‘개미’로 일약 세계적 작가 반열에 오른 베르나르 베르베르는 천재적인 상상력을 가진 작가다. 지난 2006년 출간한 ‘나무’라는 그의 단편집에는 모든 사물이 컴퓨터 네트워킹으로 이어진 이른바 유비쿼터스적 일상을 사는 인간에 대한 이야기가 나온다. 그 곳에서는 커피포트, 넥타이 같은 사물이 말을 하고 스스로 알아서 움직이기 때문에 도무지 인간이 신경쓸 일이 없다. 유비쿼터스 컴퓨팅과 더불어 디지털에 아날로그 감성을 입히자는 ‘디지로그(digilog)’가 극단적으로 실현된 결과다. 그런데 어째서인지 주인공은 알아서 제공되는 서비스에 진저리를 치며 그 옛날, 말이 없고 수동적이던 물건을 그리워한다.

인간은 편리를 추구하는 존재다. 역사는 꾸준히 그렇게 진화해가고 있는 중이며 그 끝 어디쯤 유비쿼터스 사회가 있을 것으로 짐작된다. 그런데 왜, 편리를 위해 고안된 현실이 내 목을 죌 것이라는 빗나간 상상을 하게 되는 것일까. 이는 기술에 대한 인간의 통제가 결국 실패할 것이라는 두려움에서 비롯된다.

개인 맞춤형 서비스는 편리하지만, 그에 대한 대가로 수많은 제3자에게 개인정보를 제공하고 이용하도록 허락해야 한다. 개인정보 이용행위는 점점 눈에 띄지 않는 곳에서 이뤄지고, 보이지 않는 행위를 통제하기란 당연히 어렵다. 유비쿼터스 사회에서 개인정보 자기결정권이 더욱 중요한 가치로 부각될 것이라는 예측에는 이런 근심이 깔려있다.

아직까지 우리는 현실과 컴퓨터가 분리된 공간을 살고 있다. 하지만 컴퓨터가 꾸준히 현실과 교감하며 네트워킹을 확장해가고 있어 어느 순간 이 둘의 명확한 구분이 어려워지는 때가 올 지 모른다. 개인정보 이슈도 이름이나 주민번호와 같은 정태적 개인정보에서 실시간 추적이 가능한 위치, 성향, 영상 등 동태적 개인정보로 옮겨갈 전망이다. 온라인상의 개인정보 문제가 실물공간에서의 ‘사생활 침해’, ‘감시’ 우려 등으로 확대될 수 있다는 얘기다. 내가 맘대로 켜고 끌 수 없을 뿐더러 어디에 컴퓨터가 존재하는지도 알 수 없는 세상에서 인간은 한낱 공포에 찬 무기력한 존재에 불과하게 된다.

이런 무시무시한 이야기는 어쩌면, 아주 먼 미래에나 가능한 일인지도 모른다. 하지만 그렇기 때문에 충분히 역기능을 예측하고, 이에 대처할 시간을 벌었다고 생각하면 좋겠다. 지금부터 차근차근 준비한다면 ‘제어가능한 유비쿼터스 사회(controllable ubiquitous society)’를 건설하지 못할 이유가 없다.

보이지 않는 수많은 타인의 눈이 존재하는 유비쿼터스 컴퓨팅 환경에서 개인정보 자기결정권은 무엇보다 중요한 가치다. 먼저 이를 지키기 위한 방법으로 기술적 수단을 생각할 수 있는데, 지금까지는 서비스 제공자인 사업자의 일괄적인 대응에 초점을 뒀다. 그러나 유비쿼터스 컴퓨팅 환경에서는 개인정보를 활용하는 사업자 수가 급격히 증가해 통제가 어려워지기 때문에 그들이 일방적으로 제공하는 것만으로는 충분하지 않게 될 것이다. 그 때 우리가 주목해야 할 것은 정보주체 스스로 자신의 개인정보보호 수준을 통제하고 관리할 수 있는 수단의 확보다.

이 수단이 효율적으로 작동하려면 정보주체의 개인정보보호 의식이 성장해야 하므로, 다양한 인식제고 활동이 더욱 중요해진다. 한편 정부는 이런 활동을 지원하기 위한 다양한 정책을 발굴하고, 법이나 제도로 표현되는 보호의 프레임을 만들어야 한다. 기술의 발전을 법제도가 앞서나가기는 참 어렵지만, 최대한 시장의 자정기능을 살리고 보호의 방향을 제시하는 쪽으로 큰 그림을 그리는 것이 필요하다.

