위 글은 미국 저널리스트 존 허먼(John Herrman)이 2015년 9월 미국 뉴욕 소재 미디어 웹사이트 ‘디 아울(The Awl)’에 게재한 칼럼 ‘프라이버시: 그 후(The Privacy: Sequel)’ 중 일부다. 요즘 같아선 그리 새로울 것 없는 사실이지만 이렇게 정리해서 읽어보니 새삼 오싹해진다. 인터넷 의존도가 날로 높아지는 세상, “언제 어디서든 누군가가 날 지켜보고 있다”는 사실을 받아들여야 하는 세상이다. 현대인의 사생활(privacy)은 점점 더 취약해지고 있다.

사람들은 이런 사실을 대개 모르고 지나치지만 가끔은 제대로 직면하기도 한다. 지난달 20일 자 스페셜 리포트 ‘IT 선진국은 지금_①독일’ 편에서도 언급했듯 사람들은 종종 “당신의 신상 정보를 타인에게 제공해도 되느냐”는 질문에 어쩔 수 없이 동의하곤 한다. 맘이 좀 불편해도 이미 일상 깊숙이 들어온 온라인 서비스를 이용하려면 하는 수 없다. 존 허먼은 윗글에서 그런 소비자 대상 기술(consumer technology)의 경향을 한 문장으로 요약한다. “그래, 이렇게 잘 쓰고 있는데 어쩌겠어.”

“온라인에 제공하는 내 정보 불안… 해소법은 몰라”

인간은 ‘고도로 진화한 지적(知的) 동물’답게 문제가 생기면 그걸 확인하고 수면 위로 떠올린 후 해결하려 노력한다. 인터넷 공간에서의 사생활 노출 문제도 마찬가지다. 인터넷 사용이 일반화되며 이 같은 사실을 처음 감지한 선각자들은 해결 방안 도출의 필요성에 대해 지속적으로 목소리를 높여왔다.

시작은 1981년 1월 28일<현지 시각> 유럽회의[1]가 상정, 비준 절차에 착수한 ‘개인적 데이터의 자동적 프로세싱 관련 개인보호를 위한 협약’[2]이었다. 이 날짜는 26년이 지난 2007년 유럽회의에 의해 ‘데이터 보호의 날’로 지정됐다. 2년 후엔 미국 상원에서도 1월 28일을 ‘데이터 프라이버시의 날’로 지정되는 법안이 통과됐다. “데이터 프라이버시에 대해 충분히 교육시켜 사람들의 인식 수준을 높이자”는 취지였다. 이후 이 기념일은 미국·캐나다·인도는 물론, 유럽 47개국이 준수하고 있다.

그 덕분일까, 미국과 유럽 국민들의 데이터 프라이버시 인식 수준은 상당히 높은 편이다. 1990년대에 발행된 케임브리지 영어사전은 ‘privacy’란 영단어를 “자신의 개인적 일이나 관계를 비밀로 유지할 권리[3]”로 정의한다. 반면, 구글 온라인 사전엔 “다른 사람들에 의해 관찰되거나 방해되지 않는, 자유로운 상태[4]”라고 나와있다. 후자엔 “굳이 어느 부분을 비밀로 하고 싶다기보다 일상생활 전반에 걸쳐 누군가가 내 특정 부분을 들여다보거나 알아내는 게 싫다”는 뜻이 깔려있다. 시간이 흐르며 프라이버시 개념이 점차 더 확대되고 명확해졌단 사실을 알 수 있다.

지난해 12월 미국 국립사이버보안연맹(National Cyber Security Alliance, 이하 ‘NCSA’) 발표에 따르면 미국인의 92%는 온라인상에 제공되는 자신의 데이터 보안에 대해 불안감을 느낀다. 우리나라의 경우, 그와 유사한 공식 조사 결과가 나와있진 않지만 인터넷을 자주 이용하는 사람이라면 누구나 불안한 감정을 느껴본 적이 있을 것이다.

