국정원. 어디까지 해킹했니? 누구를 해킹했니? 국민일동대회
글 | 박경신 (오픈넷 이사, 고려대 법학전문대학원 교수)
사과는 무엇인가? 사과의 정체성은 다른 것과의 차이에서 현출된다. 사과 혼자 존재할 수 없고 ‘사과성’이라는 객관적 실재가 있는 것도 아니다. 우리의 정체성은 우리를 둘러싼 관계와 관계를 생성하고 유지하는 언어로 이루어져 있다. 교육도 그 관계를 형성하기 위해 훈련을 받는다. 내가 교수로 강의하는 것은 나 혼자 할 수 있는 게 아니다. 나를 교수로 보고 들어주는 학생들이 있어야 가능하다. 내가 변호사로 활동하려면 내가 대리할 의뢰인이 필요하다. 내가 한국인이 된 것은 한국인이라는 어떤 특질이 내 안에 있어서가 아니다. 특정 지역에 사는 사람들이 서로 동질감을 느끼며 집단을 형성해 한국인이라고 부르기 시작해서 그리된 것이다.
여기서 관계란 사람 사이의 관계이다. 내가 특정 관계에 있다는 것은 내 개인정보이지만 그 관계에 있는 다른 사람의 개인정보이기도 하다. 우리는 정보를 그렇게 공유하는 것이 자연 상태다. 우리는 비밀리에 태어날 수도 비밀리에 살아갈 수도 없다. 내가 누군가를 때리면 폭행의 피해자가 생기고 피해자의 가족이 알게 되고 경찰이 알게 된다. ‘내가 상대를 폭행했다’는 정보를 숨기고 싶어도 상대는 그것을 알리고 싶을 수 있다. 프라이버시는 인격의 자연 상태가 아니라 정보 공유의 상태에서 자신을 숨길 자유를 말한다. 자신에 대한 정보를 차단할 자유이다. 그렇다면 정보 공유의 자유, 즉 모든 정보 공유는 정보의 전달로 이루어지고 정보의 전달은 표현이므로 프라이버시는 표현의 자유와 같은 재질로 이루어져 있다.
정보 공유를 통한 해방과 정보 통제를 통한 존엄성이 충돌하는 지점이 있을 수밖에 없다. 이를 망각하고 프라이버시를 자연 상태로, 그 자연을 보호하는 게 프라이버시 운동이라고 생각하는 사람들이 있다. 바로 우리나라 법원이다.
현재 법원의 판결문 공개 상황은 처참하다. 전체 판결문의 0.5%만이 임의어 검색을 통해 판결문 전체를 읽을 수 있게 공개된다. 물론 법원 도서관에 가면 판결문을 볼 수도 있다. 그런데 5000만 전 국민이 이용할 수 있는 그 컴퓨터는 단 4대뿐이다. 각 법원 홈페이지를 통한 검색? 지면이 아까워 더 말하지 않겠지만 전국 법원 85개를 일일이 따로 검색해야 한다거나 검색 결과 1개를 열어볼 때마다 1000원씩 내야 한다는 점만 알려주겠다.
법원은 판결문을 더 공개할 마음이 없다. ‘판결문에는 성폭행 피해자가 어떻게 성폭행당했는지 자세한 묘사가 있다’ ‘판결문에는 회사의 내부 상황이 적나라하게 드러나 있다’는 따위 이유를 대는데 이런 것들은 현행법상 영업비밀 또는 사생활의 비밀을 근거로 판결문을 공개하지 않으면 된다. 이에 대해 법원은 ‘당사자나 관계자가 아니지만 당사자나 관계자의 삶 속에 있음으로 해서 자신의 생활이 드러나는 사람은 어떻게 하느냐’고 한다. 예를 들어 당사자가 살인을 저지르기 위해 칼을 ‘부산상회’에서 샀다고 판결문에 적시되어 있다고 하자. 부산상회 주인은 자신이 살인범에게 칼을 팔았다는 개인정보가 자신의 동의 없이 일반에 공개되는 상황에 처한다.
개인정보가 그런 상황에서도 보호되어야 할까? 누구에게 칼을 파는 것이 은밀한 일도 아니고 명예를 훼손당할 일도 아니다. 물론 개인정보는 그런 위험까지 미리 예방하기 위해 정보 주체가 개인정보를 ‘소유’한 것으로 간주하는 디폴트(default) 규칙을 만들자고 나온 개념이긴 하다. 그건 디폴트일 뿐 절대적인 것이 아니다. 판결문이 공개되어야 할 정치·경제·인권적 이유는 차고 넘친다. 우리가 살아가면서 잘못을 하고 용서를 받는 방법은 여러 가지가 있다. 재판도 그런 여러 방법 가운데 하나다. 누군가의 정보가 그 사람의 동의 없이 들어 있다고 해서 판결문을 공개하지 못한다면 언론사는 모두 문을 닫아야 할 것이다.
