특별기획 - 웨어러블 컴퓨터를 둘러싼 개인정보보호 이슈와 시사점
최근 IT산업에서는 스마트 디바이스와 브로드밴드의 결합에 따른 스마트 혁명으로 오프라인 콘텐츠와 서비스들이 온라인으로 이동하는 현상이 나타나면서 개인정보가 중요한 사회적 이슈로 떠오르고 있다.
특히, 유럽과 미국 등에서는 웨어러블 디바이스 활용이 자국의 개인정보보호 정책과 부합하지 않는 경우가 발생하여 규제기관과 갈등을 보이고 있다.
이에, 웨어러블 디바이스와 관련된 개인정보보호 이슈와 대처방안에 대해 살펴보고자 한다.
구글 글래스의 내년 상반기 출시 발표로
재조명된 개인정보 이슈
올해 초 구글 글래스의 시험 버전 출시로 많은 관심을 받던 구글이 내년 2분기 상용화 계획을 발표하면서, 개인정보보호 침해 가능성 이슈가 다시금 화두가 되고 있다.
특히, 사진 및 동영상 촬영 시의 프라이버시 침해 문제, 네비게이션 이용 시 지도 활용 문제, 구글 글래스 앱 이용 시 사용자 정보가 서버에 저장되는 문제 등이 논란이 되고 있다.
사진이나 동영상 촬영 시, 주변 사람들이 이를 인지할 수 있는 장치가 없어서, 프라이버시 침해 및 개인정보 유출에 심각한 위협을 주고 있다.
아래 오른쪽의 뉴욕의 타임 스퀘어 사진에서도 볼 수 있듯이, 거리의 사람들은 자신이 찍히는지 조차 인식하지 못하고 있다.
구글 글래스 앱 서비스는 인터넷을 통해 구글 서버로 정보를 전달하면, 구글 서버는 글래스 싱크를 통해 정보전달을 해주는 방식이어서 이용자의 모든 앱 사용기록이 저장되게 된다.
이는 구글이 구글 글래스를 활용하여 수행하는 모든 활동 기록을 보유하게 되는 것으로 개인정보 침해의 요인으로 작용 할 여지가 크다.
구글 글래스의 주요기능 중 하나인 실시간 네비게이션 기능 또한 국내지형 데이터의 실시간 해외 전송을 요구함 따라 국내에서 활용이 제한적일 것으로 보인다.
구글은 지도 서버를 미국 등 해외에 두고 서비스를 운영하기에 원칙적으로 국내 지도 데이터를 이용하지 못하며, 국토교통부는 국가 안보상 이유로 5년째 지형 데이터 반출 승인을 거부해 왔다.
각국 정부와 학계는 웨어러블 디바이스의 개인정보 침해가능성에 대한 우려 표명
미국 개인정보보호 양당 간부회의(Bi-Partisan Privacy Caucus) 의원들은 구글 글래스의 안면인식기능 탑재여부 등의 세부 기능 활용방안과, 개인정보 취급관련 이슈에 대해 질문하는 서신을 보냈다(‘13.5).
유럽, 캐나다, 멕시코 등 주요국 개인정보보안 담당자들 또한 ‘어디서나 존재하는 감시(Ubiquitous Surveillance)’를 우려하며 구글 글래스의 정보보호법 준수여부, 공유되는 개인정보의 종류 및 발생 가능한 개인정보침해 위협 등에 대해 질문하였다(‘13.6).
미국의 언어학자인 MIT의 노암 촘스키 교수는 구글 글래스는 사행활 침해로 인해 인간의 삶을 파괴할 것이라고 강도 높게 비판하였다(‘13.6).
이용자들의 모든 시청각 정보를 저장 및 전송할 수 있는 구글 글래스의 특성으로 인해 주변에서 일어나는 모든 일들이 무분별 하게 인터넷에 올려질 것이어서 사생활 침해가 심각할 것이라고 강조했다.
구글 글래스는 전체주의적 사고의 결과이며 마치 조지 오웰의 198401를 보는 듯하다고 지적하며 사회, 윤리적 이슈에 대한 대안마련이 시급함을 역설했다.
