동형암호를 이용한 개인정보 등 빅데이터의 범죄분석 활용방안 연구

Abstract

스마트폰의 보급, 인터넷 뱅킹의 일반화 등으로 인해 현대인들은 원하든 원하지 않든 끊임없이 방대한 양의 개인정보들을 쏟아내고 있다. 이러한 데이터들의 집합은 빅데이터라는 새로운 개념을 형성하였고 이들을 분석하여 의미를 밝혀내는 새로운 연구 분야와 산업이 생겨나게 되었다. 특히, 형사사법 분야에서도 빅데이터는 다양한 방면에서 활용될 수 있는데, 각종 데이터 패턴 분석 등을 통한 범죄수사, 개별 범죄자들의 정보분석을 통한 재범가능성 등 평가가 이에 해당된다. 그러나 이러한 빅데이터가 인간에 대하여 일반적인 연구만 진행하면 좋은데, 깊이 있게 연구를 진행하다보니 그 데이터의 주체, 즉 개별적인 정보주체가 누구인지 특정이 되어 버려 개인정보가 무분별하게 사용될 수 있는 문제가 발생하게 되었다. 이러한 개인정보 유출에 대한 우려는 국내 굴지의 기업들에게서 보관 중이던 개인정보가 유출되는 사건이 발생하여 현실화되기도 하였다. 즉, 2008년 인터넷 오픈마켓이 옥션이 해킹을 당하여 개인정보가 유출되었던 사태를 기점으로, 2011년 발생한 싸이월드 개인정보 유출사고, 그리고 인재에 해당되는 KB국민은행, NH농협은행, 롯데카드 등 금융기관에서 발생한 개인정보 유출사고 등으로 국민들의 개인정보 유출에 대한 우려는 점점 더 커져만 갔다. 이에 따라, 우리나라 개인정보 관련 법제는 규제 강화의 일변도를 달려왔고, 위와 같은 사건 사고 발생에 비추어 그러한 방향성이 이상한 것만은 아니었다. 일반적으로 「개인정보보호법」, 「신용정보의 이용 및 보호에 관한 법률」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 3개 법률을 일반적으로 데이터 3법이라고 칭한다. 개인정보 등 데이터의 이용에 관한 사항들을 대부분 의율하고 있기 때문에 데이터 산업계에서 가장 많이 적용되는 법률로, 앞서 살펴본 일련의 사건들로 인해 규제를 강화하는 방향으로 개정이 계속되어 왔다. 그러나, 최근 산업계에서는 이 빅데이터 분석이 어마어마한 새로운 가치 창출이 가능함을 깨닫기 시작했고, 데이터 3법이 너무 엄격하여 법률 내용을 좀 더 완화하여야 빅데이터의 활용이 가능하도록 열어주어야 한다는 주장들이 힘을 얻기 시작했으며, 국회에서 이를 받아들여 2020년 어느 정도 빅데이터의 활용 가능성을 열어주는 내용의 데이터 3법 개정안이 통과되어 2020년 8월부터 시행되기에 이르렀다. 개정 데이터 3법에서 가장 대표적인 변화는 바로 일정한 목적 하에 정보주체의 동의없이 정보의 처리가 가능한 가명정보 개념의 도입이다. 이러한 가명정보 개념의 신설로 형사사법 빅데이터 분석 분야에도 새로운 길이 열렸는데, 바로 민간기관들로부터 개인정보를 가명화한 채 제공받아 형사사법 기관이 보관하고 있는 정보와의 결합을 통해 범죄수사를 진행하거나 개별 범죄자들의 재범가능성을 평가하여 범죄를 예방하는 등 분석에 활용할 수 있게 된 점이다. 본 논문에서는 이러한 범죄수사 또는 범죄예방을 목적으로 빅데이터를 활용하기 위해 개인정보 가명처리의 기법으로 동형암호를 이용한 암호화 기법을 이용하는 방법을 제안하였다. 동형암호란 암호화된 상태에서 컴퓨터가 수행하는 모든 연산을 처리할 수 있는 4세대 암호화 기법을 말하는데, 정보의 동형암호화가 현행 개인정보보호법의 법제 내에서 가명처리에 해당되는지 등에 대하여 검토하여 보았다. 동형암호를 이용하면 개인정보 내용을 알지 못한 상태에서 개인정보로 구성된 빅데이터들에 대한 분석을 수행할 수 있고, 동형기계학습을 통해 일정한 함수를 구해 낼 수 있고, 형사사법 분야에서도 범죄수사 또는 범죄예방에 다양하게 활용될 수 있을 것으로 보인다. 한편, 동형암호화된 상태에서 형사사법 데이터, 민간정보 데이터 결합시켜 분석하는 방법안에 대하여도 간단히 살펴보았는데, 형사사법 기관 산하에 데이터 결합 전문기관과 암호화 Key값을 안전하게 보관하는 기관의 설치를 제안하여 보다 안전하고 효율적으로 범죄수사 또는 범죄예방에 위 빅데이터를 활용할 수 있는 길을 제안하고자 하였다. 뿐만 아니라, 형사사법정보는 현행 「형사사법절차 전자화 촉진법」에 의하여 이용이 지나치게 엄격히 제한되고 있는데, 위와 같은 동형암호 기반 개인정보를 보호하는 분석이 가능해 짐에 따라 법률의 개정이 필요하며, 이를 통해 국내 수사기관 등이 보관하고 있는 형사사법정보를 활용한 빅데이터 분석의 비약적 발전을 이룩할 수 있을 것으로 기대한다.