지난해 페이스북은 개인 데이터 보호 문제로 시끌벅적했다. 870만 명에 이르는 사용자 데이터가 부적절한 방식으로 누출됐단 사실이 알려졌기 때문이다. 지난달엔 2016년 이래 120만 명의 사용자가 페이스북 퀴즈 애플리케이션을 통해 데이터 유출 피해를 봐왔단 사실이 추가로 밝혀지기도 했다. 이런 경향은 앞으로 더 심해질 우려가 있다. 사물인터넷(Internet of Things, IoT)의 확산 등으로 온라인을 통한 데이터 교류가 활발해질수록 지금은 상상조차 못할 부분에서 프라이버시 침해가 발생할 수 있다.

하지만 문제는 그리 간단하지 않다. ‘철저한 데이터 보안’이란 게 말처럼 쉽지 않기 때문이다. 앞서 인용한 NCSA 조사에서도 “데이터 보안 취약 문제를 해소할 수 있는 방법을 아예 모른다”고 말한 응답자가 전체의 31%나 됐다. 미국보다 사이버 보안이 취약한 나라라면 그 비중은 훨씬 높아질 게 분명하다.

정보 유출 염려 없는 검색, 가능하지만 문제는 ‘돈’

질문은 또 이어진다. 데이터가 철저하게 보호되기만 하면 모든 문제가 해결될까? 이와 관련, 최근 온라인 공간에선 뜨거운 논쟁이 한창 진행 중이다. 개인 데이터가 완벽히 보호되려면 거의 무료로, 제한 없이 제공되는 온라인 서비스 대부분이 유료로 전환돼야 한다. 다시 말해 인터넷 서비스 영역 중 ‘유통’에 관련된 비용 일체가 사용자 부담으로 바뀌는 것이다. 이용하기 나름이겠지만 경우에 따라 그 액수는 꽤 커질 수 있다.

오늘날 전 세계 사람들이 가장 많이 사용하는 구글 검색 서비스를 예로 들어보자. 얼마 전 구글은 “2017년 회계연도에 1108억 달러(약 125조7000억 원)의 수익을 올렸다”고 보고했다. 그 수익의 96%는 구글 광고에서 올린 것이었다. 그리고 익히 알려진 것처럼 구글 광고 수익은 △구글 검색 서비스 이용자가 자신이 필요로 하는 정보를 찾기 위해 특정 키워드를 입력하면 △구글이 자체 알고리즘을 동원해 그 결과를 분석하고 해당 검색자의 관심사를 파악한 후 △그 결과를 바탕으로 특정 성향의 고객을 필요로 하는 기업에 검색자를 연결시켜주는 과정에서 발생한다.

온라인 실시간 통계 제공 업체 인터넷라이브스태츠(Internet Live Stats)에 따르면 지난해 구글에서 이뤄진 검색은 약 1조2000억 회였다. 만약 구글이 광고를 전혀 붙이지 않고 그만큼의 수익을 고객에게 부담시키기로 결정했다면 구글 사용자는 검색 한 번 할 때마다 105원가량을 지불해야 한다. 개인차가 존재하긴 하겠지만 평소 구글 검색 서비스를 자주 쓰던 사람이라면 연간 지출 예상 금액은 결코 만만하지 않다.

“개개인의 신상을 보호한다”는 명분을 앞세워 개인 데이터의 기업 제공을 금지하면 온라인 서비스 제공 업체의 수입은 당연히 줄어들 것이다. 실제로 유럽연합의 경우, 개인정보보호법(GDPR)이 “데이터 제공 시 반드시 사용자 동의를 구할 것”을 요구하며 이 과정이 이미 시작됐다. 미국에 본사를 둔 다국적 금융 기업 골드만삭스는 “GDPR 시행에 따라 페이스북 연간 수익은 이전보다 약 7% 줄어들 것”이라고 추정하기도 했다.

데이터 보호에 만전을 기하려면 비용도 발생하지만 서비스 사용 절차도 번거로워진다. 결국 이 문제는 ‘사용자가 자신이 겪을 불편을 얼마나 감수할까?’와도 직결된다. 사용자 데이터를 전혀 알 수 없을 때 생기는 부작용도 간과해선 안 된다. 사이버 범죄가 발생했을 때 범인 추적이 어려워지는 상황 등이 대표적 예다. 뭐니 뭐니 해도 가장 큰 문제는 온라인 공간을 실질적으로 오가는 데이터의 출처를 완벽하게 단속하는 것 자체가 기술적으로 쉽지 않다는 데 있다.

“전화, 도청 가능성 두렵다고 더 이상 안 쓸 텐가?”

