“브루스 슈나이어에 따르면” “브루스 슈나이어가 이렇게 말했습니다.” 개인정보 문제를 다룬 토론이나 세미나에서 그의 이름은 공무원, 시민단체, 학계를 막론하고 자주 언급된다. 저명한 암호학자이자 컴퓨터 보안 전문가인 브루스 슈나이어 박사(하버드대 버크만 인터넷사회연구소 연구원)는 구글, 페이스북 등 기업과 정보기관에 의한 무분별한 개인정보 수집의 위험성을 알리고 저항해온 학자다. 국내에서는 ‘당신은 데이터의 주인이 아니다’의 저자로 알려져 있다.
브루스 슈나이어 박사는 에드워드 스노든이 폭로한 기밀문서(미국 국가안보국이 도감청은 물론 기업으로부터 개인정보를 받아 대대적인 대국민 감시를 했다는 내용)를 분석해 가디언의 특종에 결정적인 도움을 주기도 했다. 행사 참석차 방한한 브루스 슈나이어 박사를 지난달 21일 오후 서울 중구에 위치한 프레스센터에서 인터뷰했다.
폭로 후 4년, 브루스 슈나이어 박사는 “미국과 영국의 정보기관이 자행했던 행각을 사상 처음으로 미국 사회에 공개했다는 점에서 엄청난 의의를 지닌다”고 밝혔다. 그는 “단언컨대 폭로 이후 프라이버시에 대한 미국 대중의 인식 변화에 대해선 의심의 여지가 없다. 국가의 감시활동에 대해 훨씬 더 많은 관심을 기울이고 관련한 인식도 높아졌다”고 말했다.
미국에서 정보기관을 견제하기 위한 장치가 마련됐는지 물었다. 그는 “전혀 없다. 불가능 하다. 방법이 없다”고 답했다. 반향은 컸지만 정책적인 개선은 생각보다 미미했던 것이다. “잇따라 실시된 여론조사에 따르면 스노든의 폭로가 실질적인 변화를 가져온 것은 없다고 보는 경우가 많았다. 스노든이 상상했던 것, 그리고 우리가 기대했던 것보다 폭로가 미친 효과는 확실히 적었다. 미국에서는 작은 변화가 있었고, 다른 국가에서는 그마저도 없었다.”
정부 뿐 아니라 기업의 감시 역시 매우 심각한 문제다. 그는 현재의 상황을 “우리가 갖고 있는 데이터 대부분에 대해 통제할 수 있는 능력을 상실했다”면서 “대신 통신회사, 신용카드 회사, 은행, 구글, 페이스북이 통제권을 쥐고 있다”고 밝혔다. 그는 또 “지금 미국은 모든 게 공짜다. 어린 아이, 청소년에 대한 의료 데이터같은 아주 좁은 범위를 제외하고는, 미국에서 기업은 모든 것을 무료로 얻을 수 있다”고 덧붙였다.
구글을 통해 메일을 보내고 검색을 하고 일정을 저장하고, 때론 메모를 한다. 구글은 이 데이터를 취합하면 나보다 나를 더 잘 알 수 있다. 내가 좋아한 게시물과 가입한 클럽을 통해 페이스북은 커밍아웃하지 않은 이가 동생애자인지 여부도 알 수 있다. 카드 결제 내역을 종합하면 내 소득수준과 취향, 사는 지역을 유추할 수 있고 내가 앞으로 무엇을 살지도 예측할 수 있다. 여기에 노트북, 스마트폰을 해킹하면 카메라를 통해 나를 실시간으로 감시할 수도 있다.
2015년 미국에서 한 대형마트가 고등학생에게 아기 옷과 유아용품 할인쿠폰을 보내자, 부모가 매장에 찾아와 항의했지만 알고 보니 딸은 임신상태였다. 기업은 가족보다, 때론 본인보다 자신을 더 잘 알고 있을 수 있다.
더 큰 문제는 앞으로 벌어질 수 있다. 인공지능기술의 발달과 알고리즘의 고도화는 더욱 큰 규모로 프라이버시를 침해할 수 있다는 우려도 나온다. 미국과 달리 한국은 개인정보를 기업이 가져갈 때 ‘당사자의 동의’를 필요로 하는 개인정보보호법이 있지만 이와 관련된 규제를 완화해야 한다는 움직임이 조직적으로 이어지고 있다.
슈나이어 박사는 “매우 복잡한 문제”라며 신중하게 답하면서도 원칙을 강조했다. “‘누가’ 데이터를 소유하고 있느냐가 점점 더 중요해지고 있다. 프라이버시를 ‘권리 대 상품’으로 보는 견해가 있는데 상품이라는 얘기는 우리가 데이터를 사고 팔 수 있다는 것을 뜻한다. 미국에서 콩팥을 파는 것처럼 말이다. 나는 개인적으로 데이터가 상품이라는 주장보다는 권리(right)라는 것에 동의하는 편이다. 우리가 (개인정보 제공에 관한 동의) 계약을 맺어야 하는 이유도 여기에 있다.”
