본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

AI/Data

Big Data 속 커져가는 개인정보, 공개와 보호의 딜레마

2017.09.21

많은 기업들은 사용자의 개인정보를 활용해 선호도를 분석하고, 분석 결과를 맞춤형 광고 및 추천 서비스 등 다양한 영역에 활용하고 있습니다. 수집, 활용하는 사용자의 정보가 많고 직접적일수록 의미 있는 정보 분석 결과를 도출할 수 있는데요.

실제로 사용자의 웹 쿠키 기록만을 가지고 복잡한 알고리즘을 통한 정보 분석보다 페이스북의 ‘좋아요’ 버튼 기록을 분석하는 것이 사용자 선호도 분석에 있어, 알고리즘의 난이도에 비해 높은 정확도를 보여준다는 것이 업계의 설명입니다. 이는 ‘좋아요’ 기록에는 일반적으로 사용자의 사회관계망(Social Network) 정보와 명시적인 의사 표현이 복합적으로 반영되어 있기 때문입니다.

그러나, 기업들의 개인정보 활용을 통한 서비스는 사용자들에게 항상 가치 있는 서비스로만 다가오는 것은 아닙니다. 기업들의 사용자 정보 수집이 많아질수록 정보의 유출 및 오남용이 가져올 위험성이 동시에 높아지기 때문입니다.

실례로 구글 Now와 같은 지능형 서비스가 출시될수록, 사람들은 자신도 모르게 분석, 제공되는 맞춤형 정보의 정확성에 놀라는 한편, 기업들이 보유한 개인정보 및 정보 분석 역량에 대한 두려움도 동시에 느끼기도 합니다. 13억 명의 사용자를 확보하며 급성장하고 있는 페이스북은 사용자 간 관계 정보, 사진, 위치 정보 등 개인정보 노출로 인한 사생활 침해 문제 제기를 지속해서 받고 있습니다.

사용자들은 직•간접적으로 자신이 지칭될 수 있는 유형의 정보에 특히 민감합니다. 방송통신위원회의 개인정보보호 포털1은 개인정보의 유형을 일반정보, 통신정보 등 17가지로 분류하고 있는데요. 이러한 개인정보의 유형 중 사용자들은 특히 자신의 이름, 지역, 나이 및 사회 관계망 정보와 같은 정보 유출해 대해 매우 민감하게 반응합니다.

실제 PlaceCast의 조사2에 따르면 아마존이 사용자의 과거 구매 이력을 활용해 모바일 광고를 하는 것에 대해 조사 대상자의 66%는 ‘거부감이 없다’라고 표현했지만, 사용자의 프로필 및 사회관계망 정보를 활용하는 페이스북에 대해서는 오직 33%만이 같은 대답을 했습니다.

이러한 개인정보에 대한 민감한 반응은 최근 연이어 발생하고 있는 개인정보 유출 사고들로 인해 더욱 높아지고 있습니다. 특히 통신사, 포털, 쇼핑몰 사이트의 해킹 등으로 인해 사용자들의 개인정보가 유출되는 사고가 지속적으로 발생하고 있는데요. 네이트, 옥션 등의 대표적인 국내 서비스 사업자들의 해킹 사고는 큰 이슈를 일으키기도 했으며, 글로벌 서비스 기업들 또한 개인정보 유출에 대해서는 예외가 아닙니다.

대표적인 클라우드 기반 서비스 기업인 에버노트는 국내에도 120만 명 이상의 사용자를 확보하며 선풍적인 인기를 끌고 있지만, 해킹 사건을 겪으며 사용자들이 비밀번호를 변경하도록 했습니다. 전 세계 1억 명의 사용자를 확보하여 클라우드 기반의 서비스를 제공하고 있는 드롭박스도 공식적으로 해킹 피해 사실을 인정한 바도 있습니다.