이미 정부는 유비쿼터스 컴퓨팅을 이루는 개별 요소에 대한 개인정보보호 틀거리는 갖고 있다. 위치정보보호는 법률로써, RFID와 연관된 개인정보와 CCTV 개인영상정보, 바이오인식시스템을 활용한 바이오정보 등은 개별 지침을 통해 보호기준을 마련해놓은 것이다. 하지만 실제 유비쿼터스 컴퓨팅은 여러 요소가 결합해 유기적으로 돌아간다. 향후 이들 개별 지침을 현장에서 제대로 적용하려면 어느 정도 융합·변형하는 작업을 거쳐야할 것으로 보인다. 더불어 유비쿼터스 사회를 구성하는 매개체로서의 새로운 IT에 대한 이해를 높이고, IT 제조부터 활용에 이르기까지 ‘임베디드 프라이버시(embeded privacy)'를 구현할 수 있는 사회문화적 분위기 조성도 필요하다.

옛날에는 공상영화나 만화는 그야말로 인간의 터무니없는 공상을 그려내는 것으로만 알았었다. 그러나 급속한 기술의 발전으로 그 공상이 하나하나 현실화되는 것을 보면 아직 이뤄지지 않은 일들이라도 언젠가 현실화될 수 있다는 긴장감을 갖게 된다.

꿈을 현실로 만드는 것, 다름 아닌 인간의 의지요 힘이다. 어떤 꿈을 꿀까. 기왕이면 장밋빛 꿈을 꾸자. 어느 순간에도 기술에 지배당하지 않는 싱싱한 인간의 모습이 담긴.

아이뉴스24조이뉴스24아이뉴스24칼럼더보기
신고
Posted by 박광진

지난 10월 28일부터 11월 4일까지 ‘제10차 람사르(RAMSAR) 총회’가 경남 창원에서 열렸다. 람사르 총회는 산업화 등으로 인해 빠르게 훼손되고 있는 내륙 습지와 연안 습지를 보전하기 위한 국제사회의 합의를 도출하고, 환경과 관련된 다양한 학술 행사를 함께 하는 환경 올림픽이라 할 수 있다.

‘건강한 습지, 건강한 인간’이란 주제로 개최된 이번 람사르 총회는 환경에 대한 세계 각국의 뜨거운 열기를 반영하듯, 150여 개국 정부와 국제기구, NGO 대표 등이 참석한 역대 최대 규모로 진행됐다고 한다. 한 번 파괴된 환경은 복구하는데 많은 시간과 비용이 소모되고 인류의 생존 자체를 심각하게 위협한다. 앞으로는 자연과 환경을 고려하지 않는 인류의 지속가능한 발전이란 기대하기 어렵다는 공감대가 전 세계에 형성되고 있다.

개인정보 보호도 이와 비슷한 맥락에서 주목을 받고 있다. 정보기술의 발달로 개인정보가 대량 집적되고 수집과 이용, 공유가 용이해졌으나, 이로 인해 유출 위험이 크게 높아졌다. 한번 유출된 개인정보를 100% 다시 회수하는 것은 불가능에 가깝고, 스팸메일 발송 등 제2, 3의 오·남용으로 이어지는 등 그 피해 또한 예측 불가하다. 이제 이러한 위험성을 외면하고 정보화나 기술의 발전을 말할 수는 없는 상황이 됐다.

어떤 대규모 건설사업을 하고자 할 때, 우리는 그 개발이 환경에 미치는 영향의 정도나 범위를 사전에 예측·평가하고 대처방안을 마련해 환경오염을 예방하기 위한 ‘환경영향평가’를 실시한다. 마찬가지 이유에서, 개인정보를 활용하는 새로운 정보시스템을 구축하거나 신규 사업을 도입하기 이전에, 개인정보 수집·이용·보관·폐기 과정에서의 개인정보 취약성을 사전에 진단하고 개선 방안을 도출하는 ‘개인정보 영향평가’가 필요하다. 쉽게 말해 소 잃고 외양간을 고치는 것이 아니라, 외양간을 지을 때부터 소도둑이 쉽게 들어오지 못하는 방안을 생각해서 안전하게 짓자는 것이다.

