사회

경향신문

누가 나를 들여다보라 하였는가 [흑백 민주주의 ⑩]

백승찬 기자 입력 2021. 03. 04. 06:00

기사 도구 모음

번역beta

Translated by kakao i

번역할 언어 선택
글자 크기 조절 레이어
개인정보, 소유권을 묻다

[경향신문]

넷플릭스 시리즈 <블랙 미러>의 에피소드 ‘추락’은 시민들이 서로 평점을 매기는 사회를 배경으로 한다. 웃는 얼굴로 인사하는 친절한 이웃에겐 만점인 5점을, 거리에서 욕설을 하거나 새치기하는 사람에겐 1~2점을 매긴다. 이 점수는 은행 대출이나 주택 구입 평가자료로 활용된다. 높은 점수를 유지해 선망하던 주택에 입주하려던 주인공은 사소한 실수로 평점이 자꾸 깎이고, 결국 유치장에 수감된 뒤 참았던 욕설을 내뱉는다.

디스토피아를 그린 SF시리즈 속 이야기 같지만, 중국에선 비슷한 일이 벌어지고 있다. 중국 정부가 올해부터 전면 도입을 예고한 사회신용시스템은 개인의 이름, 결혼 여부, 직업은 물론 대출·납세·범칙금 납부 내역, 전과 등을 통합적으로 관리하는 체계다. 채무 불이행 등으로 법원 블랙리스트에 오른 사람은 공공장소의 스크린에 이름이 공개되고, 열차표도 사지 못한다.

지난해 국내에서 시행된 데이터3법 중 하나인 신용정보법 시행령 개정안은 비금융 개인정보를 활용한 신용평가를 허용했다. 금융이력이 부족한 서민이 사금융 대신 제도권 금융을 이용할 수 있도록 한다는 취지다. 이광석 서울과학기술대 IT정책대학원 교수는 <디지털의 배신>에서 소셜미디어에 남긴 가족 이야기, 돈 이야기, 습관, 성격 등의 데이터 부스러기들을 알고리즘으로 분석해 신용을 평가하는 사회를 비판적으로 예견했다.

지금 이 시간에도 기업과 국가는 시민이 살면서 곳곳에 흘리는 개인정보 조각들을 모은다. 시민의 동의를 받지 않았거나, 받았다 해도 형식적일 때가 많다. 이렇게 수집한 정보들로 기업은 큰 이윤을 얻고, 국가는 쉽게 시민을 통제한다. 효율적이고 편리해 보이지만, 이것이 과연 민주주의인가. 독일의 철학자 리하르트 다비트 프레히트는 <사냥꾼, 목동, 비평가>에서 “(실리콘밸리의 과점기업들은) 우리의 사회적 시장경제와 민주주의를 부드러운 방식으로 무력화할 것”이라고 지적했다.

■‘이루다’는 어떻게 내 카톡을 알았나

‘로그인함으로써 정보처리 동의’
8000자 분량 약관 읽기 어렵고
서비스 이용하려면 누를 수밖에

직장인 A씨는 정보유출 피해자다. 인공지능(AI) 챗봇 이루다에 이름, 남편 직업, 아이 어린이집의 위치까지 유출됐다. 대학에서 컴퓨터를 전공하고 현재도 AI와 딥러닝 관련 일을 하는 A씨는 동종업계 기업으로부터 피해를 입을지는 상상조차 못했다고 한다. A씨는 “미국기업과 비교할 때 한국기업은 이용자 정보를 관리하고 처리하는 데 미흡하다고 생각해왔다”며 “앱이나 인터넷 서비스를 접할 때 개인정보 활용 동의를 하지 않으면 아예 서비스를 이용할 수도 없다”고 말했다.

대학생 B씨는 4년 전쯤 나눈 것으로 추정되는 카카오톡 대화 내용이 가공 흔적 없이 이루다에 그대로 활용됐음을 확인했을 때 처음에는 황당했고 나중에는 두려웠다고 한다. B씨는 “내 사적인 대화가 회원 가입 동의 약관으로 ‘퉁’치고 수집할 수 있을 정도로 가벼운 것이냐”고 물었다. 정보유출 피해를 입은 사용자 400여명은 이루다 개발사 스캐터랩을 상대로 소송을 진행 중이다.

스캐터랩은 자사의 앱 ‘연애의 과학’을 통해 수집한 실제 연인의 카톡 대화 약 100억건 중 1억건을 사용해 이루다를 개발했다. 스캐터랩은 개인정보의 수집·이용에 대해 이용자 동의를 받았으며, 실제로 국내외 서비스들이 이 같은 방식으로 이용자 정보를 수집해 합법적이라고 밝혔다. 정보수집이 합법적이었다는 스캐터랩 주장의 근거는 “로그인함으로써 이용약관 및 개인정보처리방침에 동의합니다”라는 연애의 과학 초기화면 문구다. ‘이용약관’ 및 ‘개인정보처리방침’이라는 부분을 터치하면 장문의 문서가 나오는데, 스캐터랩은 수집된 정보가 신규 서비스 개발 및 마케팅에 활용될 수 있다는 점이 이곳에 명시됐다고 설명한다.

