*이 글은 외부 필자인 옥다혜님의 기고입니다. 개인정보보호법이 전면 개정되었습니다. 2011년에 개인정보보호법 도입된 이후 첫 전면 개정인데요. 그동안 이 법은 산업계와 시민단체로부터 많은 지적을 받았습니다. "개인정보 수집 절차가 너무 복잡합니다" "담당자 형사 처벌은 과중하고요" (산업계) "개인정보 유출에 따른 과징금이 너무 가벼워서 큰 효력이 없습니다" (시민단체) 이런 여러 의견을 수렴 및 조율해서 이번 개정안이 나왔습니다. 정부안을 중심으로 국회에서 발의된 20개 법안을 통합했다고 하니, 복잡다단한 논의가 있었나 봅니다. (참조 - 개인정보 보호법 전면개정, 데이터 신경제 시대 열린다) 9월 15일 시행 예정인 이번 개정안의 주요 개정 내용은 아래와 같습니다. 전체적으로 산업계에 더 유리한 방향이지 않나 싶습니다. 1) 과징금은 크게 올리지 않았고 2) 개인정보 처리 절차는 보다 간소화 3) 개인정보보호법 위반 형사 처벌은 축소 했거든요. 또한 4) 개인정보처리방침 평가제 도입 등으로 개인정보처리방침에 대한 실질 심사가 시행되며 5) 개인정보수집 이용 절차는 복잡해졌고 6) 개인정보보호법 위반 형사처벌 조항은 많아졌습니다.

*이 글은 외부 필자인 옥다혜님의 기고입니다. 지난 9월 14일, 개인정보보호위원회에서 개인정보 불법 수집에 대한 제재로 구글과 메타에 과징금 1000억원을 부과한다고 밝혔습니다. (구글 692억원, 메타 308억원) 과징금 처분 결정의 배경을 개인정보위는 이렇게 밝혔습니다. "이용자 동의 없이 이용자의 타사 행태정보를 수집하여 맞춤형 광고에 활용하는 등 개인정보보호법을 위반했습니다" (참조 - 개인정보 불법 수집···구글·메타 과징금 1천억 원) 과징금을 내게 된 메타와 구글의 반응은 어떨까요? "개인정보위의 결정을 존중하지만, 심의 결과에 깊은 유감을 표하며 서면 결정을 면밀히 검토하겠습니다" "저희는 관련 법안을 모두 준수하고 적법한 절차를 통해 고객사와 협업하고 있다고 자신합니다" 이용자의 타사 행태정보를 동의받지 않고 수집했기 때문에 위법이라는 개인정보보호위원회. 법 위반은 없다는 메타와 구글. 굉장히 상반된 입장인데요. 과연 누구 말이 맞을까요? 이번 글에서는 이번 처분의 배경과 '이용자의 타사 행태 정보 수집'이 구체적으로 무엇인지 종합적으로 살펴보고 함께 생각해보도록 하겠습니다. 개인정보위가 메타와 구글을 살펴보게 된 배경 메타의 개인정보 수집 강제 및 철회 사건을 기억하시나요? 당시 메타는 한국 이용자를 대상으로 '타사 행태 정보 수집 및 맞춤형 광고 표시'를 필수적으로 동의해달라고 요청했습니다. 만약 동의하지 않으면, 메타의 서비스를 이용할 수 없다고 했죠.

