▶서비스 대가로 퍼담은 사생활…서버에 쌓아두고 멋대로 분석

‘데이터 기업’들의 과도한 개인정보 사냥이 여론의 몰매를 맞고 있다.

페이스북 이용자 8700만명의 개인정보가 영국 데이터 분석업체인 ‘케임브리지 애널리티카’(CA)를 거쳐 도널드 트럼프 대선캠프에 전달돼 선거 여론전에 활용됐다는 사실이 내부 고발자의 폭로로 밝혀졌고 정보 유출 피해를 입은 한국 이용자도 8만6000여명으로 추정된다.

페북은 통화기록까지 수집했지만 이용자들은 알지 못했다.

경향신문 취재진은 매분 13만6000개의 사진, 29만3000개의 상태 업데이트가 올라가는 페북, 매초 평균 4만건의 검색 질의를 처리하는 구글, 국내에서 독점적 지위를 누리는 카카오(소셜미디어)와 네이버(검색)가 수집하는 개인정보 현황을 들여다봤다.

‘내가 잊어버렸거나 나도 모르는 정보’들을 데이터 기업들은 가져가고 분석하고 있었다. 이 기록들을 분석하면 개인 관심사며 생활 패턴, 친구들과의 관계 등 사회관계를 파악할 수 있다.

기자 5명이 페북에서 제공하는 개인정보 데이터 아카이브를 다운받아 봤다. 취재원을 포함한 1000명이 넘는 휴대폰 연락처가 그대로 아카이브화돼 있었고 언제 접근했는지 알 수 없는 친구들의 오래된 메일 주소도 정리돼 있었다.

‘좋아요’를 누른 페북 페이지부터 그동안 올린 사진, 동영상, 페북에 올린 글이 타임라인 순서대로 나왔고 페북 메신저에서 주고받은 메시지, 타임라인 속에서 스쳐지나가며 본 광고 목록까지 한꺼번에 들여다볼 수 있었다. 구글은 웹브라우저와 유튜브에서 분 단위로 내가 무엇을 검색하고 어떤 영상을 봤는지 모두 접근할 수 있었다.

‘개인정보, 사생활이 사라진 시대’라고 하지만 기업들이 제공하는 서비스를 이용하기 위해 개인정보를 제공하는 이용자와 서비스 이용이 제한받더라도 개인정보 제공을 거부할 수 있는 이용자의 권리 모두 보장돼야 한다. 정보인권연구소 이사인 이은우 변호사는 “정보 제공을 선택할 권리를 개인에게 돌려주는 것이 개인정보자기결정권”이라며 “페북 사태로 국내에서도 개인정보자기결정권 논의를 본격적으로 시작해야 한다”고 말했다.

▶직접 확인해본 데이터 기업들 ‘정보사냥’ 실태

앱이 정보에 접근 못하게 설정하면 허용 요구 메시지 계속 떠

기업, 이용자 활동정보·IP주소·검색 기록 등 광고주에 판매

정보 제공 동의 받았다지만 광범위한 수집은 ‘법 위반’ 소지

‘페이스북 아카이브’ 파일 압축을 풀자 얼굴도 가물가물한 친구들의 오래된 e메일 주소들이 떴다. 라이코스, 한미르, 프리챌과 같은 오래전 e메일 주소에 페북이 어떻게 접근한 것인지 의문을 풀지 못했다. 답변을 요청하니 페북코리아 관계자는 “구글 OS(안드로이드 운영체제)를 쓰는 이용자가 어디선가 접근을 허용한 것이므로 어디서 가져왔는지는 본인이 짐작하는 수밖에 없다”고 말했다. 경향신문 취재진이 페북 아카이브를 요청하니 페북에 등록한 e메일로 페북이 저장하고 있는 개인정보·활동정보들을 제공했다.

