개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]

국민일보

개인정보침해신고에 ‘동문서답’… 정보 보호 손 놓은 정부 [이슈&탐사]

[AI 시대, 위태로운 프라이버시] ⑦ 데이터 프라이버시, 누가 지킬까

입력 2021-03-18 04:02

A씨는 지난해 9월 LG유플러스 측에 개인정보 열람권을 요구했다. 그는 “제3자 연구 등 목적으로 개인정보를 가명 처리한 사실 여부를 알려 달라. 기지국에 기록된 개인정보 일체도 요구한다”는 취지의 메일을 보냈다. 하지만 업체는 질문에 대한 답을 하지 않고 홈페이지 회원정보란을 확인하라고 했다.

A씨는 정보주체의 권리가 침해당한 것으로 보고 이를 한국인터넷진흥원(KISA) 개인정보침해신고센터에 알렸다. 그런데 KISA 측은 “LG유플러스가 홈페이지를 통해 개인정보 열람 및 처리 정지 방법을 안내했다”며 개인정보보호법을 위반하지 않았다고 회신했다. 동문서답한 답변이라도 답은 한 것이니 법 위반이 아니라고 본 것이다.

다시 KISA에 민원을 제기했다. 더욱 구체적인 권리 침해 사실을 적었다. 그런데 KISA의 답변은 “업체는 법을 위반하지 않았다. 개인정보열람을 요구하고, 그 답변에 따라 가명정보 처리정지를 요구하시기 바란다”는 내용이었다. 정보열람 요구를 무시당해 신고했는데, 쳇바퀴 돌 듯 되묻는 식이다.

A씨가 LG유플러스에 문의한 개인정보 열람 내용(왼)과 LG유플러스 측 답변(오).

A씨는 다시 메일을 보냈지만 답변은 달라지지 않았다. “열람이 불가능하다는 증거를 제시하라”는 안내가 추가됐다. 열람이 가능했다면 애초 신고하지 않았을 텐데 이에 대한 증거를 제시하라는 얘기였다. KISA는 LG유플러스 측의 입장도 청취했는데, 이들은 “원래 그렇게 고객 응대를 한다. 홈페이지 회원정보에 가면 다 볼 수 있다”는 취지로 답변했다고 한다. 하지만 LG유플러스 홈페이지에서는 기지국이 수집한 위치 정보 등을 확인할 수 없다.

KISA 관계자는 국민일보와의 통화에서 “우리는 강제 수사권이 없어 위법 사실에 대한 증거를 추가 확보하는 데 어려움이 있다. (홈페이지에서 볼 수 있다는) LG유플러스 해명이 맞는지는 조사하지 않았다”고 했다.

데이터 프라이버시권을 지키기 위한 A씨 싸움은 패배로 끝났다. 업체는 정보주체의 권리를 무시하고, 이를 바로잡아야 할 정보당국은 동문서답 답변만 반복하는 일이 6개월 동안 계속됐다.

일련의 과정은 민주화사회를 위한 변호사모임, 진보네트워크센터, 참여연대 등 시민단체가 정보주체의 권리가 제대로 보호되고 있는지 점검하는 차원에서 진행됐다.

이지은 참여연대 공익법센터 간사는 “국민의 권리를 보장해주고 보호해야 할 정부기관이 기업에 면죄부를 주고 있는 것”이라고 비판했다.

보호받지 못하는 데이터 프라이버시

다른 나라는 어떨까. 올해 초 노르웨이 데이터 보호 당국의 결정은 한국 사회에 시사하는 바가 크다.

