2021-05-14 07:45 (금)
[데이터융합포럼 특별기고-9] 일상화되고 있는 프로파일링, 그 위험과 해결방안은?
상태바
[데이터융합포럼 특별기고-9] 일상화되고 있는 프로파일링, 그 위험과 해결방안은?
  • 길민권 기자
  • 승인 2021.04.12 23:33
이 기사를 공유합니다

안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 ‘데이터융합포럼’은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 이번 기고는 데이터융합포럼 한국신용정보원 김현진 팀장의 ‘일상화되고 있는 프로파일링, 그 위험과 해결방안’에 대한 내용이다. <편집자 주>

데이터는 집합되고 결합되었을 때 중요하고 민감한 것을 수면위로 드러낸다. 어느 미성년자가 가장 친한 친구와의 전화통화가 잦아지고 임신과 관련한 웹사이트에 방문하거나 산부인과의 전화기록이 많아지고 있다면 아마 낙태에 관해 고민하는 사람이거나 곧 낙태를 할 수도 있는 사람이라 예상할 수도 있다. 단편적인 정보는 전화나 인터넷의 흔적과 기록에 불과하지만 이를 결합하여 추정하게 되면 때로 남들에게 알리고 싶지 않은 민감한 사생활 정보로 탈바꿈될 수 있다.

데이터의 결합과 추정으로 이루어지는 프로파일링은 데이터 경제의 핵심 수단으로써 산업의 분야를 막론하고 폭넓게 활용되고 있다. 특히 인공지능의 발전은 프로파일링의 활용 저변을 확대하는데 매우 중요한 기여를 하고 있다. 머신러닝이나 딥러닝과 같은 데이터 처리 기술을 통해 개인의 속성, 행동, 위치, 접촉정보 등 포괄적인 데이터 세트를 활용하여 컴퓨터의 알고리즘만으로도 개인의 상황을 추론하거나 행동을 예측할 수 있게 되었고, 이를 통한 개개인의 편익이 나날이 증대되고 있다.

이처럼 인공지능・빅데이터를 기반으로 한 IOT의 발달이 생활의 편리함을 크게 가져다 주기는 하지만 개인의 행동 하나 하나에 대한 추적이 가능해지고 그로 인해 만들어지는 프로파일링은 또 다른 과제를 우리에게 안겨주고 있다. 즉, 일상적이고 단순하기 짝이 없는 데이터로부터도 개인의 선호 등을 예측하게 되면 나의 프라이버시는 어떻게 보호될 수 있을까? 프로파일링을 통해 이루어지는 나에 대한 판단이나 의사결정이 차별없이 공정하게 이루어지고 있을까? 만약 이러한 의사결정에 사용되는 알고리즘이 투명하지 못하여 이미 내가 원하지 않는 방향으로 뭔가가 결정되어 버렸다면 나의 권리(특히, 그렇게 결정된 것에 거부할 수 있는 권리)는 어떻게 보장될 수 있을까?

본 고에서는 프로파일링에 대한 개념과 이로 인해 발생될 수 있는 새로운 위험성을 알아보고 그 해결방안으로서 어떠한 과제들이 논의될 수 있을지 살펴보기로 한다. (*이 기고문의 내용은 저자의 개인적인 견해이며, 소속 기관의 공식적인 견해가 아님을 미리 밝혀둔다.)

1. 프로파일링? 자동화된 의사결정? 자동화 평가?

먼저, 프로파일링과 관련하여 흔히 사용되고 있는 유사 용어에 대한 개념을 살펴보기로 하자. 프로파일링뿐만 아니라 자동화된 의사결정, 자동화 평가 등 용어들이 혼재되어 사용되고 있지만 개념적으로는 일정 구분이 된다. 프로파일링이란 개인에 대한 평가나 의사결정 이전의 단계로서 그러한 평가나 의사결정을 목적으로 수행되는 자동화된 개인정보의 수집과 분석을 의미하며 자동화된 의사결정이란 자동화된 장치만을 통하여 해당 개인에 대한 측면을 평가하고 결정하는 것을 의미한다.

