검사들이 구글을 기소했다. 사용자들의 데이터와 관련하여 구글의 일부 사업 행위가 잘못됐다는 것이 이들의 주장이다. 구글이 정말 나쁘고 비도덕적인 기업일까? 일부 전문가들은 현재 이뤄지고 있는 데이터 프라이버시 관련 소송들의 핵심은 나쁜 놈과 착한 놈을 가려내는 것이 아니라고 주장한다.

[보안뉴스 문가용 기자] 데이터 프라이버시 주간, 워싱턴 주의 검사들은 구글에 대한 기소장을 작성해 법원에 제출했다. 사용자의 위치 이력을 불합리한 방법으로 추적했다는 것이 그 이유다. 위치 이력 데이터와 관련된 설정 사항들이 사용자 프라이버시와 관련하여 실제로는 어떤 식으로 작동하는지, 데이터 수집 및 활용에 관하여 일반 대중들은 어떻게 이해하고 있는지, 이러한 데이터들이 애플리케이션들 내에서는 어떻게 활용되는지와 같은 문제들이 다뤄졌다. 구글은 적극 변호에 나서겠다고 예고했다.


데이터 프라이버시와 관련하여 나온 법정싸움으로서 이는 첫 사건도 아니고 마지막 사건도 아닐 것이다. 당연하지만 뚜렷한 결론이 난 것도 아니고, 이런 사건들이 쌓이고 쌓여야만 데이터 프라이버시에 관한 규정과 정서가 규정될 것이다. 그래서 사용자 데이터를 사업적으로 사용하는 업체들은 이런 사건들에 촉각을 곤두세우고 있으며, 소비자들은 자신들의 데이터 소유권의 범위가 어디까지인지가 늘 궁금하여 이 재판의 결과를 기다리고 있다.

가장 큰 적은 모호함이다
데이터 프라이버시란 이런 것이다,라는 정의가 점점 더 명확해져가는 이 때에 많은 사람들이 요구하는 건 투명성이다. 웹 프라이버시 관리 솔루션 업체인 록커(Lokker)의 CCO 제레미 바넷(Jeremy Barnett)은 이번 사건에 대하여 “검사들이 말하고 싶은 건 기술 기업들의 데이터 활용과 처리 문제가 불투명하며, 그래서 신뢰하기 힘들다는 점이라고 생각한다”고 말한다.

심지어 데이터 캡처와 활용에 관한 용어도 제대로 정의되지 않고 있으며 제각각의 의미로 이 사람 저 사람이 사용한다. 관련 어휘에 대한 사회적 합의는커녕 전문가들 사이에서조차 의견이 분분할 때가 많다. “그래서 현재 입법자들은 데이터 프라이버시와 관련된 언어에 집중하고 있는 모습을 보여주고 있습니다. 현재의 용어들만 사용해서는 일반인들에게 오히려 혼동을 가져다줍니다.” 바넷의 설명이다.

“정책들이 어떻게 작성되어 있는지, 사용된 용어가 정확히 무슨 뜻인지가 좀 더 명확해져야 할 자리들이 분명히 존재하며, 이 자리들은 기업들이 앞장서서 해결하고 차지해야 합니다. 정책 입안자들이 아 역할을 먼저 하게 될 경우 기업들이 그것에 맞춰가야 할 것이고, 그리 자연스러운 행보가 되지는 않을 겁니다.” 바넷의 설명이다. “어떤 정보가 수집되고, 얼마나 오랫동안 보관될 것이며, 어떤 목적으로 사용될 것인지를 기업이 고객들에게 투명하게 알려줘야합니다. 사실 현재까지 벌어진 거의 모든 프라이버시 관련 법정 공방이 이 문제를 다루고 있습니다.”

하지만 이는 용어 몇 가지의 정립만으로 해결될 일이 아니다. 근본적으로 인터넷과 모바일 생태계가 그 동안 발전해온 양상들 때문에 우리가 사용하는 디지털 인프라는 매우 복잡한 층들로 이뤄져 있으며, 그렇기 때문에 장막 너머에 얼마나 많은 사람들이 나의 정보를 들여다보고 있는지를 명확히 이해하는 건 대단히 어려운 일이다. “온라인 소비자들은 대단히 많은 업체들과 사업 관계를 맺고 있습니다. 다만 그걸 인지하기 어려운 것이 현재 인터넷의 구조입니다.” 바넷의 설명이다.

지켜야할 것이 너무 많아
사실은 하나의 데이터 처리 문제인데, 여러 조직과 단체들이 다각도로 소송을 걸 때도 있다. 같은 건이 다량의 재판 건수를 만드는 것인데, 이는 데이터 보호 관련 법적 정리를 더 어렵게 만든다. 일각에서는 이 부분의 교통정리가 선행될 필요가 있다고 주장하기도 한다. 선례를 국가 차원에서 만들어 혼선과 행정력 낭비를 막자는 것이다. “지난 몇 년 동안 세 개의 주에서 통합적이고 포괄적인 데이터 프라이버시 법안을 통과시켰습니다. 다른 주들에서는 조금 더 범위가 좁은, 특정 상황에 대한 규정들이 시행되기 시작했고요.” ITIF의 부회장 다니엘 카스트로(Daniel Castro)의 설명이다.