사람은 관계 속에서 살아간다. 그 관계를 통한 정보의 흐름을 차단하려는 모든 자유를 인정해주려는 것이야말로 가장 보수적인 형태의 자유지상주의(libertarianism)이다.
* 위 글은 시사인에 기고한 글입니다. (2018.03.06.)
세계적인 정보통신기술(ICT) 기업들의 이용자 보호 정책을 평가하여 순위를 매긴 ‘2017 기업책임지수(Corporate Accountability Index)‘가 공개되었다. ICT 기업을 평가하는 국제 프로젝트인 RDR(Raning Digital Rights)은 전세계 22개 기업을 대상으로 하여, 이들이 이용자의 표현의 자유와 프라이버시를 얼마나 잘 보호하는지 집중 평가한 결과를 최근 발표했다.
올해의 평가 대상 기업은 ‘인터넷 및 모바일 부문’ 12개 기업과 ‘이동통신 부문’ 10개 기업이다. 구글, 페이스북, 트위터, 얀덱스, 바이두 같은 인터넷 기업들, AT&T, 텔레포니카 같은 이동통신 기업들이 포함됐다. 삼성과 애플 등 모바일 기업은 올해 처음으로 이 평가에 포함되었다.
평가 결과, 인터넷 및 모바일 부문에서는 구글, 마이크로소프트, 야후가 1~3위를 차지했고 이동통신 부문에서는 AT&T, 보다폰(영국), 텔레포니카(스페인)가 1~3위에 올랐다. 한국 기업으로는 카카오와 삼성이 인터넷 및 모바일 부문에 포함되어 평가를 받았다. 해당 부문 12개 기업 중에 카카오는 5위로 페이스북보다는 못하지만 트위터보다는 나은 점수를 받았다. 삼성은 9위를 차지함으로써, 같은 분야 기업인 애플(7위)보다 두 계단 처졌다.
RDR이 각 기업을 평가한 주요 가치는 표현의 자유와 프라이버시다. 기업들이 이용자의 표현의 자유와 프라이버시를 보장하기 위해 얼마나 노력하고 있는지, 이러한 노력이 기업 정책으로 구체화되어 있는지, 또 그러한 정책이 각종 문서나 약관을 통해 명백하게 밝혀져 있는지 등이 평가 요소였다. 이를 측정하기 위해 35개 지표, 183개의 측정 기준이 적용되었다.
RDR은 세계 ICT 기업들이 이용자에게 제공하는 보호정책 정보가 전체적으로 미흡하며, 특히 스마트폰을 만들어 모바일 생태계를 조성하는 기업들에서 투명성이 떨어졌다고 평가했다. 또 표현의 자유를 지키려는 노력이 프라이버시 보호보다 더 부족한 것으로 나타났으며, 이용자 정보가 어떻게 수집되고 사용되는지를 충분히 고지하지 않는 것도 문제라고 비판했다.
한국 기업에 대해서는, 카카오는 이용자의 표현의 자유와 관련한 정책을 잘 명시하고 있고 개인정보 사용 내용도 비교적 잘 고지하고 있다고 평가했다. 삼성은 인권 일반에 대한 강한 보호 방침에도 불구하고 표현의 자유 및 프라이버시 영역에서는 구체적인 조항을 갖고 있지 않으며, 특히 정부나 사기업이 이용자의 개인정보를 요구할 때 이를 어떻게 처리하는지에 대해 명확히 밝히지 않는다고 지적했다.
2015년에 이어 올해 두 번째인 RDR의 기업 평가 프로젝트는 미국의 명망 있는 싱크탱크인 뉴아메리카 재단에서 주관하고 세계 유수의 전문가 단체가 참여하는 방식으로 진행됐다. 평가팀은 2016년 9월부터 6개월에 걸쳐 복잡한 다단계 검증 과정을 거치며 작업을 수행했다. 사단법인 오픈넷은 이번 평가에서 한국 기업인 카카오와 삼성에 대한 기초 평가를 담당했다.
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
[13자리 주민번호 도입 40년 인권시민단체 공동입장]
* 여야가 합의했다고 보도가 계속 나오는 테러방지법(사이버테러방지법을 포함하는 의미입니다)의 문제점을 인권시민사회단체가 정리해 보았습니다. 테러방지법의 전체적인 문제점은 첨부파일을 참고하시기 바랍니다
글 | 박경신 (오픈넷 이사, 고려대 법학전문대학원 교수)
최근 과학기술정보통신부가 ‘인공지능 R&D 챌린지’를 열었다. 뉴스 데이터 6000개 중에서 ‘가짜 뉴스’를 찾는 기술력을 평가해 우수 연구팀 3개 팀을 뽑아 연구비 15억원을 지원했다. 2위를 차지한 아이와즈팀 강장묵 교수(남서울대)는 “1년 동안 신문 기사 130만 건을 기계 학습하며 이룬 규칙 기반의 뉴스 기사 분석”을 성공 비결로 밝혔다.
