규정 위에 규정이 쌓이고 있고, 내년에도 더 많은 규정들이 예고되어 있다. 데이터 사용의 통로가 턱 막혀버린 것같은 중압감이 기업들을 짓누르고 있다. 그렇다고 데이터를 사용하지 않을 수도 없는 노릇이다. 기업들은 어떻게 내년을 맞이해야 할까.

[보안뉴스 문정후 기자] 개인정보의 중요성에 대한 인식이 점점 널리 퍼지고 있다. 개인정보가 어떤 식으로 악용되는지에 대해서도 사람들이 이전보다 더 깊이 이해하고 있다. 잘못된 사람의 손에 들어갔을 때에 일어날 수 있는 피해 역시도 널리 알려지는 중이다. 천문학적인 벌금형을 내리게 해 주는 프라이버시 및 개인정보 관련 규정들이 생겨나면서 헤드라인을 충격적으로 장식하는 사례들이 많아졌기 때문이다.


데이터를 아무렇게나 수집해서 활용할 수 있었던 ‘고삐 풀린’ 시대는 빠르게 지나가는 중이다. 더 무서운 규정들이 계속해서 생겨날 것이며, 이제 사업을 하려는 기업들은 정보 수집과 관련해서 새로운 규정들은 물론 생겨날 규정들에 대해서도 부지런히 조사를 해야 할 것이다. 2023년에도 우리는 새로운 프라이버시 관련 제도들이 변하고 도입되는 것을 목격할 것이 거의 분명하다.

개인정보 규정의 간략한 배경 설명
전 세계적으로 가장 유명한 개인정보 보호법은 유럽연합의 GDPR일 것이다. 4년 전 도입 당시 대단히 시끄러웠고, 지금도 여러 중대한 판결의 근거가 되고 있다. GDPR이 나오자 미국도 일부 주에서 비슷한 규정들을 만들었고 시행하고 있다. 다른 주들도 이 흐름을 부지런히 쫓아오고 있으며, 따라서 앞으로 몇 년 동안은 계속해서 새로운 법안들이 나오고 자리를 잡을 것으로 예상된다.

개인정보라는 것은 기업들이 여러 가지로 활용이 가능하다. 하지만 가장 대표적인 건 사용자 개개인에게 맞춤형 광고를 할 수 있게 된다는 것이다. 뉴스 매체들 역시 사용자들에게 필요한 맞춤형 기사들을 선택적으로 내보낼 수 있게 된다. 개인화 서비스를 계속해서 만들어 시장에서 경쟁해야 하는 기업들에 있어 개인정보가 중요할 수밖에 없다. 그러니 ‘규정에 맞게’ 수집하고 또 수집해 자사 경쟁력을 높여야 하는 게 기업들의 현재 상황이다.

미국의 경우 GDPR에 해당하는 첫 번째 규정 중 하나는 CCPA라는 것이다. 캘리포니아 주에서 소비자의 데이터를 보호하기 위해 만들어졌다. 세포라(Sephora)라는 기업이 지난 8월 이 규정으로 인해 120만 달러라는 합의금을 내게 됐다. 세포라는 소비자들에게 개인정보의 처리 문제를 투명하게 밝히지 않았기 때문에 이와 같은 처벌을 받았다.

콜로라도, 코네티컷, 유타, 버지니아와 같은 주들에서도 데이터 프라이버시와 관련된 규정들이 존재한다. 이와 같이 미국에서는 아직까지 주마다 조금씩 다른 개인정보 보호법들이 존재한다. 이 말은 연방 정부 차원에서의 규정이 곧 나타날 것이라는 뜻이 되기도 한다. 지난 8월 연방거래위원회(FTC)는 데이터 수집과 분석, 그로 인한 이득에 관한 규정을 새로 마련할 계획임을 밝히기도 했다.

