만약 내가 보고, 듣고, 말하는 것을 누군가가 모두 훔쳐볼 수 있다면? 유명 해커이자 개발자인 제이 프리먼(Jay Freeman)은 Google Glass와 같은 입는 컴퓨팅 기기의 해킹을 통해 사용자 주변의 모든 정보를 해커들이 수집 하는 것이 가능하다고 밝혔다.

Google Glass는 Google이 발표한 안경형태의 컴퓨팅 기기이며, 지난 4월 15일 세부 사양이 공개되며 출시가 다가오고 있다. 이 기기는 사용자가 언제, 어디서든 원하는 정보를 제공받을 수 있다는 점에서 지속적인 기대와 관심을 받아오고 있지만, 출시가 점점 가까워질수록 다른 한편으로 이를 통해 야기될 수 있는 개인정보 유출과 Privacy 문제에 대한 우려도 동시에 점점 높아지고 있는 현실이다.

이렇듯 기술, 서비스 환경의 변화는 새로운 영역에서의 정보 생성 및 처리를 가능하게 하고 있으며, 이에 따라 개인정보의 영역 및 범위도 점차 확대되고 있다. 스마트폰을 통해 수집하게 된 사용자의 위치 정보는 과거 피쳐폰(Feature Phone) 시대에는 우려할 염려가 크지 않았던 사용자의 위치 정보 보호 필요성을 가져왔고 그에 따른 제도적, 기술적 변화를 가지고 왔다. 즉 개인정보의 범위는 지속적으로 확장, 변화되고 있으며 최근의 모바일, 클라우드 서비스의 보편화는 이러한 개인정보 영역 확대와 유출의 위험성을 동시에 가속화 하고 있다.

Big Data와 함께 팽창하는 개인정보

오래 전부터 Google, Amazon, Facebook과 같은 대표적인 IT 기업들은 다양한 방법으로 사용자 정보를 활용해 왔다. 웹 환경에서 Google과 Facebook은 사용자들이 방문한 사이트 기록을 담고 있는 쿠키(Cookie) 정보를 활용해 왔다. 기업들은 쿠키 정보가 가지고 있는 웹 사이트 방문 기록을 분석하여 사용자의 관심사를 알아내고 그에 따라 맞춤형 광고를 제시해왔다. 또한 사용자의 명시적인 입력 정보를 가지고 선호도 분석에 이용하기도 한다. Google의 검색 쿼리(Query) 분석 및 Facebook의 “좋아요” 버튼 기록 분석 등이 그러한 예이다.

Big Data 환경을 촉진시키고 있는 모바일 및 클라우드 기반의 컴퓨팅 환경이 보편화됨에 따라 이러한 기업들의 개인정보 수집 및 활용 범위는 더욱 넓어지고 있다. Google은 Android를 통해 사용자의 모바일 기기에 장착된 GPS, 센서 등의 정보에 접근이 가능하게 되었고, 수집된 사용자의 위치 정보를 지도 서비스 등에 활용하였다.

또한 Android Jelly Bean에 탑재되어 출시한 Google Now 서비스는 Google이 보유한 Big Data에 사용자의 Google 서비스 사용 기록 및 기기에서 수집된 실시간 상황 정보를 종합적으로 분석하여 다양한 맞춤형 정보를 제공해주고 있다. Facebook 역시 사용자의 인맥 정보, “좋아요” 기록 정보 이외 모바일 환경에서 사용자의 위치 정보를 활용하고 있으며, 최근 출시한 Facebook Home를 통해 사용자와의 직접적인 접촉(Interaction)도 가능하게 하면서 더욱 적극적으로 사용자 정보 확보에 나서고 있다.

Amazon은 웹 기반에서 사용자의 구매 이력 분석을 통해 정확도 높은 상품 추천 및 사용자의 결제 정보를 활용한 간편한 1-Click 주문 시스템 구현으로 인터넷 전자 상거래 시장을 선도해 오고 있다. 또한 자체 제작한 Tablet PC인 Kindle Fire를 출시하면서 자사가 보유하고 있는 클라우드 기술에 사용자 정보를 적절히 활용하여 높은 성능 향상을 가져왔다. Kindle Fire에는 Amazon이 자체화 한 모바일 OS와 ‘Silk Browser’를 탑재하고 있으며, 웹 브라우징 속도를 빠르게 하기 위하여 사용자의 웹 사용 정보를 자사의 EC2 클라우드에 저장하고 있다. Amazon에 따르면 클라우드에 사용자 정보를 활용하여 기존 보다 20배 빠른 웹 브라우징 속도를 구현하였다고 발표하고 있다.

