빅데이터와 사생활 침해, 5가지 시나리오

빅데이터 옹호론자들의 말처럼, 빅데이터의 수집과 이용은 실제적인 혜택을 가져올 수 있다. 소비자의 기호에 맞는 맞춤형 광고, 사고가 났을 때 자동으로 앰뷸런스를 불러주는 스마트 카, 사용자의 건강 상태를 주시하고 문제가 생길 경우 의사에게 연락을 취하는 웨어러블 또는 이식형 전자기기(implantable devices) 등이 그 예다.

그렇지만 빅데이터가 프라이버시 침해로 이어질 수 있는 것도 사실이다. 어딜 가는지, 누구를 만나는지는 물론 전자기기로 어떤 내용을 읽고 쓰는지, 어떤 음식을 먹고 어떤 콘텐츠를 시청하며 운동은 얼마나 하는지, 잠은 얼마나 자는지 등, 방대한 개인 데이터 생성되고 저장된다. 우리는 불과 십 수년 전만 해도 상상조차 할 수 없었던 개인 정보 노출의 시대를 살고 있다.

또한 이런 정보가 마케터, 금융기관, 고용주 또는 정부의 손에 들어갈 경우 개인의 인간 관계에서부터 구직, 대출 가능 여부, 심지어는 비행기 티켓 예매에까지 영향을 미칠 수 있음은 이제 분명해졌다.

지금까지 프라이버시 보호를 강조해오던 이들, 그리고 정부 일각에서 이 점에 대해 우려를 표명해오긴 했다. 그러나 실제 프라이버시를 보호할 수 있는 방안과 관련해서는 별다른 조치가 없었다.

2012년 2월 오바마 행정부가 ‘소비자 프라이버시 권리 장전(CPBR, Consumer Privacy Bill of Rights)’을 선포한 이래로 어느덧 3년이 지났다. CPBR은 다음과 같이 기술하고 있다.

“미국 내 소비자 프라이버시 데이터 프레임워크는 사실 매우 강력하다. ...(그렇지만) 두 가지 요소가 부족하다. 우선 상업적인 측면에 적용되는 분명하고 기본적인 프라이버시 원리원칙이 없다. 다음으로는 테크놀로지와 비즈니스 모델의 발전에 발맞춰 소비자 데이터 프라이버시를 보호하려는 이해 관계자들의 지속적인 관심과 노력도 부족하다.”

미국 소비자 연맹(Consumer Federation of America, CFA)의 소비자 프라이버시 디렉터 수전 그랜트는 CPBR에 대해 “제대로 된 권리 장전이라 할 수 없다. 단 한번도 정식 법률로써 효용성을 가진 적이 없다. 진지하게 의논해 볼 수 있는 제도, 적어도 출발점이 될 수 있는 무언가가 필요하다”라고 지적했다.

미국 소비자 연맹이나 전자 사생활 정보 센터(Electronic Privacy Information Center, EPIC)같은 단체들, 그리고 더 프라이버시 프로페서(The Privacy Professor)의 CEO이자 개인 프라이버시 옹호자인 레베카 해롤드 같은 이들은 빅데이터 애널리틱스가 다음과 같은 방식으로 개인의 프라이버시를 침해할 수 있다고 지적한다.

1. 차별
EPIC은 지난 4월 미 과학기술정책실에 대한 논평을 통해 다음과 같이 밝혔다.

“공공 부문 및 사설 기관에서의 예측 분석(predictive analytics) 이용은... 정부와 기업이 개인의 비행 가능 여부, 구직, 입/출국, 신용카드 사용 가능 여부 등을 좌우할 수 있는 결과를 초래할 것이다. 또한 예측 분석을 통해 개인에게 부정적 영향을 미칠 수 있는 의사 결정을 내리는 것은, 결사의 자유를 직접적으로 침해하는 행위이다.”

해롤드는 시큐어월드(SecureWorld)에 작성한 한 포스트에서 지난 수십 년 간 공공연한 차별 행위는 법적으로 금지되어 왔으나 빅데이터 애널리틱스를 통해 이제 차별도 ‘자동화’될 수 있으며 이렇게 되면 차별 여부를 알아내기가 더 어려워 질 것이라고 지적했다.

인터뷰에서 해롤드는 현행 차별법에 대해 “매우 모호하고, 정의가 편협하며, 법 적용 역시 매우 직접적이고 표면적인 증거가 있어야만 처벌이 가능한 법”이라고 평가했다.

그녀는 “빅데이터 애널리틱스는 이러한 차별 행위를 저런 직접적이고 표면적인 증거 없이도 가능하게 만들 것”이라고 덧붙였다. 해롤드에 따르면 이는 고용은 물론 승진, 공정한 주택 거래 등 많은 것에 영향을 미칠 수 있다.

