[빅데이터 신화, 개인정보는 봉인가?①] 빅데이터가 당신에게 알려주지 않은 진실

문재인 정부에서도 과거 박근혜 정부와 마찬가지로 빅데이터, 인공지능 산업 활성화를 명분으로 개인정보의 상업적 활용 정책을 내놓고 있습니다. 주요 보수 언론 및 경제지는 국내 개인정보 보호제도가 빅데이터 산업의 발목을 잡고 있다고 비판하며 노골적으로 개인정보 규제 완화를 요구하고 있습니다. 그러나 한국의 개인정보 보호수준이 높다는 것은 허구입니다. 수많은 개인정보 유출 사고에도 불구하고 제대로 된 처벌과 보상조차 이루어지고 있지 않습니다. 이번 연재를 통해 빅데이터 시대, 개인정보를 둘러싼 주요 쟁점에 대해 인권 및 소비자권리 관점에서 비판하고 대안을 제시하고자 합니다.[편집자말]

빅데이터, 아무 문제 없습니까?

빅데이터가 당신에게 알려주지 않은 진실

 

빅데이터의 탄생

 

휴대폰 개통을 한다고 치자. 계약서의 필수동의 항목만 보더라도 어마어마하다.

 

성명, 생년월일, 성별, 계좌(카드)정보, 예금주(카드주) 정보, 고유식별정보, 연계 번호, 이메일 주소, 단말기 정보, 개인위치정보, 서비스이용과정에서 생성되는 정보, 통화시각, 사용도수, 서비스이용기록, 기타 요금 과금에 필요한 데이터 및 이를 조합하여 생성되는 정보 등등

 

나에 대한 거의 모든 정보를 제공해야 서비스를 이용할 수 있다는 것이다. 통신사는 고객관리 시스템 운영을 위해 이 정보들을 대리점 등 수백개의 외부 전문업체에 위탁하여 운영한다고도 한다.

 

대부분 이용자는 전화 서비스 제공과 개선을 위해 반드시 필요한 정보라고 하니 수집 목적이 명확한지, 목적에 부합하는 항목인지 일일이 따져볼 생각을 하지 못한다.

 

휴대폰만이 아니다. 병원을 가더라도, 약국을 가더라도, 인터넷 쇼핑을 하더라도 서비스를 이용하려면 나는 내 정보를 주어야 하며, 이용한 흔적(데이터)이 남고 이것들은 어딘가에 고스란히 쌓인다. 가만히 따져보면 지금 우리는 생활 자체가 데이터인 시대에 살고 있는 셈이다. 

 

국립중앙과학관의 연구결과에 따르면, 1분 동안 구글에서는 200만 건의 검색이 이뤄지고, 유튜브에서는 72시간 분량의 비디오 업로드, 트위터에서는 27만건의 트윗이 생성된다고 한다. 1분 동안에 이들 몇개의 대표적인 인터넷 기업에서 생성되는 정보량이 이 정도라면 인터넷 전체에서 하루, 한달, 일년 동안 쌓인 데이터의 양은 가히 상상을 초월할 것이다.

 

우리는 생활의 중심이 된 지 오래인 휴대폰뿐 아니라 인터넷으로 대화는 물론이고 쇼핑, 금융거래, 독서, 취미생활 등등이 거의 다 가능한 세상에 살고 있다. 이런 활동은 모두 흔적(데이터)을 만든다. 이 흔적을 기업들은 추적하고 모으고 분석한다. 이를 통해 기업은 타깃에 가장 적합한 시간대, 장소, 가격의 마케팅을 시도한다.

 

이렇게 말할 수도 있다. 내가 굳이 시간을 들여 상품을 고르고, 직접 찾아가지 않아도 나에게 최적인 상품을 알아서 제시한다면 나도 좋고 기업도 좋은 거 아닌가? 그럴 수도 있다. 내 모든 데이터를 기업에 제공하면 나는 기업으로부터 공짜 웹 검색과 이메일을 이용할 수 있다. 나에 대한 정보와 편의를 맞바꾸는 것이다.

 

그러나 빅데이터는 여기서 멈추지 않는다. 기업은 내게서 가져간 데이터를 집적하고 분석해 내게 맞는 광고에서 더 나아가 내 소비 행동을 예측하고 심지어 기업의 입맛에 맞게 내 감정을 조작할 수도 있다. 인종, 성별, 사상, 교육정도, 정치적 신념 등등의 기준에 따라 차별도 가능하다. 가능성을 넘어 실제로 현실인지도 모른다.

