‘누군가 나인 척한다’ 개인정보 유출 공포
위반 시 공무원은 퇴출, 기업은 과징금 철퇴
개인정보 보호와 데이터 경제라는 두 마리 토끼
데이터 간 합종연횡, 스몰테크 기업엔 기회
인공지능의 자동화된 결정을 거부할 인간의 권리
얼리어답터 한국이 개인정보 분야 글로벌 규범 선도
개인정보 보호, 데이터 경제, 인공지능 관련 최고의 법 이론가로 꼽히는 고학수 위원장. [조영철 기자]
영화 ‘스마트폰을 떨어뜨렸을 뿐인데’에서 나미의 스마트폰을 주운 준영이 피해자 가족을 협박하고 빈정거리며 한 말이다. 그는 “알 수 있는 게 많다”가 아니라 “알 수 없는 게 하나도 없다”고 득의양양해한다. 준영은 주운 스마트폰에 스파이웨어를 심어 주인에게 돌려준 뒤 해킹한 상대의 삶을 마음대로 조종한다. 그가 주운 건 스마트폰이 아니라 개인정보였던 것. ‘당신의 스마트폰으로 누군가 당신인 척하고 있다’는 영화 광고 문구는 개인정보 유출의 위험성을 알리는 섬뜩한 경고였다.
지난해 수원시 구청 공무원이 2년여 동안 1000여 건의 개인정보를 흥신소에 넘기고 건당 2만 원씩 받아온 범행이 발각됐다. 심지어 이렇게 흘러나간 정보가 스토킹 살인의 빌미를 제공했다는 사실도 드러났다. 또 다른 스토킹 살인이 벌어진 서울 신당역 사건에서는 가해자가 직장 내부 전산망을 통해 피해자의 근무시간과 동선 등을 파악한 것으로 알려지면서 공공기관의 부실한 개인정보 관리 실태가 도마에 올랐다. 이를 계기로 감독기구인 개인정보보호위원회(이하 ‘개인정보위’)는 개인정보를 고의로 유출하거나 부정 이용한 공무원에 대해 1회 적발에도 파면·해임하는 ‘원 스트라이크 아웃’ 제도를 도입하는 등 공공부문의 개인정보 관리를 대폭 강화했다.
개인정보위는 글로벌 빅테크 기업들의 개인정보 무단 수집·이용 행위에 대해서도 칼을 빼 들었다. 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 구글과 메타에 1000억 원(구글 692억 원, 메타 308억 원)의 과징금을 부과한 것. 이는 온라인 맞춤형 광고 플랫폼의 행태 정보 수집·이용과 관련된 첫 번째 제재이자, 개인정보보호법 위반 사례 중 최대 규모의 과징금 부과여서 큰 주목을 받았다. 동시에 개인정보위는 ‘빅테크의 저승사자’로 떠올랐다. 구글과 메타가 이 조치에 불복해 지난 2월 개인정보위를 상대로 행정소송을 제기하자 고학수 위원장은 “적극 대응하겠다”며 정면 승부를 예고했다.
개인정보 침해인가 데이터의 안전한 활용인가
지난해 10월 윤석열 대통령은 고학수(56) 서울대 법학전문대학원 교수를 제2대 개인정보보호위원회 위원장으로 임명했다. 고 위원장은 서울대 경제학과에서 학사·석사 학위를 취득했고, 미국 컬럼비아대학 로스쿨과 경제학과에서 각각 학위를 받은 뒤 국내외 대학에서 법경제학, 개인정보 보호, 빅데이터, 인공지능, IT정책에 대한 강의를 했다. 또한 아시아법경제학회 회장, 한국인공지능법학회 회장, 서울대 인공지능정책 이니셔티브 공동디렉터, 서울대 AI연구원 부원장을 역임했다. 대통령실은 고 위원장에 대해 “개인정보 보호, 데이터 경제, 인공지능 관련 다양한 학술 활동을 활발히 수행했고, 정부위원회 등에 참여해 법·제도의 현실에도 밝은 개인정보 보호 분야 최고 전문가”라며 한껏 기대를 드러냈다.2011년 개인정보보호법 제정과 함께 설치된 개인정보보호위원회는 2020년 데이터 3법(개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 정보통신망 이용촉진 및 정보보호 등에 관한 법률) 개정과 함께 행정안전부, 방송통신위원회, 금융위원회로 분산돼 있던 개인정보 보호 감독 기능을 통합 관리하는 장관급 중앙행정기관으로 격상됐다.
