※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1870호(2018. 10. 31. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

페이스북에 16억 달러 벌금 부과 가능성, 현실화 된 EU의 GDPR 리스크.pdf



[ 요 약 ]


페이스북의 2,900만 명 개인정보 누출 사고에 유럽연합의 강력한 개인정보보호 법안인 ‘GDPR(보편적데이터보호규정)’이 어떻게 적용될 지에 세간의 관심이 모이고 있음. 페이스북에는 최소 8~최대 16억 달러 이상의 벌금이 부과될 수 있는데, 이는 GDPR 리스크가 기업의 영속성에 치명적일 수 있음을 의미함. 유럽을 대상으로 서비스를 운영하지 않는 기업도 의도치 않게 GDPR을 위반할 위험이 있으므로 모든 기업은 핵심 내용을 이해하고 대응 태세를 점검할 필요가 있음



[ 본 문 ]


이용자 2,900만 명의 개인정보가 누출된 페이스북 사태가 유럽연합(EU)의 새로운 개인정보보호 정책인 보편적데이터보호규정(GDPR)' 적용의 첫 시험대가 될 것으로 보임


페이스북은 지난 9월에 사용자 2,900만 명의 이름과 연락처 정보가 노출되었다고 인정했으며, 이 중 1,400만 명은 성별, 거주지 등의 개인정보가 추가 도난당했다고 밝혔음


<자료> TechCrunch

[그림 1] GDPR을 위반하게 된 페이스북


사건이 터지자 베라 주로바 EU 법무 담당 집행위원은 유럽연합은 매우 엄격한 규정을 가지고 있으며, 페이스북을 포함해 개인정보를 위험하게 취급하는 기업들을 징계할 수 있는 강력한 수단을 가지고 있다는 입장을 표명하였음


외신들은 EU가 해킹당한 유럽인 이용자의 규모에 따라 처벌 수위를 정할 것이라고 내다보고 있는데, 페이스북이 유럽 피해자의 규모를 정확히 밝히고 있지 않은 가운데, 해킹 피해 계정의 10~15%300~500만 개가 유럽 이용자의 것이라는 보도들이 나오고 있음


GDPR에 따르면 유럽인들의 개인 정보를 필요로 하는 기업들은 그 정보의 보유와 보안에 대한 엄격한 요구사항을 준수해야 함


만일 이를 지키지 못하면 EUGDPR에 의거, 전년도 기업 매출의 최대 4%를 벌금으로 부과할 수 있는데, 페이스북의 경우 2017년 매출이 406.53억 달러이므로 벌금은 최대 16.26억 달러에 달할 수도 있음


GDPR은 유럽연합의 규정이므로 다른 지역과는 무관할 것이라 생각할 수도 있는데, 페이스북의 사례에서 보듯 유럽 거주자의 정보를 보유한 기업이라면 고객정보 유출시 GDPR의 대상이 됨


올해 525일 시행된 GDPR은 유럽연합 거주자의 개인정보보호를 목적으로 제정된 법률이지만, 인터넷 시대에는 어떤 기업이든 용이하게 글로벌 서비스를 전개할 수 있고 유럽인들을 서비스 회원으로 받아들일 수 있기 때문에 사실상 EU라는 지역적 제한은 없는 셈


GDPR은 여러 면에서 논란이 있는데, 대표적인 것이 고객정보 유출 사고에 관한 것으로 페이스북 사례에서 보듯 EU 거주자가 포함될 경우 EU 내에 있는 기업이 아니더라도 정보 누출 사실을 신속하게 신고하지 않으면 최소 1천만 유로의 벌금을 부과하게 되어 있음


기업 입장에서 더욱 조심해야 할 것은 자신들이 직접 해킹을 당한 것이 아니라 정보 업무를 대행해 주는 기관에서 발생한 해킹 사건으로 인해 고객 정보가 유출되었을 경우에도, 정보 업무를 위탁한 기업에게 신고 의무를 규정하고 있다는 사실임


실제로 지난 6월 말 호텔 예약 시스템을 운영하는 프랑스 패스트 부킹사이트에서 정보 누출 사고가 있었는데, 이 호텔에 예약 업무 대행을 맡긴 전세계의 호텔들 대부분이 GDPR 당국에 사고 사실을 통지하지 않았음


이 경우는 정보 대행업체로부터 개인정보가 누출된 것이지만, GDPR은 이때도 위탁원에 통지의무가 발생한다고 규정하고 있어, 통지하지 않거나 통지가 늦어지면 GDPR 위반으로 고액의 벌금을 부과 받게 되는 것임


이처럼 의도하지 않게 GDPR 규정을 위반할 수 있다는 위험 때문에, 준비해 온 서비스 런칭을 포기하는 기업의 사례나, 위반 사실을 빌미로 돈을 요구하는 협박 사례도 나오고 있음


서비스와 관련된 정보 처리를 모두 직접 수행하지 않고, 일부 프로세스를 외부와 연계하여 처리하는 기업이라면 GDPR 규정에 특히 주의를 요할 필요가 있음


대개 정보처리를 위탁받거나 하청받은 업체는 사고가 발생할 경우, 이 사실을 드러내지 않고 신속히 수습하려는 시도를 먼저 하기 마련임


 이는 기업 내부가 아니라 기업 외부에서 GDPR이 위반될 위험이 상존한다는 것을 의미하는 것이며, 정보보호 컨설팅 기관으로부터 이런 위험을 지적받은 업체들 중에서 준비해 온 서비스를 포기하거나 보류하는 사례도 나오고 있음


 GDPR은 사고 발생 통지 의무뿐 아니라 개인정보의 취급이나 사용자에 대한 대응, 보안 대책 등에 많은 의무를 부과하고 있고, 위반하면 고액의 벌금을 부과 할 수 있기 때문에 GDPR 규정 위반 사실을 볼모로 기업에 협박을 하는 사례도 발생하고 있음


 불가리아에서는 기업에 대해 당신들 서비스의 개인 정보를 훔쳤으며, 이 개인 정보들이 공개되는 걸 원하지 않으면 지정된 시간 안에 돈을 입금하라고 협박하는 사건이 있었는데, 요구 금액은 기업 규모에 따라 1~2만 달러 수준이었음


 이 사건을 공개한 불가리아의 보안 기업 TAD 그룹에 따르면, 대부분의 기업은 어떤 식으로든 GDPR 위반 가능성이 있으며, 누군가 정보 유출 사실을 알고 GDPR 감독 기관에 알려주면 적발될 수 있는데, GDPR의 제재금은 최소 1,000만 유로임


 이 제재금에 비하면 협박범의 요구 금액은 상당히 약소한 수준이기 때문에, 보안상 취약점을 알리겠다는 협박을 받으면 실제 돈을 지불할 것을 고려하는 기업들이 있다고 함


이런 위험 때문에 정보보호 컨설팅 기관들 중에는 외국의 이용자 비중이 많지 않은 서비스라면, 특히 유럽 이용자의 비중이 낮은 서비스를 운영하는 기업이라면, 아예 유럽에서는 사업을 전개하지 않거나 서비스 접속을 차단하는 것이 나을 수도 있다고 조언하고 있음


GDPR은 최악의 경우 기업의 존폐에까지 영향을 미칠 수 있는 중요한 규정이기 때문에, 내용을 정확히 파악해 두어야 할 필요가 있는데, 가장 유념해야 할 조항은 크게 5가지임


 GDPR은 유럽 의회에서 2016427일 채택되어 약 2년간의 준비 기간을 거쳐 시행된 것인데, 이 만큼의 준비 기간이 있었음에도 상당수의 기업, 특히 비유럽권 국가의 기업들 대부분은 대응 태세를 갖추고 있지 못하고 있음


GDPR 시행 직전인 올해 4월경에 미국에서 시행된 설문 조사 결과들에 따르면 ‘GDPR의 내용을 이해하고 있다고 응답한 기업은 조사 대상의 약 3분의 1 수준이었으며, 시행 후 5개월이 지난 9월말에 GDPR 대응을 마쳤거나 마쳐가는 기업은 약 45% 수준임


GDPR에 대해 무관심한 이유는 대부분의 국가에서 어떤 형태든 개인정보보호법을 시행하고 있고, GDPR은 유럽 지역의 개인정보보호법일 뿐이라 생각하기 때문


가장 위험한 오해는 GDPR이 요구하는 것이 단순히 비유럽 지역 국가의 개인정보보호법 보호 대상에 EU 시민들을 포함시켜 달라는 것 정도로만 이해하는 것임


이런 접근은 자칫 큰 문제로 이어질 수 있어 정확히 이해할 필요가 있는데, 특히 5가지 포인트에 유의하지 않으면 스타트업들은 문을 닫아야 할 위험에 처할 수도 있음


