얼마 전 카드사 개인정보유출 사건이 있었다. 한 달 남짓 국민이 불안에 떨었다. 책임 있는 카드사 사장 3명이 동시 해임됐다. 경제부총리는 실언했다가 대통령의 엄중 경고까지 받았다. 지금은 잠잠하다. 하지만 사안은 잠복했을 뿐이다.
사실 개인정보유출 사건은 그 전에도 많았다. 2008년 GS칼텍스 자회사 직원이 고개정보 1000여만 건을 DVD에 담아 유출시켰다. 2011년에는 포털사업자인 네이트가 해킹 공격을 받아 고객 3500만명의 아이디, 비밀번호, 이름, 주민등록번호, 연락처 같은 개인정보를 유출 당했다.
◆ 온 나라를 뒤흔든 카드 개인정보 유출 사건
최근 사건은 유출된 개인정보의 양과 질에 있어서 예전 사례를 훨씬 능가한다는 점에 심각성이 있다. 양질의 개인정보가 다량으로 유출된 것이 이번 사태의 핵심이다. 1억명이 넘는 고객 개인의 신상정보 외에, 카드번호, 유효기간, 카드사용 내역 같은 금융거래의 핵심 정보가 다 빠져나갔다. 이것만 있으면 금융범죄도 가능할 정도다.
이런 정보를 외부 직원이 큰 기술도 없이 손쉽게 USB에 담아 유출했고, 카드회사들은 7개월 동안 그 사실조차 몰랐다니 아연할 따름이다. 이번 사건은 외부 해킹이나 기술적인 문제에서 발생한 게 아니었다. 바로 빅데이터의 장점을 구현하기 위해 만들어진 기관의 내부자에 의해 일어난 사건이었다.
그 핵심에 KCB라는 회사가 있다. 정보 유출자가 이 회사 직원이었다. KCB는 19개 주요 금융회사가 공동 출자해 세운 회사다. IMF금융위기와 2003년 카드대란 사태가 발단이었다. 그일이 있은 후 주요 금융회사들은 금융시장 전체의 위험을 낮추기 위해 개인정보 관련 자료를 공유하기로 했다. 그 덕에 소비자들은 소액대출, 신용대출 같은 다양한 서비스를 이용할 수 있을 뿐만 아니라, 금융 사업 확대를 통한 새 일자리 창출도 가능해졌다.
◆ 세계 각국도 개인정보 보호에 관심
빅데이터 시대, 개인정보를 어디까지 보호해야 하는지에 대해서는 지금도 치열한 법률적 공방이 세계 각국에서 전개되고 있다. 최근 사례로는 구글의 이메일 정보 수집 관련 집단소송이 있다.
2013년 구글의 이메일 서비스인 지메일(Gmail) 이용자 10명이 구글을 상대로 이메일 정보 불법수집 의혹을 제기하며 낸 소송이다. 고소인들은 구글이 자신들의 이메일을 중간에서 가로채 개인정보를 축적하고, 무단으로 이메일 메시지를 읽어 맞춤 광고에 활용했다고 주장했다. 구글은 강력히 맞섰다. 자칫 보상 규모가 천문학적인 수준에 달할 수도 있기 때문이다.
개인정보 보호에 대한 각국의 입장은 조금씩 차이가 난다. 개인정보 보호 규제는 일반적으로 옵트인 (Opt-in)과 옵트아웃(Opt-out) 방식으로 나뉜다. 옵트인은 개인 동의를 얻어야만 정보를 사용할 수 있는 방식이고, 옵트아웃은 기본적으로 정보 이용을 허용하되 당사자가 요구하면 불허하는 방식이다.
미국은 공기관과 민간기업에 대처법이 다르다. 공공기관에 대해서는 까다로운 옵트인 방식을 적용하지만, 민간 분야는 옵트아웃 방식에 입각해 자율규제를 허용하고 있다. 구글, 페이스북, 트위터 같은 다국적 빅데이터 회사를 보유하고 있기 때문이다. 미국은 개인의 프라이버시가 침해되지 않는 한, 그 전 단계에서는 개인정보를 모으고 공유하고 분석하는 빅데이터 처리에 대한 규제를 최대한 자제한다.
미국에서 개인정보를 모아 파는 액시엄이나 인포USA같은 회사가 큰 성공을 거둔 것도 이런 법제와 관련이 있다.
1969년 설립된 맥시엄은 현재 서버 2만3000대에 미국 성인 2억명을 포함, 전세계 소비자 5억명의 정보를 저장하고 있다. 1인당 정보가 1500종에 달할 만큼 그 양도 방대하다. 포춘 100대 기업 중 47개가 액시엄의 데이터 서비스를 이용한다. 2001년 9·11테러 직후 미국 정부에 협조해 테러범 19명 중 11명의 신원을 파악해 주기도 했다.
인포USA는 약 2억 3000만명의 소비자 정보와 2400만개 업체에 대한 정보를 갖고 있다. 포춘 100대 기업 중 85개 기업과 거래한다. 지난 미국 대선에서 오바마 캠프도 이 두 회사 정보를 이용해 승리할 수 있었다.