이외 수많은 모바일 앱, 서비스 등은 스마트폰과 같은 모바일 기기를 통해 수집된 정보를 자신들의 기능과 결합하여 다양한 형태의 서비스를 출시하고 있으며 소프트웨어 업데이트를 통해 지속적으로 수집 가능한 정보의 범위를 넓혀가고 있다. (예: 사용자 주소록, 통화 목록, 카드 정보 등을 활용한 앱 등)

개인정보 유출의 위험성들

많은 기업들은 사용자의 개인정보를 통해 선호도를 분석하고 이를 맞춤형 광고 및 콘텐츠/서비스 추천 등 다양한 영역에 활용하고 있다. 수집, 활용하는 사용자의 정보가 많고 다양할수록 의미 있는 정보 분석 결과를 도출할 수 있게 된다. 실제로 사용자의 웹 쿠키 기록만을 가지고 복잡한 알고리즘을 통해 정보를 분석한 것 보다 페이스북의 “좋아요” 버튼 기록을 분석하는 것이 알고리즘의 난이도에 비해 사용자 선호도 분석에 높은 정확도를 보여준다는 것이 업계의 설명이다. 이는 “좋아요” 기록에는 일반적으로 사용자의 Social 관계 정보와 명시적인 의사 표현이 복합적으로 반영되어 있기 때문이다.

하지만 기업들의 개인정보 활용을 통한 서비스들은 사용자들에게 항상 가치 있는 서비스로만 다가오는 것은 아니다. 기업들의 사용자 정보 수집이 많아질수록 정보의 유출 및 오남용이 가져올 위험성이 동시에 높아지기 때문이다. 실례로 Google Now 서비스가 출시되고 사람들은 자신도 모르게 분석, 제공되는 맞춤형 정보의 정확성에 놀라는 한편, Google이 보유한 개인정보 및 정보 분석 역량에 대한 두려움도 동시에 느낀 것이 사실이다.

10억 명의 사용자를 확보하며 급성장하고 있는 Facebook은 사용자 간 관계 정보, 사진, 위치 정보 등 개인정보 노출로 인한 Privacy 침해 문제제기를 지속적으로 받아오고 있다. 특히 최근 얼굴 인식을 통한 사진 속 인물의 자동 태깅(Tagging)기능은 사생활 침해의 대표적인 사례로 지적을 받았으며, 결국 페이스북은 2012년 9월 EU 지역 사용자들의 얼굴 인식 기능을 중단하고 해당 데이터를 모두 삭제할 것이라고 발표했다.

방송통신위원회의 개인정보보호 포털은 개인정보의 유형을 일반정보, 통신정보, 위치정보 등 17가지로 분류하고 있다. 이러한 개인정보의 유형 중 사용자들은 특히 자신의 이름, 지역, 나이 등 자신의 프로필 정보와 Social 관계 정보와 같이 개인이 직/간접적으로 식별될 수 있는 정보 노출에 더욱 민감하게 반응하는 것으로 나타났다. 모바일 광고 기업인 PlaceCast의 조사에 따르면 Amazon이 사용자의 과거구매 이력을 활용해 모바일 광고를 하는 것에 대해 조사 대상자의 66%는 ‘거부감이 없다(Somewhat/Very Comfortable)’라고 표현한 반면, 사용자의 프로필 및 Social 관계 정보를 활용하는 Facebook에 대해서는 오직 33%만이 같은 대답을 하였다. 이러한 개인정보에 대한 민감한 반응은 최근 연이어 발생하고 있는 개인정보 유출 사고들로 인해 더욱 높아지고 있는 현실이다.

지난 2008년 옥션의 개인정보 유출로 시작하여 2011년 대표적인 국내 포털 사이트인 Nate의 해킹 사건은 약 3500만 건의 개인정보를 유출 시키며 국내 인터넷 사용자들에게 큰 충격을 가지고 왔다. 또한 지난 2012년에 국내 통신사에서 발생한 정보 유출사건으로 870만 건의 개인정보가 유출 되며, 사용자 정보 유출에 대한 우려가 지속적으로 현실화 되고 있다.