[1] 국내 기업이 유의해야 할 GDPR 규정의 5가지 포인트

핵심 규정

주요 내용

대상이 되는 개인의 범위

유럽경제지역(EEA)에 존재하는 사람

적용 서비스 범위

유럽연합 내에서 개인정보를 관리하고 처리하는 서비스

EU 거주자에게 제공되는 서비스

EU 거주자의 행동을 모니터하는 서비스

보호해야 할 주요 개인정보

이름, 식별번호, 위치정보, 이메일 주소, IP 주소, 쿠키

개인을 특정할 수 있는 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 사회적 특징

정보 누출 사실 통지 의무

정보취급 관리자가 72시간 내에 감독기관에 통지(감독기관은 유럽 내 각국에 소재)

누출된 정보의 소유자가 거주하는 곳에 있는 감독기관마다 통지해야 함

제재금

경미한 위반은 1천만 유로 또는 전년도 매출의 2% 중 높은 쪽

중대 위반은 2천만 유로 또는 전녀도 매출의 4% 중 높은 쪽

<자료> IITP 정리

 


우선 가장 크게 오해하고 있는 것은 대상이 되는 개인의 범위인데, GDPR은 유럽의 거주자뿐 아니라 EU 국적이 없더라도 단기간 EU에 체류하는 사람까지를 포함함


GDPR의 보호 대상은 정확하게는 유럽경제지역(EEA)’있는 사람인데, EEAEU에 가입하는 28개국에 아이슬란드, 노르웨이, 리히텐슈타인의 3개국을 더한 것으로, EU를 탈퇴한 영국을 뺀 사실상 유럽 전역으로 생각하면 됨


혼란이 발생하는 지점은 있는 사람에 대한 해석인데, EU 국적과 주소가 없어도 EU를 방문한 사람은 모두 대상이 되며, 며칠간의 단기 출장이나 여행으로 방문한 사람도 대상이 될 수 있기 때문에 EU 거주자로만 한정하는 것은 잘못된 이해임


다음은 GDPR의 적용 대상인데, EU 내에서 운용되는 서비스 외에 지리적 한계와 상관없이 EU에 있는 사람과 관련된 서비스를 모두 포함하고 있음


GDPR은 서비스 대상으로 EU에서 개인정보를 관리하고 처리하는 서비스, EU 거주자에게 제공되는 서비스, EU 거주자의 행동을 모니터하는 서비스의 세 가지를 들고 있음


, EU에 비즈니스 거점이 없는 서비스 사업자라 할지라도, EU 거주자에게 제공되는 서비스EU 거주자의 행동을 모니터하는 서비스라는 조항의 적용을 받게 되는 것임


구체적으로는 가령 클라우드 서비스나 전자상거래 사이트, 암호화폐 거래소 등이 모두 해당하며, 국내용 서비스라 하더라도 이용자가 EU 거주자 혹은 EU에 잠깐 머문 사람이라면 적용 대상이 된다는 점을 유의해야 함


PwC 컨설팅은 자국 언어(비유럽권 언어)로만 되어 있는 서비스이므로 EU 거주자를 대상으로 한 것이 아니다는 논리로 GDPR 법 적용을 피할 가능성은 낮다고 보고 있음


따라서 적용을 받지 않으려면, ‘EU 거주자는 사용할 수 없는 서비스임을 고지하거나 혹은 ‘EU 거주자를 위한 서비스가 아님을 명시할 필요가 있음


보호 대상이 되는 개인정보를 개인 식별 정보로 오해하는 경우도 많은데, 실제 범위는 더 넓어서 GDPR은 하드웨어 식별 정보나 쿠키까지도 정보보호 대상으로 규정하고 있음


GDPR는 개인 정보로 이름과 식별번호, 위치 정보, 이메일 주소, IP 주소, 쿠키 등을 명시하고 있는데, 특징적인 것은 IP 주소와 쿠키로 하드웨어를 식별하는 정보는 대부분 국가의 개인정보보호법에는 포함되지 않는 것임


쿠키는 모르겠으나 IP 주소에는 개인정보가 없다고 판단해 정보를 획득하고 있는 서비스도 적지 않은데, GDPR에 개인정보의 하나로서 명시되어 있기 때문에 IP 주소를 받을 경우에 반드시 사용자의 동의를 얻을 필요가 있음


GDPR은 정보처리를 기업 외부에 위탁하는 경우 위탁자와 수탁자(실제 처리자)의 의무를 각각 규정하고 있는데, 비교적 잘 알려진 72시간 이내 통지 의무는 대표적인 관리자의 의무임


GDPR는 개인정보 취급 방안을 관리자(controller)'처리자(process)'라는 두 주체의 관점으로 나누어 각각 의무를 규정하고 있는데, 72 시간 이내에 통지 의무는 관리자의 의무임


관리자는 개인정보를 주체적으로 취급하고 개인에게 서비스를 제공하는 조직과 사람을 가리키며, 처리자는 관리자를 대신해 개인정보를 처리하는 조직과 사람을 가리키는데, 통상 관리자는 여러 처리자와 계약을 하기도 하며 처리자는 다시 부처리자와 재계약을 하기도 함


관리자가 직접 개인정보를 처리하면 처리자는 없게 되지만, 관리자가 자신을 대신해 외부에 개인정보 처리를 일부라도 위임하게 되면 관리자와 처리자가 각각 존재하게 됨


GDPR에서는 72시간 이내 통지 외에도 다양한 관리자의 의무를 명시하고 있는데, 개인정보를 취득 할 때 이용 목적 및 보관 기간 등의 조건을 제시하고, 본인의 요청이 있으면 보관하고 있는 개인정보를 공개하는 것 등이 대표적임


<자료> Delete Agency

[그림 2] 데이터의 주체-관리자-처리자’ 관계


관리자의 경우 통지가 구체적으로 어떤 작업인지를 정확히 알아야 하는데, 우선 GDPR의 감독기관은 한 곳이 아니라 EU의 각국에 산재해 있다는 것을 알 필요가 있음


GDPR 대응을 지원하는 개인정보보호위원회의 웹사이트에 가면 감독기관 목록을 확인할 수 있는데(현재 67개 기관이 지정되어 있음), 유의할 것은 통지에 사용하는 포맷이 감독기관에 따라 다르고 각 나라의 언어로 작성할 것을 요구하는 경우가 많다는 점


정보 유출이 발생했을 때 어떤 감독기관에 통지해야 할지도 이슈가 되는데, EU 내에 거점이 있는 사업자는 그 거점이 있는 국가의 감독기관에 통보하면 되지만, EU에 사업 거점이 없는 사업자들이라면 상당히 불편을 겪을 수 있음


GDPR는 원칙적으로 유출된 개인정보의 소유자가 거주지한 곳의 감독기관마다 통지하도록 규정하고 있는데, 정보 누출 피해자가 여러 국가에 걸쳐있는 경우 그 국가 수만큼의 기관에 통지해야 한다는 뜻임


결론적으로 피해자가 여러 국가에 걸쳐 있는 경우, 각국의 감독기관에 각 나라의 언어로 통지서를 작성해 알려야 한다는 것으로, 이는 기업 입장에서는 불합리하게 느껴질 수 있는 점이나 현실이 이러하므로 72시간 내 통지가 그리 넉넉하지 않을 수 있다는 것을 인식해야 함


72시간 이내 통지 의무에서 또 하나 이슈가 되는 것은 기산 시점언제부터 72시간 이내인가 하는 것인데, 이에 대해서는 명확한 규정이 아직 없음


일단은 사업자가 이때부터라고 결정한 곳이 기산점이 되는데, 자체적으로 시스템을 운용하는 경우 시스템이 이상 징후를 발견하면 경고 메시지를 보내고, 관리자는 사실 확인을 통해 정보 누출 가능성을 판단할 수 있는데, 이런 판단 시점이 기산점이 될 수 있음


PwC 컨설팅은 누출 가능성을 인지했을 경우는 사 내에서 회의를 열어 기점을 언제로 할지 정하는 것이 좋다고 조언함


또한 누출 가능성은 있으나 흔적을 발견하지 못했을 때는 흔적을 찾는 시한을 정해 놓고, 시한 때까지 흔적을 찾지 못하면 누출 가능성이 있다고 일단은 통지할 필요가 있다고 조언


누출 흔적이 발견될 때까지 통지하지 않는 것은 위험할 수 있는데, 최종적으로는 GDPR 당국이 판단을 하겠지만 가능성을 인지한 시점과 실제 흔적을 발견할 때까지의 시간이 상식선을 넘어간다면 통지 의무 위반으로 결정될 가능성이 높기 때문임


처리자로부터 정보 유출이 발생한 경우는 그 보고를 받은 때가 기점이 될 것인데, 처리자로부터 보고가 신속히 올라오지 않을 가능성이 있기 때문에, PwC는 정보처리 위탁계약을 할 때 정보 유출 발생부터 보고까지 소요 시간을 계약내용에 포함시키는 것이 좋다고 조언


