술술 새는 내 정보… 어떻게 지키나
경제+
주민등록번호, 전화번호, 이메일 등 전통적 개인정보들부터 검색 이력, 구매 성향, 키패드 입력 패턴까지. 온라인 곳곳엔 개개인이 자신도 모르게 남긴 흔적들로 가득하다. 온갖 서비스로 무장한 온라인 플랫폼 세상에서 이 흔적들은 곧 돈이다. 그만큼 노리는 자도 많다. 맞춤 서비스를 받기 위해 기업에 내 정보를 일종의 요금 삼아 내는 건 상호 합의만 있다면 OK. 문제는 오·남용이다. 최근엔 작살로 물고기 사냥하듯 개인정보 탈취 후 특정 인물·기업을 노려 공격하는 ‘스피어 피싱’까지 기승이다. 기업들이 이용자 정보를 어떻게 관리·활용하고 있는지, 딥시크·테무 등 차이나 테크발(發) 개인정보 유출 우려는 기우인지, 도처에 있는 정보 사냥꾼을 몰아낼 방법은 없는지 등 지금 딱 필요한 개인정보 지키는 ‘정보’만을 모았다.

그래픽=주이안
온라인에 널린 정보들을 결합해 한 사람을 특정해 내는 인공지능(AI) 기술도 더 정교해지고 있다. KAIST 연구진(신승원 전기 및 전자공학부 교수, 이기민 김재철 AI대학원 교수 공동연구팀)은 오픈AI의 챗GPT, 앤스로픽의 클로드 등 상용화된 LLM(거대언어모델)서비스로 특정 개인의 정보를 수집하는 것이 가능한지 실험한 연구 결과를 지난달 발표했다. AI는 약 20초 만에 목표 대상 개인정보를 95.9% 정확도로 수집해냈다.
◆ 개인화 서비스, 요금은 개인정보

김주원 기자
채용 플랫폼 잡코리아는 기본 수집하는 구직 정보(학력·경력·희망직무 등)와 함께 특정 채용 공고를 얼마나 열람했는지 등 데이터를 분석해 ‘맞춤형 채용 정보’를 제공한다. 다만 구직자는 보여주고 싶지 않은 개인정보를 가리는 ‘블라인드 채용’ 기능을 설정할 수 있다. 또 다른 채용 플랫폼 사람인도 구직자가 올린 이력서를 AI가 분석해 적합한 채용 공고를 추천한다.
◆ 달라지는 개인정보 범위=최근 도마에 오른 건 소셜미디어(SNS)·검색기록·마우스 이동 경로 등 이용자들의 디지털 행태 정보다. 한국인터넷진흥원 관계자는 “기업들이 맞춤형 서비스 제공을 위해 선호 광고, 구매 성향, 건강 정보 등 보다 세밀한 정보들까지 수집 범위를 넓히고 있다”고 말했다. 행태 정보는 개인정보보호법(개보법)상 개인정보에 해당하지 않는다.

김지윤 기자
한국은 2023년 3월 개보법을 개정하며 개인정보 침해에 따른 양형 기준을 형벌 중심에서 경제제재 중심으로 전환했다. 기업의 개인정보 보호 책임을 강화하기 위해서다. 개인정보보호위원회는 이에 근거해 지난해 오픈채팅 정보 유출 사건이 발생한 카카오에 150억원대 과징금을 부과한 바 있다. 이경호 고려대 정보보호대학원 교수는 “한국 개보법은 유럽의 엄격한 성문법 체계를 따르면서 법 적용은 사후 과징금을 세게 때리는 미국 스타일로 가고 있어 기업 입장에선 이중 부담이 될 수 있다”고 설명했다.
개보법은 기업들에게 이용자 정보를 암호화 처리한 후 별도 보관하는 ‘가명 정보 조치’ 후 정보를 활용하라고 명시한다. 업계에선 어느 정보까지 가명화해야 하는지 범위가 명확하지 않다는 지적이 나온다. 과징금 피하려고 정보 전체를 암호화하기엔 기업 입장에서 비용이 너무 크다. 개보위 관계자는 “법적으로 모호한 지점들의 가이드라인 등을 만들어 나가며 빈틈을 없애 나가는 과정에 있다”고 했다.
◆개인정보, 이건 체크하고 넘어가자=IT 기술의 발달은 작살로 물고기를 사냥하는 어부처럼 특정 인물·기업을 노려 공격하는 스피어 피싱, 유출된 전화번호를 다른 유심카드로 옮기는 ‘SIM 스와핑’ 등 개인정보를 노리는 범죄 수법까지 진화시키고 있다. 이럴 때일수록 전문가들은 이중 인증(2FA)을 생활화 하는 등 개인이 각자의 정보 관리에 더 적극적으로 나서야 한다고 조언한다.
이중 인증은 각종 사이트에 로그인할 때 알고 있는 것(비밀번호)과 소유하고 있는 것(휴대폰·보안키), 본인(생체 인식) 가운데 두 가지 요소를 조합해 이용자 신원을 확인하도록 설정하는 방식이다. 구글의 경우 구글 계정 보안 페이지에서 ‘2단계 인증’을 클릭해 본인 확인 절차를 거친 뒤 인증 방법(구글 메시지·인증 앱·문자 등) 중 하나를 선택해 활성화하면 완료된다.
보안 수준이 낮을 것으로 예상되는 해외 사이트를 이용할 때는 기존 비밀번호와 다른 조합을 사용해야 한다. 해외 사이트는 국내 법으로 보호 받지 못할 가능성이 클 뿐 아니라, A사이트에서 유출된 계정 정보(ID, 비밀번호)를 B, C 사이트에서 해커가 사용할 수 있어서다. 특히 은행·통신사·이메일 등 중요 계정은 다른 서비스와 완전히 다른 비밀번호를 사용할 필요가 있다.
기업과 이용자가 맺는 일종의 ‘1대 다(多) 계약서’인 약관에 무조건 동의 버튼만 누르고 있었다면, 줄줄이 데이터가 새나갔을 가능성이 크다. 페이스북과 인스타그램은 약관에 사용자 검색 기록과 좋아요, 위치 데이터를 활용해 맞춤형 광고를 제공할 수 있다고 적어놨다. 원치 않으면 ‘설정광고 선호도맞춤 광고 제한’을 적용할 수 있다. 국내 IT 플랫폼 업계 관계자는 “방대한 데이터 그 자체를 확보하는 것보다 이를 해석하고 가치 있는 인사이트로 전환하는 기업의 역량이 더 중요해 질 것”이라고 말했다.
혁신의 최전선에서 비즈니스의 미래를 봅니다. 첨단 산업의 '미래검증 보고서' 더중플에서 더 빨리 확인하세요.