‘프라이버시 패러독스(privacy paradox)’란 개념이 등장한 것도 바로 이 지점이다. 실제로 온라인 서비스 사용자는 온라인 상에서 적극적으로 활동하며 다양한 서비스를 원한다. 반면, 그로 인해 발생하는 불편이나 문제에 대해선 대단히 방어적 자세를 취한다. 2015년 5월 브루킹스연구소[5]보고서에 처음 등장한 프라이버시 패러독스는 이후 빠르게 주요 키워드로 자리 잡았다. 벤저민 위티즈(Benjamin Wittes) 박사와 조디 리우(Jody Liu) 연구원이 함께 펴낸 이 보고서는 이전까지 온라인 공간을 도배해온 ‘프라이버시 보호론’과 사뭇 다른 논조를 띤다. 본문 일부를 인용해 잠깐 살펴보자.

이 보고서의 제목 ‘프라이버시 패러독스: 프라이버시 위협의 혜택’[6]은 의미심장하다. 프라이버시가 위협 받는 상황 자체가 거꾸로 사용자 프라이버시에 혜택을 제공하는 현실을 또렷이 암시하고 있기 때문이다.

실제로 ‘프라이버시 패러독스…’ 보고서는 발표되자마자 업계에 상당한 영향력을 행사하며 프라이버시 침해 문제 해결 노력의 방향을 선회하는 데 단단히 한몫했다. 보고서 발간 이후 온라인 공간에 횡행하던 질문의 성격은 “어떻게 하면 데이터가 노출되지 않도록 보호할 수 있을까?”에서 “데이터 이용 과정에서 큰 피해를 입지 않으려면 어떻게 해야 할까?”로 바뀌었다. 그 해답을 찾으려는 담론도 속속 등장했다. 사용자 사전 동의를 명문화한 GDPR의 접근 방식도 그중 하나다.

소통∙개방 중심의 ‘21세기형 파놉티콘’ 고민해볼 때

‘파놉티콘(Panopticon)’이란 개념이 있다. 각각 ‘모두(pan)’와 ‘본다(opticon)’는 뜻을 지닌 그리스어가 합쳐진 이 단어는 ‘소수의 감시자가 자신은 드러내지 않은 채 모든 수용자를 감시할 수 있는 감옥 모형’ 정도로 해석된다. 19세기 초 공리주의를 주창한 영국 사상가 제레미 벤담[7]이 처음 사용하며 세상에 알려졌지만 20세기 프랑스 사상가 미셸 푸코[8]가 “모든 일과 사람을 항상 감시하는 국가 권력의 표상”으로 재해석하며 더 유명해졌다. 강한 권력에 의해 인권이 무단으로 침해되는 사태에 대한 두려움이 포함된 개념인 셈이다.

하지만 시선이 반드시 감시와 억압을 위해 존재하는 건 아니다. 실제로 국내 한 육아공동체에서 파놉티콘과 동일한 원리로 운영되는 건물 디자인이 시도된 적도 있다. 이 발상엔 아이들이 간섭받지 않고 자유롭게 뛰놀며 시간을 보낼 수 있도록 지도교사가 (자신의 존재를 드러내지 않고) 아이들을 지켜보기 쉽도록 건물을 짓자, 는 취지가 담겼다.

프라이버시 패러독스 문제의 해법에 대한 고민은 여전히 현재진행형이다. 각론은 제각각이지만 기본 방향은 “혜택은 늘리고 피해는 줄이는 온라인 소통”이다. 또 하나, “소통을 위해 어느 정도의 개방은 불가피하다”는 전제도 굳건하다. 향후 더 나은 대안이 속속 등장하겠지만 이 같은 기본 방향이 달라지지 않으리란 사실만큼은 점점 분명해지고 있다.

