2018.03.26

페이스북 사태로 보는 GDPR 프레임워크의 중요성

Ashwin Krishnan | CSO
아직 케임브릿지 애널리티카-페이스북 사태의 전말을 제대로 모르고 있는 사람도 있을 것이다. 그것은 아마도 이 사건이 터졌을 때가 미국에서는 금요일 늦은 저녁이었고, 다른 나라에서는 막 토요일 아침 동이 틀 무렵이기 때문이었을 것이다.

간단히 요약하자면, 알렉산더 코건 박사가 2014년 처음 개발한 '디스이즈유어디지털라이프(thisisyourdigitallife)'라는 페이스북 앱이 그 동안 페이스북 유저 데이터를 수집하고 있었다.

문제는 단순히 이 앱에서 제공하는 퀴즈에 응시한 사람들의 프로필뿐 아니라 그 친구들의 정보까지 수입했다는 것이다. 놀랍게도, 이런 정보 수집은 당시 페이스북의 서드파티 앱 이용 정책 하에 허용되는 행위였다고 한다.

진짜 무서운 사실은 따로 있다. 실제 설문 조사에 응한 사람은 약 27만 명 뿐이지만, 코건 박사는 페이스북 사용자들의 관계망 및 기타 다른 수단을 통해 무려 5,000만 명이 넘는 페이스북 사용자의 데이터를 수집했다고 뉴욕 타임스는 전했다.

설상 가상으로, 케임브릿지 애널리티카(Cambridge Analytica)라는 업체는 코건 박사에게 돈을 지불하고 이런 개인 정보를 사들였다. 코건 박사는 이 정보 수집이 어디까지나 학술적 목적에서 이뤄진 것이라고 주장하고 있다. 처음에는 정보 유출 사실을 아예 부인하던 페이스북은 문제가 커지자 유출 사실을 인정하고 조치를 취하겠다고 발표했다.

정치적인 이야기를 자세히 파고 들 생각은 없다(물론 이런 데이터 수집 자체가 개별 사용자들을 일일이 표적으로 해 표심을 조작하고자 하는 의도였지만 말이다). 이보다 더 심각한 윤리적 문제, 사생활 보호라는 문제가 있기 때문이다.

여기서 잠깐, 이 유출 사고의 이후 처리 방법에 대해 알아보자. 과연 이 사건이 플랫폼 개발업체에게는 어떤 영향을 미칠 것이며, 또한 일반 사용자와 필자는 소비자로서 어떤 조치를 취해야 할 것인지 생각해 보자.

- 사건 요약: 한 연구원이 개발한 페이스북의 서드파티 앱이 일반적으로는 서드파티 앱에 허용되지 않을 정도로 광범위한 사생활 정보에 접속했다. 이 앱은 직접 앱을 사용한 27만 명의 사람들의 데이터를 수집하는 것에 그치지 않고, 무려 5,000만 명에 달하는 사용자들에 대한 민감한 정보에 아무런 방해도 받지 않고 자유롭게 접근할 수 있었다.

이렇게 얻은 데이터는 케임브릿지 애널리티카라는 또 다른 기업에게 판매됐다. 이 기업은 페이스북 사용자들을 마이크로 타겟팅 할 목적으로 이 정보를 사들였다. 케임브릿지 애널리티가 구입한 해당 정보에 민감한 사생활 정보가 포함되었음을 안 후에도 이 데이터를 삭제하지 않았다는 사실이 알려지면서,결국 페이스북은 케임브릿지 애널리티카 사가 페이스북 플랫폼에 접근하는 것을 금지했다.

플랫폼 개발업체들에게 있어 데이터 보호는 그 어느 때보다 중요해지고 있다. 그럼에도 불구하고 평균적인 데이터 유출 사건의 규모와 영향력은 점차 커져가고 있다. 그 이유를 한번 파헤쳐 보자.