참고로 ITIF는 과학 기술의 공공 정책 분야에 집중하고 있는 싱크탱크 중 하나다. 국립자선기금(National Philanthropic Trust), 에너지혁신기금(Energy Innovation Fund), IBM, 구글, 마이크로소프트, 오라클 등의 조직들로 구성되어 있다. 카스트로는 “지난 수년 동안 과학 기술과 관련된 법안들 역시 현재의 데이터 프라이버시 정책과 비슷한 수순으로 마련됐다”고 말한다. “여기 저기서 서로 독립된 법들이 나오고, 시간이 지나면서 서로를 참고해 개정되고, 연방 정부가 나서서 국가 전체의 규정이 생깁니다. 이 과정 동안 기업들은 대단히 많은 법들을 연구 분석하고 준수해야 하는 상황에 부딛히게 됩니다.”

카스트로는 이번 대 구글 고소 사건에 대하여 다음과 같은 견해를 가지고 있다. “결국 법원이 묻고자 하는 건 그 동안 구글이 어떤 식으로 데이터 활용과 처리 문제를 소비자들에게 알려왔느냐 하는 겁니다. 소비자 스스로가 프라이버시 설정을 하고 데이터에 대한 제어권을 발휘할 수 있도록 여건을 마련했느냐는 것이죠. 프라이버시 법들이 다양한만큼 관련 입법자들이 바라는 소통의 방법들이 있어요. 그 모든 것을 충족시키는 것이 지금 기업들이 해결해야할 당면과제입니다.”

카스트로는 이러한 현재의 상황이 기업들에 상당한 압박으로 작용할 것이라고 말한다. “물론 기업들이 데이터와 관련된 사업을 운영하는 데에 있어 한 번 더 생각하게 하는 효과는 있을 겁니다. 다만 그것이 실제 소비자 데이터 프라이버시 보호 강화라는 결과를 이끌어낼 것인지는 아무도 확신할 수 없습니다. 긍정적인 효과 없이 기업 활동만 억제하게 될 수도 있습니다. 결국 기업들과 소비자 모두가 명확히 이해하고 수긍할만한 규정들이 나와야 할 것입니다. 그것을 위해 지금의 과정들이 필요할 수 있습니다.”

지속되는 마찰
이번 구글 사건에서 다시 한 번 드러난 건 상업적 이윤 추구와 데이터 소유권의 관계성이다. “사업 행위로서 데이터를 사용할 때의 리스트가 기업들 입장에서는 점점 커지고 있다는 것이 이번 기소를 통해 확인되고 있습니다. 과거 캠브리지 애널리티카(Cambridge Analytica) 사건과는 전혀 성격이 다른 사건인데도 말이죠. 적어도 이번 사건에서 구글은 사용자들을 속이고 정보를 수집하지는 않았습니다. 온 세상에 공개한 사업 행위를 했을 뿐이죠. 그런데도 데이터 프라이버시 관련 기소가 시작됐다는 것만으로 구글은 이미 악의 축이 되고 있습니다. 데이터를 가지고 사업을 한다는 게 어마어마한 위험성을 내포합니다.”

게다가 어떤 면에서는 입법자들과 기업들 사이에 도저히 좁힐 수 없는 간극이 있는 것처럼 보이기도 한다. “예를 들어 입법자들은 데이터 공유를 어느 플랫폼에서건 옵트인으로 할 수 있도록 만들고 싶어 합니다. 즉 사용자가 능동적으로 동의를 해야만 데이터를 플랫폼 업자에게 넘기도록 시스템을 바꾸고 싶어 한다는 겁니다. 동의하지 않더라도 모든 서비스를 그대로 누릴 수 있으면서 말이죠. 하지만 현실적으로 이를 가능하게 만들 수 있는 업체는 거의 없습니다. 이미 갖춰진 사업 모델 혹은 수입 모델이 사용자들의 옵트인이나 옵트아웃과 호환이 되지 않거나, 정보 없이 서비스를 정상적으로 가동시키는 것이 불가능하기도 하죠.상당한 체질개선이 필요한 일입니다.”

3줄 요약
1. 구글, 다시 한 번 데이터 프라이버시 관련 소송에 휘말림.
2. 현재 벌어지는 데이터 프라이버시 관련 소송의 핵심은 ‘사용자에게 얼마나 친절하게 알렸는가.’
3. 지금은 ‘데이터 프라이버시’와 관련된 개념과 용어 정립이 이뤄지는 시기.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>