 

비단 기업만이 아니다. 정부도 정보를 수집하고 분석하고 활용한다. 휴대폰을 사용한 순간부터 위치추적이 가능해 내가 누구와 어디에서 무엇을 하는지 누구와 자주 통화하고 주말에 외출을 하는지 집안에 틀어박혀 있는지 알 수 있다. 24시간 뒤 내가 어디에 있을지 정확하게 예측한 실험도 있다.

 

테러리스트나 범죄자를 추적하고 밤길 외진 골목의 치안을 확보하기 위해 곳곳에 설치되어 있는 CCTV, 범죄 차량을 추적하는 차량검색시스템 등을 통해 시민의 일상생활이 속속 데이터화 되고 있다.

 

이 뿐이 아니다. 국가가 제역할을 수행하는 과정에서도 빅데이터는 생성된다. 의료보험, 국민연금, 국세자료, 교육 등의 공공영역도 데이터가 생산되고 집적되는 중요한 통로다. 이 어마어마한 공공 데이터를 정부는 조만간 민간에 개방하고 공유한다고까지 한다. 

 

믿고 맡기세요?

 

언론에서도 4차산업혁명이니, 디지털혁명이니 하며 빅데이터를 산업혁명 시대의 원유에 빗대기까지 하면서 무궁무진한 빅데이터를 잘 활용하기만 하면 장밋빛 미래가 기다리고 있으리라는 전망을 내놓고 있다.

 

경제성과를 내야하는 정부도 빅데이터에 승부를 건 모양이다. 최근 잇따라 빅데이터 정책을 쏟아내고 있다. 과학기술정보통신부는 지난 5월 ‘빅데이터 플랫폼 및 센터 구축 사업’ 10개 과제를 선정했고, 이어 의료, 금융, 에너지 등 분야에 ‘마이데이터 서비스’ 8개 과제를 선정했다. 또 보건복지부, 과기정통부 등이 공동으로 국가 바이오 빅데이터 구축을 포함한 ‘바이오 헬스 산업 혁신 전략’을 발표하기도 했다.

 

지난 6월 4일에는 신용정보원이 국내 약 200만 명에 대한 차주, 연체, 대출 및 카드개설 정보 등 금융 빅데이터를 제공하는 ‘크레디비(CreDB)’를 오픈했다. 올 하반기에는 생명보험, 손해보험에 대한 보험신용정보 등의 빅데이터도 공개할 예정이라고 한다. 이를 통해 고객 맞춤형 신용상품, 보험상품을 제공할 수 있다는 취지다. 

 

이미 정부는 데이터 산업을 활성화한다는 명목으로 정보주체의 동의 없는 개인정보 활용을 확대하는 정책을 추진해 왔다. 개인정보보호법을 무색하게 하는 규제샌드박스 도입이 그러하고 ‘가명정보’ 개념을 도입하여 정보주체 동의 없이 수집, 목적 외 이용 및 제3자 제공이 가능하도록 하는 개인정보보호법 개정 추진 등이 그것이다.  

 

문제는 이런 빅데이터 활성화 정책이 야기할 수 있는 개인정보 침해 위험에 대한 대응책이 없거나 불충분하고, 감독체계 강화 방안은 병행되고 있지 않다는 점이다. 무엇보다 빅데이터 활용에 대한 사회적 합의도 불충분한 상황에서 정부 각 부처가 활용에 치우친 정책들을 쏟아내는 것은 우려를 넘어 개탄스럽다.

 

정부와 기업은 개인정보를 ‘안전하게’ 활용하겠다고 강조하지만 정보가 축적되면 축적될수록, 결합과 유통을 활성화하면 할수록 개인정보 유출, 오남용의 위험은 그만큼 증가하는 것이 당연한 이치가 아니겠는가. 개인정보를 대량 보유한 통신사, 카드사, 금융회사의 개인정보 유출 사고는 온 국민이 피해 당사자라고 해도 과언이 아닐 것이다.