마지막으로 제재금의 엄중함도 반드시 염두에 두어야 하는데, 벌금 없이 주의로 끝날 수도 있지만, 일단 범금이 부과될 사안이라고 판단되면 최소 1천만 유로가 부과되기 때문


GDPR 위반이 발생한다고 해서 즉시 벌금이 부과된다는 것은 아니며, 감독기관이 위반 내용과 상황을 확인하고 주의만으로 끝내는 경우도 있음


주의 수준을 넘어서는 경우, 경미한 위반은 1천만 유로 또는 전년 매출의 2% 중 높은 금액, 중대 위반은 2천만 유로 또는 전년 매출의 4% 중 또는 높은 금액을 부과하게 되어 있음


주의와 경미한 위반 및 중대 위반 사이에 다른 유형은 존재하지 않기 때문에 정상참작의 여지가 있어도 제재금을 낮춰줄 방법이 없기 때문에 일단 위반하지 않는 것이 중요함


경미한 위반은 관리자 및 처리자의 의무를 위반하는 경우로, 가령 관리자의 72시간 내 통지 의무 위반은 경미한 위반으로 간주되며 중대 위반은 아님


중대 위반은 동의를 비롯한 개인정보 처리의 기본 원칙을 위반한 경우, 정보주체의 권리를 보장하지 않는 경우, 3국이나 국제기구에 개인정보를 이전할 때 준수해야 할 규정을 위반한 경우 등 개인 정보권을 침해할 때 적용됨


인터넷을 통해 모든 기업, 특히 콘텐츠와 서비스 기업들의 용이한 글로벌 비즈니스가 가능하게 된 지금, GDPR이 사업의 중대 위협이 되지 않도록 보다 철저히 준비할 필요가 있음


내수 시장의 한계라는 구조적 문제를 겪고 있는 우리나라의 기업들은 필연적으로 글로벌 서비스를 전개할 수밖에 없는데, 인터넷 시대의 도래로 그 어느 때보다 용이한 글로벌 사업의 전개가 가능해진 것은 국내기업들에게 호조건이 되고 있음


특히 현지에 직접 진출하지 않더라도 서버 운영만으로 수출 효과를 낼 수 있다는 것이 인터넷 비즈니스의 장점이며, 영어가 사실상 세계 공용어의 역할을 하고 있기에 영어로 서비스만 운영하면 전세계 사람을 소비자로 맞이할 수 있는 것도 장점임


그러나 이런 장점들은 GDPR의 발효에 따라 글로벌 비즈니스를 전개하는 국내 기업들에게 동시에 위협 요인으로 전환될 가능성이 생겼는데, 직접 유럽을 대상으로 서비스를 운영하지 않더라도 GDPR을 위반할 수 있기 때문


K-팝을 위시해 최근 유럽 내에서 K-콘텐츠에 대한 관심이 커지며, 유럽의 이용자들 중에는 미국의 서버에 접속하거나 심지어 한글을 배워 한국 서비스에 직접 접속하는 경우도 생겨나고 있음


따라서 유럽을 직접 겨냥한 서비스를 운영하지 않는 곳이라도, 현재 GDPR 규정 준수 태세를 갖추고 있는지 점검할 필요가 있는 것임


아울러 GDPR을 과도한 규제정책으로만 치부하고 외면할 것이 아니라, 개인의 정보권 보호라는 측면에서 국내의 개인정보 취급 관행에 대해서도 성찰하는 계기로 삼는 노력도 필요할 것임


인터넷으로 인해 사람들이 얻고 있는 혜택은 가늠할 수 없을 만큼 크지만, 그 과정에서 벌어진 부작용과 폐해를 바로 잡고자 하는 노력들도 한편에서 시작되고 있으며, 그 중 GDPR은 개인의 정보권을 보호하기 위한 강경한 흐름을 대변하고 있음


특히 GAFA(구글, 애플, 페이스북, 아마존닷컴)로 대표되는 미국 기업들에 의한 개인정보 집중화의 폐해를 막기 위한 유럽의 대응이라는 측면에서, GDPR의 기조가 변할 가능성은 별로 높지 않으며 오히려 강화될 가능성도 있음


보기에 따라 GDPR의 규제 내용이나 제재 수준이 과하다고 느낄 수도 있지만, GDPR이 요구하는 것은 데이터를 다루는 행정적인 절차가 아니라 개인정보 데이터를 대하는 기본 입장과 철학에 관련된 이슈임을 인식할 필요가 있음


GDPR이 요구하는 개인의 정보권리 강화는 사실 당연한 것인데, 이것이 과도하게 느껴진다는 것은 반대로 생각하면 그 동안 개인의 정보권 보호보다 기업의 이익을 앞세운 행위들이 당연한 듯이 행해져왔음을 방증하는 것임


이는 비단 GAFA 같은 글로벌 거대기업에만 해당하는 것은 아니며, 크던 작던 규모에 상관없이 국내용 서비스를 운영하는 업체들 모두가 짚어 보아야 할 지점임


향후 서비스 모델 경쟁의 한 축은 개인의 정보권 강화 흐름을 수용하면서 동시에 고객 가치와 편의성을 어떻게 제공할 것인지가 될 것이며, 이 난제를 영리하게 해결하는 기업들만이 성장을 지속할 수 있을 것으로 보임

※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1849호(2018. 6. 5. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

모든 ICT 서비스의 기본 요건이 될 일반정보보호규정(GDPR) 발효.pdf



[ 요 약 ]


향후 ICT 비즈니스에 태풍의 핵이 될 유럽연합(EU)의 일반정보보호규정(GDPR)525일 드디어 발효되었음. 규정 위반 시 글로벌 매출의 4%까지 벌금을 부과할 수 있도록 한 GDPREU 역내에서 사업을 하는 기업이 아니라, EU 시민과 관련된 데이터를 취급하는 기업을 대상으로 하고 있기에 사실상 전세계 모든 기업에 해당한다 할 수 있음. 당분간 비즈니스의 위험 요소이긴 하나 IoT, AI, 자율주행 등 미래 ICT 비즈니스의 성공을 위해서도 GDPR 준수는 반드시 필요하므로 기업들은 신속히 대응 태세를 구축해 나갈 필요가 있음



[ 본 문 ]


유럽연합이 기업의 개인정보보호 의무를 대폭 강화시킨 일반정보보호규정(GDPR)’이 발효된 첫날부터, 구글과 페이스북 등 주요 기업들에 대한 제소가 줄을 이었음


오스트리아 소재 디지털 권리 보호 비영리단체인 ‘Noyb(None of your business)’는 구글, 페이스북, 인스타그램, 왓츠앱 등이 GDPR을 위반했다고 주장하며, 이들 기업을 프랑스, 독일, 오스트리아, 벨기에 등에서 제소하였음


NoybGDPR이 서비스 이용에 필요한 개인정보 수집을 반드시 필요한 수준으로 제한하고 있으나, 구글과 페이스북 등은 광고를 위해 이용자가 개인정보 사용에 동의하도록 사실상 강제하고 있다며 제소 이유를 밝혔음


페이스북과 구글은 EUGDPR의 가이드라인 준수를 위해 1년여 넘게 최선을 다해 준비해 왔으며, 개인정보보호 규정을 지킬 것이라 약속해 왔음에도 불구하고 제소를 피하지 못했는데, Nyob 외에도 다수의 단체에서 GDPR 규정 위반을 지적하고 있음


한편 일부 미국 기업들은 이 같은 피소 사태를 우려해서인지 GDPR 발효 첫날에 아예 유럽 국가에서 서비스를 차단하기도 했는데, 특히 LA타임스, 시카고 트리뷴, 리 엔터프라이즈 등 언론사들이 웹사이트 접속을 중단시켰음


<자료> SXM IslandTime

[그림 1] 5월 25일 발표된 EU의 GDPR


규정 발효 첫날 벌어진 이러한 사태는 GDPR의 가장 무서운 점은 기업에 미치는 영향을 가늠할 수 없는 불확실성에 있다는 분석을 실제로 확인시켜 주었음


GDPREU의 데이터 보호법을 현대화하려는 노력의 일환으로 5년 이상의 작업을 거쳐 20164월에 채택되었으며, EU 거주민의 개인정보를 취급하는 경우, 그 데이터가 처리되는 장소가 어디든 상관없이 적용되는 말 그대로 장난 아닌규정임


GDPR은 또한 감독 기관에 강력한 힘을 부여하고 있으며, 무엇보다 규정을 위반한 기업이나 단체에 거액의 벌금을 부과하는데, 최대 2000만 유로 혹은 전년도 글로벌 매출4% 더 높은금액을 부과하도록 되어 있음


사이버 보안과 정보위험관리에 초점을 둔 글로벌 비영리 정보보호 기구인 ISF(Information Security Forum)GDPR이 기업들에게 치명적인 이유는 규정 위반이 언제든 발생할 수 있으나 그 발생 시기를 가늠할 수 없다는 데 있다고 보고 있음