미국 트럼프 대통령 당선과 함께 가짜 뉴스는 인터넷 및 정보기술이 우리 삶을 파괴하는 방식 중 하나로 지적되었는데, 그 가짜 뉴스의 질곡을 바로 인터넷과 정보기술이 해소할 수 있는 가능성을 보여준다. 이 미담의 핵심에는 신문 기사 130만 건, 즉 빅데이터가 있다. 인공지능이 최근 발전하는 것은 인공지능을 훈련시키는 재료가 되는 빅데이터의 출현에 힘입은 바 크다.
전혀 상관없어 보이던 데이터베이스(DB)들을 합쳐, 전에는 몰랐던 통찰을 유추해낼 때 빅데이터는 사회적으로 더욱 유용하다. 예를 들어 건강 정보와 휴대전화 사용 기록을 연결하면 휴대전화에서 나오는 전자파와 암 발병 간의 관계를 밝혀낼 수도 있다. 하지만 이 시나리오에서 우리가 유의할 점이 있다. 건강 정보 DB는 긴요한 의료 서비스를 받기 위해 치료 목적으로 병원에 제공한 정보를 축적해 만들어진다. 그런데 휴대전화 제조사가 안전한 휴대전화 개발에 필요하다며 이를 이용한다면 환자의 사생활 비밀 침해라고 볼 수 있다. 자발적으로 정부기관이나 회사에 제공한 것이라도 정보 제공의 조건과 목적에 반하게 이용되면 정보 유출, 즉 ‘감시’와 다를 바 없다. 이를 막기 위해 자신의 정보를 타인에게 제공할 때 그것이 어떤 목적으로 누구에게 이용되고 공유되는지 통제할 수 있어야 한다(‘개인정보 자기결정권’). 물론 그 정보가 누구에 대한 것인지 알 수 없게 된 상태, 즉 ‘익명화’되어 유출된다면 사생활 비밀 침해는 없을 것이고 개인정보보호법 위반 논란도 사라진다.
서로 다른 목적으로 축적되어 있는 DB들의 상호 결합을 위해서는 적어도 각 DB의 엔트리(명단) 중에서 동일인의 데이터들을 연결시키는 작업이 필요하다. 예를 들어 A의 휴대전화 사용 기록과 B의 암 발병 여부를 연결해놓은 데이터는 ‘밀려 쓴 답안지’처럼 쓸모없어진다. 그렇다고 실명 정보를 외부에 제공하면 개인정보보호법 위반이다. 이런 이유로 DB 결합은 먼저 각 DB에서 이름과 주민등록번호 등 이른바 ‘개인식별 정보’를 가명으로 전환한다(보통은 일방향 해시함수). 그다음 동일한 가명을 가진 DB 엔트리들을 결합한 후 가명을 떼어낸다. 원본 데이터를 가진 사람은 데이터를 비교해 정보 주체를 찾아낼 수 있으므로 결합된 DB를 익명화하는 기술을 쓴다.
여기에 대해 두 가지 견해가 대치한다. 한쪽에서는 가명 생성 공식을 아는 사람이 존재하는 한 ‘가명화’된 정보는 항상 재식별화될 수 있으므로 익명화가 아니라고 본다. 이는 유럽의 개인정보보호법이 취하는 태도와 비슷한데, 정보 주체들의 동의 없이 새로운 목적으로 그들에 대한 다른 정보와 결합하는 순간 이미 불법적인 ‘목적 외 이용’에 해당되어 불가하다는 것이다. 다른 쪽에서는 신뢰받는 제3자가 가명 생성 방식의 비밀을 유지하면서 DB 결합 서비스를 대신하고, 이후 최대한 익명화 작업을 한다면 어느 누구도 혼자서는 결합 DB를 용이하게 재식별화할 방법이 없으므로 개인정보보호법 위반이 아니라고 주장한다.
우리는 여기서 중요한 가치판단을 해야 한다. 빅데이터는 본질적으로 개인정보보호법을 위반할 소지가 있다. 개인정보 보호는 개인식별 정보를 보관한 자들이 법과 계약을 지킬 것이라는 약속에 어느 정도 기댈 수밖에 없다. 이 약속이 무의미하다면 익명화는 논리적으로 불가능하다(기술적 불가능성 문제는 이 논란에 대해 중립적이다). 빅데이터를 통한 지식 추구라는 장점과 여기서 발생하는 사생활 침해 위험 사이에서 적정한 선을 긋는 공론화위원회와 같은 솔직한 대화가 필요하다. 정보를 통한 해방과 정보를 통한 속박. 두 가지를 모두 잡는 방법을 찾아야 한다.
* 위 글은 시사IN에 기고한 글입니다. (2017.12.29.)
시민들의 의견
댓글 달기