*이 글은 외부 필자인 옥다혜님의 기고입니다. 최근 토스가 보험사에 개인정보를 팔았다는 논란이 불거졌습니다. 개인정보 1건당 6만9000원을 받고 보험설계사에게 팔았다고 하죠. (참조 - "1건당 6만 9천원" 토스, 보험설계사에 개인정보 팔았다.) 토스가 판매한 개인정보는 일반 정보(이름, 휴대폰 번호 등)와 보험 가입정보(보험사, 상품명 등) 크게 2가지입니다. 토스 측은 법으로 정해진 절차에 따라 개인정보 제3자 제공에 대한 동의를 받았다는 입장입니다. 이에 반해 소비자 측은 개인정보 제3자 '제공'에 동의했을 뿐, '판매'에는 동의하지 않았다고 주장합니다. 과연 토스의 개인정보 판매가 위법일지, 그리고 이번 사건을 통해 스타트업이 배울 점은 무엇인지 살펴보도록 하겠습니다. 토스의 개인정보 판매는 위법일까요? 이번 사건의 핵심은 '토스가 정보 주체(이용자)로부터 적법, 유효한 동의를 받았는지' 여부입니다. 정보 주체, 즉 이용자가 개인정보 제3자 '제공'에 동의했다는 사실은 분명합니다. 하지만 개인정보가 제3자에게 '판매'된다는 사실까지 알았다면, 동의하지 않았겠죠. 따라서 적법, 유효한 동의가 아니라는 주장이 가능하긴 한데요.

고백합니다. 사실 저 페이스북 안 써요. 한때, 페이스북을 열심히 이용하던 시절이 있습니다. (불과 4년 전..) 고등학생 때까지는 싸이월드와 네이트온. 대학 4년은 페이스북, 이후는 인스타그램. 제 주변에 페이스북을 이용하는 친구는 사실 '거의 없다'고 봐도 무방합니다. 그래서 기사 공유용 페이스북 계정 만드는 것을 추천한 아웃스탠딩의 제안에 적잖이 당황했습니다. (요즘 누가 페이스북을 쓰나..) 제 예상은 보기 좋게 빗나갔습니다. 여전히 많은 분들이 페이스북에서 일상을 공유하고, 의견을 피력하고 있었죠. (반성합니다. 열심히 쓸게요.) 페이스북은 실적 보고서에서 올해 1분기 매출이 1년 전보다 48% 급증한 사상 최대 매출을 기록했다고 밝혔습니다. 올해 1분기 매출이 29조5563억원(261억7000만달러)를 기록한 것인데요. 이는 시장 예상치인 26조7234억원 (236억7000만달러)보다 높은 수치입니다. 코로나19에 따른 비대면 경제가 이어지는 가운데 광고 수익이 크게 늘어난 덕분으로 풀이됩니다. 이로써 페이스북은 3분기 연속 시장 전망을 웃도는 실적을 발표하게 됩니다. (참조 - 페이스북 "광고 단가 30% 뛰었다…역대 최대 매출") 이번 공시를 통해 여전히 페이스북의 영향력이 건재하다는 사실을 확인할 수 있었습니다. 페이스북을 다시 '본격적으로' 사용할까 했지만 하루라도 조용할 날이 없는 페이스북. 역시나 '또' 터지고야 말았습니다. 바로 페이스북의 고질병인 개인정보 유출 사태입니다. 페이스북에는 왜 정보 유출과 관련한 잡음이 끊이지 않을까요? 페이스북 개인정보 유출 사건의 전말 올해 4월 비즈니스 인사이더와 로이터통신은 페이스북 이용자 5억3300여만명의 개인정보가 온라인 게시판에 공개됐다고 밝혔습니다. 비즈니스 인사이더는 인터넷 서핑만 할 수 있는 수준이면 누구나 무료로 유출된 페이스북 개인정보 접근이 가능하다고 전했는데요. 이번에 유출된 개인정보는 멕시코에 소재한 미디어 업체 게시판에 공개됐고 아마존 클라우드 서비스 서버(컴퓨터)에도 누구나 접근 가능한 상태로 놓여 있는 것으로 알려졌습니다. 유출된 개인정보는 우리나라 이용자를 포함해 전 세계 106개 국가 페이스북 이용자의 것입니다. 유출 정보에는 전화번호와 페이스북 아이디, 이름, 거주지, 생일 이메일 주소 등이 포함됐습니다. 국가별로 보면 미국 3200만건, 영국 1100만건 인도 600만건이 무방비 노출됐고 한국 계정도 12만건 이상 포함됐습니다. 영국의 더 레지스터(The Register)에 따르면 해당 정보는 텔레그램을 통해 무료로 배포되고 있다고 합니다. 해커들 포럼에서는 특정 텔레그램 계정 주인에게 부탁하면 그냥 '나눠 준다'라는 글도 발견된다고 합니다. 페이스북은 외신 보도에 즉시 성명을 내고 해당 데이터가 '아주 오래된 것'이며 2019년 8월 수정한 '보안 취약점'과 관련된 것이라고 설명했습니다. 유출된 데이터가 과거의 데이터이며 당시 해커들에 의해 악용됐던 기능을 없앴다는 설명인데요. 사건의 발단은 2019년으로 거슬러 올라갑니다. 당시 페이스북에는 전화번호로 특정인을 찾을 수 있는 기능이 있었습니다. 가령, A씨의 '전화번호'를 페이스북에 입력하면 A씨의 페이스북 페이지를 찾아낼 수 있었죠. A씨의 전화번호 하나로 그의 페이스북 페이지를 찾을 수 있고 페이지에 전체공개로 소개된 이름, 거주지 등의 개인정보가 노출됐습니다.