ISF에 따르면 그동안 기업의 관행을 GDPR 조항과 비교할 때 규정 위반이 될 가능성이 높은데, 문제는 GDPR의 지속적인 준수를 위해 요구되는 기업의 근본적인 변화가 단기간에 달성되기 어렵다는 데 있음


기업들로서는 서비스 접속 자체를 아예 중단하거나 아니면 서비스를 유지하되 최단 기간 내에 비즈니스 시스템을 규정에 맞도록 변화시켜야 하는데, 후자의 경우 패러다임 전환 완료 전까지 언제든 규정 위반 처분을 받을 수 있는 불확실성이 상존하게 됨


반면 딜로이트 컨설팅은 자체 정보망을 통해 규제 당국이 조사를 완료하기까지는 시간이 좀 걸릴 것이며, 규제 처분이 나오기까지는 6~8개월이 걸릴 것이기 때문에, 실제 사건이 발생하기 전까지는 문제가 없을 것이라는 분석을 내놓은 바 있음


이 말은 GDPR 준수 프로그램을 기업 내부적으로 마련하는데 좀 늦었다 하더라도, 조사에 시간이 걸리기 때문에 지금이라도 시작하는 게 낫다는 권고의 의미를 담고 있는 것이었는데, 발효 첫날 벌어진 상황은 예상보다 시간이 훨씬 부족할 수 있음을 시사


비즈니스 불확실성 제거를 위한 신속한 GDPR 대응 시스템의 구축은 규정에 대한 이해에서부터 시작해야 하는데, GDPR은 다음 6개 원칙에 따른 개인 데이터 처리를 규정하고 있음


[1] GDPR의 개인 데이터 처리 6원칙

개인 데이터는 적법하고 공정하게, 투명한 방식으로 처리되어야 함

구체적으로 명시되어 있고, 명확하며 합법적인 목적을 위해 수집되어야 함

조직의 요구를 충족하는데 필요한 것으로 제한되어야 함

정확해야 하고, 최신성을 필요로 하는 곳에서는 최신성을 유지해야 함

데이터 주체를 식별할 수 있는 형식으로 개인 데이터를 보관하는 것은 필요한 기간을 넘겨서는 안 됨

개인 데이터의 적절한 보안을 확보할 수 있는 방식으로 데이터를 처리해야 함

<자료> IITP 정리

한마디로 GDPR은 유럽인의 개인 데이터를 보유하고 있는 조직이 그 데이터를 합리적인 방식으로 사용하는 동시에, 그 개인 데이터의 선한 관리인이 될 것을 강제하는 규정임


GDPR은 유럽 시민이 기대하는 바와 일치되도록 기업과 조직이 개인 데이터를 사용할 것을 확실히 하기 위한 것이었으나, 최근에는 GDPR의 컨셉이 비단 유럽뿐만 아니라 예상을 뛰어 넘어 전세계적으로 확산되어 가는 움직임이 나타나고 있음


가령 GDPR의 개념은 현재 아시아 지역의 규제 기관들에 의해서도 도입되고 있으며, 자국민의 데이터를 처리하고 사용하는데 있어 하나의 기준점이 되고 있음


이에 따라 현재 누구나 다 GDPR 준수를 준비하고 있는데, 기업들은 데이터 주권의 관점에서 그 데이터가 물리적으로 어디에서 나온 것인지 주의를 기울일 필요가 있으며, 금융기관, 의료기관, 심지어 석유와 가스 회사들도 GDPR에 대응하고 있음


아직 GDPR 준수 프로그램을 도입하지 않은 기업은 자신들이 적용 대상인지 여부를 신속히 검토할 필요가 있는데, EU 지역에 사업장이 없어도 대상이 될 수 있다는 것이 포인트


ISF‘GDPR 구현 가이드(Implementation Guide)’에 따르면 다음과 같은 기업이나 단체는 모두 GDPR이 적용 대상이 됨


▸ ① EU 역내에 본사를 둔 기업이나 단체, EU 역외에 본사를 두지만 EU 역내의 데이터 주체를 상품과 서비스의 대상으로 하고 있는 기업이나 단체, EU 역외에 본사를 두지만 EU 역내 개인의 행동을 파악하거나 추적하고 있는 기업이나 단체


여기서 주의 깊게 볼 것은 GDPR의 보호 대상은 EU 시민의 개인 데이터라는 점이며, 이러한 데이터를 취급하는 기업이라면 사업장 소재지와 상관없이 GDPR을 준수할 의무가 있다는 사실


가령 미국의 호텔이 EU 역내에 사는 숙박자의 정보를 보유하는 경우나, 미국의 병원이 유럽에서 치료를 받기 위해 건너온 환자의 상태 정보를 주기적으로 모니터링 하는 경우에도 GDPR의 적용 대상이 된다는 것임


유럽 시민이 관련된 비즈니스를 하는 기업은 그 사업 내용이 무엇이든 GDPR에 단단히 주의를 기울일 필요가 있다는 것인데, 이는 사람의 이동이 자유화되고 글로벌화 된 이런 시대에는 사실상 모든 기업이 잠재적 대상이 될 수 있음을 의미함


IT 엔지니어들의 커뮤니티를 운영하는 스파이스웍스는 GDPR에 대해 아직 잘 모르겠다며 대응에 손을 놓고 있는 기업이 많은데, 아직 준비를 시작하지 않은 기업들은 지금이라도 관심을 갖고 더 많은 주의를 기울여야 한다고 권고하고 있음


GDPR의 적용 대상이 되는 기업이나 단체는 우선 EU 역내의 주요 감독 기관이 어디인지를 확인할 필요가 있는데, ISFGDPR 구현 가이드에 따르면 확인 방법은 다음과 같음


EU 역내에 설립된 기업이나 단체는 본사 소재지를 기준으로 자신들의 주요 감독 기관이 어디인지 확인해야 함


본사가 EU 역내에 없는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터 처리가 이루어지는 EU 회원국의 감독 기관이 주요 감독 기관이 되어야 함


EU 지역에 거점이 없는 기업이나 단체가 GDPR의 적용 대상이 되는 개인 데이터를 처리하는 경우, 데이터 주체의 대부분이 존재하거나 개인 데이터의 처리가 이루어지는 EU 회원국 내에 반드시 대리인을 선임해야 함


기업 차원에서 GDPR 준수 프로그램의 첫 단계는 발견(discovery)’하는 것인데, 자신들이 처리하는 개인 정보의 범위와 본질적 특성을 명확히 확인할 필요가 있음


GDPR 규정에 따르면 식별된 또는 식별 가능한 자연인(데이터 주체)과 관련된 어떤 정보(any information)’라도 모두 개인 데이터(personal data)가 됨


또한 특별 카테고리에 속하는 개인 정보로 인종 또는 민족적 배경, 정치적 견해, 종교적 또는 철학적 신념, 노동조합원 자격 등을 드러내는 데이터, 자연인은 고유하게 식별하기 위해 처리하는 유전자 혹은 생체 데이터, 건강에 관한 데이터, 자연인의 성생활 또는 성적 취향에 관한 데이터' 등을 규정하고 있음


다음 단계로는 모든 개인 데이터 처리에 관해 최신의 정확한 세부 내역을 제공할 수 있도록 관련 기록을 유지하는 것인데, 이 요구사항은 다음의 경우에 적용됨


기업이나 조직의 직원 수가 250명 이상인 경우


기업이나 조직의 직원이 250명 미만이더라도, 그 개인 데이터의 처리가 데이터 주체의 권리와 자유에 위험을 초래할 수 있는 경우, 데이터 처리가 간헐적으로 발생하는 것이 아니라 정기적으로 발생하는 경우, 데이터 처리가 개인 데이터의 특별 카테고리를 포함하거나 전과 기록 및 범죄와 관련된 경우


GDPR의 요구 사항은 기업이나 단체가 개인 데이터의 관리자(controller)’인지 처리자 (processor)’인지에 따라 달라지기는 하나, 많은 기업이 양자 모두에 해당함


관리자는 개인 데이터 처리의 목적과 수단을 결정하는 개체를 말하며, 처리자은 관리자를 대신하여 개인 데이터를 처리하는 개체를 의미함


일반적으로 GDPR은 동의의 취득, 동의 철회 관리, 개인 데이터에 접근할 수 있는 권리의 활성화와 관련된 사항에서는 데이터 관리자에게 책임을 부과하고 있으며, 따라서 데이터 관리자는 GDPR을 충족하는 데이터 처리자를 선택할 책임이 있음


GDPR의 대상이 되는 데이터를 식별하고 보존할 필요가 있는 기록과 데이터를 어디서 어떻게 처리할 지를 결정한 다음에는 GDPR의 요구 사항 (Gap) 분석을 실시해야 함


갭 분석은 기업이나 조직의 현재 GDPR 준수 상태를 정확히 평가하는 것으로, 이 작업은 GDPR 준수 프로그램의 범위의 식별과 목표에 도달하기 위해 실행해야 하는 핵심 조치들을 식별하는 데 도움을 줌