기존 웹 사이트에 저장된 사용자의 가입 정보 위주의 유출뿐 아니라 최근에는 모바일, 클라우드화로 인해 개인정보 유출의 경로가 더욱 다양화 되고 있으며 실제 피해 건수도 급격히 증가하고 있다. 한국인터넷진흥원의 자료에 따르면 개인정보 침해 신고, 상담 및 피해구제 신청 건수는 본격적인 클라우드화 및 스마트폰 확대 시점인 2010년을 기점으로 급증하는 모습을 보이고 있다.

대표적인 클라우드 기반 정보 저장 및 동기화 서비스를 제공하는 기업인 Evernote는 국내에도 120만 명의 사용자를 확보하며 선풍적인 인기를 모으고 있지만, 지난 2013년 3월 해킹 사건을 겪으며 사용자들로 하여금 비밀번호를 변경하도록 했다. 전 세계 1억 명의 사용자를 확보하며 클라우드 기반의 Storage 서비스를 제공하고 있는 Dropbox도 지난 2012년 7월 공식적으로 해킹 피해 사실을 인정한 바 있다.

게다가 최근에는 스마트폰을 통한 개인정보 유출이 심각한 우려는 낳고 있다. 스마트폰에 설치된 앱을 통한 사용자의 위치 정보 유출부터 스마트폰 내에 저장된 데이터 유출에 이르기까지, 저장/수집된 사용자 정보의 다양성만큼이나 그 유출 경로 및 피해는 기존의 PC 환경의 피해보다 심각해지고 있는 것이 사실이다. 특히 카드 정보, 은행 계좌, 공인인증서 등과 같은 금융 관련 정보의 유출은 피해가 금전적인 손실로 직접 결부된다는 점에서 그 심각성이 더욱 크다.

개인정보 보호를 위한 제도적, 기술적 노력들

법률, 제도적 보호

온라인 서비스 기업들의 사용자 정보 수집의 범위는 점차 넓어지고 있으며 이들의 사용자 정보 활용의 방법도 기존 맞춤형 광고 및 서비스 제공과 같은 직접적인 수익 창출 수단을 넘어서 정보 브로커 등을 통한 제3자 정보제공에 이르기 까지 다양해지고 있다. 이러한 현상에 대해 북미 개인정보보호 단체(IAPP)의 대표인 J. Trevor Hughes는 기업들은 사용자들의 정보를 추적하고, 범주화하며, 그 데이터를 활용해 수익을 창출하려는 시도를 한다고 하며 “당신의 정보는 정보 경제의 통화(Your data is the currency of information economy)”라고 까지 표현하였다.

이러한 기업들의 활동에 대해 각국 정부들은 개인정보 보호를 위한 법률 및 제도를 정비하고 있으나 자신들의 이익을 보호하기 위해 미국을 중심으로 한 주요 IT 기업들은 Internet Alliance, TechNet, TechAmerica와 같은 단체를 조직하여 정부의 제재에 대해 공동 대응하고 있는 상황이다. 이러한 대립의 양상은 실리콘 벨리에 집중된 IT 기업의 제재가 자칫 자국의 정보통신 산업의 성장 정체로 이어질 수 있다는 우려와 개인정보 수집 및 사용에 관한 사용자의 알 권리 보호 사이에서 합의점을 찾으려는 미국 정부의 노력으로 나타나고 있다.

이에 반해 과거부터 개인정보 보호에 대해 엄격한 기준을 가져왔던 유럽연합은 온라인상의 사용자가 생성한 정보의 소유권 자체를 사용자에게 인정하려는 등 개인정보 보호에 대한 노력을 더욱 강화하고 있다.

미국 : 알 권리 보장 및 정보보호의 범위확대

미국은 과거부터 사용자가 정식적인 이의를 제기하지 않으면 기업들의 사용자 정보 활용을 기본적으로 허용하는 Opt-Out 방식을 택해왔다. 하지만 최근 IT 기업을 중심으로 개인정보 수집 및 활용의 범위가 넓어지고 잠재적인 사생활 침해의 위험성이 높아짐에 따라 관련 법, 제도를 보완하려고 노력하고 있다. 특히 국내에도 큰 이슈가 되었던 애플 아이폰의 사용자 위치정보 수집 사건(2011년 4월)과 Google의 Safari 브라우저를 통한 사용자의 쿠키정보 추적 문제에 대해 연방거래위원회(FTC)의 2,250만 달러의 벌금을 지불하게 한 사건(2012년 7월)은 그 시발점이 되었다고 볼 수 있다.

