[시론/임종인]내 스마트폰을 훔쳐보고 있다고?

임종인 고려대 정보보호대학원장 사이버국방학과 교수

우리는 올해 개인정보 보호기본법을 갖춘 개인정보 보호 선진국 대열에 진입했다. 사용자 개인정보를 수집하거나 수집 당시와는 다른 목적으로 이용하거나 제3자에게 제공하려면 사용자에게 고지하고 동의를 얻어야 한다는 게 우리 사회의 새로운 프로토콜이자 상식이 돼 가고 있다.

앱 통한 개인정보 유출 걱정

하지만 추상적인 법으로는 규정할 수 없는 애매한 부분들이 존재한다. 어디까지가 고지 및 동의 의무가 있는 개인정보인지 명확하지 않은 것이다. 이런 모호성 때문에 일부 기업은 자의적으로 판단해 고지나 동의 없이 개인정보를 수집함으로써 사회적 약속을 위반하고 모바일 통신에 대한 사용자의 신뢰를 약화시키고 있다. 대표적인 사례가 논란이 됐던 애플과 구글의 개인 위치정보 무단 수집 사건이다.

미국은 또다시 새로운 스마트폰 해킹 스캔들로 시끄럽다. 미국 거대 이동통신사들이 미국 스마트폰 1억4000만 대에 캐리어IQ라는 소프트웨어를 사용자 동의 없이 설치해 사용자 모르게 스마트폰 사용정보를 제3자에게 전송해 왔다는 것이다. 사용자들은 해당 소프트웨어를 삭제할 수도 중지할 수도 없었다. 통신회사들은 개인정보를 수집하지 않았고, 수집한 정보도 네트워크 품질이나 상태를 확인 및 개선하기 위한 목적으로만 이용했다고 항변하고 있다.

캐리어IQ는 본질적으로 해커들이 이용하는 루트킷 기술과 동일하며 위치정보, 문자메시지 내용, 홈페이지 접속기록, 음성통화기록 등 스마트폰상의 모든 개인정보를 저장할 수 있고, 수사기관의 감청 행위에 이용될 수 있다. 법적 판결은 나오지 않았지만 이로 인해 미국 모바일 통신업계가 사회적 자본으로서의 신뢰에 심각한 타격을 입은 것은 명확하다.

국내에서도 2006년경 국내 이동통신사들이 기기 업체에 캐리어IQ 설치를 요청한 사실이 있다고 한다. 먼 나라 이야기만이 아닌 것이다. 국내의 한 설문조사 응답자 중 62.3%가 스마트폰 앱을 통한 개인정보 유출을 걱정하는 상황에서 미국과 같은 상황이 발생한다면 국내 모바일 서비스에 대한 신뢰는 크게 하락하게 될 것이다.

누가 자신의 일거수일투족을 훔쳐볼 수 있는 스마트폰과 앱을 이용하겠는가. 어떤 목적에서든 개인 기기에서 사용자 동의 없이 몰래 정보를 빼내가는 것은 해킹행위와 같다. 개인 소유의 모바일 장비에서 수집·전송되는 데이터에 대해서는 개인정보 여부와 관계없이 어떤 정보가 무슨 목적으로 수집돼 누구에게 전송되는지 소유자가 투명하게 알 수 있도록 사전 고지해야 한다. 또 모바일 생태계의 신뢰에 심각한 영향을 줄 수 있는 통신사 신규 서비스에 대한 개인정보 영향평가를 의무화하는 등 사전 규제를 강화해야 한다.

정부는 모호한 法규정 바로잡아야

지금의 혼란과 불신이 기업과 소비자만의 문제라고 치부해서는 안 된다. 오히려 이 혼란은 정부가 자신의 역할을 소홀히 해왔기 때문에 발생한 것이다. 정부는 법 규정의 모호성으로 혼란이 생기지 않도록 적극적으로 질서를 잡아주어야 한다. 아직도 모바일 환경에서 인터넷주소(IP)가 개인정보인지, 어디까지가 개인 위치정보인지 등 불명확한 것이 많다. 정부는 법이 남겨놓은 애매한 것들을 정해주는 ‘애정남’ 역할을 수행해야 한다. 개별 기업이 이 역할을 자의적으로 맡게 함으로써 국민의 소중한 개인정보를 유출하게 한 이후에야 소 잃고 외양간 고치는 일이 있어서는 안 된다. 정부가 명확한 원칙으로 질서를 잡고, 기업들이 이를 자발적으로 준수하고, 개인들이 이를 신뢰하고 서비스를 이용할 수 있는 시스템이 자리 잡혀야 대한민국이 진정한 개인정보 보호 선진국으로 인정받을 수 있다. 출범을 앞둔 개인정보보호위원회에 이런 애정남 역할을 기대한다.

임종인 고려대 정보보호대학원장 사이버국방학과 교수