노르웨이 데이터 보호 당국은 개인정보를 광고 회사에 불법적으로 제공한 데이팅 앱 ‘그린드르’에 1170만 달러(130억원 상당)의 벌금을 부과했다. 노르웨이 소비자위원회는 지난해 1월 그린드르가 위치정보, IP 주소, 광고식별자 ID, 연령, 성별 등 이용자 정보를 모펍 등 광고회사와 공유했다고 주장했다. 노르웨이 당국은 1년여간 조사 끝에 소비자위원회 손을 들어줬다. 돈벌이를 위해 사용자 데이터를 사용하면서 이용자에게는 제대로 알리지 않았다는 게 벌금 부과의 주요 이유였다. 이용자 권리를 보호하기 위한 행정 당국의 적극적 조치가 만들어낸 결과다.

토비아스 주딘 노르웨이 데이터 보호 당국 국제부서 책임자는 “사용자에게 알리지 않고, 데이터 공유에 대한 유효한 동의도 얻지 못하는 식의 접근 방식을 용납하지 않는다”고 말했다.


2019년 일본에선 취업정보사이트 리쿠나비가 이용자 정보를 몰래 활용하다 니혼게이자이 신문 보도로 드러난 사건이 있었다. 리쿠나비는 구직자들이 자사 홈페이지에서 열람한 취업 설명회나 전형 정보, 구직 활동 이력 등을 수집한 뒤 퇴사 가능성(내정사퇴율)을 예측하는 프로그램을 개발했다. 홈페이지 이용자들이 어떤 기업에 관심을 보였고, 얼마 동안 해당 정보를 봤는지 등도 분석해 인공지능(AI)으로 퇴사 가능성을 예측한 것이다. B기업에 지원한 구직자가 C기업 정보를 더 선호한 것으로 나타났다면 B기업 퇴사 가능성 점수가 높아지는 식이다. 리쿠나비는 이를 채용 기업들에 몰래 팔았다.

리쿠나비는 이런 프로그램을 만들면서 이용자들에게 정보 수집 내역과 목적도 제대로 알리지 않았다. 일본 정보당국이 조사에 나섰고, 리쿠나비는 대국민 사과 뒤 해당 프로그램 개발을 중단했다. 후생노동성의 행정지도도 받았다.

리쿠나비는 개인정보처리방침에 ‘쿠키를 사용해 취득한 행동 이력 등을 분석·집계해 사용할 수 있다’고 언급했다. 하지만 일본 개인정보보호위원회는 “리쿠나비는 이용 목적 등 설명이 부족한 채로 개인정보를 외부에 제공했다. 권리 보호 인식이 안일했다”고 지적했다. 국내 기업들의 개인정보 처리방침도 리쿠나비가 설명한 수준과 다르지 않다. 사용 목적을 구체적으로 설명한 곳은 거의 없다.

사회적 합의 없었던 데이터 3법 개정

데이터 프라이버시에 대한 존중은 세계적 흐름이다. 현재 개인정보 자기결정권에 대한 여러 논의가 진행 중인데, 대체로 ‘정보를 수집하려면 이용자에게 명확히 알리고 동의를 받아야 한다’는 기준점이 마련되고 있다. 각국의 개인정보 보호 기관은 이에 대한 권리 보장을 최우선 조치로 여기고 있다.

김보라미 법률사무소 디케 변호사는 이에 대해 “AI 시대에선 디지털화되지 않은 정보는 거의 없다. 이런 상황에서 과거의 개인정보보호법은 정보주체인 개인의 권리를 보호하는 데 충분하지 않다는 반성이 시작됐다”고 말했다.


반면 한국사회에서는 이에 대한 논의 수준이나 인식이 크게 낮다는 게 개인정보보호 전문가들의 대체적인 입장이다. 전문가들은 AI 시대에 대한 논의가 데이터 프라이버시 존중 대신 데이터 활용에만 주로 초점이 맞춰져 진행되고 있다는 데 공통으로 우려를 나타냈다.

이광석 서울과학기술대 IT정책전문대학원 교수는 “정보 보호와 정보 활용이라는 가치가 예전에는 긴장 관계 속에 있었는데 데이터 3법이 통과되면서 그 관계가 무너져버렸다”며 “운동장이 완전히 기울어진 거라고 본다”고 지적했다.