과거의 개인정보보호 관련 이슈
기업의 개인정보 무단 수집 이슈
구글의 스트리트 뷰 서비스는 전 세계에서 개인정보 보호법 위반에 따른 제제를 받아 큰 이슈가 되었다.
구글이 스트리트 뷰 정보 수집을 위한 차량 운용 시에 인근의 와이파이 망에 설치된 무선기기(AP)의 시리얼넘버 등의 개인정보를 무단으로 수집한 것이 추후에 법적인 문제가 되어 벌금형 등의 제제를 받았다.
미국은 30여개 주에 총 700만달러의 벌금형을 선고(’13.3)하였고, 프랑스와 독일 법원은 각각 10만 유로(’11.3), 15만유로(’13.5)의 벌금형을 선고하였다.
국내에서도 구글의 스트리트 뷰 차량의 불법적인 개인정보 수집 의혹에 따라 경찰의 서버 검사 및 검찰 기소까지 이루어졌다(’10.8).
현재 영국과 브라질 등 12개 국가도 이에 대한 수사가 진행 중이다.
페이스북의 얼굴인식 Tagging서비스는 인물이 나오는 사진을 이용자가 자신의 소셜 네트워크에 등록할 경우 그 이용자를 포함해 사진에 찍힌 사람들까지 포괄적으로 분석되어 얼굴과 이름을 식별해 친구추천 목록에 추가되는 서비스이다.
이 서비스의 문제점은 이용자의 얼굴뿐만 아니라 사진 안에 있는 다른 사람의 얼굴까지도 동의 없이 인식할 수 있다는 것이다.
현재 페이스북에 수백억 이상의 사진이 저장되어 있어, 타인의 얼굴을 이용하여 개인정보나 사생활까지 모두 파악할 수 있는 위험성이 존재한다.
애플은 자사 스마트 기기 이용자의 위치정보를 ’10년 6월 발표된 iOS4버전부터 저장해온 것으로 밝혀졌다(’11.4).
애플은 아이폰 이용자의 위치정보를 ‘consolidated.db’라는 아이폰 내의 숨겨진 파일에 저장하여 사용자의 위치를 위도와 경도 등을 포함, 1초 단위로 이동경로를 저장한 후 12시간 간격으로 전송했다.
또한 아이폰, 아이패드뿐 아니라 이들 기기와 동기화한 컴퓨터에도 그 위치정보가 남고 데이터 베이스로 축적되어 사용자에 따라 1년전의 위치추적 기록도 남게 된다.
심지어 위치정보 기록은 암호화되지 않은 채 저장되어, 손쉽게 아이폰이나 컴퓨터 등을 확인해 이용자가 어디를 다녀왔는지를 알아낼 수 있다는 것이다.
애플의 불법적 위치정보수집에 따라 스마트 디바이스의 프라이버시 침해 가능성에 대한 우려가 확대되는 계기가 되었다.
개인정보보호와 표현의 자유 사이의 갈등
구글의 개인정보 정책은 유럽과 미국 등에서 잊혀질 권리(Right to be forgotten)와 대립하여 분쟁을 일으켜 왔다.
스페인, 독일, 미국, 이탈리아 등에서 검색되는 개인정보 삭제요청에도 구글은 특정인의 검색 결과의 차단은 개인 보호가 아닌 표현의 자유의 억압이라며 반대하여 왔다.
이러한 사안은 유럽 각국에서 소송을 불러일으켰고, 현재 유럽 최고 사법기관인 ECJ(European Court of Justice)에 제소되어 3월부터 진행 중이며 올해 말경에 최종판결이 내려질 예정이다.
유럽의회에서도 이와 관련하여, 잊혀질 권리를 포함한 개인의 권리를 강화하기 위한 새로운 법안을 작년 초 제정하였다.
개인정보의 이용확장과 이에 따른 규제기관과의 갈등
구글은 서비스 개선 및 광고효율 증대를 위해 유튜브, 지메일 등 자사 60개 서비스의 정보정책을 통합하여 인터넷 서핑 기록 등의 개인정보 통합 관리를 결정했다(’12.2).
