온갖 출처에서 모은 광범위한 데이터를 분석하면 누군가의 범죄 가능성을 파악해 예측할 수 있게 된다고 사법 기관들은 믿고 있다. 하지만 그들은 그 위험한 분석을 위한 정보를 제대로 모으는 것부터 어려워하고 있다.

[보안뉴스 문정후 기자] “예측 치안(predictive policing)”이라는 말은 ‘마이너리티 리포트’와 같은 공상 과학 영화 속에서나 나오는 개념 같지만, 이미 현실 세계에서 실행되고 있다. 물론 ‘마이너리티 리포트’에서처럼 미래를 내다보는 능력자가 동원되는 건 아니다. 미국에서 가장 크다고 알려진 두 개의 데이터 브로커들이 제공하는 데이터들이 그 자리를 채우고 있다. RELX와 톰슨 로이터(Thomson Reuters)가 바로 그들이다.


보통 빅 데이터에 대해 이야기를 한다고 하면 아마존이나 에퀴팩스, 엑스페리언, 구글, 메타 등과 같은 기업들이 먼저 떠오르는 게 보통이다. 주로 데이터를 상업화 해 마케팅 용도로 사용하거나, 사업적 결정을 내리고 제품을 개선하는 데에 활용하는 기업들이다. RELX와 톰슨 로이터의 경우 조금은 다른 방식으로 데이터를 활용한다. 도서관, 과학자, 대기업, 사법 기관 및 기타 여러 정부 기관들이 데이터에 접근할 수 있게 해 주고, 분석 도구와 뉴스를 제공하는 ‘브로커’ 역할을 하는 것이다. 사법 기관 즉 경찰에 각종 정보를 제공하는 것도 이들이다. 때문에 수사를 원활히 하는 데 적잖은 도움이 되기도 하지만, 반대로 공익을 훼손하는 결과를 낳기도 한다.

RELX와 톰슨 로이터가 하는 일은 정확히 무엇인가?
먼저 이 두 데이터 브로커들은 각종 기술을 활용해 일반 대중들에 대한 감시를 진행하고 정보를 수집한다. 하지만 이 감시와 수집 행위가 기존에 널리 알려진 것에 비해 훨씬 광범위하고 깊숙하게 이뤄진다. 정보 수집 출처는 다양하다. 법원에서 공개하는 판결문, 뉴스와 신문 기사, 연구 보고서 등 누구나 열람할 수 있는 정보들은 당연히 꼼꼼하게 모은다. 광범위할 수밖에 없고, 정보의 양이 방대할 수밖에 없다.

문제는 그것만이 아니다. 그 많은 데이터를 분석해 ‘인간 위험’을 예측한다는 데에 있다. 과거의 행동들, 법적 기록들, 친분 관계, 우편번호까지 결합해 해당 인물이 법을 위반하거나 불법적인 행위를 할 가능성이 얼마나 되는지를 예측한다는 것이다. 수사 전문가들이 흔히 하는 프로파일링을 고차원적으로 행하는 것인데, 이 과정에서 체계적인 차별이 반복된다. 데이터 브로커들은 이 방대한 정보를 미국 이민국과 관세청에도 제공한다. 이민자들에게도 똑같은 분석이 들어간다는 것이다.

데이터 프라이버시 보호법, 사법 기관들은 우회 방법을 알고 있다
현대를 살아가는 대부분의 사람들은 자신에게 주어진 프라이버시 보호 권리에 대해 알고 있다. 아무리 경찰과 정부 기관이라고 하더라도 개인의 정보를 함부로 수집할 수 없도록 법 체계도 마련되어 있다. 하지만 여기에는 허점이 있다(미국 법 기준). 법문에 수집은 금지되어 있지만 구매 행위에 대해서는 별 다른 언급이 없다는 것이다. 이 때문에 사법 기관을 대신해 방대한 정보를 모으는 조직이 생겨나고, 경찰들은 이 조직들로부터 데이터를 구매하기 시작했다. 이 상황에서 누구도 법을 어기지 않는다.

