정보화 시대의 사생활 보호

20호 (2008년 11월 Issue 1)

로건 루츠는 가능한 한 정보망에서 최대한 멀리 벗어나 살면서 자신의 사생활을 보호하고 있다. 기업의 보안 임원들을 대상으로 발간되는 CSO지(誌) 기고문을 통해 그는 사생활을 “자기 자신을 선택적으로 드러낼 자유”라고 정의했다. 그는 우리 스스로가 일상적으로 공개하는 사실들을 수집하는 체계를 적극 차단함으로써 사생활 자유를 보호하기 위한 여러 노력을 기울이고 있다.
 
루츠는 2003년 CSO에 “어떤 것을 살 때는 가능한 한 현금을 쓰고 가명을 사용한다. 심지어 마트 회원카드를 다른 사람들과 맞교환해서 사용한다. 내가 지금 몇 달째 사용하는 카드는 2년 전에 숨진 사람의 것이다. 카드를 다시 교환해야 한다는 생각에 슬프기까지 하다. 나는 소멸된 것을 너무 사랑한다”고 말했다.
 
사생활은 무엇인가’라는 질문에 대한 대답의 출발점은 대부분 개인(보통 살아있는 개인)이다. 우선 사생활은 스스로에 대한 소유권, 즉 주민등록번호나 전화번호부터 취향과 선호도에 이르기까지 한 사람의 인생과 관련된 사실에 대한 소유의 한 형태다. 개인의 건강이나 재무 상태와 같은 사안들은 당연히 그 어느 누구도 아닌 본인 스스로의 문제다. 우리가 스스로에 대해 알고 있고 통제하고자 하는 모든 것이 첫 번째 의미의 사생활에 해당한다.
 
그러나 오늘날에는 구글 검색, e메일 트래픽, 온라인 거래 및 위치 추적 등 기술 발달로 사이버상에서 끊임없이 노출되는 부분이 많아 사생활을 통제하기가 점점 어려워지고 있다. 이 상황 변화를 제대로 파악해야만 우리가 현재와 미래에 무엇을 원하고 필요로 하는지, 우리가 이를 파악하고 있는지, 무엇을 감내할 것인지, 무엇을 사고 어떤 일을 해야 하는지 등에 관한 시각을 정립할 수 있다.
 
오늘날의 효율적인 데이터 수집과 유포 체계를 보면서 안타까운 질문을 하나 더 제기해 보자. ‘과거에 사생활은 어떤 의미였나.’ 과거 사람들은 타인이 자신에 대한 정보를 적절한 방식으로 주의 깊게 다룰 것이고, 따라서 자신은 어떤 피해도 보지 않을 것이란 자신감을 지녔을지 모른다. 물론 지금은 전혀 그렇지 않다. 누구나 다른 사람의 속도 위반이나 증권거래위원회(SEC) 규정 위반 여부를 온라인을 통해 알아낼 수 있다.
 
정보 사생활 보호와 정보 이용 사이의 갈등은 어제 오늘 일이 아니다. 법적 조치로는 기업의 경제적 이익과 고객들의 사생활 사이에 만족스럽거나 적절한 균형을 보장하기 어렵다. 기술 발달은 부주의한 적용과 활용을 통해 앞으로도 계속 개인의 사생활을 위협할 것이다.
 
기업은 이 문제에 대한 해소 방안을 마련해야만 한다. 사생활이 고객에게 얼마나 중요한지를 과소평가하면서 아무런 조치를 취하지 않을 경우 엄격한 규제를 받을 수도 있다. 이러한 문제를 해결할 수 있는 최상의 방법은 기업과 고객이 직접 협상을 해 둘 사이의 분명한 경계선을 긋는 것이다.

개똥녀 사건’에 대한 유감
과거 정보는 통제 가능한 소수의 집단 안에서만 다소 비효율적으로 이동했다. 그러나 이제는 그렇지 않다. 사생활 보호법 전문가이자 미국 조지워싱턴대 로스쿨 교수인 대니얼 J. 솔로베가 2007년에 발간한 저서 ‘명성의 미래: 소문, 루머, 인터넷상에서의 사생활’은 한국에서 발생한 ‘개똥녀 사건’으로 시작한다.
 