예컨대, 유럽연합의 일반개인정보보호규정(General Data Protection Regulation: 이하 GDPR)에서는 프로파일링을 자연인과 관련된 특정한 개인적 측면의 분석, 특히 자연인의 업무 성과, 경제 상황, 건강, 개인적 선호도, 관심, 행동, 위치 또는 이동과 관련된 측면을 평가하기 위한 모든 형태의 자동화된 개인정보 처리로 명시하고 있다(GDPR 제4조), 자동화된 의사결정에 대하여 구체적인 정의는 없으나 이를 별도 규율하고 있는 GDPR의 제22조를 통해 볼 때 개인에 관한 의사결정을 오직 자동화된 수단을 통해서만 처리하는 것, 즉 의사결정 과정에 어떠한 인위적인 개입없이 오직 컴퓨터와 알고리즘만을 이용하는 것을 일컫는다고 볼 수 있다.

지난 데이터3법 개정시 우리 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)에서 처음으로 자동화 평가에 대한 개념을 규정하였다. 신용정보법 제2조에서는 자동화 평가를 신용정보회사 등의 종사자가 평가 업무에 관여하지 아니하고 컴퓨터 등 정보처리장치로만 개인신용정보 및 그 밖의 정보를 처리하여 개인인 신용정보주체를 평가하는 행위로 규정하고 있다. 금융감독원으로부터 검사를 받는 금융회사가 개인신용평가 또는 대출‧신용공여 등 신용위험이 따르는 거래에서 자동화평가를 할 경우 신용정보주체는 본 법의 제36조의2에 규정된 자동화 평가 대응권을 행사할 수 있게 되었다.

이에 따라 아래의 그림처럼 프로파일링, 자동화된 의사결정, 자동화 평가에 대한 개념을 도식화할 수 있고, 이해를 돕기 위해 신용정보법이 적용되는 금융분야로 기준하여 각 유형별 사례를 언급해 보았다. (한국인터넷진흥원의 자료를 기초로 수정・변경하여 작성하였음)

2. 어떠한 위험과 도전이 있나?

기업 입장에서는 프로파일링에 기반한 자동화된 의사결정을 통해 업무 프로세스의 혁신, 시장의 세분화 및 새로운 수요 발굴, 나아가 비즈니스 기회까지 창출할 수 있는 중요한 수단이 되겠지만, 개인의 입장에서는 사생활에 중대한 위협이 될 수 있으며 그러한 결정이나 판단에 편향성이나 불공정성이 조금이라도 더해지게 될 때 개인의 사회적‧경제적 상황에 적지 않은 타격을 줄 수 있는 부작용도 야기된다.

인공지능 알고리즘은 어떤 영화를 좋아하는지, 구직요청을 받았는지, 대출을 할 수 있는 자격이나 수준이 되는지, 보다 높은 보험 급여를 받을 능력이 되는지, 심지어 의심스럽거나 불법적인 행동을 하는 것은 아닌지 등에 대하여 자동화하여 해당 개인의 상황을 결정할 수 있다. 이러한 결정은 개인의 생활에 개입되어 공정성, 정확성, 편견, 차별 등과 같은 문제를 불러올 수 있다.

이와 더불어 프로파일링 및 자동화된 의사결정의 진행 여부를 정보주체가 인지하기 어렵고 그 결정에 대하여 기업의 담당자 조차도 의미있는 설명을 구해내기가 쉽지 않다는 점 또한 정보주체가 개인정보 자기결정권을 보장받는데 또다른 도전이 된다. 정보주체에게 자동화된 의사결정에 대하여 설명을 받을 수 있는 권리가 보장된다 하더라도 기업은 정보주체가 이해할 수 있는 수준의 설명을 제공하는 데에는 기술적인 한계가 존재할 수 있다.

또한, 프로파일링에 따라 기계 스스로 정보주체의 취향이나 특징을 분석ㆍ예측하게 되면 민감정보도 함께 생성 처리될 가능성이 높아진다. 글의 서두에서 예시한 사례만을 보아도 알 수 있듯이 단편적인 전화나 접속 정보이지만 그것을 수집하여 프로파일링하면 건강이나 성생활과 같은 개인의 사생활을 현저히 침해할 우려가 있는 민감정보가 생성될 수 있다.