*이 글은 외부 필자인 강정규님의 기고입니다. 지난 2월 3일, AI가 국가인권위원회에 인권침해로 신고됐습니다. 대상은 20대 여성을 모델로 한 AI라고 한창 화제였던 인공지능 대화 서비스 '이루다'입니다. 인권침해, 성소수자 혐오, 개인정보침해까지 논란이 연이어 터지자 지난 1월 22일, 서비스시작 3주 만에 종료를 선언했죠. (참조 - "AI 인권침해도 예방해야"…챗봇 '이루다' 인권위 진정) 대체 어쩌다가 이런 일이 발생했을까요? 그리고 사람이 아닌 인공지능이 인권침해 논란에 휘말릴 수 있을까요? 지금까지 수많은 대화형 AI 서비스가 있었는데, 왜 이루다가 특히 문제일까요? 여기에는 2011년에 제정된 개인정보보호법의 보호 대상, '프라이버시' 문제가 숨어 있습니다. 이루다, 화려한 외양 뒤편엔 데이터 100억건 '위법적' 수집 자동 대화형 소프트웨어 서비스인 '챗봇'은 생각보다 많습니다. 당장 생각나는 서비스만 해도 아마존의 '알렉사', 구글의 '미나', 애플의 '시리'가 있군요. 이루다를 만든 '스캐터랩'도 '핑퐁'이라는 대화형 서비스를 2019년에 출시한 바 있습니다. "스캐터랩에는 핑퐁 말고도 '연애의 과학'이라는 콘텐츠 서비스가 있습니다"

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 최근 뉴욕타임스는 UAE 정부가 ‘투톡’이라는 인터넷 영상통화(VoIP)앱을 쓰는 유저들의 모든 대화와 영상을 감시한다고 보도했습니다. 주장의 근거는 미국 국가안보국(NSA) 출신 해커 패트릭 와들의 분석 결과입니다. 투톡을 뜯어본 와들은 이런 결론을 내렸습니다. “투톡은 공개적으로 나와있는 기능만을 수행할 뿐, 그 외에 하는 건 없습니다.” “사실 이 점이 이 대규모 감시작전에서 가장 뛰어난 부분이기도 합니다.” “취약점, 백도어, 악성코드 같은 것을 사용하지 않고, 말 그대로 ‘적법한' 기능만을 이용해 국민 대부분을 깊이 있게 감시할 수 있다는 것이니까요.” (패트릭 와들) 쉽게 말해, 한 국가의 정보기관에서 유저 스스로 앱을 설치하도록 유도하고 그 앱을 통해 사람들을 감시한 겁니다. 적어도 현재까지 나온 정황상 투톡이 UAE 정부의 감시 도구라는 의혹이 있다는 거죠. (참조 - 뉴욕타임스 "중동산 채팅 앱 '투톡' 스파이 앱 의혹") 투톡만이 아닙니다. 미국 국방성은 최근 잘나가는 중국산 동영상 SNS ‘틱톡’이 “사이버 위협"이라며 미군 전체에 사용 금지령을 내렸습니다.