문제는 이용자가 이 같은 약관을 쉽게 숙지하기 어렵다는 점이다. 스캐터랩의 이용약관과 개인정보처리방침만 해도 각 원고지 40장, 33장 분량이다. 법률용어로 빼곡하게 채워진 약관은 오히려 기업들의 면책 수단이 되기 쉽다. 이지은 참여연대 공익법센터 간사는 “너무 많은 곳에서 개인정보 활용동의를 요구해 소비자들이 실제 그 중요성을 알 수 있는 경우는 드물다”며 “소비자들의 주의력 한계를 이용하는 기업들이 문제”라고 말했다.

개인정보보호법 22조2항은 개인정보의 수집·이용 목적·항목 등을 “명확히 표시하여 알아보기 쉽게 하여야 한다”고 규정한다. 오병일 진보네트워크센터 대표는 “법, 고시에 약관 표기에 대한 기준이 있기는 하지만 이 역시 절대적이지는 않고, 어겼다고 단속하는 일도 드물다”며 “기업들이 약관을 구구절절 제시하는 데 그칠 것이 아니라 핵심적인 내용은 더 잘 설명하도록 노력해야 한다”고 말했다.

해외에선 기업의 개인정보 도용에 철퇴를 내린다. 케임브리지 애널리티카는 페이스북 이용자를 대상으로 한 심리검사 퀴즈 앱에서 수집한 데이터를 2016년 도널드 트럼프 대선 캠페인에 활용했다. 27만명이 이 앱을 설치했으며, 이들의 페이스북 친구의 정보까지 수집돼 총 8000만명의 개인정보가 빠져나갔다. ‘제3자가 만든 앱에 접속할 때 정보제공에 동의한다’는 문구 하나로 개인정보가 통째로 유출됐다. 사건이 알려진 뒤 케임브리지 애널리티카는 파산했다. 2019년 미 연방거래위원회는 페이스북에 사상 최대 규모인 50억달러 벌금을 매겼다.

반면 한국에서 대규모 고객 개인정보 유출 사태를 일으킨 농협카드와 국민카드, 롯데카드가 확정받은 벌금은 각각 1500만원, 1000만원이었다. 해킹으로 개인정보 유출 피해를 입은 인터파크 회원 2403명이 받은 손해배상 액수는 1인당 10만원이었다.

지난해 시행된 데이터3법(개인정보보호법·정보통신망법·신용정보법)은 기업의 개인정보 활용에 물꼬를 텄다. 데이터3법 중 기업이 가장 관심을 가지는 것은 개인정보보호법에 도입된 ‘가명정보’다. 가명정보란 개인정보 일부를 삭제하거나 변경해 추가조치를 하지 않으면 개인을 특정할 수 없는 정보다. 가명정보는 통계 작성, 과학적 연구, 공익적 기록 보존을 위해서는 동의 없이 활용할 수 있다. 산업적 연구까지 ‘과학적 연구’로 해석되기에 기업이 개인의 동의 없이도 개인정보를 활용할 길이 열린 것이다.

지난해 11월 참여연대는 개인정보자기결정권이 훼손됐다는 이유로 개인정보보호법과 신용정보법에 대한 헌법소원을 제기했다. 시민단체들은 개인정보처리자의 책임성을 강화하고, 정보유출 피해자들을 위한 징벌적 손해배상제 등을 적용할 수 있도록 개인정보보호법이 개정돼야 한다고 요구하고 있다.

■국가에 내 정보를 맡겨도 될까

데이터3법, 기업에 정보 활용 물꼬
감염법예방법도 사생활 침해 소지
“기본권 제한 정당화에 입법 활용”

C씨는 지난해 4월 말 친구들과 함께 이태원 인근 식당을 방문했다. 그다음 달인 5월18일 C씨는 서울시로부터 코로나19 검사를 권고하는 문자 메시지를 받았다. 이태원 클럽 관련 코로나19가 광범위하게 확산된 시기였다. C씨가 방문했던 식당은 클럽과는 멀리 떨어져 있었다. C씨가 확진자와 접촉한 적도 없었다. C씨는 서울시와 보건복지부 등에 이태원 방문 사실을 어떻게 알았는지 문의했다. 해당 기관들은 감염병 의심자의 정보를 수집할 수 있는 감염병예방법을 근거로 들었다. 당시 서울시는 이동통신 3사를 통해 이태원 클럽 주변 기지국 접속자 중 30분 이상 체류한 사람들의 통신정보를 모았다. 이렇게 수집된 명단은 1만여명에 달했다. 개인정보자기결정권, 사생활의 자유 등을 침해당했다고 생각한 C씨는 감염병예방법에 대한 헌법소원을 청구했다.

정부는 지난해 감염병예방법을 잇달아 개정해 지방자치단체장의 권한을 확대하고, 전자출입명부와 자가격리 위반자에 대한 안심밴드 도입을 차례로 합법화했다. 정보인권연구소가 펴낸 ‘코로나19와 정보인권’은 “기본권에 대한 제한을 정당화하기 위해 입법이 활용되고 있다”고 지적했다. 인권침해적 정책이 도입된 이후 사회적 비판이 제기되면 이 정책을 정당화하기 위해 충분한 사회적 논의도 없이 법이 개정된다는 것이다.