아울러 기업의 마케터나 데이터 분석 담당자 입장에서는 보다 정밀하고 정확한 평가 및 예측 결과를 도출하기 위해 필요 이상의 데이터를 확보하려 할 것이다. 개인정보를 과도하게 수집ㆍ처리할 우려도 존재하게 된다.

3. 다른 나라에서는 어떻게 하고 있을까?

프로파일링이나 자동화 의사 결정에 대한 논의가 비록 우리나라의 경우에는 최근의 일이긴 하나, 글로벌 차원에서는 이미 2010년 초반부터 이루어져왔다.

세계 각국의 개인정보 보호 감독당국(Data Protection Authority)이 참여하는 GPA(Global Privacy Assembly)에서는 2012년, 프로파일링에 관한 우루과이 선언문을 발표하였다. 선언문에는 회원국이 빅데이터 환경에서 무분별한 대규모 데이터의 수집 처리로 발생될 수 있는 개인정보 침해 위험을 완화하기 위한 8가지 조치 사항이 포함되어 있다. 구체적으로, 프로파일링 실행에 대하여 최대한 광범위하게 정보주체에게 고지할 것, 알고리즘의 유효성을 지속적으로 검증할 것, 적절한 인적 개입을 통해 기계에 대한 과잉 의존으로 발생될 수 있는 판단의 불공정성을 최소화 할 것, 프로파일링의 생성과 적용이 가급적 동시에 수행되지 않도록 조치할 것, 프로파일링 수행 프로세스에 정보주체의 요구사항을 반영하는 수단이나 방법을 강구할 것 등을 골자로 하고 있다. 본 선언문의 주요 내용은 이듬해 폴란드 바르샤바에서 개최된 GPA 총회에서 프로파일링에 관한 결의문으로 확정・발표되었고 이 후 인공지능 관점에서의 개인정보 보호를 위한 여러 결의문을 형성하는 기초가 되었다.

GPA가 구속력을 갖지 않는 국가간 협의체이긴 하나, EU나 미국 등 글로벌 논의를 주도하는 국가의 개인정보 보호 감독당국이 본 협의를 이끌고 있고 개인정보 보호 국제 협의체 중 가장 영향력이 큰 기구여서 GPA의 결의문이 확정・발표되면 회원 각국에서는 제도의 개선과 같은 조치로 이어지는 경우가 많다.

EU의 GDPR에서도 GPA에서 결의된 내용을 기초하여 프로파일링시 발생될 수 있는 위험에 대하여 정보주체가 가질 수 있는 별도의 권리와 기업이 조치해야할 의무를 규정하였다. 정보주체는 프로파일링에 대한 해당 개인정보처리자로부터 통지를 받을 권리 및 열람요구권과 유사한 의미의 접근권을 갖는다. 이에 따라 개인정보처리자는 프로파일링을 포함한 자동화된 의사결정 존재 여부, 관련 논리에 대한 의미 있는 정보, 이러한 개인정보의 처리로 예상되는 결과의 설명 등을 상세히 알려야한다. 여기서 관련 논리에 대한 의미 있는 정보란 어떤 개인정보가 사용되었는지, 이 개인정보를 어떻게 사용했는지, 알고리즘의 공정성이나 효과성에 대하여 정기적으로 점검하고 있는지 등을 포함한다. 이와 별도로 일반적인 개인정보 처리와 동일하게 정정․삭제․처리정지권도 부여된다.

이와 더불어 프로파일링을 하는 개인정보처리자가 부담해야할 책무는 어떤 것이 있을까? GDPR 제22조는 프로파일링에 기반한 자동화된 의사결정의 원칙을 규정하고 있다. 본 조 및 제29조 작업반(WP29)에서 발간한 관련 가이드라인에 따르면 프로파일링과 의사결정을 알고리즘 등으로 완전히 자동화하여 해당 결정이 법규에서 보장하고 있는 EU 시민의 권리를 침해하거나 그와 유사한 영향을 미치게 된다면 이러한 자동화된 의사결정은 원칙적으로 제한된다. 다만 계약의 체결이나 이행에 필요한 경우, 정보주체로부터 명시적 동의를 받은 경우, 다른 법률에서 명시하고 있는 경우에는 예외적으로 허용된다.