ISFGDPR 구현 가이드에서, GDPR 준수 갭 분석을 통해 식별한 과제를 해결하기 위한 우선순위를 결정할 때 고려해야 할 4가지 요소를 다음과 같이 제안하고 있음


[2] GDPR 준수를 위한 기업의 실행 우선순위 결정시 주요 고려 요소

위험성이 높을 것으로 보이는 개인 데이터 처리(예를 들면, 개인 데이터의 특별 카테고리, 전과 경력이나 범죄에 관련된 데이터, 아동과 관련한 개인 데이터 등)

감독 기관이 대규모 페널티를 부과할 수 있는 특정 분야에서의 위반 사항

긴 시간을 필요로 하는 수정(예를 들어, 시스템 개발이 반드시 필요하고, 새로운 IT 서비스가 구비되어야 하고, 상당한 변화가 구현되어야 가능한 수정)

기업이나 조직의 위험 수용범위(risk appetite)를 벗어나는 관행들

<자료> ISF GDPR Implementation Guide, IITP 정리


GDPR 요구사항의 대부분은 오랜 시간동안 논의되어 온 것이므로 가장 주의 깊게 볼 부분은 새롭게 등장한 요구사항인데, 대표적인 것이 개인 데이터 처리 인벤토리(inventory)’


딜로이트 컨설팅은 GDPR 중에는 오래 전부터 적용되어 온 내용도 많다는 점을 지적하며 GDPR의 전신인 ‘1995EU 데이터 보호 지침을 기반으로 발전시켜 오다, 보호 지침을 대체하기에 이른 것이라 보고 있음


따라서 딜로이트는 이전 보호 지침에 없었던 새로운 요구사항에 주목하는데, 기업이 가장 크게 우려해야 할 내용으로 개인 데이터 처리 인벤토리를 꼽고 있음


인벤토리에는 기업이 EU 시민으로부터 모은 모든 정보, 그것을 어떻게 사용했는지, 누구와 공유했는지, 어떻게 전송했는지, 어떻게 보호하고 있는지가 모두 기록되어야 함


또한, 데이터 이동성(portability) 및 제거에 대한 요구사항도 큰 위험요소인데, EU 시민의 요구가 있다면 기업은 의무적으로 자신들이 보유하고 있는 그 시민에 관한 모든 개인 데이터를 하나의 데이터 파일로 생성해야만 함


이 파일은 다른 주체에 양도 가능해야 하고, 요청이 있을 경우에는 그 시민의 개인 정보 일체를 제거

할 수 있어야 하는데, 여기에는 서비스 이용자뿐 아니라 기업 및 조직의 직원 데이터도 포함됨


, 직원 한 명이 회사에 대하여, 회사가 자신에 대해 어떤 데이터를 보유하고 있는지를 물어보고, 그 데이터의 삭제를 요청하며, 삭제했다는 증거를 보여 달라고 할 때 기업은 이에 응해야 할 의무가 있다는 것임


이러한 상황을 종합해볼 때, 딜로이트 컨설팅은 기업의 CIO와 최고 정보보안책임자(CSO)GDPR 준수를 위해 고려해야 할 4가지 핵심 사항으로 다음의 4가지를 제시하고 있음


[3] GDPR 준수를 위한 IT 설계시 CIOCSO가 고려해야 할 요소

핵심 고려요소

내용

개인 정보 처리 인벤토리

기업이나 조직이 필요로 하는 데이터의 대부분은 구조화 및 비구조화된 데이터 저장소에 보관되어 있으므로, IT 부서는 이러한 데이터가 어디에 있는지 목록화를 하는데 핵심 역할을 수행할 수 있어야 함

써드파티 위험 관리 프로그램

정보보호 기능이 써드파티의 보안 평가를 받아들이는 데 양호한 프로세스를 갖추고 있지 못한 상태라면 서둘러 대응할 필요가 있음

데이터 이동성과 제거

CIO는 이 요구사항을 어느 정도 높은 수준까지 채택할 것인지 생각할 필요가 있는데, 대부분의 기업이 수백 개는 아니더라도 수십 개의 개인 데이터 저장소를 가지고 있기 때문임

CIO는 개인 정보 이동 및 제거에 대한 요청을 접수하고, 그러한 요청을 수용하며, 각 개인에 대응할 수 있는 절차를 문서화할 수 있어야 함

수준의 문제는 또 하나가 있는데, 모든 산재한 데이터 소스로부터 단일 파일을 생성하거나 서로 다른 소스에 있는 정보를 모두 삭제할 수 있는 기능의 구현을 위해 어느 정도 수준의 기술적 수단을 도입할 것인지를 결정해야 함

개인정보보호를 위한 시스템 설계

CIOIT 변경 관리 프로세스가 시스템 설계에 의해 개인정보보호가 구현될 것임을 확신시켜 줄 수 있는 절차를 확실히 포함하도록 대응할 필요가 있으며, 여기에는 데이터 보호 영향 평가도 포함됨

<자료> CIO, IITP 정리

 


한편 GDPR은 일견 사람과 무관해 보이는 IoT(사물인터넷) 서비스와도 매우 깊은 관계가 있기 때문에, 이 분야 사업을 준비하는 기업들도 면밀한 검토와 대응을 할 필요가 있음


앞서 살펴보았듯 GDPR은 다양한 장면에서 발생할 수 있는 개인정보 데이터를 보호하는 데 목적이 있으므로, 사람을 직접 대상으로 하지 않는 비즈니스를 영위하는 기업이라도 자신들의 데이터가 개인정보와 연관될 관련성에 대한 검토가 필요함


전문가들은 스마트홈 등 가정에서의 IoT 서비스는 결국 일상생활의 편리함을 목적으로 하는 것이며, 이 편의성은 어느 정도 개인정보 공여를 전제로 하기 때문에 IoT는 본질적으로 GDPR의 주요 대상이 될 가능성이 아주 높다고 보고 있음


또한 개인정보 데이터와 무관하더라도 IoT 데이터의 분석을 통해 얼마든지 개인정보를 유추할 수 있는 가능성이 있기 때문에, 기본적으로 사업을 하려면 GDPR 규정은 무조건 준수해야 한다는 입장을 견지하는 것이 필요할 수 있다고 조언하고 있음


개인정보와 무관한 IoT 데이터가 GDPR을 위반할 가능성이 발생할 수 있는 대표적인 예로는 스마트 미터( smart meter) 서비스가 꼽힘


현재 전력, 가스, 수도 등의 공급 회사들은 스마트 미터를 통해 이용자의 사용량을 측정하여 네트워크를 통해 기업에 전송하고 있는데, 스웨덴이나 이탈리아 등에서는 스마트 미터가 주택의 100% 가까이 보급되어 있음


스마트 미터를 설치하면 이용자와 기업 모두 아무것도 할 필요가 없는데, 이용자는 스마트폰 앱으로 사용량을 실시간으로 확인할 수 있고, 기업은 조사원을 보낼 필요가 없으며 요금이 자동으로 계산되어 청구서를 보내고 받을 수 있음


그런데 스마트 미터는 주택과 연결되어 있고, 따라서 주택 거주자의 데이터와 연결될 수밖에 없는데, 자동화 서비스가 작동하려면 기업의 빌링 시스템에서 관리하는 개인 데이터와 스마트 미터로 계측한 데이터가 상호 연결되어 있어야 함


따라서 만일 대시보드가 해킹 당한다면 중대한 개인 정보가 누출될 수 있는데, 가령 여느 때는 전기와 가스 사용량이 많은 집에서 사용량이 확 줄어든 현상이 나타난다면, 여행 등을 갔기 때문에 집에 부재중일 것이란 사실을 쉽게 짐작할 수 있게 됨


집을 비운다는 사실은 개인에게는 아주 기밀에 해당하는 것이지만, 결과적으로 스마트 미터 데이터를 통해 손쉽게 빈집털이 피해를 당할 가능성이 생길 수 있는 것임


만일 이런 상황이 발생한다면 영락없이 범죄에 악용될 소지가 있는 프라이버시 침해이기 때문에 GDPR과 무관할 수 없게 되는데, 유럽에서 빠르게 보급되고 있는 스마트 미터는 절대적으로 GDPR 준수 의무를 지켜야 할 IoT 사업 분야라 할 수 있음


스마트 미터의 사례는 사용자의 주행기록을 통해 운전자의 취미와 취향, 경우에 따라서는 종교와 같이 개인 데이터의 특별 카테고리 정보까지 높은 확률로 추측할 수 있는 커넥티드 카에도 해당되는 것이며, AI 스피커 서비스 등에도 해당될 수 있는 것임


아마존의 경우 AI 가상비서 알렉사의 개인정보보호 설정 기능을 두고 있지만, 트레이드-오프 관계에 있는 프라이버시와 기능성 사이에서 GDPR을 어떻게 준수해 나갈 지에 대한 새로운 고민을 부여받고 있음