게다가 최근에는 모바일, 클라우드화로 인해 개인정보 유출의 경로가 더욱 다양화되는 추세입니다. 스마트폰에 설치된 앱을 통해 사용자의 위치 정보 유출부터 스마트폰 내에 저장된 데이터 유출에 이르기까지, 저장•수집된 사용자 정보의 다양성만큼이나 그 유출 경로 및 피해는 기존의 PC 환경의 피해보다 심각해지고 있는 것이 사실인데요.

카드 정보, 은행 계좌, 공인인증서 등과 같은 금융 관련 정보의 유출은 피해가 금전적인 손실로 직접 결부된다는 점에서 그 심각성은 더욱 큽니다. 한국인터넷진흥원 자료에 따르면 개인정보 침해 신고, 상담 및 피해구제 신청 건수는 본격적인 클라우드화 및 스마트폰 확대 시점인 2010년을 기점으로 급증하는 모습을 보이고 있습니다.

l 연도별 개인정보 침해신고•상담 및 피해구제 신청 현황(출처: 한국인터넷진흥원)

개인정보 보호를 위한 제도적, 기술적 노력들

① 미국의 개인정보 보호: 알 권리 보장 및 정보보호의 범위확대

미국은 과거부터 사용자가 정식적인 이의를 제기하지 않으면, 기업들의 사용자 정보 활용을 기본적으로 허용하는 방식(Opt-Out)을 택해왔습니다. 하지만, 최근 IT 기업을 중심으로 개인정보 수집 및 활용의 범위가 넓어지고 잠재적인 사생활 침해의 위험성이 높아짐에 따라 관련 법, 제도를 보완하려고 노력하고 있습니다.

특히, 캘리포니아주 하원의원인 Bonnie Lowenthal이 발의한 ‘알 권리 법안(Right to Know Act)’ 3은 이러한 IT 기업들의 개인정보 수집, 활용 확대에 대한 우려를 반영한 것이라고 볼 수 있습니다. 이 법안은 기업들의 사용자 정보 수집 및 활용에 대해 캘리포니아 주민의 요구가 있으면 30일 내에 정보 수집, 사용, 혹은 3자 제공 등에 대한 모든 기록을 공개하도록 하고 있습니다.

물론, 기존에도 개인정보 활용 공개와 관련된 유사한 법안이 있었습니다. 그러나 이 법안은 사용자가 웹 사이트에 초기 가입 시 입력했던 정보 이외에 사용자의 웹 사용 기록 정보 및 사진, 텍스트, 위치 정보 등과 같이 사용자가 인터넷 서비스를 사용하며 생성한 정보들까지 포괄하고 있는 점에서 큰 시사점을 갖습니다.

이러한 사용자 측면의 정보보호와 동시에 미국 정부는 주요 IT 기업과 합의를 통한 제도보안을 동시에 진행하고 있습니다. 캘리포니아주 법무부는 주 법무부 내에 사용자들의 개인정보 보호 및 감독을 위한 기구인 Privacy Enforcement&Protection Unit4 설치를 발표했습니다. 이는 대표적인 IT 기업인 애플, 구글, 마이크로소프트, 아마존, HP 들과 함께 사용자의 개인정보 보호와 관련한 내용에 합의했다는 점에서 큰 의미가 있습니다.

기존에는 존재하지 않았던 모바일 앱의 사용자 정보 수집 및 활용에 대한 법률적 보호 기반을 마련한 것이며, 이에 대해 캘리포니아주 법무부 장관은 이로 인해 사용자들은 자신들의 정보가 어떻게 사용되고 향후 활용되는가에 대해 이해할 수 있을 것이라고 밝힌 것이죠.

② 유럽의 개인정보 보호: 사용자에게 정보 주체권 보장

유럽연합은 미국과 반대로 일찍부터 개인정보 처리에 대해 동의를 반드시 요구하는 제도(Opt-in)를 취해왔습니다. 기업들이 사용자의 정보를 수집, 활용하기 위해서는 사전에 사용자들에게 정보 사용에 대한 목적을 알리고 동의를 받아야 하는 등 정보 보호에 적극적인 입장이라고 할 수 있죠.

