보호되지도 않고 활용되지도 않는 이중고...정보는 데이터 경제의 쌀이자 원유이며 철강

▎사진:© gettyimagesbank

정보화라는 단어는 벌써 오래 전에 나왔다. 줄잡아 30년이 넘었다. 그러나 우리는 정보와 거리가 멀다. 예컨대 카센터에 가서 자동차를 점검한 후 “별 이상 없다”는 말을 들으면 돈을 내지 않는다. “부품을 바꾼 것도 아니니까 돈을 줄 필요가 없다”고 생각한다. 별 이상 없다는 것을 알게 된 것 자체가 정보인데 거기에 댓가를 생각하진 않는다. 고마우면 엔진오일이라도 갈아주면 모를까. 우리에게 정보는 여전히 돈으로 느껴지지 않는 무엇이다.

권력에 대한 불신: 그래도 ‘정보’라는 단어에 떠오르는 이미지가 있다. 서로 극단적으로 다른 두 가지다. 하나는 ‘중앙정보부’나 ‘국가정보원’의 정보에서 느껴지는 것이다. 숨겨야 할 것, 음습한 것, 부정적인 권력의 이미지다. 다른 하나는 미래, 데이터, 기술과 같은 이미지다. 적지 않은 기간 군사독재를 겪은 결과 국민들은 권력을 믿지 못한다. 이런 불신은 지금도 전자주민증 반대로 나타난다. 주민등록증을 전자주민증으로 만들자는 주장은 1996년부터 나왔다. 비용은 좀 들지만 보안이 더 강화되고 운전면허증, 의료보험증 등을 통합해 효용성이 높다. 이미 기술도 개발해서 우리가 만든 전자주민증이 이란 등에도 수출되고 있다. 하지만 반대하는 사람들은 감시 사회를 만들 것이냐고 따진다. 남대문에 가면 에스토니아 전자주민증도 발급받을 수 있는 시대인데 그렇다.

반대로 권력은 가난과 무지속에 있는 국민을 챙긴다고 여겼다. 국가 개발의 사명을 자임하고 엘리트 의식으로 충만했던 개발 독재권력은 국민에게 ‘놔두면 사고칠 테니 이거 저거는 하지 말라’고 막았다. 그래서 만들어진 것이 주민등록증이다. 주민등록번호는 대한민국 국민 필수품이 됐다. 주민등록번호를 부여 받으면 나는 존재하는 것이고 그게 없으면 나는 유령이다. 우리나라 정부가 1968년 모든 국민에게 12자리 번호를 부여한 것은 김신조 일당의 청와대 기습 사건 후 간첩을 식별하기 위해서였다고 한다. 명분은 간첩을 식별해 국민을 보호하는 것이었다. 그런데 번호를 부여해 개인을 보호하려한 것은 고대 이스라엘에도 있었다. 고대 기독교인들은 종교적 박해를 받지 않기 위해 신자들의 이름을 감추려고 신자들을 숫자로 표기했다.

그 결과 유명해진 2개의 번호가 있다. 하나는 철권통치자였던 박정희 전 대통령이 받은 최초의 주민등록번호 110101-100001이다. 개인의 주민등록번호중 가장 유명하다. 또 다른 하나는 성경에 나오는 짐승의 숫자 666이다. 고대 기독교에서 사람 이름을 숫자로 바꿔 만든 게마트리아 해석법으로 보면 이 숫자가 당시의 독재자인 네로황제를 뜻한다고 한다.