페이스북이 가진 가장 귀중한 자산은 다름아닌 사용자다. 한 마디로 우리의 데이터다. 그리고 페이스북은 자사의 플랫폼을 서드파티 개발자에게 어떻게든 홍보하려 한다. 사용자 데이터를 서드파티 앱에서 사용하도록 제공한다면, 더 많은 개발자가 페이스북 플랫폼을 이용하게 될 것이고, 플랫폼의 영향력은 더욱 커질 것이며, 또한 개별 사용자들의 성향에 맞춘 광고를 게재함으로써 더 높은 수익을 얻을 수 있게 될 것이다.

이렇게 써 놓고 보니, 참 단순하고 명쾌한 이유다. 여기서 문제는 사생활 보호에 대한 기준이 지금보다 훨씬 더 높고 까다로워져야 한다는 것이다. 이런 데이터 유출 사고로 우리의 정치적 선택까지도 영향을 받을 수 있다는 점을 생각한다면, 그 영향력은 정말 막대하기 때문이다.

그리고 이는 비단 페이스북만의 문제는 아니다. 사실상 모든 플랫폼 개발업체는 같은 딜레마를 안고 있다. 사용자의 데이터를 보호해야 할 의무와, 이 데이터를 이용해 돈을 벌고자 하는 동기가 충돌하는 것이다. 또한 페이스북의 사례에서 알 수 있듯, 이런 데이터 유출에 뒤따르는 일련의 반응 경로도 알아둬야 한다. 이런 사실이 알려졌을 때, 대중은 처음에는 무관심하다가, 그럴 리 없다는 듯 현실을 부정하는 단계를 거쳐 마침내 분노를 터뜨린다.

그렇다면 소비자로서 우리는 무엇을 해야 하는가? 바로 여기서 GDPR과 같은 규제가 중요해진다. GDPR은 사생활을 보호받을 권리에 대한 가장 명쾌한 법적 기준을 제시하고 있다.

GDPR 규제 가운데 가장 널리 알려진 것은 아마도 '잊힐 권리(the right to be forgotten)'일 것이다. 전 세계 모든 기업에게 사용자가 자신의 데이터를 삭제해 달라고 요구할 수 있으며 이런 요청을 받은 기업은 여기에 응해야 한다는 것이다(엄밀히 말하자면 EU와 그 어떤 관계라도 맺고 있는 기업을 말하는데, 사실상 전 세계 모든 기업에 여기에 포함될 것이다). 또한 사용자는 자신의 데이터를 '이동 가능한' 형식으로 인도받을 수 있다.

GDPR 외에도 소비자들이 예의주시해야 할 사안은 더 있다. 페이스북의 경우 서드파티 앱의 접속을 제한하는 것이다. 물론 이들 앱은 계속해서 사용자의 신체 센서 정보, 연락처 정보 및 사진 앱 등에 접속하지 않고서는 제대로 기능을 수행할 수 없다며 불평할 것이다.

그럼에도 불구하고 사용자는 제로 트러스트(zero trust), 즉 모든 정보에 대한 접속을 차단한 상태에서 시작해야 한다. 일단 모든 접속을 차단해 두고, 각 앱이 어떤 정보를 수집해 어떻게 활용하는 지를 주의깊게 살펴보며 안전하며 꼭 필요하다고 생각되는 경우에만 접속을 허용하는 것이다.

너무 귀찮을 것 같다고 생각하는가. 실제로는 생각보다 복잡하지 않을뿐더러, 귀찮다는 이유로 모든 접속 요청에 '예스'를 하는 순간 제2의 페이스북 사태의 피해자는 자신이 될 수 있다. 사건이 다 터지고 난 후에 아무리 '분노'한다 한들 무슨 소용이 있겠는가.

오늘날 우리는 사생활 보호의 범주가 계속해서 도전, 시험받는 세상에 살고 있다. 플랫폼 업체들이 어느 날 갑자기 도덕적 선택을 하게 되리라 기대하는 것은 지나치게 순진한 발상이다. 데이터의 주인인 사용자들 스스로가 이런 문제에 경각심을 갖고, 데이터를 돈처럼 철저하게 관리해야 한다. GDPR은 여기에 필요한 프레임워크를 제공할 뿐, 이를 현실에서 실행하는 것은 우리, 사용자들이다. editor@itworld.co.kr
 


2018.03.26

페이스북 사태로 보는 GDPR 프레임워크의 중요성

Ashwin Krishnan | CSO
아직 케임브릿지 애널리티카-페이스북 사태의 전말을 제대로 모르고 있는 사람도 있을 것이다. 그것은 아마도 이 사건이 터졌을 때가 미국에서는 금요일 늦은 저녁이었고, 다른 나라에서는 막 토요일 아침 동이 틀 무렵이기 때문이었을 것이다.