<자료> Paul Coulton

[그림 2] 아마존 알렉사의 프라이버시 설정


이렇듯 GDPR이 비즈니스에 상당한 위험요인인 것은 사실이나, 어차피 준수해야만 하는 상황이므로, 데이터 관리 개선의 전기로 삼아 신속한 대응에 나설 것이 요구되고 있음


IBM517일 발표한 자체 조사 결과에 따르면 전세계 기업의 약 60%GDPR을 단순히 규정 준수의 문제나 위험 요소로 보지 않고, 개인정보 및 보안 데이터 관리를 개선 할 수 있는 기회, 혹은 새로운 비즈니스 모델의 기폭제로 파악하고 있음


이번 조사는 IBM20182월부터 4월에 걸쳐 34개국 15개 산업에 속하는 1,500개 기업의 최고 개인정보보호 책임자 및 최고 데이터 책임자, 법률 고문, 최고 정보보안 책임자, 정보보호 담당자 등을 대상으로 실시하였음


조사 결과 발효일인 525일까지 GDPR을 완전히 준수할 수 있다고 생각하는 응답자는 전체의 36%에 그쳤지만, 84%의 응답자는 GDPR 준수가 소비자에게 플러스 요인이 될 것이라 생각하고 있음


또한 76%의 응답자는 GDPR 의해 데이터 보호와 관련해 개인과 기업간 신뢰 관계 강화가 가능하다고 답변했으며, 많은 기업이 관리하는 데이터의 양을 전체적으로 감소시킬 기회로 GDPR을 활용하고 싶어 한다는 점도 드러났음


70% 이상의 응답자는 보유 중인 개인 데이터의 양을 줄이거나 개인 데이터에 접근할 수 있는 권한을 가진 사람의 수를 줄이거나, 필요 없는 데이터를 폐기하겠다고 밝혔으며, GDPR의 시행을 기다리지 않고 수집·관리하는 데이터의 범위를 줄이겠다는 기업도 다수 있었음


이는 그 동안 마케팅과 영업, 광고 비즈니스 등을 위해 기업들이 최대한 많은 고객 데이터의 확보를 위해 갖은 애를 썼지만, 이러한 관행은 최소한 기업의 IT 부서와 보안 부서에는 적잖은 업무 부담이었음을 시사함


기업들에게 GDPR 준수 의무는 현재 비즈니스 관행에 비추어 과도하게 느껴질 수 있겠으나, 규정의 발효 배경이 바로 그간 비즈니스 관행에 의해 피해를 호소한 시민들의 요구를 배경으로 한 것임을 감안할 때 기업들로서도 재정비 시간을 마련할 필요가 있음


그 간의 관행이 소비자뿐 아니라 기업 내부적으로도 상당한 부담을 야기하고 있었다면 개선의 전기를 마련하는 것이 당연하며, 또한 AIIoT, 자율주행차 등 미래 산업이 제대로 꽃피우게 하기 위해서라도 GDPR에 능동적으로 대응해 나갈 필요가 있음


※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1842호(2018. 4. 18. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

페이스북 사태의 배후, 사람보다 정확한 컴퓨터의 성격 판단 기술.pdf



[ 요 약 ]


소비자 분석 기술 제공기업인 케임브리지 애널리티카가 페이스북 앱을 이용해 얻어진 5천만 명 이상의 개인정보를 분석해 타깃층에 가짜뉴스를 유포하는 등 세계 각국의 선거전에 개입했다는 의혹이 제기되는 가운데이러한 과정을 합법적으로 허용한 페이스북에 대해 강력한 사회적 비판이 가해지고 있음페이스북에 최대 위기를 가져 온 이번 사태의 배경에는 좋아요 정보 등을 기계학습으로 분석해 사람의 성격을 정확히 판정해 내는 기술이 자리하고 있음



[ 본 문 ] 


ž 페이스북은 최근 이용자 개인정보를 부정하게 관리했다는 강한 의혹을 받고 있는데, 특히 미 대선에 영향을 미쳤을 가능성 때문에 정보 관리 책임을 엄격히 추궁당하고 있음


Ø 페이스북이 맞이하고 있는 창사 이래 최대의 위기는, 미 대선 당시 트럼프 캠프의 캠페인을 담당했던 데이터 분석 기업 케임브리지 애널리티카(Cambridge Analytica)가 페이스북 계정 5,000만 개의 개인 정보를 비밀리에 입수해 활용했다는 보도로부터 시작되었음


<자료> The Rush Limbaugh Show


[그림 1] 페이스북 고객 데이터 무단 접근 사태



Ø 보도에 따르면, 케임브리지 대학의 알렉산드르 코건 교수는 2014년에 디스이즈유어디지털라이프(thisisyourdigitallife)라는 페이스북 앱을 만들었는데, 간단한 심리 테스트에 참여하여 개인정보와 심리 상태에 정보를 제공하면 돈을 받을 수 있는 앱이었음


Ø 이 앱은 사용자뿐만 아니라 사용자의 친구 데이터까지 수집할 수 있었다고 하는데, 코간 교수는 앱을 통해 모은 고객 정보를 상업적 목적으로 활용할 수 없다는 페이스북 규정을 어기고 심리 테스트 결과로 획득한 데이터를 케임브리지 애널리티카에 판매하였음


Ø 앱 사용자는 약 27만 명이었으나 실제로 코간 교수가 데이터를 획득한 계정은 8,700만 개였고, 이를 사들인 케임브리지 애널리티카가 데이터를 분석해 고도로 표적화된 선거 캠페인을 전개했다는 것이 의혹의 골자임


Ø 페이스북이 2015년에 데이터의 삭제 요청을 했음에도 불구하고 2017년까지 여전히 삭제되지 않았다고 하는데, 이는 2016년 대선에서 이 데이터들의 분석 결과가 확실히 사용되었음을 의미함


Ø 보도 직후 파장이 커지자 페이스북은 자사 플랫폼 내에서 사용자 정보의 유용을 막기 위한 6가지 대책 방안을 발표하며 무마에 나섰지만, 대책 방안의 내용이 그 동안 데이터 관리가 얼마나 허술했는지를 반증하는 것이어서 사용자 반발이 쉬 사그러들지 않고 있음


Ø #deletefacebook이라는 해시태그와 함께 페이스북 계정 삭제 운동이 이어지고 있으며, 실제 일론 머스크가 테슬라와 스페이스X의 페이스북 페이지를 모두 삭제하는 등 ICT 업계 내부에서도 강한 비판이 쏟아지고 있음


ž 논란의 출발점이 된 케임브리지 애널리티카는 런던 소재 스타트업으로 데이터 사이언스 기법으로 소비자와 유권자의 성향을 파악하는 심지(心誌) 분석 기술을 개발하였음


Ø 케임브리지 애널리티카는 현재 두 개의 솔루션을 제공하고 있는데, 광고 마케팅 기업에게는 소비자를 대상으로 한 타깃 광고 도구를, 선거 관계자들에게는 유권자 성향을 분석하는 선거 도구를 제공하고 있음


Ø 이 기업은 페이스북의 개인 정보를 사들여 유권자의 정치 성향을 파악한 것으로 의심받고 있는데, 소비자와 유권자를 분석 할 때 Psychographic Analysis(심지 분석, 사이코그래프)'라는 기술을 사용한다고 함


<자료> Cubeyou


[그림 2] 사이코그래프의 예


Ø 사이코그래프(Psychograph)는 개성의 각 측면을 나타내는 몇 가지 항목을 선정해 특정 개인에 관해 그 항목마다 특성을 평가해 그래프로 나타낸 것으로 심지(心誌) 또는 인격 프로필이라 번역됨


Ø 케임브리지 애널리티카는 페이스북의 프로필 정보를 심지 분석 기술을 사용해 분석하여 각 이용자의 성격 특성을 도출했다는 것인데, 특히 이용자의 Like(좋아요) 버튼 클릭 정보를 토대로 성격을 파악할 수 있다고 함


ž 심지 분석 모델에 따르면 좋아요를 누르는 패턴과 개인의 성격 사이에 강한 상관관계가 있다고 하며, 이를 근거로 공화당과 민주당 지지자를 비교적 정확히 구분할 수 있다고 함


Ø 케임브리지 애널리티카가 사용한 심지 분석 모델의 알고리즘은 화가 살바도르 달리(Salvador Dalí)를 좋아하는 사람은 개방적인 성격으로, 조깅을 취미로 하는 사람은 꼼꼼한 성격으로 판정한다고 함


Ø 또한 애니메이션이나 만화를 좋아하는 사람은 사교성이 없다고 진단하는데, 이러한 개성 분류 정보는 선거에 응용할 수 있는 다양한 인사이트를 제공할 수 있음


Ø 이 심지 분석 모델은 공화당 지지자와 민주당 지지자를 정확하게 판정 할 수 있고, 공화당 지지자 중에서도 폐쇄적이며 사소한 일에 걱정이 많은 성격의 유권자를 식별함


