데이터를 안전하게 잘 쓰는 나라? 그런 나라 없는 나라!

[워커스] 기술문화비평


『사피엔스』와 『호모 데우스』의 유발 하라리. 그는 이 책들을 통해 인류의 역사와 미래를 폭넓은 시선으로 조망했다. 그리고 신간 『21세기를 위한 21가지의 제언』에선 21가지 키워드를 통해 당면한 인류의 문제들을 하나씩 짚으며 진단한다. ‘평등’이라는 키워드에서 그는 “21세기에는 데이터가 가장 중요한 자산으로 부상”하고 있으며 “정치는 데이터 흐름을 지배하기 위한 투쟁이 될 것”이라고 단언한다. 한마디로 데이터를 가지는 자가 미래를 지배하게 될 것이기에 인류의 평등은 곧 어떻게 데이터를 잘 규제하는가에 달렸다는 이야기다. 하라리는 “만약 모든 부와 권력이 소수 엘리트의 수중에 집중되는 것을 막고 싶다면, 그 열쇠는 데이터 소유를 규제하는 것”이라고 말한다.

이미 세계의 몇몇 거대 기업들은 데이터를 독점하고 있다. 우리는 원하는 서비스를 이용하기 위해 하는 수 없이 나의 온갖 데이터와 개인정보를 기업체에 제공한다. 거부하는 것은 마땅치 않은 결과를 가져온다. 불편함과 뒤떨어짐이다. 우리의 이름과 주소, 성별과 나이같은 기본적인 개인정보에서부터 얼굴과 지문을 포함한 생체정보나 건강상태에 관한 데이터, 심지어 생각이나 감정 및 행동에 관한 데이터까지 글로벌 거대 기업들이 모조리 빨아들인다. 그리고 이런 정보를 토대로 온갖 형태의 상품을 만들고 다시 우리에게 판매한다. 광고는 그 중간매개가 된다. 개개인에게 맞춰진 필터 혹은 우리 모두를 둘러싼 거대하고 투명한 막 속에서 빠져나갈 방법은 없어 보인다. 그런데 그런 글로벌 기업이 우리 삶을 담보로 막대한 부를 챙겨가는 마당에 국내의 기술 혁신과 경제 성장은 늘 제도적 규제 때문에 뒤쳐져 있다는 국내 재벌 기업이나 보수언론들의 볼멘소리는 어떻게 봐야 하는 걸까?

일단 현 정부는 데이터 산업 혁신 관련 연구개발(R&D) 예산을 상당히 증액했다. 연구개발 예산이 늘어났다는 것은 사회적으로도 중장기적 전망에 대한 기대를 낳게 한다. 그러나 과학기술정보통신부와 다른 여러 부처들을 가로질러 배정된 총 20조4000억 원의 연구개발비 중 상당수는 데이터 구축, 인공지능, 드론, 빅데이터, 플랫폼 경제 구축, 4차 산업혁명 등의 이름이 붙은 사업에 집중돼 있다. 실체가 불분명한 것은 물론이고 어떤 종류의 사업이, 어떤 혜택 혹은 문제를 일으킬지에 대한 이해도 부족해 보인다. 예컨대 국방부의 드론로봇 개발이나 산업통상자원부의 인간 빅데이터 생태계 구축의 구상은 그 이름만으로도 염려스럽다.

이에 발맞춰 지난 8월 말 문재인 대통령은 ‘데이터 경제 활성화 규제혁신 현장방문’ 행사를 위해 판교 스타트업 캠퍼스를 직접 방문했다. 대통령이 몸소 나서 그동안 재계가 지속적으로 요구해 왔던 데이터 관련 산업을 활성화할 수 있는 방안과 투자 계획 그리고 이에 따른 개인정보 보호 규제의 완화에 대한 계획을 설명했다. 국가전략투자 프로젝트로 ‘데이터 경제’를 선정했으며, 이를 위해 핵심기술 개발 지원과 전문인력 5만 명, 100개의 강소기업 육성을 목표로 데이터 산업에 총 1조 원을 투자하겠다고 했다. 정부의 말대로 우리 경제 성장의 미래가 데이터에 있다는 것을 누가 부정하겠는가. “데이터를 잘 가공하고 활용하면 생산성이 높아지고 새로운 서비스와 일자리가 생겨”난다는 것을 누가 모르겠는가. 문제는 이 혁신 성장을 위해 데이터 규제를 재빨리 완화해야 한다고 강변하는 데에 있다. 이를 위해 들고 나온 것이 바로 ‘가명정보’라는 개념이다.