데이터 프라이버시와 관련된 과제들
캘리포니아대학의 랄루카 아다 포파(Raluca Ada Popa) 부교수는 “개인정보와 프라이버시 관련 법안이 지역마다 조금씩 다르긴 해도 한 가지 방향성을 띄고 있다”고 말한다. “그건 바로 더욱 엄격해지는 것입니다. 개인정보를 모으고 처리하고 관리하는 문제에 대해서 모든 입법자들이 더욱 엄격한 규칙들을 적용하고 있습니다. 더 쉬워지는 방향으로 가는 경우는 하나도 없다시피 하죠.”

포파는 “GDPR이 꽤나 엄격한 규정이라 모든 기업들이 벌벌 떨었는데, 지금 와서 보니 시작에 불과했다”고 말한다. “이제는 GDPR에 준하는 규칙들이 전 세계 모든 지역에 존재하거나, 시행되기 직전입니다. 기업들은 사용자의 개인정보를 수집하고 활용하고 보관하는 방식을 아예 처음부터 다시 생각해야 할 수밖에 없습니다. 광고 업계가 아마 가장 타격이 심할 텐데, 이전처럼 민감한 정보를 잔뜩 모으지 않고도 사업을 이어가는 방법을 찾아야 할 것입니다.”

말처럼 쉽지 않을 것이라고 포파는 경고한다. 여태까지 당연한 것처럼 해왔던 것을 하루 아침에 포기한다는 것 자체가 어느 누구에게나 어려운 일이기 때문이다. 데이터에 대한 의존도를 낮추거나, 사용자가 데이터를 자발적으로 제출할 수 있는 환경을 만들거나, 전혀 다른 서비스를 개발해야 할 수도 있다. “하지만 무엇보다 ‘그 동안 수집하고 분석했던 데이터가 정말 하나도 빠짐없이 다 필요한 것이었나?’라는 부분에 있어서 본질적인 검토가 필요합니다. 소비자의 통화 및 문자 내용까지 다 알아야 온전한 서비스를 제공할 수 있는 것일까요? 그렇다고 답할 기업은 극소수라고 생각합니다.”

현재까지 데이터 프라이버시 강화를 담당했던 기술 중에는 ‘동형 암호화’와 ‘안전 다자간 연산(secure multi-party computation)’ 등이 있다. 이 두 가지는 강력한 보호 기능임에 틀림이 없지만 구축했을 때 잃는 것도 있다. “동형 암호화 기술의 경우 암호화 상태를 유지하면서 동시에 데이터를 활용하고 처리하는 걸 가능하게 합니다. 복호화 없이도 암호화 된 데이터를 쓸 수 있게 되는 것이죠. 안전 다자간 연산의 경우 연산 기능을 여러 관계자들 사이에 공유하여 처리함으로써 한 사람이 모든 데이터를 다 볼 수 없게 합니다. 하지만 이 두 가지 기능의 가장 큰 단점은 매우 느리다는 겁니다. 사실상 쓸모가 없을 정도로 느립니다.”

최근에는 하드웨어를 기반으로 한 데이터 보호 기술이 등장하기 시작했다. 포파에 따르면 “CPU에 메모리 암호화와 각종 보안 관련 명령들을 곧바로 구축하는 방법들이 연구되고, 또 출시되는 중”이라고 한다. “보호의 수위를 한층 더 높이기 위해 암호화를 사용한다는 점에서 기존의 소프트웨어 기반 암호화와 크게 다르지 않을 거라고 예상할 수 있지만, 사실 하드웨어를 기반으로 하기 때문에 속도가 비교도 되지 않게 빠릅니다. 실용적인 수준에까지 이른 겁니다.”

