세계적인 저명한 암호학자 브루스 슈나이어의 새 책 <당신은 데이터의 주인이 아니다>(브루스 슈나이어 저/이현주 역, 반비)가 최근 번역 출간되었다. 원 제목이 ‘Data and Goliath(데이터와 골리앗)’인 이 책은 현대 정보사회에서 내 개인 정보가 국가나 기업에 의해, 나도 모르게 얼마나 수집되고 처리되는지, 그것이 내 삶에 어떠한 영향을 미치는지 상세하게 기술하고 있다.
휴대전화는 24시간 내 위치를 기지국에 전송하여 기록하고, 인터넷 이용 기록은 내가 접속한 사이트의 서버에 뿐만 아니라, 그 사이트에서 연결된 수많은 광고 업체에도 저장된다. 무료 서비스를 받기 위해 우리는 약관도 읽지 않고 내 개인 정보를 제공하는데 익숙해져 있다. 이렇게 축적된 개인 정보는 정부가 나를 감시하거나 기업들의 마케팅 목적으로 처리되고 있지만, 이는 내가 인지할 수 없는 장막 뒤에서 벌어지는 일들이다.
이러한 개인 정보에는 이름, 연락처, 주소와 같은 기본적인 정보 뿐만 아니라, 주민등록번호, 위치정보, 의료기록, 정치적 신념이나 성적 취향과 같은 민감한 정보도 포함된다. 번역서의 제목과 같이 더 이상 내가 내 개인정보의 주인이라고 할 수 있을까? 내 개인정보가 어떤 목적으로 수집되어 어떻게 이용되는지, 정확하게 기록되어 있는지 내가 통제할 수 없다면 말이다.
개인 정보도 사고 팔린다. 개인 정보 보호가 느슨한 미국에서는 소비자 개인 정보를 마케팅 목적으로 수집·판매하는 거대 업체도 존재하는데, 이를 데이터 브로커라고 한다. 가장 큰 데이터 브로커인 액시엄(Acxiom)사는 거의 모든 미국 소비자 정보를 비롯하여 전 세계 5억 명의 개인 정보를 보유하고 있다고 한다. 최근 동향을 보면 한국에서도 이와 같은 개인 정보의 판매가 활성화될 지 모른다.
지난 8월 12일, 서울중앙지법은 항소심에서 고객의 개인 정보를 동의도 제대로 받지 않고 보험회사에 판매한 홈플러스에 대해 무죄를 선고했다. 홈플러스는 경품 행사 응모 고객 및 회원의 개인정보 약 2400만 건을 보험회사에 판매하여 231억원의 부당 이득을 취한 혐의로 기소된 바 있다. 그러나 법원은 지난 1월 1심에 이어, 항소심에서도 무죄 판결을 내렸다.
개인정보보호법에 따르면, 개인 정보를 정보주체의 동의없이 제3자에게 제공해서는 안 된다. 또한 동의를 받는 방법을 규정한 22조에서는 ‘정보주체가 이를 명확하게 인지할 수 있도록 알리’도록 하고 있다. 홈플러스는 경품행사 응모권에 1mm 크기의 약관을 통해 개인 정보가 보험사에 제공될 수 있음을 적시했다. 이에 대해 법원은 “1mm 크기의 약관이 사람이 읽을 수 없는 정도라고 단정하기 어렵”고, 실제 이 글씨를 읽고 개인 정보 제공을 거부한 사람들이 있다면서 홈플러스가 “개인정보보호법이 요구하는 고지 의무를 다했다”고 보았다.
경품 행사에 응모한 사람들이 1mm 크기의 약관을 읽고 자신의 개인 정보가 보험회사에 판매되었을 것이라고 인식하고 제공했다는 것은 상식적으로 납득하기 힘들다. 이런 방식의 동의를 법원이 ‘명확하게 인지할 수 있도록 알’린 것으로 인정한다면, 기업들의 기만적인 개인정보 수집과 제3자 제공을 부추길 수밖에 없다.
법원 판결 하루 전인 8월 11일, 롯데홈쇼핑이 고객 정보를 당사자 동의 없이 제3자에게 불법 판매한 행위에 대해 방송통신위원회가 과징금 1억 8000만원을 부과한 사실이 알려졌다. 롯데홈쇼핑은 324만여 명의 고객 정보를 롯데·한화·동부 손해보험사에 불법 판매하여 37억여 원의 부당이득을 올렸다고 한다. 개인 정보 판매가 일반화된 것은 아닌지 우려할 수밖에 없다.
민감한 의료 정보 역시 팔리고 있다. 다국적 빅데이터 기업 IMS헬스가 병원, 약국 등을 통해 우리 국민의 개인 정보 4400만 건을 몰래 사들여 빅데이터 처리 후 제약 회사에 재판매하여 70억 원의 부당이득을 올린 사건도 발생하였다.
그러나 정부는 오히려 빅데이터 산업을 활성화한다는 명목으로 지난 6월 30일 <개인 정보 비식별 조치 가이드라인>을 발표하였다. 일정하게 비식별 조치를 하면, 정보주체의 동의를 받지 않고도 개인 정보를 처리하거나 제3자에게 제공할 수 있도록 한 것이다.
문제는 일부 개인 정보를 가려서 비식별화 했다고 하더라도, 다른 개인 정보와 결합하여 재식별화될 수 있다는 점이다. 정부 역시 이 점을 인지하고 있다. 이와 같은 재식별화의 위험성을 경고하고 빅데이터 산업이 개인 정보를 침해하지 않도록 감독해야 할 위치에 있음에도 불구하고, 한국 정부는 오히려 가이드라인을 통해 일정한 조치만 취하면 개인정보를 침해하지 않은 것으로 해주겠다고 한다.
한국은 강력한 개인 식별 수단인 주민등록번호를 가지고 있고, 수천만 건의 대규모 개인 정보 유출을 여러 차례 경험한 나라이다. 빅데이터 분석 기술, 홍체 인식과 같은 생체 인식 기술, 사물 인터넷 기술 등 더욱 더 민감한 개인정보의 자동화된 수집과 분석 기술의 발전으로 프라이버시 침해 우려는 더욱 높아지고 있다. 새로운 기술 발전이 야기할 인권 침해 가능성에 대한 분석과 이에 대한 제도적 안전 장치 없이 산업 발전에 올인하는 것이 창조경제는 아닐 것이다.