특히 지난 2월 캘리포니아주 하원의원인 Bonnie Lowenthal이 발의한 ‘알 권리 법안(Right to Know Act)’은 이러한 IT 기업들의 개인정보 수집, 활용 확대에 대한 우려를 반영한 것이라고 볼 수 있다. 이 법안은 기업들의 사용자 정보 수집 및 활용에 대해 캘리포니아 주민의 요구가 있으면 30일 내에 정보 수집, 사용, 혹은 3자 제공 등에 대한 모든 기록들을 공개하도록 하고 있다.

물론 기존에도 개인정보 활용 공개와 관련된 유사한 법안이 있었으나 이 법안은 사용자가 웹 사이트에 초기 가입 시 입력했던 정보 이외에 사용자의 웹 사용 기록 정보(Browsing History) 및 사진, 텍스트, 위치 정보 등과 같이 사용자가 인터넷 서비스를 사용하며 생성한 정보(User-generated content)들까지 포괄하고 있는 점에서 큰 시사점을 갖는다. 즉 기존 법안은 기업들의 우편, 전자 메일 등과 같은 정크메일(Junk Mail) 발송에 이용했던 제한된 사용자 정보에 초점이 맞춰져 있었지만, 새로운 법안은 사용자들이 Twitter, Facebook과 같은 SNS 서비스를 사용하며 만들어 낸 정보까지 포괄하며 개인정보 범위를 기존보다 더욱 확대하여 해석하고 있다.

이러한 사용자 측면의 정보보호와 동시에 미국 정부는 주요 IT 기업과 합의를 통한 제도보완을 동시에 진행하고 있다. 지난 2012년 2월에는 캘리포니아 주 법무부는 주 법무부 내에 사용자들의 개인정보 보호 및 감독을 위한 기구인 Privacy Enforcement & Protection Unit 설치를 발표하였다. 이는 대표적인 IT 기업인 Apple, Google, Microsoft, Amazon, Hewlett-Packard(HP), Research in Motion(RIM) 들과 함께 사용자의 개인정보 보호와 관련한 내용에 합의했다는 점에서 큰 의미를 갖는다.

기존에는 존재하지 않았던 모바일 앱의 사용자 정보 수집 및 활용에 대한 법률적 보호 기반을 마련한 것이며, 이에 대해 캘리포니아주 법무부 장관은 이로 인해 사용자들은 자신들의 정보가 어떻게 사용(used)되고 향후 활용(manipulated)되는가에 대해 이해할 수 있을 것이라고 밝혔다. 이후 2012년 6월 Facebook도 같은 합의에 동의함으로서 주요 IT 7개 기업이 이에 동참하게 되었다.

유럽 : 사용자에게 정보 소유권 보장을…

EU는 유럽연합 출시 초기인 ‘95년부터 EU 국가 내 개인정보 보호를 위한 지침(Directive 95/46/EC)을 제정하였고 이는 향후 EU의 개인정보 관련 제도 마련의 기초가 되었다. EU는 미국과 반대로 일찍부터 개인정보 처리에 대해 Opt-in 제도를 취해오며, 정보 보호에 적극적인 정책을 취해왔다. 기업들이 사용자의 정보를 수집, 활용하기 위해서는 사전에 사용자들에게 정보사용에 대한 목적을 알리고 동의를 받아야 한다.

2010년 유럽 위원회(European Commission, EC)는 각종 기업들이 사용자들로부터 수집, 저장한 개인정보에 대해 사용자들의 통제력 강화를 추진하고 있다. 이 제도는 대표 조항으로 ‘잊혀질 권리(Right to be forgotten)’를 포함하며, 즉 사용자들의 개인정보 보호에 대한 기본권 강화를 위해 기업들의 사용자 정보 수집과 이용을 제한하고 있다.

사용자가 특정 웹 사이트에 남겨진 자신의 기록들에 대해 삭제를 청구할 수 있는 권리를 부여하는 것이다. 주목할 만 한 점은 기업들이 사용자 정보 저장 매체를 EU외의 지역에 두고 있더라도 그 정보의 대상이 EU 거주자의 것이면 정보 소유의 권리를 사용자에게 인정한다는 것이다. EU 사법위원인 Viviane Rending은 “개인정보 보호는 사용자의 기본적인 권리이며 그를 보장하기 위한 명확하고 일관된 정보보호 규정이 필요하다”고 설명하고 있다.