하지만 이 기능의 문제는 하드웨어를 따로 구매해야 한다는 것이고, 이는 가뜩이나 보안에 돈을 더 쓰기 싫어하는 대부분의 경영진들에게 있어 심리적 장애가 된다. “지난 2년여 동안 주요 클라우드 서비스 업체들은 ‘컨피덴셜 컴퓨팅(confidential computing)’이라는 서비스를 제공해 왔습니다. 그런 서비스들은 대부분 보안 기능이 추가된 하드웨어를 통해 구현이 됩니다. 즉 고객사들이 따로 보안 하드웨어들을 구매할 필요가 없어진다는 것이죠. 클라우드 기반 컨피덴셜 컴퓨팅을 알아보는 게 또 다른 선택지가 될 수 있습니다.”

증가하고 있는 컨피덴셜 컴퓨팅
‘컨피덴셜 컴퓨팅’은 상기했다시피 점점 더 많은 클라우드 업체들이 제공하고 있는 서비스다. 시장 내 소비자들의 요구도 높아지고 있고, 데이터 보안과 관련된 규정들이 점점 삼엄해지고 있기 때문이다. 포파는 최근 가트너(Gartner)에서 발표한 보고서를 인용하며 “최소 50%의 기업들이 프라이버시 보호 기능을 향상시키는 기술을 2025년까지는 도입하고 있을 것”이라고 예측한다. “요즘은 데이터 침해가 매우 흔해졌으며, 사건 한 번으로 어마어마한 양의 데이터가 도난당하기도 합니다. 그러니 데이터 보안에 기업들의 관심이 높아질 수밖에 없습니다.”

하지만 규정이 빡빡해지고, 프라이버시에 대한 소비자들의 관심이 높아진다고 해서 현재보다 데이터가 느리게 흐르거나 덜 소비되지는 않을 거라고 이뮤타(Immuta)의 CTO 스티브 토우(Steve Touw)는 말한다. “프라이버시와 개인정보 보호법을 위반하기 싫어서 데이터를 덜 모으고 덜 쓰겠다는 건 최신화 된 서비스를 제공하지 않겠다는 것이고, 그렇다는 건 시장 경제에서 도태되겠다는 뜻입니다. 기업에 있어 그런 선택지는 없습니다. 오히려 회사 구성원들은 각자의 쿼리를 작성하고 각자의 데이터 분석을 하게 될 겁니다. 그런 과정에서 개인정보와 프라이버시의 침해 위험이 커질 수 있습니다.”

그렇기 때문에 기업들은 데이터를 각자가 따로 따로 처리하고 활용하는 때가 올 것을 대비해 데이터의 흐름과 활용, 저장, 수집, 폐기 등의 모든 과정을 내부적으로 철저하게 제어할 수 있어야 한다고 토우는 촉구한다. “예를 들어 데이터 익명화 처리라는 건 이미 한참 전부터 기본적인 데이터 보호 장치로 인식되어 왔지요. 하지만 이를 도입하고 있는 회사는 생각보다 많지 않습니다. 익명화 외에도 다른 보안 기능을 도입할 방법들이 존재하고 있고, 그런 기술들에 대한 조사와 구축이 이뤄져야 하기도 합니다. 데이터는 보호해야 하기도 해야 하지만 활용도 중요한데, 이 두 가지 토끼를 다 잡을 방법을 검토해서 구축하는 건 각 기업의 몫이죠. 데이터 규정이 엄격해지는 건, 오히려 데이터에 대한 기업들의 더 적극적인 태도가 필요하다는 뜻입니다.”

토우는 “데이터를 쓰면 안 되는 시대가 되어가는 것이 아니”라는 점을 계속해서 강조한다. “이미 우리는 개인정보를 사용하지 않으면 안 되는 시대에 있어요. 다만 개인정보가 모두의 기본적인 권리로서 보호받아야 마땅하다는 걸 기업들이 인식하긴 해야 합니다. 그걸 마음 깊숙한 곳에서부터 받아들이느냐 아니면 개인정보를 아무렇게나 사용하던 옛 관습들을 고집하느냐의 기로에 서 있습니다. 규정들은 내년에도 기업들에 그런 선택을 강요할 것입니다.”

글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>