이용자가 동일한 ID 이용 시 이용한 검색 키워드, 자주 보는 동영상의 종류, 지메일의 친구목록 등의 정보가 공유 및 통합 관리 되는 시스템이다.
이에 따라, 유럽에서는 프랑스 주도로 6개국(프랑스, 스페인, 영국, 독일, 이탈리아, 네덜란드)정보보호 기관들이 구글의 개인정보 침해 방지를 위한 특별 TF를 구성했다(’13. 4).
유럽 개별국가에서도 반발이 일어났는데, 영국 정보보호위원회(ICO)는 구글의 개인정보 정책이 이용자 데이터의 구체적인 수집 및 활용기간, 이용목적 등이 개인정보 정책에 명확히 나타나지 않는다고 판단하여 영국 데이터보호규약(UK Data Protection Act)에 부합하도록 변경을 요구했다(’13.7).
이것은 일종의 최후통첩(Ultimatum)으로 오는9월까지 변경되지 않을 경우 강제적인 법 집행을 예고했다.
프랑스의 국가정보위원회(CNIL)는 구글의 통합 정책이 프랑스 정보보호 규약(1978 French Data Protection Act)을 위반함에 따라, 3개월 이내 개인정보 정책 개선을 요구하며 불응 시 최고 15만 유로의 벌금을 부과할 것이라고 발표하였다(’13.6).
스페인 정보보호국(AEPD) 또한 최고 30만 유로(약 4억 5000만 원)의 벌금을 부과할 예정이다(’13.6).
국내에서도 구글의 개인정보 수집 및 통합 관련 목적이 애매하고, 과도한 수집에 대한 일괄적인 동의를 구해 사용자 선택권 침해 소지가 있어 문제가 되었다.
개인정보보호 위원회는 사용자가 서비스에서 정보를 삭제한 후에도 서버에서 삭제하지 않을 수 있는 구글의 개인정보 정책은 ‘개인정보 처리 목적 명확화와 개인정보의 최소수집’(개인정보보호법 제3조), ‘개인정보 처리 시 동의’(제15조 및 22조), 그리고 ‘개인정보 파기’ 규정(제21조 및 제36조) 관련 정보통신망법에 맞지 않아 수정이 필요하다고 지적했다.
웨어러블 시대에 더욱 심각해지는
개인정보 유출 문제
개인정보의 생성 및 유출은 급속히 증가할 것
웨어러블 디바이스는 사실 기술적으로는 기존의 스마트 디바이스를 착용할 수 있는 형태로 확장한 것이어서 새로운 기능의 진화로 보기는 어렵다.
다시 말해서 기존 스마트 기기의 개인정보 이슈에 웨어러블 기기의 가장 큰 특징인 제품의 소형화, 경량화에 따라 타인들이 이를 인지하기 어려워 진다는 것이다.
이러한 특성에 따라 도촬 및 도청과 같은 일이 더욱 빈번해 질 것이다.
이런 이유로 현재 공공 장소에서 웨어러블 디바이스의 사용을 금하는 움직임이 곳곳에서 일어나고 있다.
최근 들어, 웨어러블 디바이스의 사용이 빠르게 증가함에 따라, 개인의 건강정보, 행동정보, 라이프로그 등이 기기에 암호화되지 않은 채 저장되고 빠르게 전송되고 있다.
이러한 정보들은 단순한 개인의 신상정보가 아닌 개인이 일상생활에서 보고 듣고 느끼는 복합적인 경험과도 직결되는 것이어서 유출 시에 큰 사회·경제적 문제를 야기할 수 있다.
게다가 여러 ICT 기업들이 더 나은 고객 서비스 제공을 이유로 과도한 데이터 수집의 논란이 커지고 있는 상황에서 그 심각성은 더 크다고 할 수 있다.
따라서 이러한 개인 정보를 무분별하게 이용하기 위해 웨어러블 디바이스를 해킹하는 등의 불법적인 시도가 급속히 증가하게 될 것이다.
더욱더 우려되는 것은 아직 웨어러블 디바이스의 데이터 보안이 완벽하지 않아 개인정보 입수 시 이의 활용이 어렵지 않다는 것이다.
이러한 문제를 극복하기 위해, 개인정보의 라이프사이클별 보호기준이 필요하다는 논의도 진행되고 있다.
