이 질문은 이번 주 서로 무관한 두 개의 뉴스 보도를 본 이후에 떠올랐다.
AP 보도에 따르면 구글은 소비자가 추적을 차단하는 개인정보보호 옵션을 선택한 이후에도 소비자를 추적해왔다. 이 보도가 나오고 며칠 후 구글의 도움말 페이지에 있는 “위치 내역을 끄면 사용자가 방문한 장소는 더 이상 저장되지 않습니다”라는 문구가 은근슬쩍 “이 설정은 디바이스의 다른 위치 서비스에는 영향을 미치지 않습니다” 그리고 “일부 위치 데이터는 검색 및 지도와 같은 다른 서비스에서 사용자 활동의 일부로 저장될 수 있습니다”로 바뀌었다.
두 번째는 뉴욕타임즈의 기사로, 행동 분석을 사용해서 고객을 식별하는 대형 은행에 관한 기사다. 기사는 은행이 고객을 호도한다는 점보다는 고객이 달갑게 여기지 않을 가능성이 큰 무언가를 의도적으로 고객에게 말하지 않았다는 점을 비판했다. 바람직한 방법은 ‘행동 분석을 사용 중이지만 그 목적은 오로지 인증에 있음’을 명확히 밝히고, 이를 인증 이외의 다른 어떤 용도로도 사용하지 않을 것임을 서약하는 것이다. 하지만 바로 여기에 문제가 있다. 은행은 이 데이터의 활용 방안에 제약을 두고 싶어하지 않는다. 그래서 그냥 입을 다무는 쪽을 선택한 것이다.
타임즈는 “웹사이트를 탐색하는 중 마우스 커서가 사라진다면 컴퓨터 문제일 수도 있지만 방문자가 누구인지 알아내기 위한 의도적인 시험일 수도 있다. 전화기 화면 또는 키보드를 누르고 스크롤하고 입력하는 방식은 지문 또는 얼굴 생김새 못지않게 사람마다 고유하다. 일부 기업은 자동화된 공격과 의심스러운 거래를 걸러내는 용도로만 이 기술을 사용하지만, 디바이스를 터치하고 잡고 탭하는 방식으로 그 사용자가 누구인지 알아낼 수 있는 수천만 개의 프로파일을 축적하는 기업도 있다”고 지적했다.
구글 사건부터 보자. 핵심 질문을 정리하면 다음과 같다. 원래의 도움말 페이지를 승인한 사람은 누구이며, 그 당시 무엇을 알고 있었는가? “사용자가 방문하는 장소는 더 이상 저장되지 않습니다”라는 문구를 작성한 구글 담당자는 그 말이 사실이 아니라는 것을 알고 있었는가(즉, 마케팅을 위해 “거짓말”을 했는가), 아니면 구글 시스템의 작동 방식을 제대로 이해하지 못한 사람이 그 페이지를 작성하고 승인했는가?
구글은 가타부타 설명 없이 그냥 도움말 페이지 내용을 바꿨다. 위의 두 가지 시나리오 모두 가능성은 충분하지만 필자의 생각은 구글 도움말 페이지에 관여한 사람이 누구든 그 사람은 시스템을 충분히 이해하고 그 페이지에서 하는 말이 거짓말이라는 사실을 알고 있었을 것이라는 쪽으로 기운다.
다만 또 다른 가능성도 존재한다. 구글은 현실을 알았지만 복잡다단한 설명을 생략하고 지름길을 택한 것이다. 이는 구글 지도의 위치 추적은 누구나 아는, 명확하고도 필요한 일임을 전제한다. “A 지점에서 B 지점으로 가는 방법”을 알려주기 위해 근본적으로 필요한 요소이기 때문이다. 거기까진 좋다. 그런데 사용자를 추적하는 것은 구글 지도뿐만이 아니다. “검색”도 여전히 추적한다. 위치 추적을 꺼도 검색 엔진은 영향을 받지 않는다. 지도도, 검색도 위치 추적 끄기의 영향을 받지 않는다면 대체 뭐가 영향을 받는다는 말인가? 구글이 답해야 할 질문은 바로 그것이다. 그래야 전 세계를 통틀어 아직 구글을 신뢰하는 11명의 신뢰라도 계속 지킬 수 있다.
은행의 경우 다소 명확하지 않은 부분이 있다. 적어도 은행은 ‘고객을 추적하지 않는다’는 말은 하지 않았다. 다만 입을 다물었을 뿐이다. 그러나 은행 앱 개발자는 은행이 구글보다 훨씬 더 위태로운 위치에 있으며 훨씬 더 공개적인 방식으로, 최소한 신뢰성을 갖춘 척이라도 해야 한다는 점을 기억해야 한다.
왜냐하면 구글은 여전히 세계에서 가장 효과적이고 포괄적인 검색 엔진이기 때문이다. 덕덕고(DuckDuckGo)를 비롯해서 개인정보보호를 중시하는 다른 엔진이 구글만큼 좋거나 구글을 능가한다면 필자도 좋겠지만, 아직은 구글이 한참 앞서 있다. 빙과 야후도 구글과의 검색 전쟁에서 오래 전에 패했다.
이 말은 즉, 구글의 행태에 화가 난 구글 사용자는 검색 기능성 측면에서 큰 희생을 감수하지 않고서는 구글을 떠날 수 없다는 의미다. 게다가 안드로이드 폰의 경우 검색 의존성은 더 깊고 더 통합돼 있다. 그러나 은행은? 전혀 그렇지 않다. 기분이 상한 고객은 손쉽게 돈과 데이터를 찾아 길 건너의 경쟁 은행으로 가버릴 수 있으며, 서비스 중단이나 서비스 수준의 저하를 겪을 일도 거의 없다.
은행은 크건 작건 진정한 기술 도입에 있어 끔찍할 만큼 느리다는 점도 있다. 지금 핀테크가 크게 주목받는 이유도 여기에 있다. 대부분의 은행은 조금이라도 경쟁력을 유지하려면 핀테크 파트너의 기술 역량이 필요하다.
둘째, 신뢰는 검색 엔진이나 모바일 지도 서비스를 선택할 때보다 은행을 선택할 때 훨씬 더 중요한 요소로 작용한다. 소비자는 가진 돈의 상당부분을 은행에 맡긴다. 여기에는 많은 신뢰가 필요하다. 나중에 다양한 마케팅에 고객의 신원 정보를 사용할 수 있는 여지를 두기 위해 중요한 신뢰를 위험에 처하게 할 이유가 있는가? 이 행위가 순수한 선의라면, 고객에게 알려 이들이 이용할 은행을 결정할 때 고려하도록 하지 않는 이유가 무엇인가?
지금까지 신뢰를 위해 사이트 방문자에게 정직해야 한다는 점에 초점을 맞췄지만, 다른 이유도 있다. 미국 연방통상위원회는 기업이 대중에 알리는 관행과 실제로 하는 행위 사이의 불일치에 대해 엄중히 책임을 묻는 것으로 잘 알려져 있다. GDPR을 시행하는 EU 규제 기관 역시 기업의 개인정보보호 정책을 면밀히 살피고 실제 기업이 하는 행위와 비교한다. 민감한 PII를 다루는 방법을 주시하는 것은 말할 필요도 없다.
많은 이유로 구글과 은행은 큰 도박을 하고 있다. 두둑한 월급 봉투의 맛에 빠진 개발자라면 현명한 판단이 필요한 상황이다. editor@itworld.co.kr