또한 이런 예외적 허용의 경우라 할지라도 정보주체가 의견 표명, 인적 개입(human intervention) 요구, 이의 제기 신청 등을 하는데 필요한 수단을 마련해야 한다. 이와 더불어, 프로파일링이나 자동화된 의사결정에 기반한 개인정보처리시스템 구축시 이러한 안전 조치 의무에 대한 입증 수단으로써 데이터 보호 영향평가(DPIA)를 의무적으로 수행할 것으로 명시하고 있다. 본 영향평가를 통해 해당 시스템 설계 단계에서 로직 및 알고리즘의 투명성, 고지절차, 이의제기 수단, 정보제공 절차 등의 적정성을 평가하게 된다.

한편, 인공지능 시대에 맞추어 개인정보 보호에 관한 법제를 재정비하려는 캐나다의 사례를 살펴보자. 캐나다의 민간분야 개인정보 보호를 규율하는 법률은 ‘개인정보 보호와 전자문서에 관한 법률(Personal Information Protection and Electronic Documents Act, 이하 PIPEDA)’이다. 캐나다의 개인정보 보호 감독기구인 OPC(Office of Privacy Commissioner of Canada)에 따르면 알고리즘을 통한 자동화된 의사결정이 불공정, 편견, 차별 등 정보주체의 자유와 권리를 침해할 수 있음을 인식하고 동 법에 자동화 의사결정의 개념, 그리고 설명요구권, 이의제기권 등 EU GDPR의 통지를 받을 권리 및 이의의 신청이나 인간의 개입을 요구할 수 있는 권리와 유사한 수준의 정보주체 권리 보장 방안을 새롭게 담을 것으로 예고되었다. 다만, PIPEDA가 개인정보 보호와 활용의 균형을 위하여 기술 중립성을 중요 원칙으로 삼고 있다는 점에서 EU GDPR과는 달리 프로파일링과 같은 인공지능과 관련된 기술 내지 기능 자체를 금지하거나 제한하는 규정은 두지 않고 설명요구권과 같은 정보주체의 권리를 실효성있게 구현하는 데에 중점을 둘 것으로 전망된다.

4. 그렇다면 무엇을 고민해야 할까?

상기의 해외 사례에서도 알 수 있듯이 프로파일링에 기반한 자동화된 결정에 대하여 정보주체에게 알기 쉽게 설명해주는 것이 개인정보의 자기결정권을 실현할 수 있는 단초로 여겨진다. 그럼에도 불구하고 알고리즘에 기반한 자동화된 의사결정의 특성상 해당 개인정보의 취급자나 알고리즘 개발자조차도 그 결정에 대한 의미있는 설명을 구해내기가 쉽지 않다는 점, 그래서 그와 관련된 책임 또한 해당 개인정보처리자나 취급자에게 묻기 곤란하다는 점, 설령 설명의 요구수준에 대한 충분조건을 만족시켰다 하더라도 알고리즘의 해석 내용에 대한 제공 의무는 기업의 영업비밀 보호와 서로 충돌될 수 있다는 점은 해당 권리의 실행 기준을 설계하는 정부나 의무를 이행해야 하는 기업에게는 고도의 난제로 보여진다. 정보주체의 권리 보장 이행 기준을 아무리 상세하게 마련한다 하여도 실제 현장에서 그 권리가 충분히 보장될 수 있을지는 또다른 문제이고, 특히 머신러닝이나 딥러닝과 같은 환경에서 프로세스가 자동화되어 의사결정이 확정되어진 상황에서 설명을 요구하게 된다면 그 결정 또는 결정으로 인해 발생된 피해를 되돌리지도 못할 우려도 존재한다.

