연초부터 GDPR 관련 이슈들 터지는 가운데, 프라이버시에 대한 관심 높아져
기업들의 개인정보 활용 더 투명해지고, 익명화 된 데이터는 개인정보처럼 취급

[보안뉴스 문가용 기자] 국제 사회가 1월 28일로 지정한 데이터 프라이버시의 날(Data Privacy Day)에 대해 비판적인 태도를 취하는 건 쉬운 일이다. 오늘 날처럼 데이터 프라이버시에 대한 개념을 찾기 힘들고, 그런 때에 기술을 가진 자들이 어떻게 해서든 개인정보를 다 긁어가는 때라면 말이다. 그래서 일각에서는 프라이버시의 날을 프라이버시 부족의 날(Lack of Privacy Day)로 부르자는 말도 나오고 있다.


하지만 절망은 금물이다. 아직도 데이터 프라이버시를 지키기 위한 노력은 아직도 지속되고 있기 때문이다. 최근 인터넷 학회(Internet Society)는 9개의 행동 강령을 새롭게 발표할 것이라고 발표했다. 기업들이 개인정보를 더 효율적으로 지키기 위해 할 수 있는 일들을 정리한 것으로, 굵은 가이드라인과 같은 역할을 할 것으로 기대된다. 여기에는 익명화 처리된 데이터를 관리하는 방법, 소비자에게 개인정보 사용 현황을 보다 효과적으로 알리는 방법 등이 다뤄지고 있다.

“사람들은 데이터를 일종의 ‘소비재’로 인식하고 있습니다. 아무렇게나 사용하고 버려둬도 되는 그런 것쯤으로 여기고 있죠. 하지만 이는 대단히 잘못된 것으로, 이제는 데이터 사용에 대해 훨씬 더 중한 책임을 부여해야 합니다.” 인터넷 학회의 크리스틴 러니가(Chritine Runnegar)의 설명이다. “개인정보의 주체 개개인도 그렇고, 그러한 정보를 활용하는 기업들도 마찬가지입니다.”

러니가는 “기업들의 가장 큰 문제는 사용자들의 ‘동의’를 확장 해석해 사용자가 예상했던 것보다 훨씬 더 광범위하게 개인정보를 활용하는 것”이라고 지적하기도 했다. “예를 들어 기업의 웹사이트는 사용자 이용 약관을 굉장히 길고 복잡하게 적어놓고, 동의하라는 버튼을 들이밉니다. 동의하지 않으면 서비스를 이용할 수 없으니 사실상 선택지도 없고요. 그렇지만 동의를 했다고 하니 기업들은 법적 근거를 갖춘 셈이죠.”

하지만 사용자들 중 자신이 동의한 것에 대해서 정확히 깨닫고 있는 사람은 없다. “심지어 보안 전문가들도 모릅니다. 법적 용어들이 난무하기 때문이죠. 기업들은 명확하고 투명하게 개인정보의 활용 상황을 이해시켜야 할 책임이 있습니다. 합법적이고 타당하면 용납하지 못할 사용자들은 없어요. 투명하게 동의를 구해야 합니다. 소비자가 동의한 대로 개인정보를 활용해야 하는 것은 물론이고요.”

얼마 전 아이덴티티 및 프라이버시 관리 소프트웨어 개발사인 트랙오프(TrackOff)가 발표한 보고서에 따르면 일반 소비자들이 방문하는 사이트들 중 75%가 방문자의 개인정보를 수집한다고 한다. 왜? 어디론가 판매하기 위해서다. 개인정보의 판매가는 평균 3센트라고 트랙오프는 발표했다. 이들은 이름, 성별, 주소와 같은 정보만이 아니라 웹사이트 방문 히스토리, 이메일 주소, 종교, 신용카드 정보, 건강 정보 등도 수집해 유통시킨다.

다행히 작년 5월 GDPR이 유럽에서 시행되기 시작했다. 미국에서도 캘리포니아 주에서 소비자 프라이버시 보호법을 통과시켰다. 브라질과 인도에서도 소비자의 프라이버시에 대한 관심이 높아지고 있다. 바야흐로 데이터 프라이버시, 소비자 보호라는 개념을 무시할 수 없는 시대가 된 것이다.

그런 와중에 예고된 게 인터넷 학회의 행동 강령이다. 강령을 통해 인터넷 학회는 익명화 된 데이터를 개인정보처럼 취급하라고 강조할 것이라고 한다. “예를 들어 여행 웹사이트에 등록해서 서비스를 신청하면, 이름, 주소, 연령, 원하는 도착지를 묻습니다. 그리고 여행사는 이 정보를 익명화 처리 합니다. 즉 데이터에 연결된 이름을 다 지워내서 누구의 이름인지, 누구의 주소인지, 누구의 연령인지 알 수 없게 만드는 겁니다.”

러니가의 설명은 이어진다. “그런 후에 연령 등의 항목만 떼어내 분석을 시도합니다. 해당 여행지에 가고 싶어 하는 평균 연령층을 파악하기 위해서죠. 그러고 나서는 이 분석 결과를 어디론가 판매합니다. 하지만 익명화되었기 때문에 괜찮은 걸까요? 아니요. 정보를 추적할 수 있는 방법은 다양하고, 공격자들은 이를 다양하게 현실화하고 있습니다.”

또한 러니가는 이번 강령에 대해 “기업들이 보안과 프라이버시 규정이 요구하는 것 이상의 것을 해낼 수 있도록 상상력을 깊이 발휘하도록 격려하고 있다”고도 설명한다. “예를 들면 안전한 메시징 서비스를 마련한다고 했을 때, 전화번호만으로 계정을 만들 수 있고, 삭제가 완전하고 간단한 서비스 등이 있다면 그걸 이용할 수 있겠죠. 이런 걸 기업이 스스로 알아보고 도입할 수 있어야 프라이버시가 진심으로 지켜지는 시대가 됐다고 말할 수 있을 겁니다.”

보안 업체 코드42(Code42)의 CISO인 제이디 핸슨(Jadee Hanson)은 “사실 기업들은 자신들이 무슨 데이터를 보유하고 있는지, 어떤 경로로 확보했는지도 모른다”고 말한다. “알고 있어도 데이터 활용에 대해 세부적인 규칙을 세우고 싶어 하지 않습니다. 너무나 큰 일이기 때문입니다. 방대한 데이터를 무한의 활용 시나리오로 구분하고, 규칙을 세운다는 건 간단한 일이 아닙니다.”

그러므로 프라이버시 강화 작업의 시작은 기업 내 저장되어 있는 모든 개인 식별 정보를 파악하고, 여기에 보안 제어 장치를 적용하고, 규칙을 수립하는 일부터 시작한다. “민감한 정보에 접근할 수 있는 사람을 가장 적게 정하는 것부터 하면 됩니다. 그런 후에는 이 규칙들이 잘 지켜지고 있는지 파악할 수 있는 장치를 마련하는 것이고요. 시작이라 그렇지 체계를 잡아두면 그리 어렵기만한 일은 아닐 것입니다.”

3줄 요약
1. 인터넷 학회, 곧 9가지 프라이버시 보호 행동 강령 발표 예정.
2. 익명화 처리 된 데이터도 개인정보처럼 보호해야 한다는 내용과 규정 이상의 조치를 자발적으로 취하라는 내용 담고 있음.
3. 프라이버시가 중요시 되는 시대에, 기업들을 위한 가이드라인 역할 할 것으로 예상.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>