Ø 알고리즘은 이 폐쇄적이고 기우가 심한 사람들의 그룹을 트럼프의 핵심 지지층으로 알려진 저학력 고령의 남성 공화당 지지자로 추정한다고 함


ž 케임브리지 애널리티카의 심지 분석 알고리즘은 컴퓨터 기반의 개성 판단 기법에 이론적 근거를 두고 있는데, 컴퓨터의 판단이 사람의 판단보다 정확하다고 보고 있음


Ø 심지 분석 기법의 기반이 되는 이론은 케임브리지 대학 심리학과와 스탠퍼드 대학 컴퓨터 공학과 연구팀이 공동으로 개발하였음


Ø 이 이론을 이용자의 성격이 5가지 요소, Openness(개방성), Conscientiousness(양심), Extraversion(외향성), Agreeableness(어울림), Neuroticism(노이로제)로 구성되어 있다고 보며, 이들 요소가 어떤 비중으로 구성되느냐에 따라 사람의 성격이 결정된다고 봄


Ø 양 대학은 사이코그래프 분석에 대한 논문 Computer-based personality judgments are more accurate than those made by humans(컴퓨터 기반의 개성 판단이 사람의 판단보다 정확하다)를 통해 자신들이 연구한 기술 내용에 대해 발표하였음

Computer-based personality judgments are more accurate than those made by human.pdf



Ø 이들은 방법은 두 단계로 이루어지는데, 우선 70,520 명의 피험자를 대상으로 Personality Test(성격 진단 테스트)를 실행해 성격을 판정하며, 성격은 앞서 언급한 5가지 요소로 구성되며, Personality Test에 의해 5개 요소의 가중치가 결정됨


Ø 다음으로 피험자의 페이스북 개인 프로필 정보를 참조하는데, 좋아요 버튼을 누른 대상이 무엇인지(: Running, Ford Explorer, Barak Obama )를 파악하여 피험자가 어떤 항목에 관심을 나타내고 있는지를 식별하려 하였음


Ø 연구팀은 필요한 개인 정보를 수집하기 위해 myPersonality라는 앱을 개발했는데, 이용자가 이 앱으로 Personality Test를 해볼 수 있게 하는 대신, 이용자의 허락 하에 또한 학술 연구만을 위해 이용된다는 조건 하에 좋아요를 눌렀을 때 그 정보가 수집되도록 하였음


Ø Personality Test좋아요 클릭 정보가 모이고 나며, 데이터 간의 관련성을 선형회귀분석(Linear Regression) 기법으로 도출하였음


Ø 성격과 좋아요 클릭 사이의 관련성을 정의하는 변수를 도출한 것인데, 가령 외향성이 강한 사람은 Running, Ford Explorer, Barak Obama 등의 항목을 각각 어떤 패턴으로 좋아하는지를 추정하였음


Ø 이런 과정을 통해 나온 결정 모델을 이용해 실제 판정을 실시했는데, Personality Test를 받지 않은 피험자라도, 좋아요를 누른 정보를 이 모델에 입력하기만 하면 개인의 성격을 판정하도록 하였음


Ø 판정 결과는 위의 5 가지 구성 요소가 각각 어떤 비율인지를 추정하는데, 이 모델은 좋아요 클릭 정보 만으로 그 사람의 성격을 추정할 수 있음을 제시하였고, 그 판정이 사람이 직접 성격을 판정하는 것보다 정확하다고 주장한 점에서 주목을 받았음


<자료> Michal Kosinski et al.


[그림 3] 페이스북 좋아요 누르기 정보로 성격을 파악하는 심지 분석 기법


ž 케임브리지 애널리티카는 미국 대선을 앞두고 새로운 선거 캠페인 모델을 개발하고자 했으며, 두 대학이 심지 분석 기술과 유사한 기법으로 모델을 개발하였음


Ø 당초 케임브리지 애널리티카는 좋아요 심지 분석 기술을 개발한 케임브리지 대학 연구팀에 협조를 요청했으나 이루어지지 못했고, 대신 이 연구에 정통한 같은 대학의 알렉산드르 코건 교수에 도움을 요청했고, 코건은 동일한 방법에 기반한 모델을 개발하였음


Ø 코건 교수는 위에서 소개한 두 대학 연구팀의 myPersonality 앱을 모방한 성격 진단 테스트 앱으로 thisisyourdigitallife를 개발했으며, 페이스북 이용자 27만 명이 이를 이용했음


Ø 이용자는 이 앱을 통해 자신의 성격을 알 수 있었으며 소정의 돈도 받았으나, 동시에 앱이 개인 정보에 접근하는 것을 허용해 프로필 데이터가 수집되도록 하였음


Ø 또한 이 앱이 사용자의 친구의 프로필 정보에 접근하도록 요청했기 때문에, 코건 교수는 5천만 명 분의 개인 정보를 입수할 수 있었고, 이들 데이터에 대상으로 심지 분석을 수행하였으며 3천만 명의 성격을 추정하였음


Ø 코건 교수는 이렇게 분석한 정보를 케임브리지 애널리티카에 판매한 것인데, 2014년 당시 페이스북은 이용자의 허가를 획득하면 제삼자가 개인 정보를 수집하는 행위는 인정했으나, 그렇게 수집한 정보를 다시 다른 사람에게 넘기는 것은 금지하고 있었음


Ø 이 부분이 문제의 핵심으로 케임브리지 애널리티카는 페이스북의 규정을 위반하며 개인 정보를 부정하게 입수한 것인데, 자신들은 몰랐다고 부정하고 있지만 애초 코건 교수에게 도움을 요청해 시작된 일이기 때문에, 영국 정부는 데이터 남용 혐의로 수사에 착수했음


ž 케임브리지 애널리티카에 전달된 개인 정보가 어떤 식으로 사용되었는지 정확히 조사 결과는 아직 발표되지 않았지만, 가짜뉴스 발송에 적용했다는 내부 증언이 나오고 있음


Ø 선거용 분석 도구를 제공하고 있는 기업이기 때문에 사이코그래프를 선거전에 적용하려 했음은 불문가지인데, 좋아요 누르기 정보를 통해 유권자의 성격과 정치적 성향을 파악할 수 있다면 고도로 타게팅이 가능한 최적의 캠페인을 전개 할 수 있기 때문


Ø 그러나 케임브리지 애널리티카의 전 직원 크리스 와일리가 영국 의회 청문회에 출석해 이 분석 모델을 미국 대통령 선거에 어떻게 적용했는지에 대해 증언한 내용은 가히 충격적인데, 일반적인 선거 캠페인의 목적을 넘어서 사용했음을 폭로하고 있음


Ø 증언에 따르면 케임브리지 애널리티카는 유권자의 심리적, 정신적인 취약점을 찾아낼 목적으로 이 분석 모델을 사용했으며, 또한 그 약점을 자극하는 가짜 뉴스를 타깃 전송함으로써 유권자를 특정 방향으로 경도되게 하고 트럼프 후보에 투표하도록 독려했다고 함


<자료> CNN


[그림 4] 전 직원 크리스 와일리의 폭로


Ø 크리스 와일리 본인은 이 심지 분석 모델을 운용하는 과정에는 관여하지 않았으며 실제 어떤 식으로 전개되었는지는 알 수 없다고 말해, 이 부분은 정확한 진상 조사 결과가 나와야 확인할 수 있지만 증언 대로라면 불법 선거운동에 활용된 것이라는 말이 됨


Ø 이런 의혹에 대해 심지 분석은 특별한 것이 아니고, 소비자의 특성을 파악하여 최적의 광고 메시지가 전달할 수 있다는 가능성 때문에 이미 타깃 광고에서 많이 사용되고 있으며, 넷플릭스 등은 시청자가 선호하는 영화 추천에도 이 모델을 사용한다는 반론도 있음


Ø 또한 선거 전문가들일수록 유권자의 마음을 움직이는 것은 어려운 일이기 때문에 심지 분석 기술이 유권자에게 얼마나 영향을 미치는지는 의문이며, 케임브리지 애널리티카가 대통령 선거에 실제 미친 영향은 제한적이었을 것이라는 견해를 내놓고 있음


Ø 그러나 실제 목적을 달성하지 못했거나 영향력이 작다고 해서 불법적인 시도를 용인할 수는 없는 것이며, 심지 분석을 페이스북의 최대 폐해 중 하나로 지적되고 있는 가짜뉴스 유통에 이용하려 했다는 점 만으로도 케임브리지 애널리티카는 비난을 면치 못하고 있음


ž 케임브리지 애널리티카에 대한 비난은 미국뿐 아니라 영국, 프랑스 등 다른 나라에서도 거세게 일고 있는데, 주로 극우파에 유권자 분석 도구를 제공했다는 의혹을 사고 있음