 

실제로 2014년 국민, 농협, 롯데 등 카드 3사의 1억 580여 만 건의 고객 정보가 직원에 의해 불법 유출되었다. 홈플러스라는 국내 굴지의 쇼핑몰은 경품행사에 응모한 2,400만 고객의 정보를 보험회사에 230여 억 원에 팔아넘겼다. 가장 민감하다고 할 수 있는 개인의 건강정보가 다국적 기업에 팔려나가기도 했다. 2008년부터 2016년까지 한국약학정보원이 미국의 의료빅데이터 기업인  IMS헬스에 (가명처리된) 환자 주민번호, 병명, 투약 내역 등의 조제정보 43억 건을 16억 원에 팔아넘긴 것이다.

 

 

2018년 8월 22일 통신사들이 고객정보를 무단결합한 내역에 대해 열람 청구하였으나 무시하거나 거부한 통신사들을 상대로 통신사 고객들이 열람청구 소송을 제기하면서 기자회견을 하고 있다
▲  2018년 8월 22일 통신사들이 고객정보를 무단결합한 내역에 대해 열람 청구하였으나 무시하거나 거부한 통신사들을 상대로 통신사 고객들이 열람청구 소송을 제기하면서 기자회견을 하고 있다

 

SKT, KT, LGT 등 통신3사를 비롯해 삼성카드, 국민카드, 한화생명 등 기업 20개와 한국인터넷진흥원 등 공공기관 4개가 이른바 박근혜 정부 때의 ‘비식별조치 가이드라인’에 따라 2016년 8월부터 2017년 9월까지 26차례에 걸쳐 약 3억 4천여 만건의 고객 데이터를 무단 결합했다는 사실이 2017년 국정감사에서 드러나기도 했다.

 

그러나 정보주체는 자신의 개인정보가 무슨 목적으로 어떻게 결합, 활용되었는지 통지받지도 못했다. 급기야 통신3사 이용자들이 자신의 개인정보도 무단결합에 이용되었는지, 어떤 항목이 어떻게 처리되어 제공되고 결합되었는지 알기 위해 통신3사에 각각 이메일로 문의했다.

 

그러나 SK텔레콤과 LG유플러스는 개인정보 결합과정에서 개인정보를 비식별조치하였기 때문에 더 이상 개인정보가 아니라며 원고들의 개인정보 처리여부 및 처리결과에 대해 구체적인 답변을 하지 않았고, KT는 심지어 아예 아무런 답변조차 하지 않았다. 현재 열람 청구 소송 중이다. 자신의 정보가 언제 어떻게 활용되고 있는지 알기 위해서는 법원에 소송을 제기해야만 하는 것이 개인정보의 현주소다.

 

공공기관의 사정은 어떤가? 2014년에는 국토교통부가 만든 자동차민원관리사업자 포털 사이트에서 데이터검색 프로그램을 돌리면 모든 운전자 개인정보가 무방비로 노출되는 일이 있었다. 사이트를 만든 지 6개월 동안 국토부는 이러한 사실을 몰랐다고 한다.

 

이뿐 아니다. 건강보험심사평가원이 민간 보험사와 민간보험 연구기관에 1건당 30만 원의 수수료를 받고 약 6,420만 명의 개인 의료정보를 판매한 사건도 있다. 2013년 철도노조의 파업을 수사하던 경찰은 신원확인을 위해 국민건강보험공단의 건강기록을 조회했으며, 파업 참가 가족의 휴대폰 위치 추적을 몇 달간 한 사실이 드러나기도 했다.

 

이처럼 민간과 공공영역을 불문하고 개인정보 침해사고는 끊이지 않았다. 사후 처벌이라도 강력하면 그나마 조심이라도 하겠지만, 위에 언급한 사건 중 강력한 형사처벌을 받았다거나 충분한 피해구제가 이루어졌다는 이야기를 아직 들어보지 못했다.

 

일례로 법원은 약학정보원이 미국의 IMS헬스에 조제 정보를 팔아넘긴 사건에서 정보주체의 동의 없이 정보를 제3자에게 넘긴 것이 법 위반은 맞으나 정보주체에게 피해가 발생했다고 볼 수 없다며 손해배상을 인정하지 않았다. 법원이 개인정보 유출 피해를 가볍게 보고 손해의 의미를 협소하게 바라보는 것도 개인정보를 허투루 다루는 원인 중 하나다. 

 

그럼에도 기업과 정부는 데이터를 안전하게 관리하고 사용하겠으니 믿으라는 말만 되풀이하고 있다. 