이에 대해 Microsoft, Google, Facebook 등과 같은 IT 기업들은 인터넷 발전을 저해할 수도 있다며 난색을 표하고 있다. 하지만 EU는 위와 같은 개인정보 주체의 권한을 보장하는 동시에 EU 회원국 별 정보 흐름을 저해하는 규제를 완화하고, 제 3 세계국가와 정보보호 협력을 추진하면서 정보의 공유
및 흐름에 대한 노력을 병행하고 있다.

그 동안 EU 국가들은 기업들의 개인정보 활용에 대해 적극적으로 대응해 왔다. 독일은 2010년 4월 Google이 Street View 서비스를 준비하면서 지리정보 이외 일반 가정의 WiFi 정보, 무선장비의 MAC 주소 등의 정보를 수집했다고 밝히며 과징금을 부과해야 한다고 주장했다. 또한 노르웨이의 정보 보호 기관(Norwegian Data Protection Authority)는 Facebook의 얼굴 인식에 기반한 사용자 이름 자동 태깅(Tagging) 기능에 관한 조사에 착수하였다.

최근엔 다수의 유럽 국가들이 공동으로 대응하는 움직임도 나타나고 있다. 지난 4월 초 프랑스를 중심으로 한 EU 6개국은 Google이 사용자 정보를 수집하면서 그 정보가 어떻게 사용되는지 사용자들에게 정확하게 고지하지 않았다고 판단하고 약 1조원에 가까운 과징금 부과를 추진하고 있다. 이와 같은 EU 국가들의 공동 대응은 사용자 정보를 활용한 IT 서비스들이 증가하는 추세 속에 앞으로 더욱 많아질 가능성이 높다.

기술적 보호: 클라우드, 모바일 산업의 정보 보호 기술 발전 가속화

지난 2월 말 샌프란시스코에서 열린 세계 최대 보안 컨퍼런스인 RSA의 주된 화두는 ‘Big Data’, ‘클라우드’, ‘모바일’로 압축되었다. 과거 암호화 및 인터넷 기반의 정보 보안 등이 주요 논의 주제였으나 최근 사용이 급증하고, 그에 따라 정보 보호의 중요성이 높아지고 있는 위의 세 분야에 대한 논의가 집중된 것이다.

특히 이러한 기술적 정보보호의 노력들은 앞서 설명한 기업들의 개인정보 활용에 대한 각국의 제재측면과 달리, 해킹, 피싱(Phishing) 등과 같은 사용자 정보의 불법적인 유출을 막기 위한 것이 주요 목적이다. 특히 하루가 다르게 고도화되고 있는 공격에 대응하기 위해 클라우드, 모바일 환경에서 정보보호를 위한 기술 구현이 빠르게 이루어지고 있다.

클라우드 환경에서 Big Data를 저장, 처리하기 위한 기반 시스템으로 널리 사용되고 있는 Hadoop 및 MapReduce는 시스템의 성능 및 안정성을 확보하기 위해 개별 데이터의 복제본을 생성하여 물리적으로 분산되어 있는 여러 개의 서버에 나누어 저장한다. 이렇게 분산된 정보의 복사본들은 사용자의 정보 유출의 경로를 확대 시키거나, 정보의 조합 및 분석을 통해 특정 개인을 지칭할 가능성이 있기 때문에 개인정보 보호를 위해 별도의 기술적 구현을 요구하게 된다.

따라서 클라우드 서비스를 제공하는 대부분의 기업들은 저장된 정보에 대해 엄격한 접근 제어(Access Control)와 정보 암호화(Encryption)를 통해 데이터를 보호하고 있다. 또한 기업들은 네트워크 가상화(VPN) 및 데이터베이스 암호화 등 다양한 측면(Layer)에서 각종 Software적 보안 기술을 적용하며 정보 보호를 위해 힘쓰고 있다.