비밀이 되어 버린 공공번호: 그런데 국가가 국민에게 공공연하게 부여한 주민등록번호는 정보화 시대가 되면서 황당하게도 ‘비밀’이 됐다. 공문서를 출력해보면 주민등록번호 뒷자리는 숨기고 출력된다. 국가가 준 번호인데 국가 문서에서 숨긴다. 뿐만 아니라 주민등록번호를 무단으로 수집하거나 유출하면 처벌을 받는다. 국가가 모든 국민에게 지켜야 할 비밀을 하나씩 준 것이다. 그리고 남이 그 번호를 모으거나 보이게 하면 처벌하는 것이다. 정보화 사회가 되면서 이런 사례는 더 늘어났다. 누구나 아파트 앞에 가면 우편함에 우편물이 와 있는 것을 볼 수 있다. 거기에는 옆집의 카드대금 독촉 청구서, 앞집의 대출 안내장, 윗집의 대학동창회 안내장까지 다 보인다. 봉투를 뜯어 내용을 보진 않더라도 무슨 카드를 사용하고 무슨 일을 하는지, 전기요금은 얼마나 썼는지, 이름과 주소를 다 알 수 있다. 흔한 풍경이다. 하지만 이런 내용이 인터넷에 올라오는 것은 금기다. 개인정보이기 때문이다. 흔히 같은 대학 동창이 동창회 수첩을 만든다. 종이로 된 동창회 수첩에는 동창들의 소속과 연락처가 모두 나와 있다. 이 수첩을 오프라인 모임에서 나눠 주면 별 문제 없지만, 이 내용을 인터넷 서버에 올려 공유하면 문제가 된다. 정보화시대는 예전에 생각지 못했던 것이 비밀이 됐다. 개인이라는 존재와 정보가 만나면서 일어난 일이다.

개인정보의 대표격인 주민등록번호는 2011년 개인정보보호법이 시해되면서 안전하게 보관하고 함부로 수집하지 않아야 되는 보호 대상이 됐다. 인터넷 홈페이지 가입 때도 주민등록번호 대체수단을 만들도록 했다. 공공부문 뿐만 아니라 민간부문까지, 컴퓨터 정보 외에 문서정보까지 보호영역이 확대되고 고유식별정보 처리가 제한됐다. 이 당시 개인정보는 ‘활용’보다는 ‘보호’가 관심사였다. 개인정보를 이용해 뭔가를 할 수 있다는 생각, 정보 주체로서 개인의 권한과 능동적 역할은 별로 고민할 사항이 아니었다.

워낙 통제사회를 겪어온 탓인지 개인정보보호는 인권보호와 유사하게 느껴졌다. 물론 개인정보가 구체적으로 무엇이고 어디까지 보호해야 하는 것인지는 애매했다. 하지만 국민은 더 이상 권력이 나를 통제하거나 감시하지는 않을 것이고 우리가 더 위험해지지 않을 것이라고 기대했다. 개인정보보호법은 이후 여러 차례의 개정을 통해 보호위원회의 기능과 손해배상을 강화하는 등 ‘보호’의 목적에 맞게 더욱 충실하게 발전했다. 법 이름 자체가 ‘보호’이니 보호를 강화하는 방향으로 갈 수 밖에 없었다.

능사가 아닌 보호: 그러나 보호가 능사가 아니었고, 그나마 보호가 제대로 되었느냐 하면 그렇지도 않다. 대형마트에 가서 물건을 살 때 신분증을 제시한 적이 있었던가? 술이나 담배가 아니면 그럴 필요가 없다. 그런데도 인터넷 쇼핑몰에서 물건을 살 때 우리는 본인확인을 해야 한다. 전자상거래 업자들은 집주소·신용카드·구매물품뿐만 아니라 개인에게 본인 신분을 입증할 것을 요구한다. ‘부적절한 거래를 막기 위해서’ ‘세금처리를 위해서’ ‘도난 방지를 위해서’ 등 이유도 여러 가지다. 그렇게 보호해준다는 명목으로 얻어간 정보는 엄청나다. 그들은 내가 언제, 무엇을 어떤 방식으로 사서 어디로 배달했는지 안다. 내가 사고, 내가 돈 내고, 나의 집으로 배달한, 내가 만들어 낸 정보이건만, 모든 것은 그들의 손에 들어간다. 이 정보는 휴대폰을 바꾸라, 땅을 사라 온갖 마케팅에 쓰인다. 장사하는 기업이라 이해한다 하더라도 심지어 개인정보를 유출한 사례는 너무나 많다.