[1]Council of Europe. 유럽 통합을 목적으로 1949년 창설된 범유럽 정부 간 협력 기구
[2]Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data
[3]“someone’s right to keep their personal matters and relationships secret”
[4]“the state or condition of being free from being observed or disturbed by other people”
[5]The Brookings Institution. 미국 워싱턴에 위치한 진보 성향의 비영리 사회과학 전문 연구기관
[6]원제 ‘The privacy paradox: The privacy benefits of privacy threats’
[7]Jeremy Bentham(1748~1832)
[8]Michel Foucault(1926~1984)

4억 인터넷 인구 이목 집중시킨 ‘세기의 재판’

온라인 업무 처리에 능한 사람, 즉 적극적 인터넷 사용자라면 누구라도 이런 질문을 떠올리며 맘 불편했던 적 있을 것이다. 온라인 통계 포털 스타티스타(Statista)에 따르면 2018년 6월 현재 적극적 인터넷 사용자 수는 전 세계적으로 4억 명 이상으로 추산된다. 다시 말해 최소한 4억 명은 그런 유(類)의 불안을 경험했을 수 있단 얘기다.

그 많은 인구가 관심을 보일 만한 재판이 지난달 29일<이하 현지 시각> 독일의 유서 깊은 도시 본(Bonn)에서 열렸다. 원고는 세계 각국을 대상으로 IP 주소 배급을 관할하는 비영리 기구 ‘아이캔(ICANN)[1]’, 피고는 본 소재 도메인 등록 대행 업체이면서 아이캔 서비스를 이용 중인 고객이기도 한 ‘에팍(EPAG)’이었다. 분쟁의 단초를 제공한 건 최근 유럽연합(EU)을 중심으로 전 세계를 긴장시키고 있는 소위 GDPR 문제였다.

GDPR은 ‘일반 데이터 보호 규정(General Data Protection Regulation)’의 약자다. 2년 전 EU 의회에서 통과돼 지난달 25일부터 시행된 이 규정은 한마디로 ‘인터넷 사용자 보호’에 방점이 찍혀있다. GDPR이 적용되면 인터넷에서 누군가의 신상에 대한 정보가 이용될 때, 그 정보를 제공하는 사용자 입장에서 어떤 정보가 어떤 방식으로 왜 사용되는지 설명을 요청할 수 있다. 맘에 들지 않는 정보의 수정이나 일정 목적에 쓰인 정보의 삭제를 요구하는 것도 가능하다. 그뿐 아니다. 한 업체에 제공했던 정보를 다른 업체로 옮겨달라고 할 수도, 정보가 원치 않는 방식으로 형성되거나 처리될 경우 그 과정 자체를 거부할 수도 있다.

일반 데이터 보호 규정은 대단히 포괄적인 동시에 엄격하다. 적용 대상은 EU 거주 시민의 개인정보를 처리하는 모든 정보 통제·처리·보호책임자 등. EU 국가에 사업장을 보유한 업체는 물론, 사업장을 갖고 있지 않더라도 EU 거주 시민에게 온라인 서비스를 제공하거나 시민들의 행동을 모니터링하는 기업이라면 예외 없이 지켜야 한다. 만일 이를 위반하고 개인 정보를 침해할 경우, 그 업체가 세계 전체에서 발생시킨 매출액의 4%와 2000만 유로(약 255억8000만 원) 중 더 높은 금액이 과징금으로 부과된다.

“필요한 정보만 최소한으로 수집하는 게 옳다”

지난달 29일 있었던 아이캔-에팍 재판은 바로 이 GDPR 적용 여부를 둘러싼 분쟁으로 인해 열린 첫 소송의 장이었다. ‘원고 아이캔’은 GDPR 적용으로 심기가 불편해지는 입장에 있었고 ‘피고 에팍’은 “GDPR을 준수하지 않을 도리가 없는 만큼 지금까지의 관행은 바뀌어야 한다”고 판단했다. GDPR 시행 닷새 만에 열린 이 재판은 GDPR이 실제 상황에선 어느 정도 수준으로 적용될지 가늠하게 해주는, ‘시범 케이스’ 같은 성격을 띠고 있었다. 진행은 일사천리였고 판결은 재판 이튿날인 30일 나왔다.

아이캔은 전 세계 도메인명을 총괄하는 비영리조직으로 다양한 관련 서비스를 제공하고 있다. 그중 하나인 후이즈(WHOIS)는 인터넷 IP 주소 보유자의 기본 정보가 담긴 데이터베이스를 기반으로 서비스 이용자가 특정 IP 주소 보유자의 정보에 대해 질문하면 답해주는 프로토콜이다. 그러기 위해 후이즈 이용 업체는 IP 주소를 등록하는 사용자에게 이름∙주소∙전화번호∙이메일주소 등을 받아낸다. IP 등록업체 대표뿐 아니라 관리(administration)·기술(technology) 책임자 연락처까지 등록해야 한다.