보통 개인정보 처리는 한 기관 안에서도 다양한 부서와 인력이 관여하고, 제3의 기관에도 손쉽게 이전이 가능하기 때문에 매우 복잡다단한 생명주기(Life-Cycle)를 가진다. 때문에 영향평가를 제대로 하려면 최대한 예측가능한 모든 변수를 고려해 원인을 분석하고 대처방안을 내놓아야 한다. 예컨대, 개인정보 유출에는 내부자의 고의적 유출, 관리 소홀, 외부 해킹, 기업의 고의적 마케팅 남용 등의 원인이 있는데, 개인정보 영향평가를 통해 시스템 운용 및 업무 절차 등에서 이와 같은 위험이 표출될 가능성을 사전에 파악하고 개선사항을 도출하는 것이다.

개인정보에 대한 적절한 열람 권한 부여 및 접근 통제를 통해 업무상 반드시 필요한 인원에 한해서만 최소한의 개인정보를 열람토록 하거나, 대량으로 개인정보를 다운로드 받는 기능을 제한함으로써 고의적 유출 위험성을 최소화하는 것이 대처방안이 될 수 있다. 또한 개인정보의 암호화 저장, 침입차단시스템 설치 등 업무 절차에 따른 적절한 기술적 보호 조치를 도출한다면 기관 성격에 맞는 최적의 보안 시스템을 설계할 수 있다.

이러한 기술적·관리적 조치 이외에도 개인정보가 업무상 필요한 최소한의 범위에서 수집되고 있는지, 이 과정에서 이용자의 동의 획득은 적절히 이루어지고 있는지 등 이용자의 개인정보 자기 결정권 보장에 대해 평가하는 것도 오·남용 방지에 기여할 수 있다.

개인정보 영향평가는 주로 침해의 사전 예방 측면에서 구축이 예정된 시스템에 대해 실시하지만 꼭 그에 한정되는 것은 아니다. 이미 구축된 시스템이나 추진 중에 있는 사업이라도 개인정보 영향평가를 실시해 취약성을 진단하고 개선하는 것은 효과가 있다.

물론 이 경우에는 진단결과에 따라 기존 시스템 및 업무 절차를 바꾸는 번거로움이 있지만, 오류를 방치한 채 사업을 영위해 문제를 일으키는 것보다는 훨씬 경제적이다. 그럼에도 불구하고, 개인정보 영향평가는 사전에 실시할 것을 권장한다. 시스템의 설계·분석 단계에서 취약성을 미리 파악해  보완하면 사후에 실시하는 것에 비해 보다 효율적으로 경영 자원을 활용할 수 있기 때문이다. 

외국에서는 이미 개인정보 영향평가를 제도화하는 움직임을 보이고 있다. 미국의 경우에는 공공 부문의 예산 편성시 반드시 영향평가를 실시하고 결과보고서를 제출하도록 하고 있으며, 캐나다 또한 공공부문에 대해 영향평가를 의무적으로 실시할 것을 법제화하고 있다. 국내에서도 이를 제도화하기 위해 노력하고 있다. 2005년 한국정보보호진흥원에서 ‘민간기업의 개인정보 영향평가 수행을 위한 가이드’를 개발해 배포한 바 있고, 올해 행정안전부가 입법예고한 개인정보보호법에 공공부문에서의 개인정보 영향평가를 의무화한다는 내용이 포함돼 있다.

환경오염에 따른 인류 존속의 위기감을 시간으로 표시한 ‘환경위기시계’의 2008년 시각은 21시33분이라고 한다. 고도로 지능화된 정보사회에서 개인정보 침해로 인한 위기시계는 과연 몇 시일까? 시계바늘을 거꾸로 돌릴 수는 없겠지만 우리 노력여하에 따라 늦출 수는 있을 것이다. 개인정보 유출사고가 빈번히 발생하는 현시점에서 개인정보 영향평가의 제도화는 더 이상 미뤄져서는 안되는 정보사회의 과제다.

아이뉴스24조이뉴스24아이뉴스24칼럼더보기
신고
Posted by 박광진

벌거벗은 개인정보에 옷 입히고 단추 여미자

얼마 전까지만 해도 세계 강국으로서의 중국의 미래에 대해 의심하는 목소리는 거의 없었다. 하지만, 그간 간헐적으로 발생했던 중국산 불량제품에 대한 파동이 멜라민 사태로 정점을 찍으며 전 세계에 큰 혼란을 불러일으키자, 모두들 의심의 눈초리로 중국을 바라보고 있다.

이는 비단 중국산 제품에만 국한되는 문제는 아니다. 중국은 개인정보 유출, 보이스피싱 등 사이버범죄의 온상으로도 오명을 떨치고 있는데, 특히 근거리에 있는 우리나라는 이에 직접적으로 영향을 받고 있다. 우리나라에서 유출·노출된 개인정보가 단속이 허술한 중국에서 매매되고 또 국내에 역수입되어 각종 범죄에 악용되고 있기 때문이다.