하지만 이러한 기업들의 정보보호에 대한 노력에 대해 보안 솔루션 업체인 McAfee의 Michelle Dennedy는 RSA 컨퍼런스에서 “정보 보안에 대한 기술적 발전과 알고리즘의 복잡도가 계속 높아짐에도 불구하고 정보 유출에 따른 위협의 수준 또한 나날이 높아지고 있다”며 우려를 표명하고 있다. 이러한 우려 속에 지난 3월 Amazon은 기존과는 달리 Hardware에 기반한 새로운 클라우드 보안 서비스인 클라우드HSM(클라우드 Hardware Security Module) 서비스를 공개하였다. 이는 기존 Amazon의 클라우드 서비스인 AWS(Amazon Web Service)에 정보보호에 특화된 Hardware를 접목시킨 것으로 개인 인증, 금융 정보 등 정보보호에 매우 민감한 데이터를 한층 더 안전하게 보호할 수 있다고 Amazon은 밝혔다.

IT 솔루션 업체인 EMC는 최근 발표한 모바일, 클라우드 등 주요 IT 분야별 보안 이슈에 관한 리포트에서 서비스 제공 기업에 의해 시스템의 관리, 감독 가능한 클라우드 분야보다 최근 사용이 급증하고 있으나 사용자(End-user)에게 정보 보안에 대한 모든 관리, 제어권한이 있는 모바일분야의 보안 취약성을 지적하였다. 국내 보안기업인 안랩에 따르면 2013년 1분기 발견된 스마트폰의 악성코드는 206,628개로서 전년 동기 대비 17배나 증가했다고 밝히고 있다. 이중 특히 사용자의 문자 메시지를 탈취하는 유형이 가장 많았으며 이는 사용자 인증 및 결제 정보와 같은 매우 민감한 개인정보를 탈취하기 위한 시도로 추정된다고 했다.

안랩은 사용자 정보를 몰래 수집하는 앱들은 유명 브랜드 앱을 사칭하거나, 기존 앱을 Re-Packaging(앱을 변조해 악성 코드를 삽입하고 다시 마켓을 통해 배포)통해 사용자로부터 모바일 기기의 정보 접근에 대한 권한을 얻어내거나, 혹은 백신 등으로 위장한 형태를 취하고 있다고 분류하였다. 이러한 모바일 앱을 통한 개인정보의 유출은 모바일 OS 시장점유율 51.7%를 보이고 있는 Android 기반 모바일 기기에서 특히 많이 발생하고 있다.

이는 Android 앱 마켓(Google Play Store)의 경우 Apple의 iOS, Amazon의 AppStore 보다 상대적으로 앱 마켓의 사전 검열 과정이 철저하지 못하기 때문이다. 이러한 느슨한 앱 검열 방식은 앱 마켓 출시 초기 개발자들로 하여금 쉽고 빠르게 앱을 유통시킬 수 있도록 촉진하였지만 현재는 악성코드를 보유한 앱들의 무분별 한 확산을 일으키고 있는 것이다.

모바일 환경에서 사용자 정보보호 움직임은 크게 백신 등과 같은 보안 프로그램의 고도화를 통한 보호와 앱 마켓의 검열 기능을 강화하여 악성코드 확산을 사전에 방지하려는 움직임으로 발전하고 있다. MaAfee, Symantec 등과 같은 보안 소프트웨어 기업들은 모바일 보안 솔루션 개발에 집중하고 있으며 안랩은 앱 마켓에 등록되는 앱을 사전에 검열하여 악성코드가 발견된 앱의 마켓 등록을 사전에 차단하는 ‘AhnLab 모바일 Smart Defense(AMSD)’을 개발하고 제조사의 앱 마켓에 실제 적용하는 노력을 하고 있다.

국내 현황, 국내 사용자들의 개인정보보호에 대한 인식은 2008년부터 지속되어온 대형 포털 사이트 및 IT 기업들을 통한 개인정보 유출 사건을 겪으며 점점 높아지고 있는 상황이다. 이러한 사용자들의 우려를 반영하듯 제도적으로도 꾸준히 개인정보를 보호하려는 움직임이 일고 있다. 국내 개인정보 보호 관련 제도는 정보통신, 금융, 의료, 교육 개별 분야에 적용되는 개별 법률이 존재하며 이외의 경우에 적용되는 개인정보보호법이 2011년 9월부터 본격적으로 시행되어왔다.