수사기관의 정보수집 역시 논란거리다. 현 개인정보보호법은 수사기관이 요청할 경우 특별한 요건이나 절차 없이 공공기관이 보유한 개인정보를 제공할 수 있도록 한다. ‘수사목적’이라는 포괄적인 근거로 개인정보를 쉽게 수집할 수 있는 것이다. 실제 경찰은 2013년 철도파업을 주도한 김명환 전 철도노조위원장 등을 검거하기 위해 건강보험공단에 요양급여내역 등의 제공을 요청했다. 이들이 언제, 어떤 이유로 병원에 갔는지 알기 위해서였다. 김 전 위원장 등은 개인정보자기결정권 침해 등의 이유로 헌법소원을 냈고, 헌법재판소는 국민건강보험공단이 경찰에 수사 대상자의 요양급여내역을 제공하는 것은 위헌이라고 판단했다.

진보네트워크센터 등 시민단체들은 지난 1월 개인정보보호법 2차 개정 방향에 대한 의견서에서 “범죄수사라는 특수성을 고려하더라도 수사의 필요성 여부에 대한 엄격한 요건과 제공 범위의 최소화와 관련된 구체적 범위를 법에 명시해야 한다”고 지적했다. 정보인권연구소는 지난해 11월 국가인권위에 ‘유럽연합 개인정보 보호규정 등 국제인권기준에 따른 개인정보 보호 법제도 개선방안 연구’를 제출했다. 이들은 법령적 근거 없이 개인정보 파일을 다루는 경찰 개인정보 처리시스템에 대한 법률적 규제가 필요하다고 제안했다.

■‘정보보호 인권위’ 역할…개인정보보호위원회, 독립성이 관건

개인정보보호위원회의 역할에 대해 기대와 우려가 교차하고 있다.

기존 개인정보 보호체계는 행정안전부, 방송통신위원회, 금융위원회, 대통령 소속 개인정보보호위원회 등으로 나뉘어 있었다. 데이터3법 시행과 함께 지난해 8월 국무총리 소속 중앙행정기관으로 출범한 개인정보보호위원회는 개인정보 보호의 컨트롤타워 역할을 한다.

새로 출범한 개인정보위는 개인정보 보호체계 일원화 측면에서 이전보다 진일보한 기구다. 개인정보위는 행정안전부의 법령, 인사, 예산 권한으로부터도 독립돼 있다.

하지만 개인정보위가 ‘정보보호의 국가인권위 역할’을 할 수 있을지는 지켜봐야 한다는 지적도 많다. 개인정보위는 대통령 소속에서 국무총리 소속으로 변경되면서 기관의 위상이 낮아진 측면이 있다. 국무총리는 개인정보위의 일부 사무, 심의에 대해 감독권을 갖고 있다. 국가기관이 또 다른 국가기관의 정보인권 침해를 제대로 조사할 수 있을지도 성패의 관건이다. 오병일 진보네트워크센터 대표는 “개인정보위 위원장, 부위원장이 모두 관료 출신이라는 점에서도 개인정보위의 독립성에 대해 의구심이 남아있는 것이 사실”이라고 말했다.

금융회사 등의 개인신용정보 보호는 여전히 금융위원회가 감독한다는 점도 논란거리다. 이지은 참여연대 간사는 “현대 자본주의사회에서 신용정보는 가장 사적이고 예민한 정보”라며 “금융산업 활성화를 위해 만들어진 금융위가 신용정보 보호에 얼마나 힘쓸지 의문”이라고 말했다.

윤종인 개인정보위 위원장은 취임사에서 “개인정보 보호와 활용 간 균형 달성”을 언급했다. 개인정보위는 지난해 당사자 동의 없이 다른 사업자에게 개인정보를 제공한 페이스북에 67억원의 과징금을 부과했고, 올해 초엔 이루다 정보유출 사건 조사에도 착수했다. 의료와 인구 정보를 결합해 암 환자의 합병증을 예측한다거나 금융과 보훈 정보를 결합해 국가보훈대상자의 신용실태를 파악하는 등 가명정보 결합 성과를 내는 데도 주력할 예정이다.

개인정보위는 올해 안으로 유럽연합의 일반개인정보보호규정(GDPR) 적정성 통과도 기대하고 있다. 유럽연합은 개인정보 보호기구의 독립성 부재를 이유로 한국을 GDPR 심사에서 두 차례 탈락시켰다. 국가 차원에서 GDPR이 통과되면, 국내 기업들은 별도 절차 없이 유럽연합 기업들의 개인정보를 국내로 이전해 활용할 수 있다.

개인정보위 관계자는 “개인정보 보호에 대한 고유 업무는 국무총리 감독을 받지 않는다”며 기관의 독립성에 문제가 없다고 말했다.

백승찬 기자 myungworry@kyunghyang.com

ⓒ 경향신문 & 경향닷컴(www.khan.co.kr), 무단전재 및 재배포 금지

포토&TV

    이 시각 추천뉴스