Ø 크리스 와일리의 폭로 이후 영국 고등법원은 케임브리지 애널리티카에 대한 수색 영장을 발부해 압수 수색을 했는데, 케임브리지 애널리티카가 2016년 브렉시트(영국의 EU 탈퇴) 국민투표 여론전에도 관여했다는 추가 폭로가 나왔기 때문


Ø 추가 폭로의 근거로 제시된 것은 케임브리지가 애널리티카가 작성한 문서로 EU 탈퇴 국민투표를 위한 빅데이터 솔루션이라는 제목을 달고 있으며, 유권자, 정치인, 언론인들 중에 브렉시트 찬성자가 누군지 구분해 낼 수 있다는 내용을 담고 있음


Ø 케임브리지 애널리티카는 즉각 브렉시트 투표 과정에서 부정한 일을 하지 않았다고 부인했지만, 투표 결과가 예상 외로 탈퇴 찬성이 4% 포인트 더 높게 나왔기 때문에, 탈퇴 반대 진영에서는 가짜뉴스 등에 의한 여론이 호도되었을 가능성을 강하게 의심하고 있음


Ø 한편 케임브리지 애널리티카는 브렉시트 외에도 프랑스의 극우정당인 민족전선의 마린 르펜의 선거 운동에도 관여한 것으로 알려지고 있으며, 4월 초에는 나이지리아 정부가 2015년 자국 선거에 개입한 협의로 케임브리지 애널리티카에 대한 조사를 시작하였음


Ø 케임브리지 애널리티카가 미국 대선을 비롯 여러 나라의 선거에서 극우파의 여론전을 지원한 것 아니냐는 의혹이 나오고 있는 배경에는 이 기업과 관련된 인사들이 주로 극우적 성향을 가지고 있고 서로 연관이 되어 있기 때문임


Ø 케임브리지 애널리티카에는 트럼프 대통령의 후원자이자 헤지펀드 억만장자인 로버트 머서가 1,500만 달러를 투자했는데, 이는 이 기업 지분의 90%에 해당하는 것임


Ø 한편 전 백악관 고문으로 트럼프의 오른팔로 불렸던 스티브 배넌 역시 케임브리지 애널리티카의 부사장을 맡은 바 있으며, 이 기업에 의해 벌어진 여론 조작 과정의 배후로 지목되고 있음


Ø 스티브 배넌은 영국의 브렉시트를 주도한 애런 뱅크스와 관련을 맺고 있는 것으로 알려져 있으며, 브렉시트 선거를 앞두고 벌어진 각종 토론회에서 케임브리지 애널리티카는 애런 뱅크스와 자리를 함께 한 바 있음


Ø 이런 배경 때문에 케임브리지 애널리티카 스캔들은 단순히 페이스북의 이용자 정보를 불법적으로 획득해 선거 캠페인에 이용했다는 차원의 문제가 아니라, 극우 정치세력의 여론 조작이라는 의혹을 받고 있으며, 진상 조사 결과에 국제적 관심이 쏠리고 있는 것임


<자료> The Guardian


[그림 5] 미 대선과 브렉시트 선거의 연결



ž 한편 케임브리지 애널리티카의 불법 행위 유무와 관계없이 페이스북은 이번 사태의 본질적인 원인 제공자로 개인 데이터 관리의 책임을 엄격하게 추궁당하고 있음


Ø 사태가 터지고 난 후 페이스북은 정보 유출 사실을 부인하다가 문제가 커지자 유출 사실을 인정하고 조치를 취하겠다고 발표함으로써 화를 키웠다는 비판을 받고 있음


Ø 페이스북은 현재 일련의 개인정보보호 대응을 진행하고 있으며, 지금까지 20개 화면에 분산되어 있던 개인 정보 설정을 하나의 화면으로 통합하여 프로필 설정 방식을 알기 쉽게 했고 정보 관리를 용이하게 하였음


Ø 또한 제삼자가 생성하는 분석 데이터의 제공도 중단시켰는데, 데이터 분석 기업인 Experian(익스피리언) Acxiom(액시엄) 등은 오프라인 데이터를 분석하여 이를 광고주에게 제공하고 있었는데, 이를 중단한다고 발표하였음


Ø 이번 사태에서 이용자들이 가장 크게 충격을 받은 것은 페이스북의 서드파티 앱이 이용자 프로필뿐 아니라 그 친구들의 정보까지 접근할 수 있었다는 것이고, 놀랍게도 이런 정보 수집은 당시 페이스북의 서드파티 앱 이용 정책 하에 허용되는 행위였다는 사실임


Ø 또한 플랫폼 운영업체들이 그 어느 때보다도 데이터 보호의 중요성을 외치고 있음에도 불구하고, 평균적인 데이터 유출 사건의 규모와 영향력은 점점 커지고 있는데, 5천만 명의 데이터가 유출된 이번 페이스북 사태는 이러한 경향성을 다시 한번 확인해 주었음


ž 사실 이런 문제는 페이스북을 포함해 모든 플랫폼 업체가 안고 있는 근본적인 딜레마에서 비롯되기 때문에 어쩔 수 없는 측면이 있고 또한 근원적 해결도 쉽지 않음


Ø 모든 플랫폼들은 사용자들의 데이터를 보호해야 한다는 의무와, 이 데이터를 이용해 돈을 벌고자 하는 욕망 사이의 충돌에서 외줄타기를 할 수밖에 없음


Ø 페이스북을 비롯한 플랫폼들의 자산은 이용자 기반, 다시 말해 사용자 데이터이며 플랫폼은 이 데이터를 서드파티 개발자들에게 어떻게든 홍보를 해야만 하는 입장에 있음


Ø 사용자 데이터를 서드파티 앱에서 사용하도록 제공한다면, 더 많은 개발자들이 자신들의 플랫폼을 이용하게 될 것이고, 플랫폼의 영향력은 더욱 커질 것이며, 개별 사용자들의 성향에 맞춘 광고를 게재함으로써 더 높은 수익을 얻을 수 있기 때문임


Ø 페이스북이 이용자들의 비난이 원체 거세자 우선 모면을 위해 서드파티 앱의 접속을 제한하고 있지만, 한 켠에서는 이런 조치가 기업 마케터들과 개발자에게 치명적이며 페이스북의 마케팅 가치를 하락시킬 것이라는 전망이 나오는 것은 이런 이유에서임


Ø 따라서 이번 페이스북의 조치들을 통해 사용자들의 데이터가 안전하게 보호될 수 있을 것이란 기대는 섣불리 할 수 없으며, 사용자의 데이터를 보다 교묘하게 이용할 수 있는 새로운 방법이 마련될 것이라 보는 것이 보다 현실에 가까운 전망일 것임


ž 그러나 페이스북 사태의 파장이 원체 큰 탓에 당분간은 GDPR 등 데이터 보호가 강조될 것으로 전망되며, 반면 개인 데이터=이라는 사실도 보다 명확해질 것으로 보임


Ø 대규모 개인 데이터 유출 사태가 터지자 소비자들의 사생활을 보호받을 권리에 관해 명쾌한 기준을 제시하고 있는 유럽연합의 GDPR(General Data Protection Regulation, 보편적 데이터 보호 규제) 등이 해결책으로 제시되고 있음


Ø GDPR은 올해 5 25일부터 시행되는 EU의 정보보호 규약으로, 규제 내용 가운데 가장 널리 알려진 것은 잊힐 권리(the right to be forgotten)'


Ø EU와 관계를 맺고 있는 전 세계 모든 기업은 EU의 사용자가 자신의 데이터를 삭제해 달라고 요구하면 이에 응해야 하며, 사용자는 자신의 데이터를 널리 이용되는 기기에 의해 판독이 가능한 형식으로 인도받을 수도 있음


Ø 페이스북의 서드파티 앱 제한이 지속되고, GDPR(General Data Protection Regulation, 보편적 데이터 보호 규제) 등이 강화된다면, 현재 사용하는 앱이 제대로 작동하지 않을 것이기 때문에 마케터들과 개발자들은 물론 이용자들의 불만의 목소리도 나올 가능성이 있음


Ø 그러나 데이터 보호 전문가들은 불편함을 감수하고서라도 사용자들이 제로 트러스트(zero trust), 즉 모든 정보에 대한 접속을 차단한 상태에서 앱의 정보 수집 메커니즘을 정확히 살펴보고, 안전하고 필요한 경우에만 접속을 허용하는 훈련을 해야 한다고 조언하고 있음


Ø 한편 GDPR과 같은 규정의 강화되고, 제로 트러스트에서 시작하는 소비자들은 많아 진다면, 소비자들의 데이터가 곧 돈이라는 것이 보다 명확해지며, 돈으로 개인 데이터를 사는 것이 보편화될 가능성도 있음


Ø 지금은 익명의 빅데이터 분석이라는 논리 하에 불특정 다수의 데이터가 수집되는 경우도 많지만, 이런 경우에도 비용을 지급하는 관행이 마련되고, 비용 지급을 중개하는 에이전트들의 출현하는 것도 예상해 볼 수 있음