주간동아 888

..

‘데이터 익명화’ 정보 보안관 될까

빅 데이터 활용 늘수록 해킹 위험…각국 개인정보 보호 총력전

  • 이승훈 LG경제연구원 책임연구원 shlee@lgeri.com

    입력2013-05-20 15:50:00

  • 글자크기 설정 닫기
    만약 내가 보고 듣고 말하는 것을 누군가가 모두 훔쳐볼 수 있다면? 유명 해커이자 개발자인 제이 프리먼은 구글이 새로 개발한 구글글래스(Google Glass) 같은 이른바 ‘입는 컴퓨팅 기기’를 해킹할 경우 해커가 사용자 주변의 모든 정보를 수집하는 게 가능해질 수 있다고 말한 바 있다. 입는 컴퓨팅 기기는 사용자가 언제 어디서든 원하는 정보를 제공받을 수 있다는 점에서 지속적인 기대와 관심을 받아왔지만, 출시가 가까워질수록 다른 한편에서는 이를 통해 야기될 수 있는 개인정보 유출과 프라이버시 문제에 대한 우려도 동시에 높아지는 것이다.

    미국과 유럽의 대응 온도 차

    구글, 아마존, 페이스북 등 대표적인 정보기술(IT) 기업들은 다양한 방법으로 사용자 정보를 활용해왔다. 과거에는 단순히 사용자들이 방문한 사이트 기록을 통해 사용자의 관심사를 알아내고 그에 따라 맞춤형 광고를 제시하는 정도였지만, 모바일이나 클라우드 기반의 컴퓨팅 환경이 보편화하면서 이른바 빅 데이터(Big Data) 활용이 빠른 속도로 확장되고 있다. 이들 기기를 통해 수집하고 저장한 다양한 센서 정보와 기기 정보 같은 개인정보를 각 기업이 이용해 소비자 개인의 취향이나 생활패턴 등을 짚어내는 식으로 눈부시게 발전하는 것이다.

    하지만 기업들의 이러한 서비스가 사용자에게 반가운 것만은 아니다. 각 기업이 더 많은 사용자 정보를 수집할수록 유출되거나 오·남용될 위험성도 동시에 높아지기 때문이다. 다양한 개인정보 가운데 사용자는 특히 자기 이름, 주소, 나이 등 프로필 정보에 민감하고, 사회적 관계 정보처럼 개인이 직간접적으로 식별할 수 있는 정보가 노출되는 데 특히 두려움을 느낀다. 이러한 반응은 최근 연이어 발생한 개인정보 유출 사고로 더욱 높아지고 있다. 스마트폰에 설치한 애플리케이션(앱)을 통해 사용자 위치를 계속 기록하고 외부에 유출하는 등, 수집하는 사용자 정보가 다양하고 구체적인 만큼 유출로 인한 피해도 기존의 개인용 컴퓨터(PC)보다 훨씬 심각하기 때문이다.

    예컨대 구글은 안드로이드 운영체제(OS)를 이용해 사용자 모바일 기기에 장착된 위성항법장치(GPS)나 센서 등의 정보에 접근할 수 있다. 그리고 이를 통해 수집한 사용자의 위치 정보를 이미 지도 서비스 등에 활용한다. 구글의 지능형 서비스인 구글나우(Google Now)는 확보해둔 빅 데이터에 사용자의 서비스 이용 기록이나 기기에서 수집된 실시간 상황 정보를 대입한 뒤 종합적으로 분석해 다양한 맞춤 정보를 제공한다. 페이스북 역시 사용자 인맥 정보는 물론 모바일 환경에서 사용자의 위치 정보도 활용한다. 이들 서비스가 자신도 모르게 소비자에게 분석 및 제공하는 맞춤형 정보는 놀라울 정도로 정확해 두려움마저 느끼게 하는 것이 사실이다.



    상황이 이렇다 보니 주요 국가에서는 각 기업은 물론 정부까지 나서 개인정보를 보호하기 위한 다양한 제도적·기술적 장치를 마련한다. 먼저 법률적 차원부터 살펴보자. 주요 온라인 서비스 기업들의 사용자 정보 활용 방법이 단순히 맞춤형 광고나 서비스를 제공하는 데 그치지 않고, 정보 브로커 등을 통해 제3자에게 정보를 제공하는 수준에까지 이르자 서구 각국 정부는 이를 차단하는 법률을 마련하려고 고심하고 있다.

