시사위크=박설민 기자 1998년 개봉한 영화 ‘에너미 오브 스테이트’에서는 평범한 시민이었던 주인공(윌 스미스)이 인공위성을 이용한 원격통신 시스템에 의해 자신의 개인정보가 전부 유출되고, 끊임없이 감시당하는 등 인생이 나락까지 떨어지는 과정을 적나라하게 보여준다.
이런 첨단기술 기반의 개인정보 유출 및 사생활 침해가 4차 산업혁명시대가 시작되면서 더 이상 영화 속의 상상이 아닐 수 있을지도 모른다는 우려도 점점 커지고 있다. 다가오는 IoT시대, 우리의 개인정보는 과연 안전한 것일까.
◇ “드론·자율주행부터 가전제품까지” IoT사회, 당신의 개인정보가 위험하다
실제로 IT분야 전문가들도 4차 산업혁명시대의 핵심 기술인 ‘사물인터넷 (IoT)’이 사회 전 분야에 본격 상용화되면 개인정보와 관련한 윤리적 문제가 발생할 가능성이 충분히 존재한다고 우려한다.
IoT는 인터넷을 기반으로 모든 사물을 연결하여 정보를 상호 소통하는 지능형 기술 및 서비스로. 스마트 센서에 의한 정보 수집, AI기반의 빅데이터 분석 등 새로운 기술은 혁신적인 서비스를 가능하게 한다.
하지만 동시에 개인정보의 처리 흐름을 파악하기 어렵고 정보 유출 시 책임 소재를 묻거나 유출 경위 추적도 힘들다는 문제점이 존재한다. 또한 드론(Drone), AI 기반의 CCTV 등과 연계되면 일상 감시가 가능해 개인정보 침해 문제가 발생할 가능성도 농후하다. 공상과학 영화 속 이야기가 사실이 될 ‘기술적 배경’은 충분한 셈이다.
특히 드론, 자율주행 자동차 등 스마트 모빌리티에 적용된 IoT기술이 사생활 침해 및 개인정보를 유출할 수 있다는 우려가 크다. 예를 들어 드론의 경우 단순 해변 등 풍경을 촬영하기 위해 이용했을 경우, 타인의 사진이 노출된다면 자신이 알지도 못하는 사이 의도치 않게 상대방의 개인정보와 사생활을 침해한 것이라고 볼 수 있다.
대표적인 스마트 모빌리티로 꼽히는 자율주행 자동차를 이용한 카셰어링(자동차를 여러 사람이 공유하여 사용하는 서비스 제도) 등 서비스를 제공할 경우, AI와 CCTV 등으로 인해 동선기록 등 개인정보와 사생활이 노출될 가능성이 높다.
더 나아가 자율주행 자동차가 해킹될 경우엔 단순 개인정보 유출뿐만 아니라 대형사고로 이어질 수도 있어 상당한 주의가 필요하다. 실지난 7월에는 미국 국가안보국(NSA) 출신 해커가 PC를 이용해 원격으로 차량의 와이퍼, 핸들을 조작하는 모습 등을 선보여 실제 차량 리콜사태로 연결되기도 했다.
아울러 수많은 이용자들이 이용하는 스마트폰 등 가정용 IT기기들도 개인정보 침해에 악용될 수 있다는 우려도 나온다.
특히 스마트폰을 통해 앱(App)을 이용할 경우, 강제로 개인정보 접근 권한을 요구하는 것에 대해서도 많은 이용자들이 불만을 표출하고 있다. 만약 이용자가 접근권한 동의를 거부할 경우, 프로그램 자체를 이용할 수 없어 강제로 접근권한을 허용하고 있는 상황이기 때문이다.
실제로 개인정보보호위원회에서 발표한 ‘사물인터넷시대의 개인정보 침해요인 분석 및 실제사례 조사’ 보고서에 따르면 지난 국회 정무위원회에서는 구글 플레이의 인기 높은 앱(App) 상위 30개를 분석한 결과, 평균 19.4개가 개인정보 접근 권한을 요구해 개인정보 침해 소지가 있다고 지적한 바 있다.