2008년 압구정동 길에서 발견됐다고 알려진 CD에는 무려 1119만 명의 정보가 담겨 있었다. 나중에 길에서 주운 것이 아니라 의도적으로 사건화시킨 것이 드러나서 당사자가 처벌됐지만 정보가 유출된 고객들은 아무 배상도 받지 못했다. 법원이 실제로 피해를 본 것이 별로 없다고 판단했고 피해자들이 이를 입증하지 못했기 때문이다. 유출 단위는 갈수록 커져서 2010년이 되자 2000만건이 유출된 사건이 터졌고, 2011년에는 3500만건이 유출됐다. 이후에는 본인확인기관으로서 가장 안전하다고 생각했던 통신사들도 잇따라 개인정보 유출 사고를 냈고, 회사 이름에 ‘신용’이 들어가는 신용카드 회사들마저 수천만건의 개인정보를 유출해 3개월 동안 영업정지를 당하기도 했다.

영원히 잠겨버린 휴대폰: 몇 년 전 한 후배의 아내가 한밤중에 전화를 했다. 충격이었다. 밤중에 후배가 돌연사를 한 것이다. 병원으로 달려갔다. 건강한 젊은 사람이 갑자기 죽었으니 황망하기 이를 데 없었다. 그래도 유족과 경찰은 알아야 할 것이 많았다. 경찰은 사업을 하던 고인과 마지막으로 만난 사람들의 통화 내역을 알아야 했고, 유족들은 고인의 채권과 채무 등 계약관계 등을 알아야 했다. 모든 것은 휴대폰에 있었다. 신고를 받은 경찰이 현장에서 도착 즉시 시신의 손가락을 갖다 대 아이폰의 지문 잠금장치를 해제하고 신원을 확인했다. 그러나 조사기록을 작성하고 장례를 준비하는 사이에 휴대폰 잠금장치는 다시 잠기고 말았다. 사망 시간이 한참 흐르고 시신이 냉동 보관되면서 지문을 이용해 휴대폰 잠금장치를 풀 수 없었다. 가족들도 비밀번호는 몰랐기에 휴대폰은 끝내 주인과 함께 영원히 잠들어버린 것이다. 고인의 개인정보는 완벽히 보호됐지만, 고인의 유족들은 그의 마지막 사연을 알 수 없게 됐다. 스마트폰이 크게 확산되면서 개인정보의 개념은 또 다른 변화에 직면했다. 위치 추적과 휴대폰 카메라의 도촬을 방지하기 위한 찰칵소리, 통화를 녹음할 수 있는 기능 등 많은 이슈가 새로 생겨났다. 사망자가 가입한 소셜미디어와 인터넷 서비스의 정보처리 문제도 갈수록 커지고 있다.

열려라 공공정보: 밸류로드라는 회사가 있다. 이 회사의 사업 모델은 이렇다. 주유소에서 경유와 휘발유를 혼동하는 사고가 잦다. 혼유하면 차가 망가지고 주유소 사장, 주유소 관리원, 고객 모두 피해를 본다. 보험료도 낮아 보험회사마저 기피한다. 그래서 사고를 막기 위해 아이디어를 냈다. 주유소에 카메라를 설치하고 자동차 번호판을 인식해서 경유차면 경유 주유기를 작동시키고, 가솔린차면 가솔린 주유기를 사용하게 하는 것이다. 하지만 이 멋진 계획은 차량번호를 개인정보로 봐야 하는지 문제에 부딪쳤다. 자동차와 관련된 모든 정보는 교통안전공단 데이터베이스(DB)에 있다. 그중에서 차량번호와 유종만 가져다가 쓰려고 했더니 ‘개인정보 여부’가 논란이 됐다. 차량 번호판과 차량 유종은 길에서 누구나 볼 수 있다. 그런데 현실에서는 아무렇지도 않은 일이 전산으로 옮겨지는 순간, 개인정보 보호라는 대명제에 붙잡혀 이제 이것을 허용해야 할지 말아야 할지 고민에 빠진 것이다.