    그러나 자기 이익을 지키려는 기업들의 반격도 만만치 않다. 미국을 중심으로 한 주요 IT 기업들이 인터넷 동맹(Internet Alliance) 같은 단체를 조직해 정부 제재에 공동 대응하는 것이 대표적이다. 특히 이들은 실리콘밸리에 집중된 IT 기업에 과도한 제재를 가할 경우 미국 정보통신 산업 자체가 성장을 멈출 수 있다는 논리를 주로 사용한다.

    ‘데이터 정보 규약’ 발의

    ‘데이터 익명화’ 정보 보안관 될까

    ‘캐리어IQ’라는 스마트폰 애플리케이션(앱)이 사용자의 통화기록 및 문자메시지 등 핵심 정보를 전송해 빅 데이터 마케팅에 활용하도록 각 기업에 제공하는 과정을 정리한 그림.

    이 때문에 각국의 제도적 노력에서도 차이점이 나타난다. 미국의 경우 IT 산업의 성장성과 개인정보 수집 및 사용에 대한 사용자의 알 권리 보호 사이에서 합의점을 찾는 데 주력하는 반면, 이전부터 개인정보 보호에 매우 엄격한 잣대를 적용해온 유럽연합(EU)은 이른바 잊힐 권리(Right to be forgotten) 법안을 발의하는 등 공세적인 압박을 가하는 것이다. 특히 사용자가 온라인상에 생성한 정보의 소유권 자체를 가져야 한다는 게 EU의 기본 원칙이라고 할 수 있다.

    한국의 경우에도 2008년 이후 대형 인터넷 포털사이트나 IT 기업에서 대규모 개인정보 유출 사건이 발생하면서 사용자들의 개인정보 보호에 대한 인식이 점차 높아졌고, 개인정보 보호에 관한 제도적 장치 마련도 한창이다. 2011년 9월 본격 시행한 개인정보 보호법이나, 주민등록번호 수집과 이용을 금지하는 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)이 2월 18일부터 6개월 계도기간에 들어간 게 대표적이다.

    그러나 이러한 흐름이 실질적인 투자나 실행으로 연결되지 못하는 것 또한 사실이다. 방송통신위원회와 한국인터넷진흥원이 발표한 ‘2012년 정보보호 실태조사’ 결과에 따르면, 국내 기업의 73.3%는 정보보호 투자를 전혀 하지 않는 것으로 나타났다. 개인의 경우 인터넷 이용자의 정보보호 인식은 98.7%로 매우 높은 반면, PC나 스마트폰에서 보안을 얼마나 높게 설정해두고 있는지를 따져보면 모든 항목에서 전년 대비 감소한 결과를 보여준다.

    주요 기업들이 빅 데이터 마케팅에 폭발적으로 관심을 기울이는 만큼 국가 대부분이 개인정보 보호의 수위를 높여가지만, 새로운 기술과 서비스가 출시될 때마다 법률을 개정하거나 보완하는 방식으로는 한계가 있을 수 있다. 제도적으로 아무리 막으려 해도 변화하는 기술과 서비스 환경을 이용해 기존의 정보를 단순히 조합하고 결합하는 것만으로도 특정 개인이 식별될 가능성이 높아지는 까닭이다.

    따라서 제도적 노력은 각종 보안기술의 발전과 발맞출 때 실효성이 높아질 것으로 보인다. 최근 영국 정보감독위원회가 발의한 ‘데이터 정보 규약’이 대표적이다. 이른바 데이터 익명화(Data Anonymization)를 각 기업에 강제하는 이 규약은 온라인상의 정보를 사전에 변환해 특정 개인을 원천적으로 식별할 수 없게 하는 내용을 담았다. 이러한 방식으로 좀 더 완벽한 데이터 익명화를 보장할 수 있다면, 개인정보 보호에 대한 소비자의 욕구와 생활 편의를 위한 정보 활용의 필요성 간 조화도 새로운 돌파구를 찾을 수 있을 것으로 기대된다.



    댓글 0
    닫기