토스 가명/익명처리 프로세스(외부제공 및 내부활용)

토스에서는 가명·익명 정보가 필요하다. 많은 데이터를 분석 목적으로 활용하기 위해서는 가명·익명 처리가 필요하기 때문이다. 가명처리 절차는 ① 사전준비 ② 가명처리 실행 ③ 적정성 검토 ④ 사후관리 로 설명된다. 이 단계에서 토스는 어떤 과정을 거치는지 알아보도록 한다.

 

① 사전준비

가명처리가 필요한 부서가 있다면, 그룹웨어를 통해 위의 사항을 명확히 하도록 한다. 가명처리가 필요한 목적을 명확히 작성해야 할 것이며, 이용환경이 내부인지 아니면 외부인지, 만일 외부라면 제공받는 자는 누구인지 밝혀야 하며, 원본 정보가 포함된 테이블 목록과 파일명을 작성하도록 한다. 원본정보에서 목적에 필요한 데이터만 추출하여 최소 원칙을 준수하기 위함이다. 또한 결과정보와 파기 일자를 가명처리 기간 동안 명시하도록 한다. 이는 모두 사후관리를 위한 메타데이터라 할 수 있다.

② 가명처리 실행

가명처리에 필요한 정보가 수집되었다면, 이제는 위험평가를 수행한다. 가명정보가 까다로운 점은 가명처리를 했을 때의 결과물이 과연 개인을 식별할 수 있는지 없는지, 누구도 보증하기가 힘들다는 점이다. 그렇기에 더욱 이 판단을 위해서는 객관적이고 정량적인 지표가 필요할 것이다. 그래서 토스는 ① 데이터 활용 방법 ② 이용환경 ③ 데이터 자체 위험도로 지표를 만들었다. 상세 항목은 아래와 같다.

 

핵심은 토스는 위험을 표준화하려는 시도를 한다는 점이다. 워낙 계열사도 많고, 서비스가 다양하다 보니 토스는 모든 것을 표준화하는 것에 능숙한 것으로 보인다. 

 

그리고 가명처리를 실행할 때는 상하단 코딩을 통해 이상치를 제거하는 것은 당연한 것일 테고, 한가지 주의할 점은 int type이라 하더라도 데이터의 성격이 범주형인 경우, 평균이나 표준편차 같은 통계는 의미가 없을 것이다. 범주형으로 분석하여 최소 빈도값 등을 분석하는 의사결정으로 갈 필요가 있다는 것이다. 또한 상하단 코딩도 정규 분포에서는 의미가 있겠지만, 우상향 등의 그래프에서는 큰 의미가 없을 것이다. 특성에 따른 전략이 필요하다는 것이다.

③ 적정성 검토

가명처리가 되었다면, 기준에 따라 적정성 검토를 수행한다. 

 

이후 가명결합 과정은 다음과 같이 도식화할 수 있다.

가명결합(외부)

가명결합(외부)

가명결합(내부)

외부를 통해 결합을 할 때는 이름, 성별, 생년월일에 솔트키를 붙여 결합키를 생성하고, 내부 결합에서는 유저 id를 통해 결합키를 생성한다.

익명처리도 가명처리와 유사한 단계를 거치며, 적정성 검토에서는 위의 단계를 거치게 된다. 외부 전문가의 검토도 거친다는 점이 차이라 할 수 있을 것이다.

 

④ 사후관리

가명정보 취급자는 원본정보에 접근할 수 없기 때문에 원본 DB와 가명 DB에 같은 계정이 모니터링하지는 않는지 상시 모니터링한다. 만일 접근 시도가 발생하면 담당자에게 확인을 요청하고, 이후에 해당 담당자는 반드시 소명을 해야 한다. 

 

 

또한, 가명정보에 관해서도 개처방에 공개를 해야 하므로, 최초 기입한 메타데이터를 바로 개처방에 연동하여 자동 업데이트하도록 하는 것이다. 파기에 관하여도 최초 입력한 날짜가 도래하면 자동으로 파기되는 것이 가장 좋을 것이다. 

 

익명정보는 최초 입력한 기준에 따라 K값이 계속 유지되는지, 익명성의 정기적인 재평가가 필요할 것이다. 익명처리를 했다고 해서 그게 항상 익명정보로 유지된다는 것에 대한 경계가 필요하다는 것이다.

 

이렇게 절차적 체계를 만듦으로써 개보 및 보안과 관련된 이가 아니더라도 가명처리와 익명처리의 필요성과 중요성에 대해 인지할 수 있고, 계속해서 표준화 및 자동화를 시도함으로써 휴먼에러를 줄이는 한편, 처리속도는 개선할 수 있을 것이다. 또한 계속해서 합성 데이터의 중요성이 커지고 있는데, 합성 데이터를 활용하여 고도화된 개인정보보호 기술을 적용할 수 있을 것이다. 이 부분에 대한 고민이 필요하지 않을까 싶다.