▎문재인 대통령이 8월 31일 경기도 판교 스타트업 캠퍼스에서 열린 데이터 경제활성화를 위한 규제혁신 현장방문 행사에서 발언하고 있다. / 사진:청와대사진기자단

정부는 행정적 업무를 정보를 모아 보호한다. 공공정보는 과거 당연히 그냥 깊숙히 보관하면 되는 것에 불과했다. 그런데 시대가 바뀌면서 데이터를 활용하는 사업이 발전했다. 정부로선 산업 발전을 위해 이 데이터를 내놓는 것은 낯선 경험이다. 공공데이터 개방요구는 공공투명성 때문만이 아니라 산업적 필요 때문에 더욱 커지고 있다. 다행히 차량 번호판과 주종 정보는 몇번의 규제 완화 논의를 거쳐 허용하는 쪽으로 방향을 잡았다고 한다.

정보보호를 향한 끝없는 싸움: 지난 5월 25일부터 유럽연합(EU)은 개인정보보호법령(GDPR)을 시행한다고 밝혔다. 기업의 개인정보보호 책임자를 지정하고 영향평가 등을 추가해 기업책임을 강화하고, 개인은 정보이동권 등을 새로 추가했으며 EU 모든 회원국이 통일된 기준으로 과징금을 부과하도록 했다. 이 가운데 본인의 개인정보 처리를 차단하거나 제한하는 권리, 개인정보를 다른 사업자에게 전송하도록 요구할 권리, 삭제를 요구할 권리 및 프로파일링을 거부할 권리 등이 신설되거나 강화됐다. 위반하면 전 세계 매출액의 2%나 1000만 유로(약 125억원) 중에서 높은 금액을 내야 한다. 위반이 심각한 경우 4% 또는 2000만 유로 중에서 높은 금액을 내야 한다.

미국 캘리포니아주가 지난 6월 29일 만장일치로 통과시킨 개인정보보호법은 초강력으로 통한다. 2020년부터 발효되는 이 법에 따르면 대기업을 포함한 모든 기업에게 소비자는 ‘수집한 정보가 무엇이고, 왜 수집했는가?’ ‘정보를 삭제하라’. ‘정보를 판매하지 말라, 공유하지 말라’ 등을 요구할 수 있다. 기업은 수집한 개인정보의 유형과 내용을 설명해야 하고, 소비자의 요구에 응해야 한다. 데이터 유출사고가 생기면 소비자들은 간소화된 절차로 소송할 수도 있다. 캘리포니아는 미국 주요 IT기업이 있는 중심지다. 미국의 잘나가는 IT기업들을 위축시킬 수도 있다. 그런데도 이런 법이 만들어진 것은 그만큼 기업과 개인 사이의 정보 갈등이 심하다는 방증이다. EU의 GDPR 역시 EU 회원국들이 정보 주체의 권리를 강화하면서 미국을 비롯한 세계 IT기업들에 대항하는 싸움으로 해석된다. 결국 기업과 개인의 싸움, 국가와 국가의 싸움이 반영된 것이다.

