스마트폰 속 당신의 생활 정보, 누군가 사고 판다면?

지겹다. 시간과 장소 구분 없이 걸려 오는 스팸 전화와 문자. 중요한 전화를 기다리는 타이밍에 낯선 번호로 울리는 스팸 전화는 상당한 스트레스를 유발한다. "바쁩니다", "저는 그런 것 필요 없습니다" 등 빨리 전화를 끊고 싶지만, 숙달된 상담원들의 끊어지지 않는 말꼬리 잡기는 듣는 사람이 더 숨 차다. 가끔 그들의 따발총 같은 화법을 배우고 싶은 생각마저 드는 것은 비단 기자만이 아닐 것이다. 그렇다고 받지 않을 수도 없다. 혹시나 새로운 기사 제보일 수도 있고, 업체의 바뀐 전화번호일 수도 있다. 그저 답답할 따름이다.

지난 2013년 10월 25일, 개인정보보호 위원회가 '개인정보보호법 시행 2주년 기념 세미나'를 열고 그간의 성과 및 향후 과제 등을 발표했다. 당시 안전행정부(이하 안행부)가 발표한 내용에 따르면, 일반 개인이 개인정보 보호 동의서를 꼼꼼히 읽고 확인하는 비율은 16.6% 정도에 그친다. 사업자의 실천의지도 미흡했다. 안행부 개인정보보호 합동점검단의 조사에 따르면 개인정보보호 동의서 서식을 개선한 사업자는 32.5%, 자율실태 점검은 6.3%에 그쳤다.

온라인 서비스나 금융 기관에 가입하며 개인정보 보호 동의서를 꼼꼼히 읽는 사람이 얼마나 있을까. 오히려 꼼꼼히 읽고 확인하는 비율이 16.6%나 된다는 것이 신기하다. 아마 대부분 프로그램 설치할 때 나타나는 '다음' 버튼 누르듯 마우스로 클릭하지 않았을까. 마치 가입하려면 의무적으로 그래야 하는 것처럼 말이다. 그리고 한가지 더 중요한 것이 있다. 바로 '개인정보 제3자 제공 동의서'다. 개인정보 제3자 제공 동의서에 동의하고 가입을 했다고 가정하자. 그 순간, 개인정보는 단 한번의 동의로 제휴 금융사나 신용조회업체, 대출중개업체 등 수십, 수백 곳에 달하는 관련 업체에 제공된다.

이렇게 제공된 개인정보는 광고전화, 문자 등을 비롯해 어떤 곳에서 어떻게 활용되는지 사용자가 파악하기 어렵다. 물론 개인이 스스로 동의하긴 했다. 하지만, 어디까지나 자의 반 타의 반이다. 가끔 개인정보 제3자 동의서에 동의하지 않으면, 가입조차 할 수 없는 인터넷 서비스도 있다.

개인정보와 이용자 데이터

개인정보는 민감한 사안이다. 몇 년 사이 SK커뮤니케이션, KT, 넥슨 등 대형 개인정보 유출 사고도 잦았다. '내 개인정보는 길가 어딘가에 굴러다니는 돌멩이'라는 자조 섞인 농담도 생겨났다. 그런데 최근, 개인정보 유출보다 더 민감할 수 있는 서비스가 등장해 논란이 일고 있다. 이른바 개인의 생활 패턴을 담은 '이용자 데이터'다.

이용자 데이터는 사용자가 스마트폰으로 사용하는 데이터양을 뜻하지 않는다. 사용자의 생활을 엿볼 수 있는 패턴 데이터에 가깝다. 위치정보를 통해 20대 남성 A씨가 평일에는 어디를 다니고, 오래 머문 곳은 어딘지 파악한다. 또한, 그가 내려받은 앱은 무엇이며, 주로 이용하는 앱은 무엇인지도 알 수 있다. 20대 남성 A씨에만 국한되지 않는다. 전 사용자의 이용자 데이터가 누적되는 것이다. 그리고 이 이용자 데이터는 이동통신사를 비롯해 데이터를 주고받는 앱 개발사 등 다양한 업체에 누적되고 있다.

이용자 데이터의 상품화

2013년 대한민국은 스마트폰에 빠져있다. 국내 스마트폰 사용자 수는 2013년 7월 기준 3,594만 6,051명에 달하며, 이동통신사의 서비스를 이용하고 있는 태블릿PC 가입자 수는 71만 455명에 이른다. 그야말로 폭발적인 성장세다. 빠르게 늘어나는 스마트폰 사용자는 매 순간 쌓이는 데이터양을 폭발적으로 늘렸다. 2013년 8월 기준 무선 이동통신(와이브로, 와이파이 포함) 트래픽은 7만 8,683TB에 달한다.