이러한 법안으로 유럽연합은 출시 초기부터 EU 국가 내 개인정보 보호를 위한 지침(Directive 95•46•EC)을 제정하였고, 이는 향후 EU의 개인정보 관련 제도 마련의 기초가 되었습니다.

2010년 유럽 위원회(European Commission, EC)는 각종 기업이 사용자들로부터 수집, 저장한 개인정보에 대한 사용자들의 통제력을 강화하기 위해 규제를 보완하려 했습니다. 이 제도는 대표 조항으로 ‘잊혀질 권리(Right to be forgotten)’를 포함하고 있는데요. 즉, 사용자들의 개인정보 보호에 대한 기본권 강화를 위해 기업들의 사용자 정보 수집과 이용을 제한하고자 한 것이죠.

다시 말해, 사용자가 특정 웹 사이트에 남겨진 자신의 기록들에 대해 삭제를 청구할 수 있는 권리를 부여하는 것입니다. 주목할 만한 점은 기업들이 사용자 정보 저장 매체를 EU외의 지역에 두고 있더라도, 그 정보의 대상이 EU 거주자의 것이면 정보 소유의 권리를 사용자에게 인정한다는 것입니다.

EU 사법위원인 Viviane Rending은 “개인정보 보호는 사용자의 기본적인 권리이며 그를 보장하기 위한 명확하고 일관된 정보보호 규정이 필요하다.”고 설명하고 있습니다. 이에 대해 마이크로소프트, 구글, 페이스북 등과 같은 IT 기업들은 인터넷 발전을 저해할 수도 있다며 난색을 표하고 있는데요.

EU는 위와 같은 개인정보 주체의 권한을 보장하는 동시에 EU 회원국 별 정보 흐름을 저해하는 규제를 완화하고, 제3 세계국가와 정보보호 협력을 추진하면서 정보의 공유 및 흐름에 대한 노력을 병행하고 있습니다.

하루가 다르게 고도화되고 있는 공격에 대응하기 위해 클라우드, 모바일 환경에서 정보보호를 위한 기술 구현이 빠르게 이루어지고 있습니다.

클라우드 환경에서 빅데이터를 저장하고 처리하기 위한 기반 시스템으로 널리 사용되고 있는 Hadoop과 MapReduce는 시스템의 성능 및 안정성을 확보하기 위해 개별 데이터의 복제본을 생성하여 물리적으로 분산된 여러 개의 서버에 나누어 저장합니다.

이렇게 분산된 정보의 복사본들은 사용자의 정보 유출의 경로를 확대하거나, 정보의 조합 및 분석을 통해 특정 개인을 지칭할 가능성이 있기 때문에, 개인정보 보호를 위해 별도의 기술적 구현을 요구하게 됩니다.

따라서 클라우드 서비스를 제공하는 대부분의 기업들은 저장된 정보에 대해 소프트웨어적으로 엄격한 접근 제어와 정보 암호화를 통해 데이터를 보호하고 있습니다. 게다가 아마존은 기존과는 달리 하드웨어에 기반을 둔 새로운 클라우드 보안 서비스인 클라우드HSM(Hardware Security Module) 서비스를 공개했습니다.

이는 기존 아마존의 클라우드 서비스인 AWS(Amazon Web Service)에 정보보호에 특화된 하드웨어를 접목한 것으로 개인 인증, 금융 정보 등 정보보호에 매우 민감한 데이터를 한층 더 안전하게 보호할 수 있다고 아마존은 밝혔습니다.

하지만 최근 개인정보 유출은 사용자에게 정보 보안에 대한 모든 관리, 제어 권한이 있는 모바일 분야의 보안 취약성으로 인한 경우가 더 빈번히 발생하고 있습니다. 안랩에 의하면, 스마트폰의 악성코드는 해마다 증가하고 있는데요. 특히 사용자의 문자 메시지를 탈취하는 유형이 가장 많다고 합니다. 이는 사용자 인증 및 결제 정보와 같은 매우 민감한 개인정보를 탈취하기 위한 시도 중 하나의 방법이라고 합니다.