데이터 3법의 핵심은 가명 정보 개념을 도입해 기업들의 데이터 활용 범위를 넓히는 것이었다. 가명 처리된 개인정보는 열람, 정정·삭제, 처리 정지, 동의, 유출 시 통지, 손해배상 등 정보추제의 권리가 보장되지 않는다. 이 때문에 학계나 시민단체는 정부가 데이터 활용 방안만 도입하고 이를 감시할 수단을 없앴다고 지적했다. 참여연대는 지난해 11월 가명 정보에 정보주체의 권리가 적용되지 않는 데 대해 헌법소원도 제기했다.

데이터 3법 통과 전 송기헌 더불어민주당 의원은 국회 법제사법위원회 회의에서 “개인정보를 어디까지 보호하느냐는 것은 정치적인 합의의 문제이자 판단의 문제”라는 언급을 하기도 했다. 헌법적 기본권인 개인정보 보호에 대해 안이한 인식을 보여줬다는 지적이 나왔다.

오병일 진보네트워크센터 대표는 “데이터 3법 통과로 정보 주체 동의 없이도 개인정보를 가명 처리해 활용할 수 있게 됐다. 현재는 ‘내 정보를 쓰지 말아 달라’는 정보주체의 요구조차 보장이 안 되는 게 현실”이라고 말했다. 이지은 간사는 “개인정보 침해신고센터가 권리 구제를 기대할 수 있는 신뢰할 만한 기관인가에 대해 회의적이다”며 “이용자의 권리는 사실 법전 속에만 있는 권리일 뿐”이라고 말했다.

더 큰 문제는 이런 상황이 데이터 활용에 대한 신뢰를 무너뜨려 사회적 합의를 지연시키고 있다는 데 있다.

한국인공지능법학회 회장인 고학수 서울대 법학전문대학원 교수는 “지금 시민단체와 정부가 서로를 못 믿고 있다. 어느 한쪽은 부작용의 가능성을 크게 보는 거고, 다른 쪽은 부작용이 크지 않은데 왜 이렇게 불안해 하느냐는 것”이라며 “데이터 활용과 보호에 대한 구체적인 논의를 시작해야만 데이터를 유용하게 활용하고 통제하는 게 가능하다”고 말했다.

개인정보보호위원회 위원인 염흥열 순천향대 정보보호학과 교수는 “4차 산업혁명을 위해서는 데이터 활용이 필요하다. 하지만 활용을 제대로 하려면 프라이버시를 존중하는 기술이 필요하다”고 지적했다. 이어 “프라이버시 원칙 중 가장 중요한 건 목적에 맞춰 최소로 수집하라는 부분이다. 무분별하게 정보를 수집하는 앱들이 있는 만큼 실태조사가 필요해 보인다”며 “점검을 통해 이슈를 제기하고, 결과를 본 뒤 사회적 합의를 통해 규제 수준을 논의해야 하지 않을까 한다”고 말했다.

전웅빈 문동성 박세원 기자 imung@kmib.co.kr

[AI 시대, 위태로운 프라이버시]
▶①당신 몰래… 당신의 대화가 수집되고 있다 [이슈&탐사]
▶②[단독] 정오의 데이트·아만다 등 20여 곳도 허락없이 채팅 수집 [이슈&탐사]
▶③830억원 챙겨놓고… 몰래 트래커까지 심은 데이팅앱들 [이슈&탐사]
▶④[단독] 유명 데이팅앱 ‘아마시아’, 회원 개인정보 돌려썼다 [이슈&탐사]
▶⑤매일 스마트폰에 4000개 광고 접근… 사생활이 기록된다 [이슈&탐사]
▶⑥대화 내용이 개인정보? 라인은 O, 카톡은 X… 기준 제각각 [이슈&탐사]

많이 본 기사

아직 살만한 세상