“세상 참 좋아졌네, 예전에는 말이야…” 인생의 황혼기에 접어든 노부부만이 할 수 있는 감탄사가 아니다. 정보통신 기술의 발전 속도는 그야말로 눈부시다. 전화선에 모뎀을 연결해 하이텔, 나우누리의 파란화면이 나타나면 그 순간 전화는 불통이 되고, 사진 한 장 다운로드 받는 데 수십 분이 걸렸지만 채팅을 즐긴다는 사실만으로 IT에 밝은 신세대로 비춰지던 때가 불과 20년도 지나지 않았다. 그러나 빠른 발전 속도에 따라가지 못하고, 개인정보보호와 관련한 각종 문제점들이 잇따라 발생하고 있다. 개인정보보호를 위해 기업은 어떤 준비를 해야 할까? 방화벽을 더 탄탄히 쌓는 것보다 중요한 것은 따로 있었다.

이준호 NHN 정보보호실 이사·CISO juno@nhn.com

얼마 전까지만 해도 지금과 같이 작고 가벼운 스마트폰을 손에 들고 수시로 인터넷에 접속하며, 기다리는 버스가 몇 분 후에 도착하는지 확인하고, 버스에서 내려 약속장소까지의 동선을 실사지도로 확인하는 등의 일상을 상상하지 못했다. 획기적인 서비스는 생각지도 못한 해프닝을 남기기도 한다. 구글의 실사지도 서비스인 ‘스트리트 뷰’가 공개되자 사람들은 인터넷을 통해 세계 곳곳을 선명하게 볼 수 있다는 것에 감탄했다. 그러나 비키니 차림으로 일광욕을 하는 여자들, 성인용품 가게에 들어가는 남자, 호텔에 들어가는 불륜 커플 등의 모습까지 생생히 보여줌으로써 프라이버시 관련 논쟁이 불거졌다. 스트리트 뷰가 프라이버시를 침해한다는 비난이 전 세계에서 발생하자 구글은 스트리트 뷰에 촬영된 모든 사람의 얼굴을 흐리게 처리하는 정책을 시행했는데, 그 과정에서 1980년에 이미 사망한 KFC 간판의 주인공 ‘할랜드 샌더스’의 얼굴까지 흐릿하게 처리되어 웃음을 자아내기도 했다. 사실 이용자가 관심있는 것은 스트리트 뷰 서비스를 위해 개방된 공공장소에서 원하는 사진을 찍는 것이 합헌인지 혹은 위헌인지에 대한 법적 판단 자체가 아니다. 새로운 서비스가 자신의 프라이버시를 침해한다고 느끼면 설사 그것이 법률위반의 문제를 일으키지 않더라도 심각하고 예민하게 받아들이는 것이다. 프라이버시 리스크 관리를 위한 기업의 자세 이제 기업은 개인정보 보호 문제를 단순히 서버에 저장된 데이터를 안전하게 보호하는 것에만 초점을 맞추고, 수집한 데이터를 안전하게 보관하기 위해 어떤 방화벽을 갖추고 어떤 보안탐지 시스템을 적용하며 암호화 방식은 어떤 것을 쓸 것인지에 몰두하는 것만으로는 충분하지 않다. 향후 기업은 개인정보의 수집부터 파기에 이르기까지 관련 법규의 준수 여부에 대한 리스크 관리에 더욱 관심을 기울여야 한다. 즉, 서비스 과정에서 수집되는 정보가 무엇이고, 그것이 법으로 수집을 금지하고 있는 개인정보에 해당하지는 않는지 등에 관한 개인정보의 라이프 사이클 단계별 컴플라이언스가 중요해지는 것이다. 그런데 문제는 늘 그렇듯 법이 기술발전 속도와 보조를 맞추지 못하고 뒤처지는 데 있다. 때문에 법률만으로는 특정 정보가 수집해도 좋은 정보인지 아닌지, 혹은 준비하는 서비스가 관련법에 위반되는지 여부에 대한 판단이 애매한 상황이 종종 발생한다. 이런 경우 기업은 어떤 선택을 해야 하는 것인지 고민스럽지 않을 수 없다. 법 위반과 자칫 쏟아질지 모르는 비난여론 등의 리스크를 감수하고라도 모험을 해야 하는 것일까, 아니면 보다 정확한 판단이 나올 때까지 사업을 수정하거나 보류해야 하는 것일까? 전자의 경우 프라이버시에 대한 이용자들의 반발로 기업 이미지가 손상될 수 있고, 후자의 경우 산업을 선도하지 못하고 경쟁업체에 뒤처지는 결과를 초래할 수 있다. 위와 같은 경우 기업들에게 요구되는 것은 개인정보 보호에 관해 이용자들과 소통하려는 자세일 것이다. 개인정보 보호와 같이 민감한 문제일수록 기업은 이용자들과의 커뮤니케이션을 주저해서는 안 된다. 무엇보다 교묘하게 이용자를 속이거나 애매한 방식으로 개인정보를 수집·이용하는 것은 금물이다. 이용자들은 모르기 때문에 더욱 불안해하고, 속았다는 사실을 깨닫는 순간 배신감에 더욱 화를 내게 된다. 애플의 위치정보 수집이 문제된 이유 중 하나가 이용자가 위치정보 전송을 off로 설정했음에도 ‘이용자들이 모르는 사이에’ 계속해서 아이폰 인근의 기지국 및 WiFi AP의 위치를 위치정보 캐시에 지속적으로 업데이트 한 사실이었음을 잊어서는 안 된다. 