■ “서비스 받으려면 정보 다 내놔”

놀라웠던 것은 두 가지다. 먼저 광고 기록. 페북에서 사용자 맞춤형으로 제공했던 광고를 클릭한 기록이 전부 나온다. 언제 클릭해서 봤는지도 기억나지 않는 다이어트 광고까지 등장했다. 두번째는 연락처 기록. 한 기자는 취재원을 포함한 1000명이 넘는 휴대폰 연락처(휴대폰 번호, e메일 주소)가 그대로 페북 아카이브 목록에 들어 있는 것을 발견했다. 다른 기자들의 아카이브도 비슷했다. 한 기자는 “내 휴대폰 연락처에 접근한다는 게 연락처 모두를 가져가 페북 서버에 저장한다는 뜻인지 몰랐다”며 “이렇게 전부 가져가도 되는 것인지 매우 의문스럽다”고 말했다.

페북은 이용자에게 동의를 받았기 때문에 문제가 없다고 설명한다. 그러나 서비스를 이용할 때 ‘연락처(주소록)에 접근해도 되느냐’고 묻지, ‘연락처(주소록)를 페북 서버에 저장해도 되느냐’고 묻지 않는다. 이용자 입장에서는 접근한다는 사실만 짐작할 뿐 뭘, 얼마나 가져가 저장하는지 제대로 알 수 없다.

구글 OS도 폭넓게 개인정보를 요구한다. 2015년 공개된 안드로이드 6.0 마시멜로 버전에서부터 세밀한 권한 설정이 가능해졌지만 앱 권한 설정을 해제하면 서비스를 아예 이용할 수 없도록 설계해놓았다. 이 때문에 이용자 입장에서는 권한 설정을 해제하기가 쉽지 않다. 말 그대로 ‘이용하려면 정보를 다 내놔라’ 전략이다.

다만 스마트폰 설정 기능에서 앱 권한을 다시 설정할 수 있다. SMS, 위치, 저장공간, 전화, 주소록, 신체 센서 등에 대한 권한 설정이 어떻게 돼 있는지 한눈에 볼 수 있다. 한 기자의 앱 권한 설정을 들여다보니 SMS에 접근하는 앱은 44개 중 31개, 위치정보에 접근하는 앱은 61개 중 50개, 전화에 접근하는 앱은 89개 중 70개, 주소록에 접근하는 앱은 80개 중 62개에 이르렀다.

대부분의 앱이 정보에 접근할 수 없도록 권한을 해제하고 나니 문제가 일어났다. 메신저, 은행, 음원 앱 등에서 다시 접근하게 해달라고 알림 메시지가 계속 뜬 것이다. 카카오톡에서는 ‘전화, 저장공간, 주소록’에 접근할 수 있도록 권한을 허용해달라고 알림 메시지가 왔다. 정보인권연구소 이사인 이은우 변호사는 “카톡을 하지 않는 연락처 목록도 많은데 전부의 주소록에 접근하고 사진 공유 서비스를 이용하지 않는 이용자의 저장공간에도 접근하겠다는 시스템은 문제가 있다”며 “포괄적으로 정보를 요구하는 기업 중심적 시각”이라고 말했다.

카카오는 접근 권한을 요구하며 자세히 묻지도 않는다. ‘카톡이 통화 상태/기기 사진, 미디어, 파일/주소록에 접근을 할 수 있도록 허용하시겠습니까?’ 묻는 게 다다. 주소록에 접근한다는 뜻과 주소록에 있는 연락처를 카카오가 제공받는다는 것은 다르다.

■ 동의했으니 문제없다?

구글·페북·네이버·카카오는 이렇게 이용자들이 플랫폼을 이용하면서 만들어내는 활동정보에 더해 이용자들의 IP 주소와 검색 기록, 기기 식별자, 위치정보 등을 알고리즘으로 포장해 광고주들에게 판매한다. 정보 제공은 무료 서비스를 이용하는 대가라고도 볼 수 있다.

