2024년 4월 1일
루이스 캐럴의 소설 '거울나라의 앨리스'에서 앨리스는 모든 것이 일반적인 방식으로 작동하지 않는 다른 세계로 들어갑니다. 시간이 거꾸로 흐릅니다. 달리기는 움직이지 않는 데 도움이 됩니다.
개인 정보 보호 강화 기술, 즉 PET의 세계는 비슷하게 직관적이지 않은 것처럼 보일 수 있는 가능성을 제공합니다. 질문이 무엇인지 몰라도 질문에 대답할 수 있어야 합니다. 책을 펼치지 않고도 책의 줄거리를 파악할 수 있습니다.
데이터 사용 및 공유와 관련하여 개인정보 보호 및 보안 위험을 완화할 수 있는 기술, 방법, 프로세스를 포괄하는 포괄적인 용어인 PET가 점점 더 현실화되고 있습니다. 이를 통해 조직은 원시 데이터 자체를 사용하거나 액세스할 필요 없이 데이터에서 가치를 추출할 수 있으며, 민감하고 식별 가능한 정보에 대한 액세스를 제한하여 기밀성과 소비자 프라이버시를 보호할 수 있습니다. 만병통치약은 아니지만, 조직이 개인정보 보호와 혁신적인 데이터 사용을 동시에 기술적으로 보장하고 정량적으로 입증할 수 있는 또 다른 도구입니다.
PET는 오래 전부터 존재해 왔지만, 주로 일부 규제 기관과 민간 부문의 몇몇 기업만이 관심을 갖고 연구하는 첨단 기술이었으며 사치스럽게 여겨져 왔습니다. 하지만 최근 몇 년 사이 상황이 바뀌었습니다.
지난해 바이든-해리스 행정부의 인공 지능에 관한 행정 명령에는 개인 정보 보호 기술의 개발 및 사용 가속화, 연방 기관의 이러한 기술 채택 촉진, 이러한 기술의 효과를 평가하기 위한 가이드라인 개발에 관한 전체 섹션이 포함되어 있습니다.
글로벌 차원에서 2023년 G7 데이터 보호 및 개인정보 보호 당국은 신뢰를 구축하고 개인정보를 보호할 수 있는 PET를 비롯한 신기술의 개발과 사용을 촉진하는 계획을 승인했습니다.
일부 정책 입안자와 규제 당국도 이 분야를 조사하고 개척하고 있습니다. 영국 금융행위감독청은 금융 시장에서의 합성 데이터 사용을 연구하기 위해 마스터카드의 최고 개인정보 보호 및 데이터 책임 책임자인 캐롤라인 루보를 포함한 합성 데이터 전문가 그룹을 구성했습니다. 싱가포르에서는 인포콤 미디어 개발청에서 조직이 규제 요건에 대한 실제 사용 사례를 테스트할 수 있는 PETs 샌드박스를 운영 중입니다.
마스터카드는 이러한 기술이 국가, 기업 및 개인에게 실질적인 혜택을 제공하는 실용적인 애플리케이션에 적용될 수 있도록 지원하고 있습니다. 예를 들어, 저희는 싱가포르 정부의 PETs 샌드박스에 참여하여 완전동형암호화(FHE)를 사용하면 국가 간 금융 범죄 정보를 쉽게 공유할 수 있다는 사실을 성공적으로 입증했습니다.
개인정보 보호 강화 기술은 개인 정보 및 민감한 정보의 프라이버시를 보호하는 동시에 기업이 해당 데이터로 혁신을 이룰 수 있도록 지원합니다. 예를 들어, 신중하게 보정된 컴퓨터 모델을 사용하여 원본 데이터 집합의 통계적 속성에 근접한 시뮬레이션 데이터 집합을 생성하는 합성 데이터를 생성할 수 있습니다.
마스터카드는 최근 싱가포르 정부와 함께 완전 동형 암호화를 사용하여 기초 데이터를 공개하지 않고, 쿼리 자체나 그 결과를 다른 사람이 볼 수 없도록 암호화된 데이터를 직접 분석함으로써 국가 간 금융 범죄 정보 공유를 촉진하는 방법을 시연하는 파일럿에 참여했습니다.