개인정보의 주체적 활용: 국내 실손보험을 들고 있는 사람이 해외에 오랫동안 거주하고 있다면 돈 버는 팁이 하나 있다. 보험회사에 출입국 사실을 입증하면 해외에 나가 있었던 기간만큼 보험료를 되돌려 준다. 개인정보가 돈이 되는 사례다. 돈 된다는 것을 알고 나면 우리의 상상력은 더욱 발동한다. 해외 나가고 들어올 때마다 자동으로 출입국 사실을 보험회사에 알려주면 안 될까? 내가 동의하면 하면 보험료가 자동으로 환급돼 입금될 수 있을 텐데…. 의료정보는 더욱 그렇다. 건강검진을 받았는데 문제가 있다면 병원에 가야 한다. 건강검진 회사에서 검진기록과 MRI 사진 등을 CD에 복사해 이를 병원에 갖고 가야 한다. 그걸 그냥 건강검진 회사 컴퓨터에서 바로 내가 갈 병원으로 보내주면 안 될까? 내가 동의만 해주면 자기들끼리 의료정보 교환하고…. 아니 한발 더 나아가 내가 여기저기 돌아다닌 의원·약국 정보를 모아서 건강검진 회사가 “요즘 당신 상태를 보니 이런 점이 걱정된다”며 알려줄 수는 없을까? 영수증 모아서 갖다 주지 않아도 보험회사에서는 알아서 보험료를 입금해주는 그런 것 말이다. 개인정보가 돈이 된다는 사실을 깨닫고 나면 이를 활용하려는 아이디어는 무궁무진하게 나온다. 이사 갈 때마다 모든 관공서에 변경내용을 일일이 신고하지 않아도 될 것이다. 싼 이자를 제공하는 회사가 대신 제안서를 보내올 수도 있다. 그러자면 개인정보는 보호대상이 아니라 활용 대상이 돼야 한다.

▎마크 저커버그 페이스북 최고경영자(CEO)가 지난 4월 10일(현지시간) 미 상원 청문회 시작을 앞두고 긴장된 표정을 짓고있다. / 사진:연합뉴스

개인도 달라지고 있다. 보호되고 관리되는 개인이 아니라 주체적으로 참여하고 판단하는 존재다. 현재 우리나라 개인정보보호 관련법은 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 통신비밀보호법 등이다. 모두 보호를 목적으로 한다. 그러나 개인정보는 ‘보호받을 권리’가 아니라 엄밀히 말하면 ‘내가 통제할 수 있는 권리’여야 한다. 정보의 주인이 스스로 판단하는 시대가 됐다. 세상은 바뀌고 있다. 수직사회에서 수평사회로 가고 있다. 과거 수직적인 사회는 모든 가치가 단방향이었다. 아파트 크기, 출신대학, 자동차 종류에 따라 사회적 지위와 개인의 자존감이 그대로 따라 간다. 하지만 수평적 다원화 사회는 그런 일률적 기준에 맞춰서 살지 않는다. 화목한 가정을 제일 자랑스럽게 생각하는 사람, 음악과 패션을 으뜸으로 치는 사람, 안 가본 곳 없이 여행을 다니는 것에 삶의 가치를 두는 사람 등 다양하다. 따라서 공개할 것과 공개해서는 안 되는 것의 차이도 천차만별로 다를 수 밖에 없다. 세상은 다양하다. 한 쪽에서는 거리에 있는 카메라가 자신을 찍을지 몰라 두려워 하지만, 다른 쪽에서는 하루 종일 방안에서 인터넷으로 자신의 사생활을 생중계하는 사람도 있다. 적극적인 개인정보의 선택은 금전적 이익, 정보편익을 얻기 위해서 뿐만 아니라 자아의 실현을 위해서도 필요하다. 지금의 개인정보보보법이 정보를 활용한다는 개념이 부족하던 시기에 만들어졌음을 감안하면, 이제는 바뀔 때도 된 것이다.

데이터 경제의 주인공?: 지난 8월 31일 문재인 대통령은 판교에서 ‘데이터 경제’를 선언했다. 점점 똑똑한 세상, 데이터가 이 시대의 쌀이요, 원유이며, 철강이라는 것을 천명한 것이다. 데이터를 만들고 가공하고 해석하는 것에 국가역량을 집중하기로 했다. 문 대통령은 데이터 규제 혁신으로 ‘데이터를 가잘 잘 다루는 나라’를 만들겠다며 “데이터 개방과 공유를 확대해 활용도를 높이고 신기술, 신산업, 새로운 제품과 서비스를 창출해야 한다”고 말했다. 글로벌 시가총액 톱 10 기업인 구글·애플·마이크로소프트·아마존 등이 모두 데이터 경제의 주인공들이다. 4차 산업혁명의 두뇌인 인공지능은 데이터라는 쌀을 먹으며 자란다. 더 똑똑해지는 세상에서는 데이터가 쌀이고, 철이고, 원유다. 그런데 데이터 경제를 활성화 시키려면 개인정보를 적극 활용해야 한다. 대통령은 데이터를 잘 다룬다는 것은 안전하게 다룬다는 의미라며 개인정보 보호의 중요성 역시 강조했다. 하지만 방점은 적극적인 활용에 있었다.