간단히 요약하자면, 알렉산더 코건 박사가 2014년 처음 개발한 '디스이즈유어디지털라이프(thisisyourdigitallife)'라는 페이스북 앱이 그 동안 페이스북 유저 데이터를 수집하고 있었다.

문제는 단순히 이 앱에서 제공하는 퀴즈에 응시한 사람들의 프로필뿐 아니라 그 친구들의 정보까지 수입했다는 것이다. 놀랍게도, 이런 정보 수집은 당시 페이스북의 서드파티 앱 이용 정책 하에 허용되는 행위였다고 한다.

진짜 무서운 사실은 따로 있다. 실제 설문 조사에 응한 사람은 약 27만 명 뿐이지만, 코건 박사는 페이스북 사용자들의 관계망 및 기타 다른 수단을 통해 무려 5,000만 명이 넘는 페이스북 사용자의 데이터를 수집했다고 뉴욕 타임스는 전했다.

설상 가상으로, 케임브릿지 애널리티카(Cambridge Analytica)라는 업체는 코건 박사에게 돈을 지불하고 이런 개인 정보를 사들였다. 코건 박사는 이 정보 수집이 어디까지나 학술적 목적에서 이뤄진 것이라고 주장하고 있다. 처음에는 정보 유출 사실을 아예 부인하던 페이스북은 문제가 커지자 유출 사실을 인정하고 조치를 취하겠다고 발표했다.

정치적인 이야기를 자세히 파고 들 생각은 없다(물론 이런 데이터 수집 자체가 개별 사용자들을 일일이 표적으로 해 표심을 조작하고자 하는 의도였지만 말이다). 이보다 더 심각한 윤리적 문제, 사생활 보호라는 문제가 있기 때문이다.

여기서 잠깐, 이 유출 사고의 이후 처리 방법에 대해 알아보자. 과연 이 사건이 플랫폼 개발업체에게는 어떤 영향을 미칠 것이며, 또한 일반 사용자와 필자는 소비자로서 어떤 조치를 취해야 할 것인지 생각해 보자.

- 사건 요약: 한 연구원이 개발한 페이스북의 서드파티 앱이 일반적으로는 서드파티 앱에 허용되지 않을 정도로 광범위한 사생활 정보에 접속했다. 이 앱은 직접 앱을 사용한 27만 명의 사람들의 데이터를 수집하는 것에 그치지 않고, 무려 5,000만 명에 달하는 사용자들에 대한 민감한 정보에 아무런 방해도 받지 않고 자유롭게 접근할 수 있었다.

이렇게 얻은 데이터는 케임브릿지 애널리티카라는 또 다른 기업에게 판매됐다. 이 기업은 페이스북 사용자들을 마이크로 타겟팅 할 목적으로 이 정보를 사들였다. 케임브릿지 애널리티가 구입한 해당 정보에 민감한 사생활 정보가 포함되었음을 안 후에도 이 데이터를 삭제하지 않았다는 사실이 알려지면서,결국 페이스북은 케임브릿지 애널리티카 사가 페이스북 플랫폼에 접근하는 것을 금지했다.

플랫폼 개발업체들에게 있어 데이터 보호는 그 어느 때보다 중요해지고 있다. 그럼에도 불구하고 평균적인 데이터 유출 사건의 규모와 영향력은 점차 커져가고 있다. 그 이유를 한번 파헤쳐 보자.