그리고 그는 ‘신뢰’를 거듭 강조했다. “갈등이 있는 이슈에 대해서는 신뢰를 쌓는 것이 핵심이다. 신뢰야말로 우리 사회를 유지할 수 있는 ‘핵심키’라고 생각한다.” 기업이 개인에게 안전하다는 신뢰를 줘야 하고, 앞으로 알고리즘이 내릴 많은 의사결정 역시 투명성을 확보하며 신뢰를 줘야 한다는 이야기다.
한국은 여야를 막론하고 개인정보 보호를 강화하면 산업이 발전 못한다는 의식이 팽배해 있다. 불황이 이어지는 상황에서 ‘경제 활성화에 방해가 된다’는 워딩이 갖는 힘은 강력하다. 그는 미국 정치권 역시 “산업에 불이익을 가져다 줄 거라고 주장하면서 법안 통과를 저지할 것”이라고 말했다. 이 같은 상황에서 그는 유럽연합이 최근 만든 새로운 개인정보 보호법제인 ‘GDPR’에 주목해야 한다고 강조했다.
EU국가들은 내년부터 GDPR(General Data Protection Regulation, 일반개인정보보호규칙)이 적용된다. GDPR에 따르면 개인정보 활용은 공익적, 학술적 목적으로 제한되고 EU시민권자는 기업이 자신의 데이터를 어떻게 사용하는지 알고 관련 정보를 요청할 권리가 있다. 이를 어기게 되면 기업에 최대 2000만 유로의 벌금을 부과한다.
“GDPR은 기업이 언제 허가를 받아야 하고, 허가를 얻으려면 어떻게 해야 하는지, 또 어떠한 형태를 갖추어야 하는지 등을 공식화하려는 노력을 계속해서 기울이고 있다. 따라서 우리는 몇 달 뒤 유럽의 GDPR이 가져올 변화를 좀 더 지켜 볼 필요가 있다. 어쩌면 한국도 유럽의 선례를 통해 배우는 게 있을 거라고 생각한다. 긍정적 반응이 나올지, 제대로 작동이 될지, 어떤 평가를 내려야 하는지 등 그 파급효과는 우리 모두가 지켜볼 것이다.”
구글과 페이스북은 글로벌 기업이다. 개인정보 침해도 국경을 넘나든다. ‘구글이 사용자 이메일 정보를 미국 정보기관에 넘겼다’는 스노든의 폭로 이후 한국의 시민단체 활동가들이 구글코리아에 ‘제3자에 제공한 개인정보 내역’을 요구했지만 “한국지사에는 개인정보 담당직원이 없다”는 답이 돌아왔다고 한다.
(관련기사: “알고리즘의 결정, 무엇을 가져가는지 제대로 밝혀야”)
슈나이어 박사는 “(글로벌 기업에 대한 대응은) 어렵다. 거의 불가능에 가까울지도 모르겠다. 한국만 해당되는 것이 아니고 모든 국가가 겪고 있는 일”이라고 말했다. “블랙베리를 상대로 한 소송을 떠올려 보면 사우디아라비아, 러시아, 인도, UAE에서 블랙베리 측에 데이터 수집 중단 명령을 내린 적이 있다. 이처럼 반격을 시도할 수 있는 방법들이 없는 건 아니다. 하지만 약한 국가는 (덩치 큰 글로벌 기업에) 맞서 싸울 힘이 거의 없다. 기업의 상당수는 (문제가 생기면) 핵심제품에 변화를 주기보다 시장에서 철수하는 방법을 택한다.” 블랙베리는 여러 국가의 수사당국에 협조해 이용자 스마트폰의 잠금을 해제하는 ‘마스터코드’를 제공해온 사실이 밝혀져 논란이 불거진 바 있다.
그렇다면 시민들은 어떻게 저항할 수 있을까. 슈나이어 박사는 “우리가 일궈낸 승리가 있다면 유럽연합의 GDPR과 같은 입법상의 성과”라고 밝혔다. 그의 지적은 한국사회에 많은 시사점을 던지고 있다.
“(개인정보보호) 이슈는 매우 정치적인 문제라고 생각한다. 우리가 기술적으로 대항할 수 있는 것이 아무 것도 없다. 때문에 진정한 해결책은 정부 정책을 통해서만 가능하다. 변화를 만들기 위해서는 정치적인 싸움을 해야 한다. 따지고 보면 아직 괄목할만한 승리를 거두지 못했다. 내 책이 출판된 지도 몇 해가 지났지만 여전히 큰 변화를 느끼지 못하고 있다. 사람들이 그들의 프라이버시를 걱정한다면 더 나은 개인정보보호 법안을 강력히 요구해야 한다.”
통/번역= 콘텐츠기획팀 최고은