이런 정보는 종종 사용자의 동의 없이 제공된다. 때론 기업이 개인정보 보호에 소홀해 정보가 유출되는 사고가 발생하기도 한다. 페북은 앞의 문제점 3가지를 모두 노출했다. 페북은 이용자들 휴대전화의 통화·문자메시지 송수신 내역(콜 로그)을 수집했다가 된서리를 맞았고 젤리빈 이전의 안드로이드 OS는 연락처 목록을 허용하면 휴대전화의 일반 통화 기록과 문자 송수신 내역까지 함께 가져갈 수 있는 포괄적 동의 방식을 취했다.

구글도 비슷하다. 구글의 개인정보 보호 및 약관을 보면 “음성 또는 화상 통화를 제공하는 구글 서비스(구글 보이스)를 이용하는 경우, 이용자의 전화번호, 발신자의 번호, 착신전환 번호, 통화 일시, 통화 시간, SMS 라우팅 정보 및 통화 유형 등 전화 로그 정보를 수집할 수 있다”고 나와 있다. 구글코리아 관계자는 “구글 보이스의 경우 일반 전화로도 전화를 걸 수 있기 때문에 이런 기능들이 포함된 것으로 알고 있다”고 밝혔다.

구글과 페북의 광범위한 정보 수집 행태는 국내법에 위반될 가능성이 있다. 김가연 오픈넷 변호사는 “정보통신망법 제23조 2항에 의하면 개인정보를 수집할 때 필요한 한도에서 최소한의 정보만 수집해야 한다”며 “우리 법상으로는 법 위반 소지가 있다”고 말했다. 정보통신망법에는 개인정보를 수집할 때 수집·이용 목적, 수집하는 개인정보의 항목과 보유·이용기간을 이용자에게 알린 뒤 동의를 받아야 하고 그 경우에도 필요 최소한의 정보만 수집하도록 규정하고 있기 때문이다.

■ 이용자 권리 보호 적극 나서야

대다수 IT기업들은 비슷한 사안에 대해 개인정보 제공에 대한 동의를 받았기 때문에 문제가 없다고 주장한다. 그러나 그 동의는 부정확하고 불충분한 정보만 있는 상황에서 하는 경우가 대부분이다. 이용자들은 기업이 요구하는 개인정보가 해당 서비스를 원활히 즐기는 데 필수적인 것이라고 생각해 동의하는 것일 뿐이다. 페북의 정보 유출 사고를 보면 동의 과정에서 이용자들의 선의를 악용한 측면이 없지 않다.

국내 사업자의 경우 광범위한 정보를 수집하는 국외 사업자와 달리 개인정보의 최소 수집 원칙을 대체로 잘 지키고 있다는 평가를 받는다. 카카오톡의 경우 필수 정보로 전화번호, 스마트폰 등 단말기 주소록 내에 저장된 연락처 정보, 별명, 단말기 식별 번호를 요구한다. 선택 사항으로 생년월일, 성별이 들어간다. 네이버의 경우 회원 가입 시 필수 항목으로 이름, 생년월일, 성별, 휴대폰 번호를 수집하고 선택 항목으로 e메일 주소를 수집한다.

구글이나 페북도 가입 시 요구하는 정보는 국내 사업자와 거의 같지만 특정 서비스 이용 시 콜 로그를 요구하는 등 가져가는 정보가 더 많은 편이다.

다만 국내 기업들은 구글과 페북에 비해 개인정보의 열람, 수정, 삭제 등 개인정보 통제권을 보장하는 측면에서 개선이 필요하다는 지적이 나온다. 구글·페북은 웹사이트에서 모든 개인정보 보호 설정을 할 수 있다. 카카오톡도 모바일 버전에서 소셜 로그인으로 연결된 제3자 앱을 해지할 수 있고 네이버도 ‘프라이버시 센터’를 직접 검색해 찾아가거나 PC에서 ‘보안설정’을 찾아 조정할 수 있지만 찾기가 쉽지 않다. 개인정보 관련 설정이 흩어져 있는 것도 문제다. 김 변호사는 “그동안 기업이 이용자의 데이터 수집을 쉽게 하는 데만 치우쳐 있었다면 이제는 이용자 권리 보호에 본인들의 사업 성패가 달려 있다는 것을 깨닫고 적극적인 개선에 나서야 한다”고 말했다.