페이스북이 가진 가장 귀중한 자산은 다름아닌 사용자다. 한 마디로 우리의 데이터다. 그리고 페이스북은 자사의 플랫폼을 서드파티 개발자에게 어떻게든 홍보하려 한다. 사용자 데이터를 서드파티 앱에서 사용하도록 제공한다면, 더 많은 개발자가 페이스북 플랫폼을 이용하게 될 것이고, 플랫폼의 영향력은 더욱 커질 것이며, 또한 개별 사용자들의 성향에 맞춘 광고를 게재함으로써 더 높은 수익을 얻을 수 있게 될 것이다.

이렇게 써 놓고 보니, 참 단순하고 명쾌한 이유다. 여기서 문제는 사생활 보호에 대한 기준이 지금보다 훨씬 더 높고 까다로워져야 한다는 것이다. 이런 데이터 유출 사고로 우리의 정치적 선택까지도 영향을 받을 수 있다는 점을 생각한다면, 그 영향력은 정말 막대하기 때문이다.

그리고 이는 비단 페이스북만의 문제는 아니다. 사실상 모든 플랫폼 개발업체는 같은 딜레마를 안고 있다. 사용자의 데이터를 보호해야 할 의무와, 이 데이터를 이용해 돈을 벌고자 하는 동기가 충돌하는 것이다. 또한 페이스북의 사례에서 알 수 있듯, 이런 데이터 유출에 뒤따르는 일련의 반응 경로도 알아둬야 한다. 이런 사실이 알려졌을 때, 대중은 처음에는 무관심하다가, 그럴 리 없다는 듯 현실을 부정하는 단계를 거쳐 마침내 분노를 터뜨린다.

그렇다면 소비자로서 우리는 무엇을 해야 하는가? 바로 여기서 GDPR과 같은 규제가 중요해진다. GDPR은 사생활을 보호받을 권리에 대한 가장 명쾌한 법적 기준을 제시하고 있다.

GDPR 규제 가운데 가장 널리 알려진 것은 아마도 '잊힐 권리(the right to be forgotten)'일 것이다. 전 세계 모든 기업에게 사용자가 자신의 데이터를 삭제해 달라고 요구할 수 있으며 이런 요청을 받은 기업은 여기에 응해야 한다는 것이다(엄밀히 말하자면 EU와 그 어떤 관계라도 맺고 있는 기업을 말하는데, 사실상 전 세계 모든 기업에 여기에 포함될 것이다). 또한 사용자는 자신의 데이터를 '이동 가능한' 형식으로 인도받을 수 있다.

GDPR 외에도 소비자들이 예의주시해야 할 사안은 더 있다. 페이스북의 경우 서드파티 앱의 접속을 제한하는 것이다. 물론 이들 앱은 계속해서 사용자의 신체 센서 정보, 연락처 정보 및 사진 앱 등에 접속하지 않고서는 제대로 기능을 수행할 수 없다며 불평할 것이다.

그럼에도 불구하고 사용자는 제로 트러스트(zero trust), 즉 모든 정보에 대한 접속을 차단한 상태에서 시작해야 한다. 일단 모든 접속을 차단해 두고, 각 앱이 어떤 정보를 수집해 어떻게 활용하는 지를 주의깊게 살펴보며 안전하며 꼭 필요하다고 생각되는 경우에만 접속을 허용하는 것이다.

너무 귀찮을 것 같다고 생각하는가. 실제로는 생각보다 복잡하지 않을뿐더러, 귀찮다는 이유로 모든 접속 요청에 '예스'를 하는 순간 제2의 페이스북 사태의 피해자는 자신이 될 수 있다. 사건이 다 터지고 난 후에 아무리 '분노'한다 한들 무슨 소용이 있겠는가.

오늘날 우리는 사생활 보호의 범주가 계속해서 도전, 시험받는 세상에 살고 있다. 플랫폼 업체들이 어느 날 갑자기 도덕적 선택을 하게 되리라 기대하는 것은 지나치게 순진한 발상이다. 데이터의 주인인 사용자들 스스로가 이런 문제에 경각심을 갖고, 데이터를 돈처럼 철저하게 관리해야 한다. GDPR은 여기에 필요한 프레임워크를 제공할 뿐, 이를 현실에서 실행하는 것은 우리, 사용자들이다. editor@itworld.co.kr
 


X