 

빅데이터가 당신의 인생에 미치는 영향

 

기업이 나에 대한 데이터를 수집해서 마케팅에 활용하는 것은 범죄가 아니다. 단, 그 데이터의 주체에게 목적을 설명하고 동의를 구한다면! 정부 역시 치안과 범죄 수사를 위해 국민의 정보를 모으고 관리하는 것은 합법이다. 단, 법이 정한 한계와 범위를 지킨다면!

 

그러나 이미 안전과 편의를 위해 제공한 나의 정보가 되돌아서 다시 나를 두렵게 하고 불편하게 하는 역설이 발생하고 있다. 기업이 수집하고 집적한 정보는 나보다 더 잘 나를 안다. 기업은 이에 기반해 맞춤 상품과 서비스를 판매하고 어떤 경우 내게는 절대 상품과 서비스를 팔지 않기도 한다. 내 감정과 상태를 조종해 상품을 구매하게도 한다. 

 

정부는 다양한 영역의 공공분야에서 수집한 데이터를 활용해 내가 ‘선량한’ 시민인지 반체제 인사인지 선별할 수 있다. 정부가 표현의 자유나 단체 결사의 자유 행사를 위축시키는 데 빅데이터를 사용할 수도 있다는 우려는 미국의 오바마 정부가 발간한 빅데이터 보고서에서도 언급된다.

 

“공공과 민간 시스템 모두에서 더 많은 데이터가 수집되고, 분석되고, 보관될수록, 정부와 시민 간의 권력” 불균형이 야기될 수 있다는 것이다. 바야흐로 빅데이터는 편의와 안전을 제공한다는 명분으로 나를 분류하고 차별할 수 있는 기반을 마련한 것이다. 차별과 통제는 한통속이다. 

 

그런데 지난해 11월에 빅데이터산업 활성화를 위해 개인정보 보호 규제를 완화하는 내용으로 소위 빅데이터 3법- 개인정보보호법 개정안(인재근 의원 대표발의), 신용정보법 개정안(김병욱 의원 대표발의), 정보통신망법 개정안(노웅래 의원 대표발의)이 발의되었다. 이들 법안들을 뜯어보면 기업 간에 고객정보의 판매와 공유를 허용하는 등 개인정보의 활용에만 초점을 맞추고 있고, 정보주체의 권리와 개인정보처리자의 책임성을 강화하는 조항은 미약하다.

 

개인정보보호법 개정안을 잠시 살펴보면, 우선, 개인정보의 정의를 변경하여 개인정보의 범위를 심각하게 축소하고 있다. 휴대전화의 IMEI 번호나 IP 주소와 같이 개인정보처리자가 직접적인 개인 식별이 힘들다고 할지라도 제3자가 개인식별이 가능한 결합정보를 가지고 있다면 개인정보로 보는 것이 세계적인 추세임에도, 개인정보처리자가 개인을 식별할 수 없으면 개인정보가 아닌 것으로 보고 있다. 이렇게 되면, 수많은 개인정보가 개인정보보호법의 보호범위에서 배제될 것이다. 

 

또한 정보주체의 동의 없이 이용할 수 있는 과학적 연구 범위에  ‘새로운 기술·제품·서비스의 개발’ 등 산업적 목적을 포함한다고 제안이유에서 밝히고 있다. 이는 기업들이 고객정보를 판매하고 공유할 수 있도록 허용하는 것이나 다름없다.

 

앞서 언급한 다국적 기업 IMS 헬스는 의약과 건강관련 제품 및 서비스와 관련한 자료수집, 시장조사 등을 위한 빅데이터 분석 회사로서 우리 국민의 처방전 정보를 구매했다가 개인정보보호법 위반으로 기소되어 재판을 받고 있는 중인데 이 법이 통과되면 이러한 개인정보 판매를 합법화 할 우려가 있다. 개인정보보호 규제를 완화하려는 이들 법안들은 모두 철회되어야 한다. 

 

진부한 주장일지 모르나 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보 주체인 우리 스스로 결정할 수 있는 권리를 보장받아야 한다. 이는 헌법적 권리이다. 그런데 이 권리가 지금, 빅데이터 시대에 위태롭다. 

 

참여연대 공익법센터 이지은

* 이 글은 6월 18일 오마이뉴스에 기고한 글입니다.

 

오마이뉴스 기사 보기 <<<

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입