'이루다'로 빚어진 개인정보 권한··· 플랫폼 사업자가 균형 잡기 나서야

스캐터랩의 이루다 발 개인정보 파동이 일파만파 커지고 있다. 이루다 개발에 사용한 동사의 서비스인 '연애의 과학'에서 수집한 데이터 100억 건을 대입하는가 하면, 이를 토대로 제작한 인공신경망 데이터를 오픈소스로 배포까지 했다. 결국 개인정보보호위원회는 스캐터랩의 데이터 이용 절차가 적법했는지에 대한 조사에 나섰고, 연애의 과학 이용자들을 중심으로 집단 소송까지 이어지고 있다.

이루다 사건으로 빚어진 사태의 쟁점은 개인정보의 제공 주체가 사용 범위를 정확하게 인지하고 동의한 것인지, 스캐터랩이 동의를 얻은 개인정보의 사용 범위와 권한은 어디까지며, 이 모든 과정이 투명하고 적법한 과정을 거쳐 쓰는 가다. 개인정보의 동의 및 이용 한계, 그리고 기업의 이용은 비단 스캐터랩만의 문제를 넘어 전 세계 IT기업이 고민해야 할 문제다.

이용자의 개인정보, 플랫폼 사업자가 보호나선다

애플 프라이버시 보호 관련 로고. 출처=애플코리아

이에 글로벌 IT기업의 주축인 애플이 선제 대응에 나섰다. 지난 1월 28일, 애플은 데이터 프라이버시의 날을 맞아 'A Day in the Life of Your Data(일상 속 개인 정보 수집 실태 조사 보고서)'에 대한 정보를 공유하고, 보고서를 토대로 개인정보 보호 강화에 나선다. 보고서는 애플리케이션 제조사가 웹 사이트와 앱에서 어떻게 사용자 데이터를 추적하는지 이해를 돕고, 동시에 개인이 데이터 통제권을 확보할 수 있도록 애플이 제공하는 도구에 대해 설명한다. 보고서는 앱 하나가 평균 6개의 추적 장치를 포함하며, 서비스와는 무관하게 오직 사용자를 추적하고 개인정보를 수집하기 위해 이용된다고 한다. 트래커로 수집된 데이터는 맞춰지고, 공유되고, 집계되고, 수익을 위해 거래되며 연간 미화 2,270억 달러(한화 264조 2천억 원)에 달하는 산업의 기반이 된다.

이미 애플은 작년에 iOS 14 및 iPad OS 14를 출시하며 사용자가 좀 더 정보에 기반한 데이터 관련 결정을 내릴 수 있도록 지원하는 여러 중요 개인 정보 보호 기능을 포함하였다. 현재 앱스토어의 앱 설명에 프라이버시 요약 라벨이라고도 부르는 기능이 추가돼있으며, 모든 앱의 개인 정보 처리 방식 요약 정보를 읽기 쉬운 포맷으로 명시하도록 한다. 개인 정보 보호의 범위를 확인해 사용자는 앱에서 자신의 데이터를 사용하는 방식, 해당 데이터로 사용자를 추적하는지, 데이터와 사용자를 결부시키는지 등의 핵심 정보를 확인할 수 있다.

애플 앱스토어에 포함된 개인정보 프라이버시 요약 라벨. 출처=애플코리아

현재 애플은 ▲데이터 최소화 ▲사용자 투명성 및 통제 ▲온디바이스 프로세싱 ▲보안 등 네 가지 주요 개인정보 보호 원칙에 따라 제품과 서비스를 설계 하고 있다. 데이터 최소화는 주어진 서비스에 필요한 최소한의 데이터를 수집, 허용하며, 사용자 투명성 및 통지는 이용자의 어떤 정보가 공유되고 있으며 어떻게 쓰이는지 알고 통제할 수 있도록 한다. 온 디바이스 처리는 이용자 개인정보를 수집하지 않도록 기기 안에서만 데이터를 처리하는 방식이며, 하드웨어 및 소프트웨어가 정보를 보호한다.

해당 절차를 이번 스캐터랩 사태에 대입해보자. 먼저 스캐터랩은 앱스토어를 통해 개인정보 이용 범위를 알기 쉽고 상세하게 명시해야 한다. 연애의 과학에 입력한 카카오톡 데이터는 연애의 과학 서비스를 제공하기 위해서만 사용되어야 하며, 추가 수집 시 사용자는 팝업 등의 고지를 통해 데이터 이용 여부를 확인할 수 있다. 아울러 데이터는 불가피한 경우에만 서버를 거치며, 향후에도 개인정보가 이용될 때를 추적해 안내한다. 이용자는 즉각적으로 혹은 장기적으로 데이터가 어떻게 수집되고 이용되는지 알 수 있으니 지금보다 안심하고 개인정보를 활용할 수 있게 된다.

개인정보 보호, 무작정 막을 수 없는 게 현실

미국은 이미 1974년 '프라이버시 법(The Privacy Act of 1974)'을 통해 연방 정부의 개인정보 처리 행위를 규율하는 입법을 마련했고, 이는 정부 차원에서의 첫 번째 국가적 입법 중 하나다. 다만 민간 및 공공 전체를 포괄하는 우리나라의 개인정보 보호법과 같은 법률이 마련돼있지 않다. 미국 기업은 민감한 부분에 대해서만 동의를 구하며, 일반적인 개인정보 이용은 기업의 자발적 행동에 맡길 뿐이다. 2019년에 들어서야 '국가 안보와 개인정보에 관한 법률(national security and personal data protection Act)'로 이를 보호하기 위한 절차에 돌입하긴 했으나, 지금의 미국이 빅데이터를 수집하기에 최적의 조건인 건 사실이므로 쉽게 제약을 걸진 못하고 있다.

결국 개인정보 보호는 빅데이터를 통한 4차산업 시장에서의 경쟁력 선점과 개인정보 보유자에 대한 기본 인권에 대한 균형의 문제다. 개인정보를 지나치게 보호하면 관련 산업의 발전이 정체되고, 제약이 너무 없으면 개인의 사생활이 공공재가 되어릴 수 있다. 이러한 가운데 나온 애플의 개인정보보호 정책은 민간 기업이 자율로 시장과 개인의 무게중심을 조율하는 긍정적 사례로 평가할 수 있고, 더 나아가 구글이나 마이크로소프트 등 타 기업의 개인정보의 자율적 규제에도 영향을 미치리라 본다.

동아닷컴 IT전문 남시현 기자 shnam@donga.com