지난 2월 18일부터는 주민번호의 수집, 이용을 금지하는 개정 정보통신망법이 6개월간의 계도기간을 거치며 본격 시행되었다. 특정 개인을 식별할 수 있는 가장 민감한 개인정보 중 하나인 주민번호의 수집을 원천적으로 금지하였고, 이는 개인정보 유출이 일으킬 수 있는 파장을 최소화 하려는 노력으로 해석되기도 한다. 또한 최근 사용자가 온라인 서비스를 이용하며 입력, 생성한 정보에 대해 삭제를 요청할 수 있고 서비스 제공자는 확인 절차를 통해 요청된 정보를 삭제하도록 하는 저작권법 및 정보통신망법 개정안이 지난 2월 발의되었다. 이는 유럽의 ‘잊혀질 권리’ 조항과 유사하게 정보 생성 주체에 대한 소유권을 강화하는 움직임의 하나로 볼 수 있을 것이다.

하지만 이와 같은 개인정보 보호에 높아지는 인식과 제도들이 정보 보호를 위한 실질적인 투자 및 실행으로 이어지지는 않는 현실이다. 방송통신위원회와 한국인터넷진흥원이 발표한 2012년 정보보호 실태조사’ 결과에 따르면 정보보호에 투자한 사업체의 비율은 전년대비 11.1% 감소한 26.1%이며 국내기업의 73.3%는 정보보호 투자를 전혀 하지 않는 것으로 나타났다. 또한 개인 부문의 실태 조사결과에서도 인터넷 이용자의 정보보호 인식은 98.7%로 매우 높은 수준을 보이고 있는 반면, PC 부팅 암호설정(27.2%), 무선 공유기 암호설정(51.2%) 등 실질적인 실천활동은 전년대비 감소했다고 한다. 특히 모바일 환경에서 스마트폰과 관련된 조사 결과는 전 항목에서 전년대비 모두 감소한 결과를 보여주고 있으며 최근의 악성코드를 활용한 앱, 문자메시지를 통한 개인정보 유출 건 수 증가와 무관하지 않은 것으로 해석될 수 도 있다.

클라우드, 모바일 산업을 중심으로 Big Data 속의 불법적인 개인정보 유출 방지를 위한 기술적 노력들은 국경을 넘어 활발히 진행되고 있다. 제도적으로는 자국의 IT 산업 발전 등을 고려해 기업들에게 어느 정도 자율권을 보장하였던 미국이 차츰 소비자들에게 개인정보의 수집과 활용 경로에 대한 알 권리를 보장하면서 기업들과 사용자들 사이에서 절충점을 찾으려는 모습이다. 과거부터 적극적인 개인정보 보호정책을 펴왔던 유럽과 대규모의 정보 유출 사건을 거치며 개인정보 보호에 대한 인식이 높아진 우리나라도 법률 및 제도 강화를 통해 개인정보 보호를 위해 노력하고 있다.

개인정보의 범위와 양이 계속 확대되면서 대부분의 국가들은 개인정보 보호의 수위를 높이는 방향으로 움직이는 모습이다. 그러나 새로운 기술과 서비스가 출시 될 때마다 제도를 제정하거나 보완하는 것은 한계가 있을 수 있다. 제도적으로 보호하려고 해도 기술과 서비스 환경 변화로 인해 새로운 정보들의 결합을 통해 특정 개인이 식별 될 수 있는 가능성도 높아질 수 있다. 또 한편으로는 지나친 법률적, 제도적 제약은 자칫 IT 산업의 발전을 저해할 수 있으며 개인정보를 원천적으로 보호 할 수는 없을 것이라는 우려도 동시에 제기된다. 개인정보에 대한 더 확실한 보호 요구와 더 좋은 서비스와 생활의 편의를 위한 정보의 공개의 필요성 간의 조화를 위한 노력은 아직 현재진행형이다.

나날이 고도화 되고 있는 개인정보 유출 시도를 방지하기 위한 각종 보안 기술의 개발도 계속될 것이다. 원천적인 개인정보 보호를 위해서는 정보의 생성 단계부터 개인정보를 보호하기 위한 노력도 있다. 최근 영국 정보감독 위원회가 발의한 ‘데이터 정보 규약’은 그러한 사례 중 하나로서, 데이터 익명화(Data Anonymization)를 통해 온라인상의 정보를 사전에 변환하여 특정 개인을 식별 할 수 없도록 하는 내용을 담고 있다. 이와 같은 노력을 통해 제도적으로 기술적으로 보다 완벽한 데이터의 익명화가 보장될 수 있다면 정보의 공개와 보호의 조화가 훨씬 쉬워질 수도 있을 것이다. [LG경제연구원 이승훈 책임연구원]