약간의 불안감을 느끼면서 ‘이런 정보까지 제공해야 하나?’ 의문을 품는 사용자, 당연히 있었을 것이다. 하지만 GDPR 개념이 정립되기 전까진 아이캔이나 에팍처럼 서비스 제공 업체가 필요하다고 판단하기만 하면 원하는 만큼 정보를 수집해갈 수 있었다. GDPR은 그렇게 당연시됐던 행동 중 상당 부분을 금지하는 법인 셈이다.

에팍은 아이캔의 후이즈 시스템을 사용해온 고객이며 GDPR을 가장 앞장서서 실천하고 있는 독일이 주된 시장이다. 이 때문에 GDPR이 시행되자마자 “도메인 관리∙기술 책임자의 신상 정보까지 요구하는 건 못하겠다”고 선언했다. “(GDPR를 위반하면) 엄청난 벌금을 물 게 뻔하다”는 게 그들의 논리였다. 그러자 에팍을 통해 도메인 이용자의 신상정보를 수집하던 아이캔은 “에팍의 행동은 명백한 계약 위반이며 아이캔이 보유한 정보를 훼손시키는 행동”이라고 발끈하며 에팍을 독일 본지방법원에 고소했다. 양 측 주장은 말 그대로 팽팽하게 맞섰다.

[2] 캐나다 기반 도메인 등록대행업체. 에팍EPG은 투카우즈의 독일 지사와 같은 성격의 기업이다

독일 법원의 판결은 단호했다. “GDPR이 발효된 이상 ‘향후 고객 관련 정보 중 꼭 필요한 것만 최소한으로 수집하겠다’는 에팍의 입장은 정당하며, 계약 위반이라고 볼 수 없다”는 게 핵심 메시지였다. GDPR이 본격적으로 시행되면서 ‘그렇게 엄격한 법이 실제 상황에서 과연 지켜질까?’ 예의주시하던 온라인 서비스 제공 기업들은 이 판결을 접하며 마음을 단단히 먹어야 했다.

‘제조업 강국’답게 제조·IT 통합 분야서 두각

IT 산업 관련 사안을 담당하는 국제연합(UN) 산하 기구 인터내셔널텔레커뮤니케이션유니온(ITU)은 매년 세계 각국의 IT 산업 현황을 조사, 정리해 보고서를 펴낸다. 평가 기준은 ITU가 자체적으로 개발한 지표 IDI(ICT Development Index, 정보통신기술 발전 지표). 최근 출간된 2017년 보고서<아래 표 참조>에도 어김없이 IDI를 기준으로 한 국가별 IT 현황이 수록됐는데 아이슬란드가 1위, 한국이 2위에 올라있다(한국은 지난해 같은 보고서에서 1위였지만 1년 만에 순위가 한 칸 밀렸다).

위 표에 따르면 독일의 IDI 순위는 12위. 지난해 13위에서 한 계단 올라섰다. 유럽 내 순위로 치면 9위다. 1위인 아이슬란드는 물론, 스위스‧덴마크‧영국에도 밀린다. 물론 ITU 조사 대상국이 176개란 점에 비춰보면 12위는 최상위권에 속한다. 미국(16위)보다 높으며 일본(10위)에 비해선 약간 처지는 수준이다.

하지만 독일 IT 산업은 웬만한 국가들이 따라 잡기 어려운 강점을 갖고 있다. 우선 전통적으로 제조업 강국인 만큼 IT 기술을 제조업에 통합시키는 데 탁월한 역량을 보인다. 예를 들어 2016년 현재 유럽의 세계 반도체 생산 점유율은 11%인데, 이 반도체가 자동차 제조 공정에 통합되는 경우에 관한 한 3분의 2 이상이 독일의 기술과 제품을 활용한다.

이 같은 특징은 4차 산업혁명 시대가 본격적으로 펼쳐지는 오늘날 특히 빛을 발할 수 있다. 4차 산업혁명을 주도하는 산업 대부분이 정보통신기술을 통합, 재편하는 구조를 띠기 때문이다. 실제로 사물인터넷 시대를 맞아 거의 모든 물건이 IT 기반으로 새롭게 태어나고 있다. 그러려면 IT 기술 발달은 필수다. 하지만 그와 동시에 제조업 측면에서도 다양한 아이템이 그런 흐름에 맞춰 설계, 생산될 수 있어야 한다. 바로 그 지점에 독일 IT 산업의 경쟁력이 자리하고 있다.