이른바 빅데이터다. 그리고 스마트폰 시대 이후 실시간으로 쌓여가는 데이터를 효과적으로 분석해 변환하는 빅데이터 분석 솔루션에 많은 관심이 쏠렸다. 실제 이를 구체화해 상용화한 사례도 속속 등장했다. 구글과 페이스북은 웹사이트 방문 기록이나 앱 이용 행태 등을 분석해 사용자에게 제공하는 분석 솔루션을 이미 도입했다. 얼마 전까지 감당할 수 없을 정도로 쌓여가는 빅데이터를 분석하는데 힘을 쏟았다면, 이제는 이를 이용해 다양한 서비스를 제공하는 단계로 전환됐다.

그런데, 최근 업체가 수집한 이용자 데이터를 수익화 모델로 활용하려는 움직임이 일고 있다. 이용자 데이터의 상품화다. 예를 들어, 이동통신사가 자사의 서비스를 이용하는 사용자의 다양한 이용자 데이터를 야구 용품을 판매하는 업체에 제공했다고 가정하자. 마침 이 날은 한국시리즈가 열리는 날이다. 그럼 평소 야구 관련 앱을 자주 이용하고, 야구 관련 동영상을 수시로 감상하거나, 잠실 야구장에서 한국 시리즈를 직접 보고 있는 20~30대 남성에게 야구 용품 상품 정보를 전송한다. 궁극적인 목표는 이동통신사가 직접 제공하는 서비스는 한계가 있으니, 외부 업체에게 이용자 데이터를 제공해 사용자의 편의를 돕는 것이다.

이미 미국의 이동통신사 버라이즌, AT&T, 스프린트는 이용자 데이터를 제 3자에게 제공할 수 있도록 정책을 수정하고 이용자 데이터 판매 서비스를 실시했다. 버라이즌이 2012년 10월 선보인 'Precision Market Insights' 서비스는 가입자 데이터 및 위치정보, 앱 이용 행태 등을 기업에게 제공한다. 스프린트도 2012년 10월 'Pinsight Media+' 서비스를 시작했다. 이용자의 웹사이트 방문 기록, 앱 이용 행태, 기지국을 통해 수집한 위치정보 등을 취합해 맞춤형 광고 서비스를 제공한다. AT&T도 2013년 6월 사생활 보호 정책을 변경하며 와이파이 위치 정보와 모바일 인터넷 이용 정보 등을 상업적으로 이용할 수 있도록 준비했다.

개인정보의 제공과 침해, 그 기준은?

문제는 여기에 있다. 제3자에게 제공할 수 있는 사용자의 개인정보와 이용자 데이터를 어디까지 인정해야 하냐는 것. 자신의 개인정보뿐만 아니라 이제는 생활 패턴을 담은 데이터까지 제3자에게 제공될 수 있다는 것을 인정해야할까. 더구나 개인은 기업이 수집하는 데이터가 어떤 것이고, 누구에게 전달하며, 전달받은 기업은 해당 데이터를 어떻게 이용하는지 파악할 수 없다. 앞서 언급한 개인정보 제3자 제공 동의를 통해 전달되는 개인정보도 제대로 파악하지 못하는 판국 아닌가.

물론, 이용자 데이터를 제공하는 것 자체의 취지는 나쁘지 않다. 각 개인에게 보다 맞춤형 서비스를 제공하기 위함이다. 휴가 시즌에 발리로 여행가기 위해서 해당 여행지의 맛집이나 숙박 정보 등을 며칠간 검색하고 준비할 때, 정말 저렴한 가격에 딱 마음에 드는 여행 정보를 추천 받았다고 가정하자. 뭐, 나쁘지 않다. 그리고 이처럼 다양한 이용자 데이터를 누적해 분석하면, 더 많은 사용자에게 알맞은 서비스를 제공할 수 있는 법이다.

그래도 문제는 남는다. 개인정보 유출처럼 이용자 데이터가 유출된다면? 제3자에게 정보가 제공될수록, 많은 업체가 해당 데이터를 보유할수록, 유출 확률은 늘어난다. 기업이 개인정보 및 이용자 데이터를 제공하고 판매하는 것에 반대하는 목소리도 높다. 각 개인 스스로 해당 정보에 권리를 가져야 하며, 기업이 제대로 보상해야 한다고 말한다.

개인정보와 함께 이용자 데이터도 보호받아야 할 대상이 아닐까. 아직 정답은 없다. 해당 내용에 대한 정책 또는 법적인 준비도 끝나지 않았다. 업체는 개인에게, 개인은 업체에게 서로가 납득할 내용으로 이를 준비해야 한다. 아직 넘어야 할 산이 많다. 하지만, 한가지는 분명하게 말하고 싶다. 나를 엿볼 수 있는 것은 나 자신 하나면 충분하다고.

글 / IT동아 권명관(tornadosn@itdonga.com)