저장되어 있지 않은 번호로 전화가 걸려 온다. 호기심에 통화 버튼을 누르면 누군지 알지도 못하는 사람이 내 정보를 줄줄이 이야기하며 새로운 보험 상품, 서비스를 추천한다. 이처럼 모르는 사람으로부터 마케팅 전화를 받은 경험, 누구나 한 번쯤은 있을 것이다.
내 번호를 알려준 적이 없는데, 이들은 어떻게 내 전화번호와 생년월일, 성별 등을 알고 전화를 건 것일까? 우리가 무심코 동의한 개인정보 수집으로 인한 결과일 수도 있고, 무단으로 유출된 개인정보 때문일 수도 있다.
새로운 서비스나 사이트를 이용할 때 거의 필수적으로 요구하는 개인정보. 과연 안전하게 취급되고 있을까? 개인정보의 중요성과 개인정보를 보호하기 위한 스마트 기술들을 살펴봤다.
![[출처: 게티이미지뱅크]](/news/photo/202311/236209_239667_442.jpg)
개인정보의 종류와 범위
개인정보란 넓은 의미에서 특정 인물을 식별할 수 있는 모든 정보를 의미한다. 신상 정보라고 표현하기도 하는데, 개인과 관련된 모든 정보가 여기에 들어간다. 일례로 개인의 가치관, 사상, 정치적 성향, 취향 등도 개인정보에 들어가지만 이는 폭넓은 의미에서의 개인정보이고 우리가 실제로 일상에서 자주 접하는 법률에서 정의하는 개인정보는 의미가 조금 다르다.
우리나라의 개인정보 보호법 제2조에서는 개인정보를 '살아 있는 개인에 관한 정보로 해당 정보만으로 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보'로 정의한다.
이름과 성별, 주민등록번호를 비롯해 집주소나 휴대전화 번호, 군번, 학번 등 고유의 개인을 특정할 수 있는 정보가 가장 대표적인 개인정보다. 이를 고유 식별 정보라고 한다. 이 외에 고향이나 출신 학교, 가입 단체, 건강 상태 등 단독으로 개인을 특정할 수 없는 정보라도 다른 정보와 결합해 개인을 특정할 수 있으면 개인정보의 범주에 해당된다. 이를 민감 정보라고 한다.
예를 들어보자. 발목 수술을 한 A 씨가 있다. 전국에 발목 수술을 한 사람은 A 씨 말고도 무수히 많기 때문에 발목을 수술했다는 정보 하나만으로는 A 씨를 특정할 수 없다. 하지만 여기에 A 씨의 고향과 학교, 이름 등이 추가되면 A 씨를 쉽게 특정할 수 있다. 이 같은 민감 정보는 사생활을 현저히 침해할 우려가 있는 정보라 개인정보 중에서도 특히 엄격하게 취급하고 있다.
최근에는 민감 정보와 고유 식별 정보 외에 생체 정보가 중요한 개인정보로 급부상하고 있다. 지문이나 얼굴, 홍채, 정맥 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보를 생체 정보라 부른다. 생체 정보 중 개인을 인증 또는 식별하기 위해 입력 장치 등을 통해 수집되는 정보를 원본 정보라 부르고, 이로부터 특징점을 추출하는 기술적 수단을 통해 생성되는 정보를 특징 정보라 부른다. 특징 정보는 민감 정보로 분류되어 엄격하게 관리되어야 한다.
![[출처: 게티이미지뱅크]](/news/photo/202311/236209_239664_3946.jpg)
일상이 된 개인정보 유출
디지털 환경이 일상화된 현대 사회에서 개인정보는 나를 증명하는 중요한 수단 가운데 하나로 자리잡았다. 이를 반대로 이야기하면 개인정보만 알고 있어도 다른 사람을 사칭하기가 쉽다는 이야기다.
A라는 사람의 이름과 주민등록번호, 휴대전화 번호가 범죄자의 손에 들어갔다고 가정해 보자. 범죄자는 A의 휴대전화 번호를 이용해 가족이나 친구에게 금전을 요구할 수 있으며, 다른 개인정보를 확보해 범죄에 악용할 수도 있다. 혹은 제3자에게 해당 개인정보를 팔아 넘기기도 한다.
최근에는 개인정보가 고객의 경제 사정과 취향에 어울리는 제품, 서비스를 제안하는 맞춤형 광고에 활용되는 탓에 정보 자체가 가치가 되기도 한다. 더불어 자신의 정치 사상이나 가치관이 사회적 불이익으로 이어지는 경우도 있기에 개인정보의 중요성은 더욱 높아지고 있다. 하지만 아직까지도 업계와 대중들의 개인정보에 대한 인식은 그리 철저하지 못하다.
글로벌 기업이나 SNS 기업에서 수천만, 수억 명에 달하는 개인정보가 유출된 사례는 비일비재하고 국내에서도 대규모 개인정보가 유출된 사례가 무수히 많았다.
숏폼 동영상 기반의 소셜 미디어 틱톡은 사용자의 와이파이 네트워크와 심 카드, 전화 유형, 구독 정보 등에 접근할 수 있는 소프트웨어가 탑재되어 일반적인 앱보다 훨씬 많은 개인정보를 수집한다는 논란에 휩싸이기도 했다. 여기에 개발사가 중국에 위치해 있다는 특수성이 더해져 개인정보 유출, 사이버 보안 등의 이유로 아예 틱톡 접속을 차단하려는 움직임도 있었다.
