한승조 룰루메딕 사업전략이사
[파이낸셜뉴스] 티몬과 위메프 사태가 개인정보 이슈로 번지고 있다. 해당 기업의 관리가 소홀해지면서 내 개인정보가 해외로 유출되는 것이 아닌가 하는 소비자의 불안감이 번지고 있다. 이런 불안감을 틈타 유통 산업계에서는 마이데이터의 전분야 확장을 재검토해야 한다는 목소리를 내고 있다. 마치 마이데이터 사업이 시행되면 커피 쿠폰 값에 개인 정보가 해외로 팔려 나갈 것처럼 공포를 조장하기도 한다. 진실은 그 반대임에도 불구하고 국민적 불안감에 편승하여 정보 보호를 위한 투자와 보안 단속을 회피하려는 것이다. 오히려 이렇게 묻고 싶다. 마이데이터 사업을 미루는 것이 이러한 해외 데이터 유출 사태에 무방비 하도록 만드는 게 아닌가?
“구더기 무서워 장 못 담글까?”라는 말을 들어 봤는가? 한국에서 장은 없어서는 안 되는 기초 양념이다. 만약 간장, 된장, 고추장과 같은 우리의 장이 없었다면 지금과 같은 K푸드의 세계적인 유행도 없었을 것이다. 고생 고생해서 메주를 쑤고 구더기 방지해가며 전통 장을 후대에 전해준 선조가 있었기에, 우리 후손은 K푸드 세계화라는 혜택을 누리고 있다.
바야흐로 데이터의 경쟁력이 중요한 시대다. 우리는 이제 장을 담그던 선조의 입장이 되었다. AI 전자기술 시대를 음식에 비유하자면 반도체는 쌀이요, 데이터는 기초 양념이다. 반도체 만큼이나 글로벌 경쟁력의 초석이 되는 중요한 산업이 바로 데이터 산업이다. 정교하게 분류된 데이터, 활용도 높게 구조화된 데이터, 암호화를 통해 안전하게 보관된 데이터가 선행되어야 AI 기술 경쟁의 시대에서 한국은 승리할 수 있다. 데이터가 장이요, AI 경쟁력이 바로 K푸드가 되는 셈인데 자꾸 구더기 무서워 장 담그지 말자고 하는 식이다.
세계 주요 국가는 각국의 개인정보 전송 기준을 까다롭게 지정하여 자국 데이터가 국외로 유출되는 것을 강력히 막고 있다. 반면에 자국 산업계에게는 데이터의 활용을 촉진하고 새로운 기술기업이 탄생하도록 독려하고 있다. 유럽의 GDPR 규정이 대표적인 사례이다. 한국의 경우도 동일하다. 개인정보보호위원회는 최근 개인정보 전송요구권을 근거로 개인정보보호법 시행령 개정안을 입법 예고하면서 의료나 유통, 통신 분야의 파생적인 데이터를 통합 전송하고 활용하는 방안을 공개하였다. 더불어 지난 9월의 시행령을 통해 국내 데이터의 국외 전송 규정을 강화하였다. 밖으로 나가는 데이터는 단속하고 국내에서의 데이터 생태계를 안전하게 구축하겠다는 의지이다.
이러한 정부의 의지에는 필연적으로 산업계의 고통이 일부 수반된다. 산업계의 시각으로 본다면 글로벌 기준에 따른 새로운 법 시행이란 다시 적응해야 하는 환경의 변화이며 비용의 증가 의미로 다가올 것이다. 특히 중국 커머스의 공세로 인해 가뜩이나 위축된 국내 유통업계에게는 안전성 확보 조치를 위해 시스템을 개선하거나, CISO(최고 정보보안 담당자)와 같은 새로운 인력과 조직을 확보하는 것이 부담스러울 수도 있다. 혹은 특정 기업에게는 확보된 데이터 통계 정보가 더 이상 고유한 기술격차 혹은 영업자산이 되지 않는다는 것이 불만스러울 수도 있다.
하지만 되묻고 싶다. 정녕 구더기 무섭다고 장을 안 담글 셈인가? 더 중요한 가치가 무엇인지 고려해야 하는 것은 아닌가? 개인정보 보호의 가치는 모름지기 단단한 껍데기 속에 보관하기만 하면 높아지는 것이 아니다. 정보주체의 요구에 맞춰 적절하게 활용할 때 비로소 가치가 높아진다. 그리고 개인정보란 모름지기 기업이나 산업의 소유가 아니라 정보주체의 활동을 통해 생성되는 것이며, 원론적으로 정보주체의 것임을 잊지 말아야 한다.
이번 마이데이터 사업의 법적 근거가 되는 개인정보보호법 개정안의 핵심은 크게 두가지다. 첫째, 개인정보의 원천 소유권은 개인에게 있으며, 개인의 의지에 따라 안전하게 활용, 선택, 전송의 권리를 가진다는 점. 둘째, 개인정보는 국외로 함부로 이전될 수 없으며 적절한 안정성 보호조치가 되지 아니할 경우 국외 이전을 중단할 수 있다는 점. 이런 점에서 마이데이터의 전분야 확장은 국민 체감성과 글로벌 경쟁력을 기초로 만들어지었음을 알 수 있다. 맞는 말이기에 건너야 할 징검다리처럼 아무리 고달프고 손이 많이 가는 부분이 있더라도 지금 단단히 준비해야 하는 미래 경쟁력의 기초 양념이라는 말이다.
사실 한국의 마이데이터 활성화는 세계 추세에 비춰 한참은 늦은 감이 있다. 그리고 늦은 만큼 엄격한 보안기준에 맞춰 준비하고 있다. 개인정보보호위원회는 유럽의 강화된 국제기준인 GDPR에 준하여 만든 한국의 기준인 ISMS-P를 마련하였다. 이런 안정성 보호조치가 없으면 서비스 수행이 불가능하도록 하였다.
또한 민감한 정보를 다루는 만큼 서비스 수행기관으로 지정받으려면 전문가들과 정부의 까다로운 검증을 2단계 이상 거치도록 했다. 더불어 금융 마이데이터와는 달리 금전적인 이득을 매개로 정보 동의 수집을 금지하여 쿠폰의 남발로 데이터를 수집하지 못하도록 하였다.
새 기준이 엄격하다고 불평하기 보다는 기준조차 없었던 과거를 지나 새로운 기회가 열리고 있음을 인식해야 한다. 구더기 무서워 아예 장 안 담궈버린 선조가 될 수는 없지 않은가?
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지