당신이란 자물쇠 푸는 시간, AI는 20초면 충분하다

술술 새는 내 정보어떻게 지키나

경제+
주민등록번호, 전화번호, 이메일 등 전통적 개인정보들부터 검색 이력, 구매 성향, 키패드 입력 패턴까지. 온라인 곳곳엔 개개인이 자신도 모르게 남긴 흔적들로 가득하다. 온갖 서비스로 무장한 온라인 플랫폼 세상에서 이 흔적들은 곧 돈이다. 그만큼 노리는 자도 많다. 맞춤 서비스를 받기 위해 기업에 내 정보를 일종의 요금 삼아 내는 건 상호 합의만 있다면 OK. 문제는 오·남용이다. 최근엔 작살로 물고기 사냥하듯 개인정보 탈취 후 특정 인물·기업을 노려 공격하는 ‘스피어 피싱’까지 기승이다. 기업들이 이용자 정보를 어떻게 관리·활용하고 있는지, 딥시크·테무 등 차이나 테크발(發) 개인정보 유출 우려는 기우인지, 도처에 있는 정보 사냥꾼을 몰아낼 방법은 없는지 등 지금 딱 필요한 개인정보 지키는 ‘정보’만을 모았다.
그래픽=주이안

그래픽=주이안

◆ 이 시대의 정보 사냥꾼들=딥시크부터 테무, 로보락까지. 차이나 테크발(發) 개인정보 유출 공포가 확산하고 있다. 연초부터 가성비 AI로 전 세계를 놀라게 했던 딥시크의 경우 고객 정보로 추정되는 데이터를 이용자 동의 없이 제3자인 틱톡 모회사 바이트댄스에 제공한 정황이 드러났다. 일반적으로 기업이 고객 개인정보를 제3자에게 넘길 경우, 그 순간 이 정보들은 기업 통제 범위를 넘어서게 된다. 제3자가 정보를 어떻게 사용할지 예측할 수 없어지는 것이다. 사이버 보안기업 씨큐비스타 전덕조 대표는 “제공 정보에는 위치정보, 결제 정보, 구매 내역, 검색 기록 등이 포함될 수 있다”며 “문제는 중국 기업의 경우 수집한 데이터가 어떤 기업 또는 기관으로 전달되는지 투명하지 않다는 것”이라고 짚었다. 김명주 AI 안전연구소장은 “제3자에 정부까지 포함될 경우 정치적 성향 등 개인에 대한 사찰과 판단이 가능해질 우려가 크다”고 경고한다. 중국은 국가정보법(2017년 공포)상 정부가 안보 목적에 따라 자국 기업이 수집한 정보를 요구할 수 있는 법적 권한을 가진다.

온라인에 널린 정보들을 결합해 한 사람을 특정해 내는 인공지능(AI) 기술도 더 정교해지고 있다. KAIST 연구진(신승원 전기 및 전자공학부 교수, 이기민 김재철 AI대학원 교수 공동연구팀)은 오픈AI의 챗GPT, 앤스로픽의 클로드 등 상용화된 LLM(거대언어모델)서비스로 특정 개인의 정보를 수집하는 것이 가능한지 실험한 연구 결과를 지난달 발표했다. AI는 약 20초 만에 목표 대상 개인정보를 95.9% 정확도로 수집해냈다.

◆ 개인화 서비스, 요금은 개인정보?=기업 입장에서 고객 개인정보는 곧 자산이다. 공짜로 쓰는 온라인 서비스를 뜯어보면 사실상 개인정보를 요금으로 내는 경우가 대부분이다. 각종 플랫폼 기업들의 초개인화 서비스가 강조되는 요즘엔 특히 그렇다. 지난 12일 생성AI로 이용자별 맞춤 추천 서비스 등을 강화한 쇼핑 애플리케이션(앱)을 출시한 네이버는 이용자 선호도와 과거 구매 이력 뿐 아니라 블로그·카페 검색, 활동 이력까지 활용해 초개인화 서비스를 제공한다. 카카오는 카카오톡 ‘메타데이터’(카카오톡으로 누구와 언제, 얼마나 대화했는지)를 분석해 친구 추천, 메시지 필터링, 맞춤 광고 등에 활용한다.

김주원 기자

김주원 기자

쿠팡의 로켓배송은 소비자 구매 이력을 AI로 분석해 재주문 가능성이 높은 상품을 사전에 물류센터로 배치하는 예측 시스템을 구축했다. 사용자의 상품 조회 시간, 클릭 패턴, 장바구니 이용 등 구매 패턴은 물류 최적화의 필수 데이터인 셈이다. 배달의민족(배민)도 주문 시간대 정보부터 이용자 리뷰, 선호 배달 업체와 브랜드 등의 데이터를 수집한다. 이를 통해 배달 거리와 소요 시간까지 추산해 배달 효율을 개선한다.

채용 플랫폼 잡코리아는 기본 수집하는 구직 정보(학력·경력·희망직무 등)와 함께 특정 채용 공고를 얼마나 열람했는지 등 데이터를 분석해 ‘맞춤형 채용 정보’를 제공한다. 다만 구직자는 보여주고 싶지 않은 개인정보를 가리는 ‘블라인드 채용’ 기능을 설정할 수 있다. 또 다른 채용 플랫폼 사람인도 구직자가 올린 이력서를 AI가 분석해 적합한 채용 공고를 추천한다.