시들리 오스틴 LLP(Sidley Austin LLP)의 프라이버시, 데이터 보안, 그리고 정보법 부문 글로벌 리더인 에드워드 맥니콜라스는 빅 데이터 리스크라고 불리는 것들 중 일부는 과장된 것들도 있다면서도 “그러나 빅 데이터가 불법적인 차별의 증거를 숨기는 데 사용될 수 있는 것은 사실이다. 특히 힘없는 사람들에게 악영향을 미치는 의사 결정을 정당화 할 기반을 마련해 줄 수 있다”라고 말했다.

2. 데이터 유출로 인한 사생활 노출
타깃이나 홈디포, 레스토랑 체인인 P.F. 챙(P.F. Chang’s), 온라인 쇼핑몰 이베이, 정부 기관, 대학, 온라인 미디어 업체 AOL, 그리고 최근의 소니 해킹 등 다양한 기관들에서 데이터 유출을 겪었다.

이 사건들로 인해 미개봉 영화가 인터넷 상에 풀리는 거 하면 수천 명의 직원들의 개인 정보가 노출됐다. 결과적으로 신용카드 사기, 신원 도용 등에 대한 대중의 관심이 높아지기도 했다.

그러나 이 외에도 빅데이터 애널리틱스 때문에 사적인 정보가 유출된 경우는 수도 없이 많다. 가족에게도 알리지 않은 여성의 임신 사실을 미리 알고 육아 용품 광고물을 보낸 일화가 유명하다. 개인의 성적 취향이나 암과 같은 병 역시 예외는 아니다.

3. 익명성이여, 안녕
해롤드는 익명화 된 데이터 파일에 대한 분명한 규칙이 필요하다고 역설했다. “예를 들어 익명성을 보호하지 않는다면, 개인의 신원이 변경되는 일이 발생할 수도 있다”는 설명이다.
그녀는 또한 데이터 마스킹(data masking)이 효과적으로 되지 않을 경우 “빅데이터 분석을 통해 마스킹하려 한 데이터의 소유자를 아주 쉽게 밝혀 낼 수도 있다”고 지적했다.

4. 정부 기관은 예외?
EPIC에 따르면 오늘날 국민들의 정보는 그 어느 때보다 더 많은 정부 기관 데이터 베이스에 저장된 상태다. 특히 FBI는 이름, 별칭, 인종, 성별, 생년월일 및 장소, 사회보장번호, 여권 및 운전면허증 번호, 주소, 전화번호, 사진 지문, 은행계좌 같은 금융 정보, 고용 상태 및 직장 정보 등 개인 식별 정보(Personally Identifiable Information, PII)라 불리는 개인 정보를 수집하고 있다.

EPIC은 “더 기가 막힌 것은 FBI가 스스로를 1974년 사생활법 적용에서 제외시켰다는 것이다. 이 법에 따르면 정부 기관은 ‘개인 정보 수집 시 꼭 필요한 경우에만 적시에, 정확한 개인 정보를 완전한 상태로 수집해야’ 하며 또한 사생활법에 규정된 다른 정보 보호 규정들도 지켜야 한다”라고 지적했다.

5. 개인정보 매매
이 밖에 많은 기업들이 “현행법상 보호받지 못하는 고객 정보”를 수집, 판매하고 있으며, 그런 정보들은 정확하지도, 신뢰할 만 하지도 못한 현실이다.

해롤드는 “빅데이터 분석에 사용되는 데이터 파일들은 개인에 대한 부정확한 정보를 담고 있는 경우가 많고, 특정 개인에게만 적용되는 부정확한 데이터 모델을 사용하거나, 잘못된 알고리즘을 사용하는 등 문제가 많다”라고 지적했다.

앞서 언급된 것들 외에도 많은 리스크가 존재한다. 또 이들 리스크를 완전히 없앨 방법도 없다. 그렇지만 적어도 그 피해를 최소화할 순 있다. 프라이버시의 미래 포럼(FPF, Future of Privacy Forum)의 정책 카운슬러 조셉 제롬은 그 방법 중 하나로 빅데이터 분석을 좋은 목적, 즉 기존의 문제를 드러내는 데 사용하는 것을 지목했다.

그는 ADL(Anti-Defamation League, 유대인 차별 반대 단체)에 대한 FPF 보고서를 인용하며 “빅데이터를 통해 더 나은, 더 공평한 의사 결정이 가능해 진 것도 사실이다. 빅데이터는 잘만 이용하면 오히려 사용자에게 힘을 실어주고 차별에 맞서 싸울 수 있는 도구가 된다. 창이 될 수도, 방패가 될 수도 있다. 더 많은 데이터가 있을수록 언제 어디서 차별이 행해지는 지 분명하게 알 수 있다. 실제로 그 동안 차별 행위를 찾아내는 데 가장 큰 장애물이 바로 정보의 부족이었다”고 말했다.