그러나 개인정보 분야의 진정한 컨트롤타워로 자리매김하려면 보호와 활용이라는 두 마리 토끼를 모두 잡아야 했다. 이미 선진 각국이 ‘데이터 경제’로 패러다임 전환을 꾀하는 상황에서 국내에서는 이를 뒷받침할 개인정보보호법 일부 개정 법률안(2차 개정안)이 1년 넘게 국회에서 공전하다 보니 데이터 산업의 성장 모멘텀을 놓치는 것 아니냐는 우려가 커지고 있었다. 이 무렵 고 위원장이 등판했다.
2011년 개인정보보호법 제정 이후 처음으로 학계, 법조계, 산업계, 시민단체 등과 2년여의 협의 끝에 마련한 전면 개정안이기에 조바심이 날 만했지만 ‘급할수록 돌아가라’는 말대로 고 위원장은 먼저 ‘디지털 대전환’의 필요성을 설명하고 개인정보 활용에 대한 국민의 신뢰를 얻는 데 주력했다. “국민은 언제든 자신의 개인정보를 실질적으로 통제해 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착돼야 한다”는 것을 강조한 칼럼과 인터뷰, 동영상까지 모든 홍보 수단을 동원했다.
이러한 노력의 결과로 개인정보보호법 2차 개정안은 2월 27일 국회 본회의 통과, 3월 7일 국무회의 의결, 3월 14일 공표에 이어 6개월 뒤 시행을앞두고 있다. 고 위원장은 상반기 중 ‘국가 마이데이터 혁신 로드맵’을 마련하겠다고 밝히며 신속하게 후속 작업에 들어갔다. 3월 3일 정부서울청사 개인정보보호위원회에서 진행된 인터뷰는 9월 15일부터 시행되는 개인정보보호법 개정안의 주요 내용을 미리 살펴보고 마이데이터 시대를 여는 개인정보위의 역할에 초점이 맞춰졌다.
개인정보 전송요구권과 마이데이터 시대
지금까지 위원회의 활동이 개인정보 ‘보호’ 위주였다면 향후 ‘활용’에 중점을 둘 계획인가.“개인정보위 위원장 취임 후 가장 많이 받은 질문이 ‘보호와 활용 중 무엇이 더 중요한가?’ ‘위원장은 보호론자인가, 활용론자인가?’였다. 그러나 보호냐 활용이냐가 제로섬 게임으로 인식돼서는 안 된다고 본다. 보호하면 활용이 안 되고 활용하면 보호를 포기하는 것이 아니다. 보호와 활용은 포지티브섬 게임이 돼야 한다. 또 잘 보호하는 것과 잘 보관하는 것은 다르다. 다시는 꺼내 쓰지 않을 물건이라면 창고에 넣고 잘 잠가두기만 하면 된다. 그것이 보관이다. 그러나 언젠가 사용할 물건이라면 어떻게 보관하고 어떻게 꺼내 쓸지 동시에 고민해야 한다. 그것이 보호다. 국민의 소중한 개인정보를 침해 위험으로부터 보호하는 것은 위원회의 존재 이유고, 이를 전제로 정보 주체의 신뢰에 기반해 어떻게 데이터를 유용하게 활용할 것인지에 대한 고민도 함께 해나가야 한다. 산업계의 데이터 활용 요구 확대와 국민의 개인정보 침해로 인한 불안감 확대 사이에서 개인정보위가 균형 잡힌 나침반 구실을 해야 한다고 생각한다.”
개정안의 핵심 내용으로 ‘마이데이터’ 시대를 꼽았다. 본격적으로 자신의 개인정보를 꺼내 쓰는 시대가 열리는 것인가.
“마이데이터는 기업의 필요에 따라 ‘동의’ 의사를 표시하는 수동적 위치에 있던 정보 주체들이 자신의 정보를 적극적으로 통제할 수 있게 하는 것이다. 또한 개인정보 보호 중심의 패러다임에서 벗어나 마이데이터를 통해 자기 주도적으로 데이터를 활용할 수 있는 길이 열렸다. 대표적인 것이 이번에 신설된 ‘개인정보 전송요구권’이다. 이는 자신의 개인정보를 보유한 기업·기관에 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 권리로 이동권이라고도 한다. 이에 따라 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이뤄질 기반이 마련됐다고 보면 된다. 예를 들어 영·유아의 경우 신체 정보, 예방접종 정보 등을 활용해 맞춤형 성장 지원 서비스를 받을 수 있고, 학생들은 성적과 진학 정보를 토대로 학습 코칭 서비스를, 청·장년층은 경력과 자격 정보 등을 토대로 일자리 추천 서비스를, 노년층은 운동량과 수면시간, 건강검진 정보 등을 통해 건강관리 서비스를 제공받을 수 있다. 이와 같은 데이터 간 합종연횡이 가속화되면 일부 빅테크 중심의 데이터 집중 구조에 균열을 일으켜 혁신적인 아이디어로 무장한 데이터 기반의 다양한 스몰테크 기업이 다수 등장할 것으로 기대한다.”