Due to the spread of smartphones and the generalization of Internet banking, modern people are constantly pouring out vast amounts of personal information whether they want it or not. The collection of these data formed a new concept called 'big data' and created new research fields and industries that analyzed them to reveal their meaning. In particular, big data can be used in various ways in the criminal justice field, including analysis of criminal investigations through various data pattern and estimation of the recidivism rate through information of individual criminals. However, it is good to conduct only general research on humans, but as we proceed in depth, we can recognize whose data is, which creates a problem in which personal information can be used indiscriminately. Concerns about such personal information leakage have also become a reality due to the leakage of personal information from leading domestic companies. In other words, the first accident was the Internet Open Market site Auction hacking case in 2008 which personal information was leaked. Since then, there have been growing concerns about personal information leakage among the public due to the personal information leakage accident such as Cyworld case, KB Kookmin Bank case, NH Nonghyup Bank case and Lotte Card case. Accordingly, the nation's personal information-related legislation has been on the verge of tightening regulations, and such direction was not unusual in light of the above accidents. In general, the 「Personal Information Protection Act」, 「the Credit Information Use and Protection Act」, and 「the Information and Communication Network Utilization Promotion and Information Protection Act」 are generally referred to as the Data Three Act. Since the Data Three Act is applied to the most of the data usage of personal information in the data industry, the revision has continued to tighten regulations due to a series of events discussed earlier. However, industry sources have recently begun to realize that this big data analysis can create tremendous new value, and that the Data Three Act is so strict that it should be opened to the usage of big data that the National Assembly accepts it and opens up the possibility of big data to some extent in August 2020. The most representative change in the revised Data Three Act is the introduction of the concept of "pseudonymous information" that allows processing of information without the consent of the principal of information for a certain purpose. With the establishment of this "pseudonymous information" concept, a new path has also been opened in the field of big data analysis in criminal law, which can be used by private institutions to conduct criminal investigations through combination with information kept by criminal law institutions or to prevent crimes. In this paper, we propose a method to use 'homomorphic encryption' technique as a processing personal information tool to utilize big data for criminal investigations or crime prevention purposes. "Homomorphic encryption" refers to a fourth-generation encryption technique that can handle all computations performed by computers in encrypted area, and has been reviewed whether information is equivalent to "an pseudonymous processing" within the current legislation of 「the Personal Information Protection Act」. Using homomorphic passwords, one can analyze big data composed of personal information without knowing the contents of personal information, obtain certain functional equation through homomorphic machine learning, and can be used in criminal investigations or crime prevention in criminal justice. On the other hand, I briefly looked at ways to analyze criminal and private information data in homomorphic encrypted state, and proposed the establishment of a data combination agency and an institution to safely and efficiently store decryption Key under the criminal justice system. Furthermore, since the use of criminal judicial information is strictly limited by the current 「Criminal Procedure Electronicization Promotion Act」, the law requires revision as it can be analyzed in homomorphic encrypted state, which is expected to lead to rapid development of big data analysis using criminal judicial information held by domestic investigators.