이런 상황인 경우 기업은 서비스 과정에서 수집하는 개인정보의 항목과 이용목적, 이를 통해 이용자들이 얻을 수 있는 혜택은 물론 발생할 수 있는 위험까지 쉽고 상세하게 알려주는 소통을 선택해야 한다. 그리고 해당 서비스의 이용 여부에 대한 선택의 기회를 이용자에 제공함으로써 개인정보 보호와 관련된 난제들을 풀어나갈 수 있다. 소통의 부재가 부른 이용자 반발 페이스북의 얼굴인식 기능(Facial Recognition Function)과 관련해 지난 2011년 8월 4일 독일 함부르크 데이터보호위원회는 페이스북이 얼굴인식 기능을 기본설정으로 도입하면서 이용자들의 동의를 받지 않은 것은 연방정보보호법(BDSG)에 위배된다고 판단한 바 있다. 얼굴인식 기능은 이용자가 업로드 한 사진 속 인물에 마우스를 가져가면 자동으로 해당 인물의 이름을 표시해주는 서비스로, 이를 통해 길가는 사람의 사진을 찍어 페이스북에 업로드하면 그 사람의 성명, 인맥 등의 개인신상정보를 알아낼 위험성이 존재한다. 필자가 안타깝게 생각하는 부분은 페이스북이 해당 서비스 출시와 관련하여 선택을 제공하는 대신 서비스를 강제했다는 점이다. 잘못된 커뮤니케이션의 다른 예로는 N 사이트의 개인정보취급방침 변경 철회 사건을 들 수 있다. 당시 N 사이트는 다른 일체의 설명 없이, 개인정보취급방침 변경 공지를 통해 추후 MAC 주소(랜카드 등 인터넷 접속기기에 부여되는 하드웨어 고유의 식별번호 )와 컴퓨터 사용자명을 수집할 것이며, 원하지 않는 경우 회원탈퇴를 할 수 있다는 내용의 공지를 올렸다. 이용자들은 크게 두 가지에 반발했는데, 첫째는 불필요하게 과도한 개인정보를 요구한다는 사실과 둘째는 오랜 기간 미니홈피에 정성을 쏟았던 이용자들에게 동의하지 않을 경우 탈퇴하라는 식의 커뮤니케이션을 했다는 점이다. 뒤늦게 N 사이트는 MAC 주소와 컴퓨터 사용자명을 수집하려던 이유가 메신저 피싱의 방지에 있었다고 해명했으나, 이용자들의 반발은 줄어들지 않았고 결국 개인정보취급방침 변경을 철회하는 것으로 일단락되었다. 수집하는 개인정보 항목을 추가하는 것은 이용자들에게 불리하게 작용할 가능성이 큰 중요 사항이고, 그 수집목적이 메신저 피싱 및 스팸방지에 있었던 만큼 이용자들에게 충분한 설명을 제공하는 노력만으로도 당시와 같은 대규모 이용자 반발은 발생하지 않았을 것이라는 아쉬움이 남는다. 프라이버시 문제, 이용자와 솔직하고 진지한 소통 필요 이제 이용자들은 서비스 자체의 질은 물론 기업의 신뢰도까지 고려하여 서비스를 선택한다. 특히 해당 서비스가 개인정보를 활용하는 경우 기업의 신뢰도는 서비스 결정에 중요한 요소로 작용하게 된다. 기업과 고객들의 문제도 그 본질은 인간관계와 유사하다고 생각된다. 아무리 좋은 것이라도 강압적으로 혹은 아무런 설명 없이 권유하는 사람에게는 고마운 마음이나 친하게 지내고 싶은 마음이 들지 않는다. 이처럼 서비스가 아무리 훌륭하더라도 이용자의 소중한 개인정보를 일방적으로 요구하는 서비스는 반감을 불러오게 된다. 그런 경우 수집한 개인정보를 아무리 철처하게 관리하겠다고 약속하고, 수집방법이나 수집 항목이 법률에 따라 적법하게 이루어진다 할지라도 성공적인 서비스로 성장하기는 어려울 것이다. 이용자들은 개인정보 제공에 민감하지만, 자신에게 혜택이 있는 경우에는 자발적으로 개인정보를 제공하기도 한다. 가령 현재 자신의 위치에서 가장 가까운 맛집을 검색할 목적으로 스마트폰을 켜는 경우라면 기꺼이 자신의 위치정보를 제공할 것이다. 또한 이를 기반으로 제공되는 맛집 할인 쿠폰이 있다면 그러한 이용에 동의하여 혜택을 누리려 할 확률이 크다. 이처럼 기업이 프라이버시 리스크를 적절히 관리하기 위해 가장 필요한 것은 개인정보 활용으로 인해 이용자가 받을 혜택과 위험에 대한 솔직하고 적극적인 소통, 그리고 서비스 선택권을 이용자에게 보장하는 존중의 태도가 아닐까? 이준호 다음커뮤니케이션 CIO를 거쳐 현재 NHN 정보보호실 이사(CISO)로 재직하고 있다. 2006년 한국CIO포럼 선정 정보통신 및 e비즈니스 부문 올해의 CIO로 선정됐다.