1000억 원 과징금, 글로벌 빅테크에 경종
지난해 9월 개인정보위가 구글과 메타에 1000억 원의 과징금을 부과한 후 기업들이 개인정보위의 처분에 예민하게 반응하고 있다.“구글·메타 같은 온라인 플랫폼이 무료 서비스를 제공한다는 명목하에 이용자가 알지 못하는 사이 맞춤형 광고를 위해 개인정보를 무단으로 수집·이용한 행위를 시정토록 했다는 데 큰 의의가 있는 제재였다. 올해 들어서도 메타의 이용자가 타사 행태 정보 제공을 거부하면 페이스북 및 인스타그램 서비스를 가입할 수 없도록 한 것에 대해 시정명령 및 660만 원의 과태료를 부과했다. 이 처분은 국제적으로도 개인정보와 관련된 글로벌 빅테크의 부적절한 처리 관행에 경종을 울린 주요한 사례로 평가되고 있다. 비슷한 맥락에서 해외 주요 감독기구들도 타사 행태 정보 수집 및 맞춤형 광고 활용과 관련해 구글과 메타가 법적 의무를 준수하지 않았다고 잇따른 제재 처분을 하고 있다. 빅테크를 포함한 플랫폼들이 이용자의 타사 행태정보 등을 수집·이용하려 할 경우, 이용자가 해당 내용을 쉽고 명확하게 인지하고 자유롭게 결정권을 행사할 수 있도록 서비스를 설계하고 제공해야 한다는 사실을 명확히 한 조치였다고 생각한다.”
과징금을 포함한 처벌 조항은 어떻게 바뀌었나.
“간단히 말해 과징금 기준은 강화됐고 대신 형사처벌 조항은 빠졌다. 기존에 개인정보 수집·이용 동의를 위반할 경우 5년 이하의 징역 또는 5000만 원 이하 벌금형, 개인정보를 유출할 경우 2년 이하 징역 또는 2000만 원 이하의 벌금형에 처한다고 된 데서 형벌 조항이 삭제됐다. 과징금은 전체 매출액의 3% 이하로 하되 ‘위반행위와 관련 없는 매출액’을 제외한 매출액을 기준으로 산정하는 것으로 변경했다.”
시민사회단체들이 개정안에 대해 “산업계 로비에 밀려 국제규범에 한참 못 미치는 수준으로 타협했다”며 재개정을 요구하고 있다. 특히 과징금에서 위반행위와 관련 없는 매출액을 제외한 것은 당초 정부안(매출액의 3%)에서 오히려 후퇴했다고 지적했다.
“과징금 부과 기준 변화는 그 자체로 위반 억지 효과가 적지 않다고 생각한다. 위반행위 관련 매출액의 입증책임을 법 위반 기업 등에 전환하는 효과가 있고, 만약 매출액 관련 자료를 제출하지 않거나 거짓으로 제출하는 경우, 결국 ‘전체 매출액’ 기준으로 과징금이 부과되기 때문이다. 경미한 위반 사항도 형벌로 규율하던 것을 과태료·과징금과 같은 경제벌(경제제재) 중심으로 전환한 것이 오히려 글로벌 스탠더드에 부합한다. 이는 기업들이 개인정보 보호 책임을 담당자에게 떠넘기는 것을 막고, 개인정보 보호에 대한 관심을 촉구하고 경각심을 불러일으키는 효과가 있다. 다만 과징금 등 제재 강화가 개인정보 침해 예방 수단으로서 실효적 결실을 보려면 처벌 만능주의 시각에서 벗어나 사회적 전반의 인식이 함께 제고돼야 한다. 국민은 개인정보의 가치와 유용성을 알고 기업은 개인정보 침해 예방조치가 단순한 비용이 아닌 기업 경쟁력 강화의 전제이며 사회적 책임임을 이해해야 한다.”
인공지능(AI)이 개인정보를 수집하고 프로파일링하는 것이 보편화하면서 SF소설 ‘마이너리티 리포트’와 같은 미래를 상상하지 않을 수 없다. 기술 발전에 수반되는 국민의 기본권 침해를 막을 안전장치는 확보돼 있나.
“인공지능의 고도화에 대한 국민의 막연한 두려움과 새롭게 개발되고 있는 인공지능 서비스의 편익 사이에서 정책의 적절한 균형감각이 필요한 시점이다. 프로파일링이란 개인의 특징에 관해 정보를 수집하고 분류해 유형화하는 것을 말한다. 이렇게 유형화된 정보를 가지고 이용자에게 맞춤형 서비스를 제공할 수 있지만 개인정보 침해 우려도 분명히 존재한다. ‘자동화된 결정’은 이미 채용이나 인사, 복지 수급자 선정 등 다양한 분야에서 활용되고 있다. 인공지능을 활용한 ‘자동화된 결정’으로 새로운 형태의 프라이버시 이슈들이 제기되고 있다. 개정법률에서는 ‘자동화된 결정’이 정보 주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정을 거부하거나 설명 등을 요구할 수 있는 권리를 도입했다.”