개인정보의 수집·이용, 제공 및 파기 단계로 구분하여 각 법률상의 대책을 마련하는 것이다.
개인 정보 수집·이용 시에는 개인정보의 주체를 명확하게 규정하여 사전 이용 동의를 받아야 하고 이용 시에 동의를 받기 어려운 경우에 대한 예외규정 마련이 이루어져야 하며, 개인정보 이용 목적 달성 시에는 지체 없이 파기하는 것이 필요할 것이다.02
구글은 웨어러블 디바이스로 인한 개인정보 정책 수정은 없을 것
이러한 논의에도 불구하고 구글은 구글 글래스 도입을 계기로 자사 개인정보 정책을 수정하지는 않는다는 방침을 고수하고 있다.
레리 페이지 구글 CEO는 구글 글래스의 사생활 침해 우려는 걱정할 것이 아니라는(Privacy worries over Google Glass is not a big concern) 견해를 표명 했다.
그는 사람들이 새로운 기술이나 제품이 도입될 때 발생할 수 있는 모든 문제에 대해 걱정을 하나 실제 기술이 구현되고 이슈에 대해 이해하기 전까지는 기술변화에 대해 공포감과 걱정을 가질 이유는 없다라고 주주총회에서 언급하였다(’13.6).
미국 개인정보보호 간부회의 의원들에게 보낸 답변에서도 기존 구글 개인정보 정책의 유지의사를 표명하며 거의 모든 답변에 “Protecting the security and privacy of our users is one of our top priorities”라고 반복하며 개인정보보호의 중요성을 명시하면서도 개인정보 침해의 위험성이나 수집할 수 있는 정보의 이용에 대한 구체적 답변을 피하며, 개인정보 정책의 수정은 없을 것임을 표명하였다.
그러면서도, 구글 글래스는 아직 시범 단계이며 현재 1만여명이 사용 중인 테스트 버전은 기술적 시험 및 사생활 침해 등 새로운 사회문제에 대비하기 위한 것임을 강조하며 정책변화 가능성의 여지를 남겼다.
개인정보 보호와 활용 사이의 균형이 중요
구글 글래스를 포함한 웨어러블 디바이스의 확산이 예상됨에 따라, 개인정보의 이동이 빠르게 확산될 것이고 이에 따른 제도 정비가 필요할 것이다.
올해 9월초 삼성이 갤럭시 기어를 출시했고, LG, 애플 등이 출시를 준비하고 있어, 더 많은 개인정보가 수집, 전송 및 활용될 것이다.
가트너가 웨어러블 스마트 디바이스 시장이 2016년에는 10조 달러 규모로 성장할 것을 예상하였듯이 이 시장은 계속 성장할 것이고, 관련 제품들에 대한 개인정보보호법 등의 제도 정비 및 가이드라인 제시가 시급하다.
개인정보 활용과 보호 진영의 지속적인 갈등 속에서 장기적으로 균형 잡힌 개인정보 생태계가 정립되는 방향으로 발전할 전망이다.
개인정보 생태계상에 있는 개인정보 제공자부터, 저장/통합, 분석, 소비자까지 모두 혜택을 모두 누릴 수 있어야 지속 가능한 상태로 발전 가능할 것이다.
특히 인터넷 기업들이 국경을 넘는 비즈니스를 영위하고 있어 글로벌 관점에서의 정보보호 생태계 정립 필요하다.
이에 따라, 미국 정부는 구글, 애플, 페이스북 등의 인터넷 기업들이 개인정보보호를 준수하는지를 확인하기 위해 향후 20년간의 기업감사 계획을 발표했다.
우리나라 또한 글로벌 인터넷 기업에 대한 서비스 이용률이 높은 상황에서 국내 개인정보 활용/보호 기준은 글로벌 동향에 대한 지속적인 모니터링을 통해 국내 개인정보보호 규제도 글로벌 기준과의 정렬성 확보가 필요할 것이다.
01 1984년을 전체주의가 극도화된 사회로 상정하고 쓴 미래 소설
02 공공분야의 빅데이터 추진과 개인정보보호에 관한 연구(신영진, ’12.9)