하지만 많은 회사들이 경쟁적으로 개인정보 수집에 열중하면서 부작용이 속출하고 있다. 미국 정부도 그에 따른 다양한 대책을 내놓고 있다.
2010년 12월 미 연방거래위원회는 개인정보보호 장치의 하나로 ‘추적금지(Do Not Track)’ 장치를 제안했다. 그 뒤로 웹브라우저들은 이 옵션을 마련해, 이용자들은 접속하는 모든 웹사이트에 대해 스팸성 광고 같은 것은 거절 의사를 밝힐 수 있게 됐다. 다만 아직은 법적 구속력이 없어서 광고주가 무시하고 광고를 보내도 제재를 받지는 않는다.
◆ 유럽은 빅데이터 활용보다 프라이버시 치중
유럽은 인권 중시 전통에 따라 빅데이터 활용보다는 프라이버시 침해 방지에 더 치중한다. 따라서 옵트아웃보다 옵트인 형식을 취한다. 2012년에는 개인정보보호에 방점을 둔 법률을 발표했다. 이른바 ‘잊힐 권리’ 입법이다. ‘잊힐 권리’란 인터넷 등에서 떠돌아 다니는 개인정보를 본인이 원하면 언제든지 삭제할 수 있는 권리를 말한다. 이 법규는 EU 27개 회원국으로 구성된 이사회와 유럽의회 승인을 거쳐야 한다. 각국의 이해가 얽히면서 실제 입법까지는 많은 어려움이 예상된다.
유럽은 이처럼 단일한 개인정보보호법 체계를 발전시켜온 데 반해 미국은 각 영역별로 법제가 분화돼 있다. 우리 법체계는 미국과 유럽 중간쯤에 있다. 2011년 개인정보보호법이 제정돼 시행되고 있지만 그밖에도 정보통신망법, 위치정보 보호 및 이용 등에 관한 법률, 신용정보 이용 및 보호에 관한 법률 등이 공존하고 있다.
이는 아직 개인정보보호에 대한 사회적 합의가 완전히 이루어지지 않았기 때문이기도 하다. 이번에 카드사 개인정보 유출 사건을 계기로 사회적 논의가 활발해진 것은 다행스럽다. 빅데이터에서 생겨나는 과실과 프라이버시 침해에서 발생하는 사회적 비용을 면밀히 비교 분석해야 할 시점이다.
지금 당장에는 개인정보유출 사건의 트라우마가 크다. 이 때문에 주민번호를 대체하는 기술개발, 집단소송제, 징벌적 손해배상제도 등 현재 정부에서 논의되는 대책이 개인정보 보호에 치우친 감이 있다.
빅데이터의 과실을 국민 개개인이 직접 체험하고 느끼기에는 한계가 있다는 점도 이런 분위기에 일조한다.
◆ 빅데이터 과실과 프라이버시 보호 균형 찾아야
하지만 조금만 관심을 두면 사회 곳곳에서 빅데이터의 과실을 기업뿐만 아니라 일반 개인들도 폭넓게 누리고 있음을 알 수 있다. 가령, 신용카드 부정사용 탐지를 들 수 있다. 신용카드를 분실했을 때 일정 기간 안에 신고를 하면, 분실 이후부터 신고 때까지 부정하게 사용되었던 금액에 대해서는 고객에게 면책을 주는 법이 시행되고 있다.
신용카드 사용을 활성화하기 위해 마련한 이 법의 이면에는 빅데이터가 자리 잡고 있다. 각 카드사는 신용카드 분실과 부정 사용에서 생기는 손실을 최소화하기 위하여 신용카드 부정사용 탐지 시스템 (FDS, Fraud Detction System)을 운영하고 있다.
FDS는 각 개인의 신용카드 사용관련 빅데이터를 분석해 개인별 쇼핑 패턴을 찾아낸 후, 이런 패턴에서 벗어나는 쇼핑을 하는 경우 다양한 방법으로 알람을 제공한다. 주로 식당이나 술집에서 카드를 이용하던 40살 A씨가 백화점에서 고가의 핸드백을 쇼핑하는 경우 알람이 울릴 확률이 높다. 가끔 백화점에서 신용카드를 이용해 쇼핑할 때 뜬금없이 주민번호를 묻는 경우가 있는데, 이는 FDS에서 알람을 발신했기 때문이다. 최악의 경우 승인이 거절되는 경우도 있다.
이번 카드사 정보유출을 주도한 범인이 KCB이전에 바로 FDS를 개발하는 회사에 근무했다고 한다. 빅데이터는 양날의 칼임에 틀림없다. 지혜롭게 쓰는 사람만이 그 혜택을 누릴 수 있는 그런 칼 말이다.
프라이버시 침해에 대한 지나친 공포 때문에 빅데이터 시대로 나아가는 것을 두려워하는 것은, 교통사고가 무서워 자동차를 이용하지 않는 것과 같다. 조만간 빅데이터의 이점과 문제점을 균형 잡힌 시각에서 바라볼 수 있기를 기대한다.