정부의 역할도 중요하다. 프라이버시 옹호자들은 의회가 다음과 같이 소비자 권리를 보장하는 새로운 버전의 CPBR을 통과시켜야 한다고 입을 모은다.

- 기업이 어떤 개인 정보를 수집하고, 어떻게 그 정보를 이용하는지에 대한 개인의 선택권
- 프라이버시, 그리고 보안에 대한 명쾌하고 투명한 정보 제공
- 개인 정보의 수집, 이용, 공개는 고객이 정보를 제공하는 정황과 일관된 방식으로 행해질 것
- 개인 정보 보안과 철저한 관리
- 수집된 개인 정보에 오류나 잘못된 사실이 있을 경우 이를 수정할 수 있는 권리
- 기업에서 수집, 보관할 수 있는 개인 정보의 양에 대한 적절한 상한선

이 권리들 가운데서도 특히 정보를 제공하는 정황이 중요하다고 조셉은 강조했다.

조셉은 “아마존에서 책을 한 권 산다고 해서 그 책을 통해 내 건강 상태를 속단하는 일이 있어서는 안 된다. 기업들이 사생활 문제로 곤경에 처하는 것을 보면 대부분 전혀 쌩뚱맞은 목적을 위해 고객의 개인 정보를 사용한 경우가 많았다”라고 말했다.

그렇지만 의회에서도 이 주제에 대한 논란이 거센 만큼 CPBR같은 법안이 가까운 시일 내에 통과될 가능성은 희박하다는 전망이 대세다.

그렇다고 해서 무력하게 손 놓고 있어야 하는 건 아니다. 마넷, 펠프스 & 필립스(Manatt, Phelps & Phillips)의 사생활 및 데이터 보안 문제 전문 변호사인 도나 윌슨은 소비자들이 “강력한 보안 대책을 세우고 개인 정보를 누구와, 왜 공유할 것인지에 대해 잘 인지하고 있어야 한다”고 조언했다.

다시 말해, 그 동안 귀찮아서 대충 보고 넘겼던 사생활 보호 약관을 이제는 꼼꼼하게 읽어야 한다는 의미다.

윌슨은 “기업에서 수집하려는 정보나, 정보 이용처에 동의하지 않을 경우 정보 제공에 동의하지 않을 수 있다”라고 말했다.

설령 전체 약관을 다 읽지는 못하더라도 적어도 “확인 버튼을 클릭하기 전에 내 개인정보를 누구와, 왜 공유하려 하는지 생각해 봐야 한다. 최근 연구 결과에 따르면 사람들은 그저 쿠키를 준다고 해도 아무 생각 없이 개인 정보를 내놓는다”라고 조셉은 강조했다.

맥니콜라스 역시 소비자가 뭉칠 때 힘을 얻을 수 있다고 말한다. “페이스북 같은 테크놀로지 기업들은 유저에게 개인 정보 이용에 대한 매우 자세한 통제권을 주고 선택할 수 있게 한다. 애플 역시 위치 정보를 사용할 때마다 사용자 동의를 구한다. 이런 노력이 인정받을 수 있게 소비자의 힘을 보여줘야 한다”고 그는 말한다.

해롤드는 또 개인 차원에서 할 수 있는 몇 가지 개인 정보 보호 방법을 소개했다.

- 소셜 미디어에 너무 많은 개인 정보를 올리지 않는다. “사진이나 영상은 꼭 보여주고 싶은 소수의 사람들에게만 보내고, 모든 사람이 다 볼 수 있는 곳에는 올리지 않는 게 좋다.”

- 기업이나 기관에 정보를 제공할 때는 그것이 반드시, 꼭 필요한 일인지를 확인하고 제공한다. 그 기관이나 기업에서 하는 일에 주소나 전화 번호가 필요 없는 경우라면 굳이 그 개인 정보를 줄 필요가 없다.

- 개인 정보가 유출될만한 웹사이트에 접속할 때는 핫스팟 쉴드(Hotspot Shield)나 토르(Tor, The Onion Router)같은 익명 브라우저를 사용하라. 사람들이 당신에 대해 잘못된 편견을 갖는 것을 방지할 수 있다.

- 주변 사람들에게 당신에 대한 정보를 온라인에서 공유할 때는 당신에게 먼저 물어봐 달라고 부탁하자. “부탁하기 좀 어색할 수도 있지만, 꼭 필요한 일이다”라고 해롤드는 말했다. ciokr@idg.co.kr