더불어민주당 진선미 국회의원(서울 강동(갑)/행정안전위원회)는 10일 국내 굴지의 금융·통신 대기업들이 지난 1년간 빅데이터 활용이라는 명목으로 고객 동의 없이 1억 7000만 건의 개인정보를 결합 시도하고, 그 중 1200만 건 이상의 개인정보를 서로 주고받은 사실을 공개하였다.

예를 들어 SK Telecom이 보유한 통신료 미납 정보, 단말기 정보 등과 한화생명이 보유한 추정소득금액, 추정 주택 가격, 보험 가입 건수 등이 결합되어 각 사가 공유한 것이다. 결합에 참여한 기업에는 SK Telecom, KT, LG U+ 등 통신사, SCI평가정보, 한화생명, 한화손해보험, 삼성생명, 삼성카드, KB국민카드 등 금융사 등이 포함되어 있다.

이는 박근혜 정부가 전경련의 요구를 받은 후 법적 근거 없이 빅데이터 개인정보를 교환하도록 허용하고, 한국인터넷진흥원 등 공공기관을 동원해 결합을 지원하도록 한 결과이다. 박근혜 정부는 법적 근거 없는 가이드라인을 작성해 비식별화의 기준 마련, 실행, 감시를 모두 기업 자체적으로 하도록 하였다.

진선미 의원은 각 기업들은 개인정보를 최대한 온전히 확보하고 싶어하기 때문에, 기업이 알아서 하도록 하는 비식별화는 요식행위에 불과하다고 설명했다. 정부는 기업들 간 서로 어떤 정보를 교환했는지도 파악하지 못하고 있으며, 각 기업들이 알아서 개인정보보호 조치를 지키라고 하고 있다.
 
빅데이터 활용 명목의 개인정보 공유는 전경련이 박근혜 정부 초기부터 정부에 강력히 요구한 사항이다. 전경련은 2013년 8월 미래창조과학부에 <창조경제 실현을 위한 제언> 요구사항을 제출하면서 현행 개인정보 관련법 상에서 개인정보가 포함된 빅데이터를 활용하기가 어렵다며, 법에 저촉되지 않고 활용할 수 있는 가이드라인을 만들어달라고 요구하였다.

방송통신위원회는 2013년 12월 18일 ‘빅데이터 개인정보보호 가이드라인’ 초안을 발표하였고, 개인정보보호위원회 등의 반대에도 불구하고 2014년 12월 이를 확정발표 하였다.

개인정보보호법에서는 개인을 알아볼 수 없게 처리된 정보라 하더라도 학술연구 및 통계작성 목적으로만 사용할 수 있게 제한하고 있음에도, 방송통신위원회의 가이드라인에서는 기업들이 자체적으로 비식별화 할 경우 영리목적으로 기업 간에도 교환이 가능하도록 허용하였다.

방송통신위원회의 가이드라인에도 불구하고, 기업들이 각자가 보유한 개인정보를 직접 교환하지 않고 자료를 합치게 해주는 ‘중립기관(Third Party)’가 없어 기업들은 개인정보 빅데이터 결합에 나서지 못했다.

2016년 5월 9일 박근혜 전 대통령이 규제개혁장관회의를 개최한 후, 2016년 6월 30일 이를 보완한 범정부 차원의 ‘개인정보 비식별 조치 가이드라인’가 발표되었다.

범정부 가이드라인에는 한국인터넷진흥원·한국정보화진흥원·금융보안원·한국신용정보원 등 공공기관 등이 각 기업들의 요구를 받아 정보를 대신 결합해주도록 하여 기업들의 부담을 덜어주었다.

박근혜 정부의 범정부 <개인정보 비식별 조치 가이드라인> 제정 이후 진행된 개인정보 빅데이터 결합은 총 12건으로, 1억 7014만 건의 개인정보가 결합시도 되었으며, 그 중 1226만 건이 결합되어 각 기업 간에 교환되었다.

SK Telecom과 한화생명 양자 간 219만 건, SK Telecom·한화생명·SCI평가정보 3자간 248만 건이 교환되었고, KB국민카드와 LG U+가 250만 건의 개인정보 빅데이터를 교환했다. 삼성생명과 삼성카드도 서로 241만 건을 교환하였다.

SCI평가정보의 경우 3700만 건의 개인정보를 결합시도 하였고, SK Telecom이 2,900만 건, KB국민카드가 1,827만 건 결합을 시도하여 신용거래를 하는 국민대부분의 개인정보가 결합시도 된 것이다.

공유된 개인정보 항목에는 소득, 병적 정보, 신용등급, 연체정보 등 개인의 민감한 정보가 포함되어 있다.

개인정보 빅데이터 교환에 가장 적극적인 기업인 한화생명의 자료에 따르면, 추정소득금액, 주택가격, 각종 보험 가입 여부, 신용대출 건수, 대출액, 신용등급 등의 정보가 교환되었다. 대부분의 기업들이 교환한 개인정보 항목들을 기밀사항으로 비공개하고 있어 더욱 내밀한 정보도 교환되었을 가능성이 크다.

고객 동의 없이 교환된 개인정보들은 신용평가, 보험액 평가, 맞춤형 상품 마케팅 등에 활용될 것으로 보인다.

한화생명보험의 자료에 따르면, 빅데이터 결합의 기대효과로 고객별 신용평가 활용, 신용대출 연체 고객의 특성 분석, 제휴상품 출시 검토 등을 제시하고 있다. 개인정보 주체의 동의 없이 교환된 자료를 이러한 영리목적으로 사용하는 것은 개인정보 관련법에 따라 위법이다.
 
진선미 의원은 현행 개인정보보호법이 특정 개인을 알아볼 수 없는 정보라도 영리목적으로 사용할 수 없도록 하고 있기 때문에, 박근혜 정부가 만든 <개인정보 비식별 조치 가이드라인>의 전제 자체가 위법하며 즉시 폐기되어야 한다고 지적했다.

진 의원은 이어 영리목적의 개인정보 교환이 무제한으로 허용된 것은 전례가 없는 일이라고 설명했다.

진 의원은 “그간 이루어진 개인정보 빅데이터 교환 건들이 개인정보 관련법을 위반하였는지 전수 조사를 해야 하며, 국회 입법을 통해 빅데이터 처리과정에서의 개인정보 보호 방안을 만들 것”이라고 말했다.

-한지현기자