언론과 시민단체는 즉각 개인정보의 보호가 약화되는 것 아니냐며 반발하고 있다. 아직 개인정보보호법 개정안에 대한 논의를 시작하기도 전에 “외양간 고치자고 소를 먼저 버린다”는 비판이 터져 나왔다. 부처별로 산재한 개인정보 관련 거버넌스도 단일화하라고 요구한다. 개인정보를 실명·익명·가명으로 구분할 때 어디까지가 가공한 개인정보이고, 산업으로 활용할 수 있을 것인지도 애매하다. 정부가 비식별가이드라인에 대해 업계는 그걸로는 활용하기 어렵다고 하고, 시민단체는 잘못되면 재식별될 수도 있다고 걱정한다. 하지 말라고 하는 것 외에는 무엇이든 할 수 있는 외국과 달리, 하라고 하는 것만 해야 하는 우리의 포지티브 규제도 이슈다.

개인정보 문제의 해법은: 그렇다면 개인정보 문제를 어떻게 풀어나가야 할까. 첫째는 신뢰를 회복해야 한다. 개인정보는 국가권력과 개인과의 오래된 불신에서 비롯된 이데올로기적인 문제가 있다. 우리나라는 권위주의 시대의 후진국에서 민주화된 선진국으로 넘어온 세계적으로 유래가 드문 나라이기 때문에 모든 사회적 가치관이 시대적 단층을 이루고 있다. 미국처럼 데이터 선진국이 되고 싶은 욕구와 후진국처럼 공공과 기업에 대한 불신이 함께 존재한다. 신뢰 회복의 과정이란 원래 지난한 것이다. 구호보다는 대안, 강요보다는 증거를 통한 설득이 필요하다. 둘째는 형식주의에서 벗어나야 한다. 현재의 개인정보보호 관련 법안은 정부가 시시콜콜 모든 것을 정해주고 있다.

하지만 변화가 많고 빠른 세상에서 형식이란 빈틈이 많을뿐더러 융통성이 부족하게 마련이다. 이름도, 소속도, 심지어 국적과 얼굴도 바뀌는 세상에서 DNA 염기서열이 아닌 이상 어떤 것도 규정짓는다고 해서 정보가 그대로 있는 것이 아니다. 더구나 디지털 세상이 만드는 변화는 우리가 미리 재단할 수 없다. 주민등록번호를 처음 구축한 사람은 훗날 이 번호가 인터넷에서 비밀이 될 줄을 어찌 알았겠는가? 솔직히 내 주민등록번호가 공개되는 것이 더 큰 일인가? 아니면 내가 구글에서 무엇을 검색하는지 공개되는 것이 더 큰일인가? 셋째는 기업과 개인 사이에서 실용적인 접점을 찾아야 한다. 바다와 육지를 구분짓는 해안선을 제도자로 그으려고 하면 영원히 그을 수 없다. 파도와 바람과 모래가 서로 어울려 필요한 곳을 채우고 넘치는 부분을 남기도록 하는 것이 현실적이다. 데이터를 활용하는 기업과 개인 사이에서 서로의 편익을 실용적으로 협상하도록 맡겨둬야 한다. 개인의 편익이 더 크면 개인도 공개에 동의하게 돼 있다. 정부가 할 일은 산업의 활성화와 개인의 실질적 보호라는 두 마리 토끼를 지키는 심판이자 중재자여야 한다. 보호되지도 않는 보호법, 활용되지도 못하는 활용법이 아니라 실제로 보호되고 활용되는 실용적인 접점이 이뤄지도록 해야 한다.