유엔 마약범죄사무소는 전 세계적으로 매년 8,000억~2조 달러의 자금이 세탁되는 것으로 추정할 만큼 금융 범죄는 각국의 경제와 평판에 심각한 위협이 되고 있습니다. 그러나 특히 국경을 넘는 금융 정보 공유는 개인정보 보호, 국가 간 데이터 전송, 은행 비밀 유지, 자금 세탁 방지법의 '제보' 금지와 관련된 법적 제한으로 인해 어려움을 겪고 있습니다. 범죄자는 의심스러운 활동에 대한 정보를 공유할 수 없기 때문에 실수로 발생하는 마찰로 인해 그림자 속에 숨어 위장할 수 있습니다.
FHE를 통해 국경 간 금융 범죄 정보 공유를 확대하면 범죄 네트워크 활동을 방해하고 탐지율을 개선(예: 오탐지 감소)하여 범죄자가 금융 기관을 표적으로 삼지 못하도록 할 수 있습니다.
싱가포르 샌드박스에서 FHE를 사용하여 여러 데이터 저장소에서 의심스러운 계정을 식별하는 동시에 법적 규정 준수 위험을 해결하고 완화할 수 있었습니다. 정보 및 쿼리는 양자 컴퓨팅 보안 수준으로 암호화되었습니다. 쿼리-응답 체인의 쿼리와 엔티티는 데이터 교환의 상대방에게 알려지지 않았기 때문에 범죄자에게 정보를 제공할 염려가 없었습니다. 또한 금융 정보가 포함된 암호화된 쿼리는 출신 국가 외부에서 몇 초 이상 지속되지 않았습니다. 이 증거는 무엇보다도 우리가 프라이버시와 혁신이라는 두 마리 토끼를 동시에 잡을 수 있음을 시사합니다.
모든 첨단 기술에는 도전과제가 따르기 마련이며, PET도 예외는 아닙니다. 처리 복잡성은 현재로서는 밀리초가 아닌 초 단위로 측정되는 응답이 필요한 요구사항에 FHE가 더 적합하다는 것을 의미합니다. 하지만 연산 능력의 지속적인 발전을 통해 성능 시간은 개선될 것이며, 모든 사용 사례에 즉각적인 또는 실시간에 가까운 처리가 필요한 것은 아닙니다. 또한 싱가포르 사례 연구에서 살펴본 것처럼 쿼리를 신중하게 구성하면 프로세스의 효율성이 더욱 높아집니다.
더 많은 규제 당국이 PET의 효능을 조사하고 있는 가운데, 민간 부문 참여자는 각 지역 법률에 따른 요건을 충족하는 데 PET가 어떻게 도움이 될 수 있는지 설명하는 개인정보 보호 및 부문 규제 당국의 위험 기반 지침의 혜택을 받을 수 있습니다. 이러한 지침은 업계 플레이어에게 PET 외에 다른 보완적인 규제를 통해 해결할 수 있는 특정 우려 사항에 대한 명확성을 제공해야 합니다. 새로운 기술을 구현하는 데 드는 비용과 복잡성을 고려할 때 이러한 규제 투명성과 독려의 중요성은 아무리 강조해도 지나치지 않습니다. 싱가포르 샌드박스와 같은 노력은 규제 프레임워크에서 기술이 어떻게 작동할 수 있는지에 대한 실제 사례의 증거 기반을 구축하는 데 도움이 됩니다.
어려운 상황이지만 팀 버튼의 영화 '이상한 나라의 앨리스'에 등장하는 앨리스 아버지의 말을 떠올리는 것도 도움이 될 수 있습니다: "불가능을 이룰 수 있는 유일한 방법은 가능하다고 믿는 것입니다."
개인정보 보호와 혁신적인 데이터 활용을 동시에 달성할 수 있습니다. 그러나 이러한 가능성은 규제 당국과 업계 간의 개방적인 협력, 기술을 테스트하고 적용하려는 규제 당국의 용기, 그리고 필요한 경우 기술 사용을 장려하기 위해 규제 환경을 조정하려는 의지를 통해 실현될 수 있습니다. 데이터 사용과 공유에 대한 불신이 커지고 있는 이 시대에 PET 사용을 장려하는 것은 우리 모두의 이익에 부합하는 일입니다. 도구는 존재합니다. 우리는 더 넓은 현실로 나아가기 위해 함께 한 걸음씩 나아가야 합니다.
조나단 아나스타샤는 마스터카드의 암호화폐 서비스 및 금융 범죄 담당 부사장입니다. 데릭 호는 마스터카드의 개인정보 및 데이터 보호 담당 법률 고문입니다.