한국에서도 개인정보 유출은 일상이 된 지 오래다. 많은 서비스들이 사용자의 개인정보 제공을 요구하고 있으며 이를 동의하지 않으면 서비스를 이용할 수 없거나 제한적으로만 이용해야 한다.
이처럼 개인정보는 디지털 시대에 너무나도 중요한 정보기에 세계 각국은 개인정보 보호와 관련된 다양한 법률을 제정하고 관련 기술을 개발하고 있다.
개인정보 보호를 위한 정책과 기술
우리나라는 2011년 3월 29일 공포한 개인정보 보호법을 기반으로 개인정보를 보호하고 있다. 본래는 직관적이고 알기 쉬운 내용이 주를 이루고 있었으나 발전하는 디지털 기술과 서비스 환경, 개인정보 개념의 확대에 따라 용어와 체계가 계속 확대되어 오늘에 이르고 있다.
특히 최근 수년 사이 개인정보가 데이터 자산으로서의 가치를 인정받으면서 이를 더 안전하게 보호하고 활용하기 위한 움직임도 활발해지고 있다. 대표적인 예로 개인정보 보호법과 더불어 데이터 3법으로 불리는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’의 개정이 있다.
유럽은 2018년부터 일반 개인정보 보호법(GDPR: General Data Protection Regulation)을 시행하고 있다. 이 법에 따르면 사람과 관련된 데이터는 꼭 그 사람의 허락을 받고 알고 있는 만큼만 사용해야 하며, 일정 기간이 지나면 반드시 삭제해야 한다. 이는 유럽 내에서 국한된 내용이 아니라 유럽 거주민을 대상으로 서비스하는 기업이라면 모두 준수해야 하는 법으로 이를 어길 시 매출의 4%에 해당하는 강력한 벌금을 물게 된다.
미국은 한국처럼 개인정보를 일괄적으로 보호하는 법은 없지만 각 주마다 개인정보에 해당하는 수많은 법규가 존재한다. 더불어 2020년부터 캘리포니아에서 유럽의 GDPR을 모티브로 한 소비자프라이버시법(CCPA: Californias Consumer Privacy Act)이 시행되고 있다. GDPR처럼 엄격한 개인정보에 기반을 둔 법으로 비슷한 법안이 다른 주에서도 추진되고 있어 향후에는 미국 전체로 확대될 것으로 보인다.
![[출처: 게티이미지뱅크]](/news/photo/202311/236209_239666_4029.jpg)
개인정보 보호를 위한 기술로는 문서 보안과 데이터 유출 방지, DB 암호와 위변조 방지 스토리지 등이 있다. 이러한 기술은 이미 산업 전반에 활용되며 개인정보 보호에 기여하고 있지만, 생성형 인공지능(AI)을 비롯한 신기술이 지속적으로 등장하면서 이에 대응할 수 있는 발전된 개인정보 보호 기술의 수요도 커지고 있다.
개인정보보호위원회에서는 기존의 '바이오정보 보호 가이드라인'을 개정해 생체 정보를 처리하는 개인정보 처리자와 관련 기기 제조사, 이용자 등이 함께 알아야 할 사항이 수록된 생체 정보 보호 가이드라인을 지속적으로 개정해 공표하고 있다. 생체 정보뿐만 아니라 스마트도시, 보건 의료, 아동·청소년 등 각 분야에 따른 개인정보 보호 가이드라인을 꾸준히 공표하고 있으니 확인해 보자.
개인정보 보호 중심 설계(PbD: Privacy by Design) 인증제도 등장했다. 개인정보 관련 침해가 발생한 이후에 조치하는 것이 아닌, 위협을 미리 예측하고 예상하고 서비스 기획 및 설계 단계에서 예방하는 개념이다. 대처가 아닌 예방에 초점을 둔 정책으로 올해 5월부터 개인정보보호위원회에서 시범 시행하고 있는 제도다. 세부 사항은 현재 보완 중이지만 이 제도가 정착되면 사용자들은 자신들이 스마트 제품을 사용할 때 어떤 정보가 어떻게 처리되는지를 인지할 수 있게 된다.
AI 챗봇의 개인정보 유출에 대응하기 위한 기술도 개발 중이다. AI 챗봇은 수많은 정보를 학습하며 사용자와의 대화를 통해 적절한 정보를 제공하는 서비스지만 대화 중 언급되는 사용자의 개인정보가 챗봇의 데이터센터로 전송되어 저장되고 재사용되는 문제가 있었다. 이에 학습에 사용되는 그라디언트에 잡음을 섞어 사용자의 개인정보를 유출하는 모든 종류의 공격을 방어하는 차등 프라이버시 기술이 개발되고 있다.
이처럼 개인정보 보호를 위한 다양한 정책과 기술들이 개발되고 있지만, 가장 좋은 개인정보 보호법은 개인이 개인정보를 지키기 위한 습관을 가지는 것이다. 새로운 서비스를 이용하거나 개인정보를 제공할 때는 개인정보 취급 방침이나 약관을 꼼꼼히 읽고, 비밀번호는 타인이 유추하기 어렵도록 설정해야 한다. 이와 함께 꼭 필요하지 않은 개인정보는 입력하지 말고, 개방된 공공장소에서는 금융 정보를 비롯한 민감한 개인정보가 노출되지 않도록 해야 한다.
만약 자신의 개인정보가 유출된 것으로 의심되거나 혹은 유출 여부가 궁금하다면 개인정보보호위원회에서 운영하는 '털린 내 정보 찾기 서비스'를 이용해 확인할 수 있다. 정보 유출이 확인되었다면 'e프라이버시 클린서비스'를 사용해 개인정보를 안전하게 관리할 수 있다.