그러한 측면에서 볼 때 데이터 보호 영향평가(DPIA)를 활용한 EU의 사례는 눈여겨 볼만 하다. 개인정보처리자가 프로파일링 및 자동화된 의사결정 시스템을 구축・운영하기 위해서는 알고리즘의 투명성 확보, 적절한 통지의 수단 마련, 인적 개입을 위한 절차 수립 등 안전조치 의무를 이행하여야 하며 데이터 보호 영향평가는 이러한 법적 의무의 수행을 입증하는 필요충분조건이 되도록 하였다. 프로파일링에 따른 불공정 및 개인정보의 오남용 등은 사후에 조치하기 어려우므로 설계 단계부터 관리하여 잠재되어 있는 위험을 사전 완화하려는데 그 목적이 있을 것이다. 개념적으로만 여겨질 수 있는 프라이버시 바이 디자인(privacy by design)이 제도적으로 구체화되는 좋은 일례이다.

올해 초 전국을 떠들썩하게 만들었던 인공지능 챗봇 이루다의 개인정보 노출 사건은 이러한 관점에서 우리에게 중요한 메시지를 던진다. 이루다 시스템의 구축 설계 단계에서 인공지능의 학습에 활용될 개인정보를 정의하여 필요한 안전조치 계획을 수립하고 알고리즘의 투명성과 공정성을 확보하기 위한 최소한의 사전 조치를 취하였더라면 아마 이루다는 우리 사회에 유용한 도구로 발전될 수 있었을 지도 모른다. 적용의 수준과 방법에 대한 검토가 수반되어야 하겠지만, 공공부문에만 의무 적용하고 있는 우리 개인정보 영향평가 제도와 같은 사전 예방책을 보다 적극적으로 활용해야 할 이유가 여기에 있다고 볼 수 있다.

5. 맺으며

기술의 주도권이 빅데이터에서 인공지능으로 빠르게 옮겨가면서 개인정보 보호나 프라이버시에 대한 이슈 또한 인공지능 발전과의 균형점을 찾기 위한 논의로 이어지고 있다. 개인정보보호위원회에서 자동화된 의사결정에 대한 배제 등의 권리를 명시한 개인정보보호법 2차 개정안을 예고한 것도 그러한 맥락이다. 물론 EU GDPR의 해당 내용을 일부 차용한 것으로 보여지는 이 법안이 어떠한 수정없이 국회의 허가를 받을 것이라고는 어느 누구도 예상하지 않는다. 그럼에도 불구하고 우리는 제도의 겉모양은 잘 구성하나 그 속의 디테일을 간과하여 실제 현장에서 유연성을 이끌어내지 못하는 경우를 종종 볼 수 있다. 개인정보의 독특한 결합 제도가 그렇고 동의 선택권이 보장되지 못하는 개인정보 필수 동의제도도 그런 측면이 있다.

▲한국신용정보원 김현진 팀장
▲한국신용정보원 김현진 팀장

프로파일링이나 자동화 의사결정에 대하여 정보주체의 새로운 권리를 보장하기 위한 법제의 개선이 빅데이터와 인공지능으로 대변되는 데이터 경제의 혁신에 또다른 장애를 만들 소지도없지 않다. 그렇다고 해서 새롭게 생겨나는 위험을 내버려둔 채 정보주체의 정당한 권리를 포기토록 하는 것은 더욱 바람직하지 못하다. 우려스러운 것은 자칫 데이터 결합제도와 같은 독특한 개인정보 보호 제도가 또다시 만들어지지는 않을까 하는 점이다. 우리의 실정에 맞게 융통성있게 운영될 수 있도록 섬세한 설계와 논의가 이루어지기를 기대해 본다.

[글. 한국신용정보원 김현진 팀장]

# ’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.


■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2021 온라인 개최

-주최: 데일리시큐

-후원: 개인정보보호위원회·한국인터넷진흥원·한국정보보호산업협회

-2021년 4월 28일~29일 온라인

-2일 참가시 14시간 보안교육 이수

-공공·금융·기업 보안실무자 1,500명 이상 참석

-최신 국내·외 보안솔루션 사이버 전시관 개최

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★


관련기사