◆ 달라지는 개인정보 범위=최근 도마에 오른 건 소셜미디어(SNS)·검색기록·마우스 이동 경로 등 이용자들의 디지털 행태 정보다. 한국인터넷진흥원 관계자는 “기업들이 맞춤형 서비스 제공을 위해 선호 광고, 구매 성향, 건강 정보 등 보다 세밀한 정보들까지 수집 범위를 넓히고 있다”고 말했다. 행태 정보는 개인정보보호법(개보법)상 개인정보에 해당하지 않는다.

김지윤 기자

김지윤 기자

일각에선 기술 발달에 따라 행태 정보 역시 개인정보로 봐야 한다는 지적이 있다. 개보법이 규정한 개인정보의 범위는 개인을 식별할 수 있는 하나의 정보, 혹은 정보 여러 개의 조합이다. 전덕조 대표는 “AI와 플랫폼이 주도하는 시대에 개인정보는 매우 정밀한 데이터 집합체가 되고 있다”며 “행태 정보도 개인정보로 간주해야 하는 시대가 됐다”고 말했다. 하지만 이용자들 행태 정보를 바탕으로 한 맞춤형 광고 모델이 핵심 매출원인 플랫폼 업계에선 행태 정보를 ‘개인정보화’ 해 규제의 틀 안에 넣는 것에 대한 우려 또한 크다.

한국은 2023년 3월 개보법을 개정하며 개인정보 침해에 따른 양형 기준을 형벌 중심에서 경제제재 중심으로 전환했다. 기업의 개인정보 보호 책임을 강화하기 위해서다. 개인정보보호위원회는 이에 근거해 지난해 오픈채팅 정보 유출 사건이 발생한 카카오에 150억원대 과징금을 부과한 바 있다. 이경호 고려대 정보보호대학원 교수는 “한국 개보법은 유럽의 엄격한 성문법 체계를 따르면서 법 적용은 사후 과징금을 세게 때리는 미국 스타일로 가고 있어 기업 입장에선 이중 부담이 될 수 있다”고 설명했다.

개보법은 기업들에게 이용자 정보를 암호화 처리한 후 별도 보관하는 ‘가명 정보 조치’ 후 정보를 활용하라고 명시한다. 업계에선 어느 정보까지 가명화해야 하는지 범위가 명확하지 않다는 지적이 나온다. 과징금 피하려고 정보 전체를 암호화하기엔 기업 입장에서 비용이 너무 크다. 개보위 관계자는 “법적으로 모호한 지점들의 가이드라인 등을 만들어 나가며 빈틈을 없애 나가는 과정에 있다”고 했다.

◆개인정보, 이건 체크하고 넘어가자=IT 기술의 발달은 작살로 물고기를 사냥하는 어부처럼 특정 인물·기업을 노려 공격하는 스피어 피싱, 유출된 전화번호를 다른 유심카드로 옮기는 ‘SIM 스와핑’ 등 개인정보를 노리는 범죄 수법까지 진화시키고 있다. 이럴 때일수록 전문가들은 이중 인증(2FA)을 생활화 하는 등 개인이 각자의 정보 관리에 더 적극적으로 나서야 한다고 조언한다.

이중 인증은 각종 사이트에 로그인할 때 알고 있는 것(비밀번호)과 소유하고 있는 것(휴대폰·보안키), 본인(생체 인식) 가운데 두 가지 요소를 조합해 이용자 신원을 확인하도록 설정하는 방식이다. 구글의 경우 구글 계정 보안 페이지에서 ‘2단계 인증’을 클릭해 본인 확인 절차를 거친 뒤 인증 방법(구글 메시지·인증 앱·문자 등) 중 하나를 선택해 활성화하면 완료된다.

보안 수준이 낮을 것으로 예상되는 해외 사이트를 이용할 때는 기존 비밀번호와 다른 조합을 사용해야 한다. 해외 사이트는 국내 법으로 보호 받지 못할 가능성이 클 뿐 아니라, A사이트에서 유출된 계정 정보(ID, 비밀번호)를 B, C 사이트에서 해커가 사용할 수 있어서다. 특히 은행·통신사·이메일 등 중요 계정은 다른 서비스와 완전히 다른 비밀번호를 사용할 필요가 있다.

기업과 이용자가 맺는 일종의 ‘1대 다(多) 계약서’인 약관에 무조건 동의 버튼만 누르고 있었다면, 줄줄이 데이터가 새나갔을 가능성이 크다. 페이스북과 인스타그램은 약관에 사용자 검색 기록과 좋아요, 위치 데이터를 활용해 맞춤형 광고를 제공할 수 있다고 적어놨다. 원치 않으면 ‘설정광고 선호도맞춤 광고 제한’을 적용할 수 있다. 국내 IT 플랫폼 업계 관계자는 “방대한 데이터 그 자체를 확보하는 것보다 이를 해석하고 가치 있는 인사이트로 전환하는 기업의 역량이 더 중요해 질 것”이라고 말했다.