스마트 냉장고, 스마트 TV 등 가전제품 역시 개인정보 유출로부터 결코 안전하지 않다. 실제로 2015년 8월 31일, 보안 연구기관인 펜테스트파트너스의 연구원 켄 무로는 해킹 컨퍼런스인 데프콘에서 삼성전자의 스마트 냉장고(모델: RF28HMELBSR)를 통해 구글의 이메일 서비스인 지메일(Gmail) 개인정보를 탈취하는 것을 시연하기도 했다.
◇ 개인정보 침해는 스마트 시티 등 IT산업도 저해… “실질적인 보호 기반강화 시급”
아울러 IoT의 개인정보 침해 문제는 4차 산업혁명 시대 핵심 IT사업들의 발전을 저해하는 장애물로도 꼽힌다. IoT의 ‘종합 결정체’라고 볼 수 있는 ‘스마트 시티’의 도입 역시 개인정보 침해의 문제로 골머리를 앓고 있다.
실제로 지난 2001년부터 캐나다 정부는 토론토시 온트리올 주에 스마트시티를 건설하기 위해 2017년 10월 구글의 도시개발 자회사 ‘사이드워크랩스’를 파트너로 선정해 스마트시티 건설을 추진했으나, 2019년 4월 캐나다 자유인권협회(CCLA)는 센서 기반 데이터 수집 등이 필요한 스마트시티 사업이 사생활 침해 및 개인정보유출의 우려가 있다며 구글의 계약 무효를 주장했고, 정부를 상대로 소송까지 제기했다.
결국 소송과 주민 반대에 못 이긴 구글은 지난해 5월 캐나다 토론토의 스마트시티 프로젝트를 최종 중단하기로 결정했다. 당시 토론토 스마트시티 프로젝트를 진행했던 구글 사이드워크랩스의 공동설립자 다니엘 닥터로프는 “스마트시티에 대한 반대의견을 더 빠르게 경청해야 했다”며 “정치적으로 받아들일만한 타협안에 그 반대의견을 수용했어야 했다”고 인정했다.
IT분야 전문가들은 결국 제대로 된 4차 산업시대의 구현과 기술 산업 발전을 위해선 반드시 개인정보 침해 및 사생활 침해 문제를 해결해야 한다고 보고 있으며, IoT시대에 맞는 윤리원칙을 세우는 것이 필수적이라고 조언한다.
이에 한국인터넷진흥원(KISA)는 ‘자동처리 되는 개인정보 보호 가이드라인(2020)’ 보고서를 통해 앞으로 다가올 IoT사회에서 지켜야할 ‘IoT 등 자동처리 개인정보 보호 10대 수칙’을 발표하기도 했다.
10대 원칙은 △서비스에 꼭 필요한 개인정보인지 확인 △개인정보 수집 시 법적 준수사항을 확인 △반드시 필요한 개인정보만 최소한으로 처리 △개인정보 처리단계별 적절한 안전조치 적용 △정보주체가 권리 행사를 쉽게 할 수 있도록 보장 △개인정보의 처리절차 및 방법을 투명하게 공개 △개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내 △정보주체가 서비스 해지 시, 개인정보 파기 및 추가 수집 방지 △사업 종료 시, 정보주체의 권리 보장 방안 마련 △서비스 출시 전, 개인정보 침해 위험요소 점검으로 구성된다.
한국인터넷진흥원은 “개인정보가 자동으로 처리되는 IoT 환경에서는 열람, 정정·삭제 및 피해 시 배상요구 등 사후적 권리 행사가 어렵다”며 “특히, 대량의 개인정보가 실시간으로 처리되는 환경에서 침해 발생 시 돌이킬 수 없는 대규모 피해로 이어질 수 있는 만큼 적극적 사전예방이 필요하다”고 지적했다.
이어 “법적 책임을 고려해 실제 개인정보 처리 내용뿐만 아니라 처리하지 않는 내용도 동의를 받는 등의 형식적 동의관행 개선이 필요하다“며 ”특히, 개인정보를 직접 수집하지 않는 기기 제조업체도 개인정보 보호를 고려하도록 해 실질적인 개인정보 보호 기반강화 시급하다“고 조언했다.