SKT 가명처리 정지 소송 대법원 판결에 대한 보안담당자의 우려

SKT 가명정보 정지처분 취소 소송에 대해 대법원이 “가명정보 처리 시 정보주체의 동의를 받을 필요가 없다”고 최종 판단했다는 소식은, 정보보안담당자로서도 깊이 고민할 수밖에 없는 주제입니다.

가명정보는 개인정보보호법에 의해 일정 수준의 보호는 받되, 정보주체의 직접 식별이 어렵도록 처리된 데이터입니다. 이 가명정보를 동의 없이 활용할 수 있다는 대법원의 판단은, AI나 데이터 산업 발전을 뒷받침하는 측면에서 분명 의미 있는 진전입니다.

저 역시 가명정보의 활용이 미래 기술 경쟁력 확보에 매우 중요하다는 점에는 전적으로 동의합니다. 그리고 **기밀성(confidentiality)**과 가용성(availability) 중, 민감정보나 고유식별정보를 제외한 대부분의 정보에 대해서는 가용성을 더 중요하게 생각하는 보안담당자의 입장에서도 이 판결을 무조건 부정하지는 않습니다.

하지만 한 가지, 간과되어선 안 될 문제가 있습니다.

---

분석 현장에서의 현실: 재식별 위험은 정말 통제되고 있는가?

제가 직접 근무했던 회사, 그리고 ISMS 인증 심사를 위해 방문했던 여러 기업들의 사례를 돌아보면, 가명정보를 활용하는 부서가 '재식별 가능성'을 원천 차단한 상태에서 업무를 수행하는 경우는 거의 드물었습니다.

예를 들어,

• 분석 대상 데이터와 보유 중인 원본 데이터의 연결 가능성
• 분석 환경에서의 접근 통제 미흡
• 업무 편의성 등을 이유로 한 최소한의 비식별 조치

이런 상황이 복합적으로 작용하면서, 실제로는 “형식상 가명처리”된 데이터가 “사실상 준식별정보”로 운용되는 경우도 적지 않았습니다.

---

정보주체의 권리와 책임의 균형

그렇기 때문에, 이번 판결이 “가명정보이기만 하면 동의 없이 자유롭게 활용할 수 있다”는 일방적인 면책의 근거로 사용되는 상황이 우려스럽습니다. 특히나,

• 데이터가 수집된 맥락
• 정보주체의 자기결정권
• 활용 범위의 명확성

이런 요소들이 고려되지 않고, 단지 기술적 ‘가명처리’가 되어 있다는 이유만으로 정보주체의 동의권이 원천 배제된다면, 이는 개인정보 보호법이 말하는 ‘균형 있는 보호와 활용’에서 벗어나는 것이 아닐까요?

---

활용을 위한 보안이 아닌, 보안을 위한 활용으로

우리는 기술의 진보를 위해 ‘활용’을 이야기하지만, 그것은 언제나 신뢰를 전제로 해야 합니다.

가명정보의 활용을 장려하고 싶다면,

• 재식별 방지를 위한 엄격한 보안통제
• 분석환경의 설계와 분리
• 조직의 책임 있는 데이터 거버넌스

이런 것들이 먼저 실현되어야 하지 않을까 생각합니다.

---

마무리하며

이 판결을 부정하려는 것은 아닙니다. 다만 현장의 경험과 현실적 위험을 고려할 때, 가명정보 활용의 전면적 자유화에는 신중함이 필요하다고 느껴집니다.
보안은 자유를 제한하기 위한 것이 아니라, 자유를 지속 가능하게 하기 위한 기반입니다. 이 점을 모두가 함께 기억해주었으면 합니다.

 

 

 

※ 이 글은 ChatGPT를 통해 초안을 작성하였으나, 보안 및 개인정보보호 분야 실무자의 검수를 거쳐 게시한 글입니다.
     환각 효과나 허위 정보에 대한 우려는 하지 않으셔도 됩니다.

※ 참고. ChatGPT를 통해 정리한 본 사건의 개요