얼마 전 국정감사장에서 한 국회의원은 이러한 실태의 심각성을 보여주기 위해 중국 웹사이트에서 우리나라 국민의 개인정보 매매 관련 정보를 검색해보이기도 했다. 이렇듯 우리의 개인정보 문제가 중국을 통해 확대재생산되고 있지만 규제는 어려운 실정이다. 인터넷은 국경이 없지만, 실제 이를 규제하는 현실에서는 엄연히 국경이 존재하기 때문이다. 할 수 있는 일이라야 중국 정부에 단속을 요청하는 정도다. 그렇다면 우리가 힘을 쏟아야할 부분은 아예 국내에서 유출·노출이 발생하지 않도록 집안을 단속하는 일일 것이다.

먼저 정보주체로서 개인은 자기정보를 스스로 관리한다는 인식을 가져야 한다. 인터넷 상에 민원신청, 게시글 등을 올리면서 손쉬운 본인확인을 위해 무심코 주민등록번호를 남기는 행위를 삼가야 한다. 만약 주민등록번호를 반드시 남겨야 한다면 게시글에 암호설정 등의 추가적인 조치를 취할 필요가 있다. 또한, 각종 이벤트 및 경품행사 등에 현혹되어 신뢰할 수 없는 웹사이트에 무분별하게 개인정보를 제공하지 말아야 한다.

기업은 개인정보가 기본적으로 자기자산이 아니고 그저 고객으로부터 잠깐 빌려 쓰는데 불과하다는 사실을 깨달아야 한다. 다시말해, 고객이 생각을 바꾸면 삭제·폐기처리해야 하는 남의 자산이라는 말이다. 일반적으로 남의 물건을 빌려 쓸 경우, 주인이 허락하는 한도 내에서만 이용하는 것은 상식이고 개인정보도 예외는 아니다.

더불어 기업은 고객의 개인정보를 안전하게 보호하기로 계약한 사실을 명심하고, 외부의 해킹 또는 내부자 유출을 방지하기 위해 적극적인 정보보호 투자에 나서야 한다. 불필요한 개인정보 수집을 자제하고, 일단 수집한 개인정보는 저장이나 전송시 암호화처리가 필요하다. 혹시라도 개인정보 유출 사고가 발생했다면, 피해 당사자와 관련기관에 바로 통지함으로써 추가적인 피해를 방지해야 한다. 이는 기업의 사회적 책무이기도 하지만, 이미지 실추, 금전적 비용 등 감추면 감출수록 기업이 입는 피해가 눈덩이처럼 커지기 때문에 더욱 필요한 조치다.

국가차원에서 개인정보 유출·노출의 문제는 국민의 기본권 수호와 안보라는 측면에서 접근할 수 있다. 특히 최근의 개인정보 침해는 범죄화하고 산업화하는(Black Market) 양상을 띠기 때문에, 개별 기업의 대응만으로는 역부족이며 국가가 일정한 역할을 해야 한다는 목소리가 커지고 있다.

‘09년부터 정부는 인터넷상의 개인정보 유출·노출에 신속대응할 수 있는 능동적인 체계를 구축할 계획이다. 기존에는 구글 DB에 있는 주민등록번호만 검색했다면, 앞으로는 국내 모든 웹사이트를 대상으로 주민등록번호·계좌번호·휴대전화번호 등 중요 개인정보가 노출되어 있는지 모니터링하고, 발견될 경우 해당 기업과 연계하여 삭제처리하게될 것이다. 또한, 개인정보 대량유출의 패턴을 연구하여 유출 시도를 미리 탐지·차단함으로써 그 피해를 최소화하는 데에도 주력할 방침이다. 이를 위해 탐지·차단의 법적근거 등 관련 제도의 정비가 뒤따라야 할 것이다.

개인정보 유출·노출은 이제 주요 사회뉴스로 자리잡았다. 글로벌한 환경에서 우리는 이미 ‘Naked korea’가 된 건 아닌지 걱정스럽다. 이제부터라도 개인, 기업, 국가가 힘을 합쳐 벌거벗은 개인정보에 옷을 입히고 단추를 여미는 노력을 기울여야할 것이다.


아이뉴스24조이뉴스24아이뉴스24칼럼더보기
신고
Posted by 박광진


티스토리 툴바