우리 모두 안전한 환경에서 살고 싶어 하는 건 사실이다. 그러므로 경찰과 수사 기관들이 능력을 최대치로 발휘하는 건 중요한 일이다. 하지만 그것 때문에 프라이버시가 침해되어도 괜찮은 건 아니다. 특히 각종 기록들을 바탕으로 누군가 나의 범죄 가능성을 진지하게 예측하고 있다는 건 꽤나 위험한 상황으로 이어질 수도 있기에 꺼려질 수밖에 없다.

게다가 분석에 사용되는 데이터가 항상 정확한 것도 아니다
데이터 브로커들의 수집 행위도 문제지만 그걸 가지고 생면부지 누군가의 범죄 가능성을 예측한다는 것이 그리 논리적이지 않다는 건 누구나 알 수 있다. 그런 예측이 정확할 수 있을까. 심지어 예측을 하게 하는 정보들이라는 것부터가 애초부터 부정확한데 말이다. 법정에서 내린 구류 결정, 민간 재판 결과, 보험사의 결정, 고용주들의 결정도 RELX와 톰슨 로이터가 모으는 정보들에 포함되어 있는데, 이런 정보들이 마냥 객관적이기만 할까? 이런 데이터들이 모이고 모이면 나는 아무런 범죄 이력 없이도 어느 순간 범죄 행위를 저지를 수 있는 사람이 될 수 있다는 게 공정할까?

심지어 이런 데이터 기반 범죄 가능성 예측 때문에 부당한 대우를 받았을 경우 구제 대책도 사실상 전무하다고 봐야 한다. 예를 들어 채용 중인 회사에서 이런 브로커들의 데이터를 받고서 뽑을 사람과 거절할 사람을 가려낸다고 했을 때 - 실제 그런 사례들은 어마어마하게 많다 - 부정확한 데이터가 기준이 되어 한 사람의 운명이 바뀔 수도 있게 되는 것이다.

2016년 한 고용주가 채용 희망자의 배경을 확인하기 위해 RELX의 데이터를 가져다가 점검한 사례가 있다. 그런데 데이터에는 채용 희망자의 각종 정보는 물론 채용 희망자와 이름만 똑같은 한 수감자의 정보가 섞여 있었다. 그래서 회사에서는 그를 범죄 이력이 있는 사람으로 간주했고 그를 탈락시켰다. 당시 채용 희망자는 이러한 사실을 파악해 고소했고, 재판관은 그의 손을 들어주었다. 하지만 데이터 브로커들이 재판에서 늘 지기만 하는 것은 아니다.

RELX와 톰슨 로이터는 법적 책임으로부터 자유로워지기 위해 이미 면책문을 만들어 두었다. 데이터가 부정확하여 생길 수 있는 일들에 대하여 책임을 지지 않는다는 규정을 마련하고 고객들에게 알리고 있는 것이다. 데이터와 분석 결과의 정확도를 높이는 대신 선택한 것이 면책문이라고 볼 수 있다.

데이터 남용, 어떻게 막을 것인가?
프라이버시 보호법들은 아직 충분히 성숙하지 않았다. 프라이버시 보호라는 개념 자체가 법 세계에서는 그리 익숙한 것이 아니다. 조금은 더 시간이 필요하고, 사회적 합의가 충분히 이뤄져야 한다. 하지만 그렇기 때문에 오히려 프라이버시를 보호하기 위한 사회적 장치들을 보다 바람직하게 만들어갈 수 있다. 프라이버시에 대해서 각자가 학습하고, 프라이버시 보호를 위한 목소리를 크게 내야 가능한 이야기다.

이런 한 사람 한 사람의 힘이 모여 대중들의 지지를 받게 되면 입법자들이 움직이기 시작한다. 정치적으로 뭔가를 선동하라는 게 아니다. 자신의 데이터에 대한 제어 권한을 자신이 가져야 마땅하다는 너무나 당연한 이야기를 하는 것이다. 이 기본 권한을 아무렇지도 않게 침해하는 조직들이 있다면 반드시 책임을 지도록 시스템을 만들어야 한다.

글 : 아르준 바트나가(Arjun Bhatnagar), CEO, Cloaked
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>