안랩은 사용자 정보를 몰래 수집하는 앱들은 유명 브랜드 앱을 사칭하거나, 기존 앱을 Re-Packaging(앱을 변조해 악성 코드를 삽입하고 다시 마켓을 통해 배포)통해 사용자로부터 모바일 기기의 정보 접근에 대한 권한을 얻어냅니다. 또는 백신 등으로 위장한 형태를 취하고 있다고 분류했습니다. 이러한 모바일 앱을 통한 개인정보의 유출은 안드로이드 기반 모바일 기기에서 특히 많이 발생하고 있죠.

이는 안드로이드 앱 마켓(구글 Play Store)의 경우 애플의 iOS, 아마존의 앱스토어보다 상대적으로 앱 마켓의 사전 검열 과정이 철저하지 못하기 때문인데요. 따라서 모바일 환경에서 사용자 정보보호 움직임은 크게 백신 등과 같은 보안 프로그램의 고도화를 통한 보호와 앱 마켓의 검열 기능을 강화하여 악성코드 확산을 사전에 방지하려는 움직임으로 발전하고 있습니다.

MaAfee, Symantec 등과 같은 기존 보안 소프트웨어 기업은 모바일 보안 솔루션 개발에 집중하고 있으며, 안랩은 앱 마켓에 등록되는 앱을 사전에 검열하여 악성코드가 발견된 앱의 마켓 등록을 사전에 차단하는 ‘AhnLab 모바일 Smart Defense(AMSD)’을 개발하고 제조사의 앱 마켓에 실제 적용하는 노력을 하고 있습니다.

맺으며

클라우드, 모바일 산업을 중심으로 빅데이터 속의 불법적인 개인정보 유출 방지를 위한 기술적 노력은 국경을 넘어 활발히 진행되고 있습니다. 제도적으로는 자국의 IT 산업 발전 등을 고려해 기업들에 어느 정도 자율권을 보장했던 미국이 차츰 소비자들에게 개인정보의 수집과 활용 경로에 대한 알 권리를 보장하면서, 기업들과 사용자들 사이에서 절충점을 찾으려는 모습입니다.

과거부터 적극적인 개인정보 보호 정책을 펴왔던 유럽과 대규모의 정보 유출 사건을 거치며, 개인정보 보호에 대한 인식이 높아진 우리나라도 법률 및 제도 강화를 통해 개인정보 보호를 노력하고 있습니다.

개인정보의 범위와 양이 계속 확대되면서 대부분의 국가는 개인정보 보호의 수위를 높이는 방향으로 움직이는 모습입니다. 하지만 새로운 기술과 서비스가 출시 될 때마다 제도를 제정하거나 보안을 유지하는 것은 한계가 있을 수 있고, 제도적으로 보호하려고 해도 기술과 서비스 환경 변화로 인해 새로운 정보들의 결합으로 특정 개인이 식별될 가능성도 높아질 수 있습니다.

지나친 법률적, 제도적 제약은 자칫 IT 산업의 발전을 저해할 수 있으며 개인정보를 원천적으로 보호할 수는 없을 것이라는 우려도 동시에 제기됩니다. 그렇기 때문에 개인정보에 대한 더 확실한 보호 요구와 더 좋은 서비스와 생활 편의를 위한 정보 공개의 필요성 간의 조화를 위한 노력은 아직 현재진행형입니다.

글 | 이승훈 책임연구원(shlee@lgeri.com) | LG경제연구원

  • http://www.i-privacy.kr [본문으로]
  • Placecast 조사, 조사대상 2,244명: “How comfortable are you, if at all, about your privacy and the use of this data?”에 대한 질문으로 각기 다른 개인정보를 활용하는 Case들을 조사 [본문으로]
  • http://leginfo.legislature.ca.gov [본문으로]
  • http://oag.ca.gov/privacy [본문으로]

챗봇과 대화를 할 수 있어요