얼리어답터 한국, 개인정보 관련 글로벌 규범 선도
‘자동화된 결정’이라는 맥락에서 개정안에 도입된 이동형 영상정보처리기기에 주목해야 하는 이유는 무엇인가.“기존 법은 특정 장소, 특정 건물에 부착돼 있는 고정형 영상기기(CCTV)만 규율하고 있어 자율주행차, 드론, 배달로봇, 보디캠처럼 이동하면서 촬영하는 경우는 ‘회색지대’였다. 회색지대란 개인정보 처리 방식이 적합한지 아니지 판단이 모호한 상태를 말한다. 개정법률에서는 이동형 영상정보처리기기의 개념을 도입하고, 이동형 영상정보처리기기로 촬영하려면 정보주체의 동의를 받았거나 촬영 사실을 알고도 거부 의사를 밝히지 않은 경우에 허용할 수 있으며 촬영 시 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 기기의 특성을 반영한 합리적인 운영 기준을 마련했다. 향후 AI, 생체인식, 스마트도시 등 개인정보를 활용하는 새로운 기술 및 서비스의 등장으로 기존과 다른 양상의 개인정보 침해 이슈가 계속 발생할 것이고 그럴수록 기술 발전과 환경 변화 등을 모니터링하고 가이드라인을 마련하는 것도 개인정보위의 역할이다.”
개인정보 보호·감독 기능을 통합 관리하는 중앙행정기관임에도 개인정보위의 존재와 기능에 대해 모르는 국민이 많다.
“올해 초 국가인권위원회가 원격 얼굴인식 기술이 인권침해의 위험성이 있으니 기본권이 침해되지 않도록 관련 법이 마련될 때까지 공공장소에서 원격 얼굴인식 기술을 활용하지 않도록 조처하라고 국무총리에게 권고했다. 안면인식이라고도 하는 이 기술이 국민의 프라이버시를 훼손하는 방향으로 쓰일 수 있으니 곧바로 도입하지 말고 일단 어떤 방식의 통제 장치가 필요한지 고민해 달라는 것이다. 이런 권고가 들어오면 정부 부처들 사이에서 어디에서 후속 작업을 할지 의논하게 되는데 기본적으로 우리 위원회가 맡게 될 가능성이 높다. 안면인식 프로그램의 작동 원리는 실시간으로 작동하는 카메라가 앞에서 누군가 얼굴을 보며주면 데이터베이스의 사진과 동일인인지 아닌지 확인하는 것이다. 건물 출입 때 확인하는 용도로 많이 쓰이나 범죄 수배자나 용의자를 찾는 데 쓰이기도 하고, 일부 국가에서는 ‘사찰’용으로 쓰이기도 한다. 같은 기술이라도 사찰용으로 쓰인다면 사회적으로 용인하기 어려울 것이다. 그런 일에 대해 가르마를 타는 것이 우리 위원회의 역할이다.”
끝으로 고 위원장은 “데이터 영역에서 한국은 국제사회가 주목하는 나라”라고 강조했다.
“현실적으로 인공지능 기술은 미국이 선도하고 있고 개인정보 영역의 규율 체계는 미국식과 유럽식이 존재하는데 이 둘 말고 아시아권으로 눈을 돌리면 제일 눈에 띄는 나라가 한국이다. 한국은 고유의 언어와 플랫폼, 적지 않은 규모의 자체 시장을 갖고 있다. 스마트폰과 태블릿의 보급률도 대단히 높은 얼리어답터의 나라로서 데이터 활용 서비스에 대한 기대감이 큰 반면 정보 유출이나 프라이버시 침해에 대한 민감도도 대단히 높다. 그런 이유로 데이터 산업의 영역에서 한국은 미국, 유럽 국가들과 어깨를 맞대고 논의하는 위치에 있다. 특히 글로벌 빅테크의 개인정보보호법 위반에 대해 적극적으로 조사하고 처분하는 등 한국의 개인정보 관련 법과 제도·집행 및 감독 체계에 대해 국제적인 관심이 모이고 있다. 국제회의에 가면 참가자들이 늘 한국 상황을 궁금해한다. ‘글로벌 규범을 주도하는 개인정보 선도국가 실현’이 결코 구호로 끝나지 않는다는 것을 보여줄 생각이다.”