그러나 이미 데이터 산업은 개인들의 ‘익명정보’ 혹은 (데이터의 주인이 누구인지 알아볼 수 없게 만든) 비식별화된 정보를 충분히 활용해 왔다. 2016년 정부에서 제시한 <개인정보 비식별 조치 가이드라인>에 따르면, 정보주체를 알아볼 수 없도록 비식별화한 정보는 개인정보도 아니며 따라서 빅데이터 분석에 활용하는 데 아무런 제한이 없다고 한다. 그런데 이런 논의를 뛰어넘어 ‘가명정보’라는 새로운 개념을 활용해 개인정보 규제를 완화하고 데이터를 산업에 적극 활용토록 하겠다는 것이다.

가명정보라는 것은 아직 우리의 법률에서는 따로 규정되지 않은 개념이다. 다만 유사한 사례를 올해 5월 발효된 유럽연합의 종합데이터보호규정(General Data Protection Regulation, GDPR)에 제시된 가명처리(pseudonymization) 방식에서 찾을 수 있다.

개인정보와 데이터를 가명처리하는 방법은 원래 2016년 정부 <가이드라인> 상에 명기된 개인정보의 비식별 조치의 한 방법이다. 예컨대 성명을 홍길동이나 임꺽정으로 대체하거나 소속을 금성, 화성 등으로 대체 하는 방법, 일정한 규칙의 알고리즘을 통해 암호화하는 방법, 사전에 정해진 외부 항목과 교환하는 방법 등이 있다. 하지만 충분히 예상할 수 있듯이 이러한 가명처리는 각각 취약점이 존재한다. 가명처리의 규칙을 찾아내거나 다른 정보들과 조합한다면 원 데이터를 얼마든지 추정해낼 수 있다는 점이다. 더군다나 가명처리 정보는, “추가 정보를 이용해 개인을 식별할 수 있는 개인정보로 간주해야 한다”고 GDPR은 명시하고 있다. 정부가 은근슬쩍 ‘가명정보’라는 미심쩍은 개념으로 비식별화 조치를 취해 대안을 제시한 것처럼 보이지만, 실상 가명처리된 데이터 자체는 식별가능한 개인정보인 것이다.

개인에게서 측정, 수집되는 모든 데이터의 총합은 그저 추상적인 정보가 아니라 사실 그 개인을 식별, 확인, 재구성해 낼 수 있는 어떤 가상의, 그러나 실존하는 주체라고 할 수 있다. 현재와 미래의 산업은 여러 다른 데이터 중에서도 유독 그 실존하는 주체, 살아있는 인간의 데이터를 탐낸다. 자본주의가 초기 산업화 시기에 소작농과 하층 빈민들을 공유지에서 몰아내고 공장으로 포획해내어 노동력을 착취했듯이, 데이터 경제의 시대에는 모든 이들의 데이터를 자유롭게 추출하고 원료로 사용할 수 있다는 것일까.

어쩐지 으스스한 느낌이 들었던 대통령의 행사장 배경의 구호는 ‘대한민국이 바뀐다. 데이터를 가장 안전하게 잘 쓰는 나라로 만들겠습니다!’였다. 데이터를 안전하게 잘 쓰는 방법은 규제를 더욱 정밀하고 체계적으로 만드는 것이다. 없애거나 완화하는 것이 아니고. 정부의 데이터 경제를 빙자한 개인정보 규제 완화에 대해 하라리의 경고를 들려주고 싶다.

“데이터 소유를 어떻게 규제할 것인가? 이것이야말로 우리 시대의 가장 중요한 정치적 질문일 수 있다. 이 질문에 조만간 답하지 못하면 우리의 사회정치적 시스템은 붕괴할 수도 있다.”[워커스 47호]