

다만 개인정보보호법 제18조 제2항 제4호의 예외 규정을 적용하여 개인정보보호법에 위반되지 않는다고 한 것은 아쉬운 부분이다. 만일 대상 정보들이 개인정보에 해당하지 않는다면 개인정보보호법 자체가 적용되지 않기 때문에 개인정보보호법 위반으로 볼 수 없는 것이지 예외규정인 개인정보보호법 제18조 제2항 제4호가 적용될 것은 아니라고 생각된다.

그런데 위 판결은 2기, 3기의 대상 정보들을 개인정보가 아니라고 하면서도 다시 개인정보임을 전제로 하여 예외조항인 제18조 제2항 제4호를 적용하였다. 이는 현행 개인정보보호법 규정을 만들 때 비식별 조치된 정보를 어떻게 취급할 것인지에 관하여 심도 깊은 논의가 부족하여 생긴 문제로 보인다.

개인정보보호법 제2조 제1호에서 식별가능성이 없으면 개인정보가 아니라고 하면서 같은 법 제18조 제2항 제4호에서 ① 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공한 경우에는 ② 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우에 한하여 개인정보 제공의 예외로 규정한 것은 일견 상호 모순되기 때문이다.

이렇게 되면 많은 비용과 노력을 들여 충분한 수준으로 비식별 조치를 하더라도 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우에 한하여만 이용이 가능한 것이 아닌가 하는 의문이 남게 되는데 이 부분에 대하여는 보다 심도 깊은 학술적인 연구가 필요하다고 생각된다.

6.나아가며

4차 산업혁명시대를 앞서 준비하겠다는 구호가 요란하다. 그러나 이를 뒷받침하기 위한 우리의 정책과 제도는 아직 산업화 시대 수준에 머물러 있지 않은가 되돌아 볼 필요가 있다.

관련 제도와 법률 규정의 불명확성으로 인해 빅데이터를 사업적으로 활용하고자 하는 많은 기업들과 신생 스타트업들은 새로 구상한 아이디어를 미처 실현해 보기도 전에 규제의 벽에 부딪히고 있다.

전통적으로 개인의 사생활을 중요하게 생각하는 미국은 개인정보보호에 관한 일반 법률이 없다. 다만 의료와 교육 분야에 한하여 개인정보보호에 관한 개별법령을 운영 중이다. 이 경우에도 개별 법령에서 제한을 두지 않는 이상 데이터의 자유로운 이용은 보장된다. 특히 의료정보의 활용에 관한 HIPPA Privacy Rule은 의료정보라 할지라도 의료정보 비식별 가이드에 따라 비식별 조치가 취해졌다면 규제대상에서 제외된다고 규정했다.

EU 역시 2016년 회원국에게 공통으로 적용되는 통일 개인정보보호법 (General Data Protection Regulation, GDPR)을 만들고 2018년부터 시행할 예정이다. 가명처리된 정보는 공익, 과학적 연구, 역사연구, 통계목적을 위해서는 동의 없이 처리할 수 있도록 하는 내용을 골자로 한다.

일본은 IT 종합전략본부를 중심으로 개인정보의 합리적인 활용을 촉진하고 개인정보 빅데이터 활용 확대를 위하여 2017년 1월부터 개인정보보호법 개정안을 시행하고 있다. 이 개정안의 실시에 따라 익명가공정보 개념을 신설했으며 익명가공정보는 복원 불가능하도록 안전 조치를 취한다는 전제 하에 정보 주체의 동의 없이 활용될 수 있다.

우리나라도 관계부처 합동으로 "개인정보 비식별 조치 가이드라인"을 발표하였다. 하지만 보다 직접적인 법적근거를 갖추지 않는다면 우리 기업들은 여전히 법 위반 위험에 노출될 수 밖에 없고 결국 4차 산업혁명은 허울 좋은 슬로건에 그칠 공산이 크다.

이러한 상황에서 현행법령의 틀 안에서 개인정보 비식별화 조치의 적법성을 고민하고 세부적인 근거를 제시하는 전향적인 판결이 선고된 것은 매우 환영할 만한 일이다. 아직 판결이 확정되지 않아 그 결과를 예단할 수 없지만 향후 재판의 진행을 주목해 볼만한 사건이라고 생각된다.

정부는 4차 산업혁명 관련 정책을 심의·조정하기 위해 대통령 직속으로 민관이 함께 참여하는 ‘4차산업혁명위원회’를 발족했다. 국회도 여야 합의로 혁신 산업 활성화를 위한 법률 개혁을 전담하는 ‘4차 산업혁명 법·제도 개선 특별위원회’를 출범시켰다.

지난 2017년 12월 4차산업혁명위원회는 제1차 규제·제도혁신 해커톤이라는 이름으로 이틀에 걸친 토론회를 열어 서비스 제공에 필수적인 개인위치정보는 사전동의 대신 이용자가 명확하게 인지할 수 있도록 ‘사전고지’ 하는 내용의 개혁안을 이끌어 내는 성과를 이루었다고 한다.

인공지능과 빅데이터 사업의 활성화를 위하여 ‘개인정보 비식별화’에 대하여도 위와 같은 사회적 논의가 시급하다고 생각한다. 아무쪼록 이 번 판결이 개인정보 보호와 활용에 관한 새로운 기준을 마련하는 계기로 이어졌으면 하는 바람이다.
 

[이정상 변호사]