디지털 주권 강조로 4차 산업혁명 선도 ‘잰걸음’

2011년 독일 정부는 자국 내 주요 기업과 협력해 ‘인더스트리 4.0(Industrie 4.0)’이란 정책 기반을 발표했다. 여기서 중점적으로 추진되는 분야는 △스마트 서비스 △디지털 혁신 △개방형 플랫폼 △디지털 주권 등 네 가지다. 앞의 세 가지는 모두 IT 산업의 기술적 진전과 관련돼 있지만 네 번째 항목인 디지털 주권은 다소 생뚱맞다고 여겨질 수 있다. 하지만 바로 이 디지털 주권이야말로 GDPR에 대한 독일의 입장을 가늠해볼 수 있는 ‘힌트’다.

▲ 독일 경제 주간지 비르츠샤프트보허(Wirtschaftwoche)가 2014년 10월 게재한 ‘인더스트리 4.0’ 관련 독일 정부 투자 기사에 수록된 사진. “인더스트리 4.0란 개념 이면엔 하나의 가치를 창조하는 데 관련된 모든 영역의 네트워킹이 숨겨졌다”란 설명이 달려있다

보통 ‘주권(sovereignty)’이라고 하면 국가가 갖는 권력 같은 거라고 생각하기 쉽다. 그런데 사전에 나와있는 이 단어의 첫 번째 뜻은 ‘최고의 힘 혹은 권위를 갖는 상태’다. 즉 ‘국가냐 개인이냐’ 하는 구별보다 ‘어떤 일에 대해 주체적으로, 가장 강력한 결정권을 갖는다’는 의미가 보다 강조되는 것이다.

‘디지털 주권’이란 표현도 마찬가지다. 그 말 속엔 ‘모든 정보와 의사 결정 과정이 온라인 상에서 처리되는 디지털 세상에선 정보의 주체인 사용자가 가장 큰 힘과 권위를 가져야 한다’는 전제가 깔려있다. 따라서 디지털 주권이 실행되려면 사용자 정보가 최우선적으로 보호돼야 한다. 정보 사용 단계에서도 사용자가 주체적으로 자신의 파트너를 선택할 수 있어야 한다.

독일이 “4차 산업혁명 시대를 선도하겠다”는 의지를 보이며 사용자의 디지털 주권 의식을 강조한 건 최근 IT 트렌드 분석 과정에서 비중 있게 등장하는 ‘사용자 참여 증대’ 경향과 무관하지 않다. 실제로 모바일 기반 하드웨어·소프트웨어 시장 발달에 따라 인터넷 사용자 규모가 급증하고 생활 밀착형 인터넷 사용 문화가 확산하면서 ‘사용자 경험을 중시하고 그들을 온라인 공간에 참여시키는’ 일이 온라인 마케팅의 최대 변수로 떠오르고 있다.

디지털 주권을 향한 독일의 의지는 EU가 내놓은 GDPR의 이행 과정에서 선명하게 드러난다. 독일은 약 5년의 준비 기간과 2년간의 유예 과정을 거쳐 발효된 이 법규의 제정 과정에 앞장서왔을 뿐 아니라 올 1월 관련 국내법 정비도 끝냈다. 명실상부하게 ‘유럽 국가 중 제일가는 GDPR 모범생’이라 할 만하다. 결국 ‘아이캔 대(對) 에팍’ 재판은 이런 환경 변화에 심기가 불편해진 (아이캔으로 대표되는) IT 기업이 정면으로 던진 도전장이라고 할 수 있다. 그리고 그 결과는 앞서 살펴본 것처럼 ‘독일의 즉각적 반격’이었다. 그럼 이제부터의 판세는 어떻게 움직여갈까? 전 세계 인터넷 관련 기업과 사용자가 예의주시하는 대목이다.

[1] (The) Internet Corporation for Assigned Names and Numbers. 1998년 설립됐으며 미국 로스앤젤레스에 본사를 두고 있다