[뉴스로드] AI챗봇 ‘이루다’가 IT업계 반면교사가 되고 있다. 개발사 스캐터랩이 업력 10년차에 달함에도 개인정보 유출 논란을 피하지 못했기 때문이다.

IT기업이나 개인정보 제공자가 유출 위험을 방지하기 위해서는 ‘가명처리’가 필수다. <뉴스로드>는 가명정보가 무엇인지, IT기업과 개인정보 제공자들은 어떤 과정을 거쳐야 하는지 정리해봤다. 이번 차례에는 IT기업이 꼭 알아야 할 사항을 살펴봤다.

가명정보란 제공자를 식별할 수 없도록 처리한 개인정보를 뜻한다. 예를 들어 메신저 대화 내역에서 이름·주민등록번호·주소·직업 등 개인정보를 비식별화해 발화자가 누군지 특정하기 불가능하게 만드는 것이다.

가명처리 방법은 크게 2가지로 나뉜다. ▲기업이 개인정보를 수집한 뒤, 프로그램에 비식별화 코드를 입력하는 것. 그리고 ▲제공자 스스로 개인정보를 비식별화하는 방법이다.

전자는 구글·아마존·삼성전자 등 개인정보 수집 규모가 방대한 대기업들이 주로 이용하는 방법이다. 해당 기업들은 AI스피커·AI비서 등을 통해 유저들의 대화 내역을 수집·가명처리하고, AI 고도화 용도로 활용하고 있다.

이 방법은 개인정보를 빠르게 수집하고 활용할 수 있다는 장점이 있다. 다만 무수한 개인정보 가운데 1건이라도 비식별화하지 못하면, 유출 혐의로 역풍을 맞을 수 있다. 스캐터랩도 이 같은 의혹으로 현재 당국의 조사를 받고 있다.

반면, 후자는 스타트업도 비교적 안전하게 개인정보를 수집할 수 있는 방법이다. 제공자가 직접 개인정보를 비식별화하므로, 활용 기업은 검수만 하면 되기 때문이다.

가명정보 활용 방법은 개인정보보호위원회가 수립한 ‘가명처리 가이드라인’을 참고하면 된다. 개인정보위는 지난해 8월 출범한 국무총리 소속 중앙행정기관이다.

가명처리 가이드라인에 따르면, 기업은 상업적 목적의 통계 작성·연구에도 개인정보를 정보주체의 동의 없이 가명처리하고 활용할 수 있다.

단, 기업은 사전에 ▲활용 목적 및 대상 선정 ▲개인정보 식별 가능성 차단 ▲가명처리 정보 검수 ▲가명처리 인력과 가명정보 검수 인력을 분리 등 원칙을 준수해야 한다.

기업이나 연구소가 ‘부동산 임대소득 계산 및 인근지역 시세 파악’을 목적으로 연구한다고 가정해보자. 이 목적을 달성하기 위해서는 '이름' '연락처' '주소' 등 개인정보는 불필요하므로 삭제하고, 나머지 정보는 가명처리한다.

만약 이동통신사가 ‘성별·연령별 가입자의 이동통신 서비스 이용 현황’을 분석한다면, 여기서도 '이름' '전화번호' '주소' 등은 삭제해 개인정보 유출 가능성을 원천 차단해야 한다.

가명정보는 빅데이터·AI 등 다양한 IT산업에서 수요가 급증하고 있다. 이와 함께 스타트업도 늘고 있어, 업계는 개인정보 보호 제도의 변화를 정기적으로 확인할 필요가 있다.