개똥녀 사건은 한 젊은 여성이 자신의 개가 지하철 안에서 용변을 봤음에도 이를 치우지 않고 모른 척하자 주변 승객들이 이 여성의 사진을 찍어 인터넷에 유포한 사건이다.
 
인터넷을 통해 사진이 확산되면서 이 여성의 신원이 드러났다. 그녀는 어디를 가나 ‘개똥녀’라는 꼬리표가 달려 비난을 받았다. 솔로베는 이 사건에 대해 “사람들은 인터넷상에서 이 여성의 사진을 다른 사진과 합성해 우스꽝스러운 포스터를 만들었고, 개똥녀 사건은 순식간에 주류 언론으로 확산돼 전국을 떠들썩하게 했다”면서 “대대적으로 망신을 당한 이 여성은 다니던 대학을 중퇴하기에 이르렀다”고 소개했다.
 
이 책은 이 사건으로 인해 제기된 법률, 공중예절, 기술적 능력 등의 문제를 시간대별로 나열하고 있다. 특히 공공장소에서 한 행동 때문에 사생활을 침해 받아도 괜찮은가라는 질문에 대한 견해도 있다. 솔로베는 개똥녀와 같은 사람의 행동이 직접적인 목격자나 당사자들뿐 아니라 전 세계 수 만 명에게 알려질 가능성을 염두에 두고 사생활에 대한 새로운 정의를 내려야 한다고 지적한다. 그는 “인터넷은 정말 잔인한 역사가이다. 개똥녀라는 오명을 평생 짊어지고 살고자 하는 사람이 이 세상에 얼마나 되겠는가”라고 되물었다.
 
사생활은 개인의 사적인 삶과 공공장소 사이의 교차점에서 두 번째 의미를 갖는다. 즉 사생활은 모든 문화권에서 개개인의 존엄, 교양, 결속을 유지하기 위해 오랜 시간에 걸쳐 자체적으로 약속된 사회적 계약의 한 형태라 할 수 있다. 예를 들어 작은 마을이나 관계가 긴밀한 조직에서는 모든 구성원이 다른 사람에 대해 상당히 많이 알고 있지만 민감한 부분에 대해서는 서로 모르는 척한다는 암묵적 합의가 있다.
 
하버드대 버크햄 인터넷 사회 센터의 데이비드 와인버거는 사생활에 대한 이 두 가지 견해를 정리했다. 와인버거는 자신의 개인 정보를 통제하고자 하는 사람들의 욕구를 이해한다. 그는 “정치적으로 나는 이를 지지한다”고 말한다. 그러나 이는 사생활의 일부일 뿐이라고 지적한다. 그는 “나는 사생활을 그런 방식으로 언급하지 않는다”면서 “이는 공과 사를 우리가 공개하는 정보의 문제로만 국한하는 것 같기 때문”이라고 말했다.
 
그는 이보다 더 기본적인 무언가가 작동하고 있다고 믿는다. 그는 “즉 우리는 대화하고 상호작용하는 한 근본적으로 사회적인 동물이기 때문에 인간이 사회적이지 않다는 것은 상상조차 할 수 없다”면서 “사생활에 대한 규범들이 ‘어떤 여건에서는 눈치채서도, 엿들어서도 안되지만 다른 상황에서는 된다’고 규정하고 있다”고 말한다.
 
와인버거는 길을 걸어가다 보면 사람들이 다양한 사회적 상호작용을 하는 것을 보게 된다고 말한다. 또 각각의 행동에는 정상적인 시민이라면 이해하고 따르는 사생활에 대한 일련의 규범이 수반된다고 지적했다. 예를 들어 어떤 두 사람이 대화를 할 경우 “그들의 대화를 들어도 되는지에 대한 규범은 명확하다”고 그는 말한다. 사실 어쩔 수 없을 때를 포함해 대화를 들을 수는 있다. 그러나 “대화를 듣고 있다는 사실을 남들이 알아채게 해서는 안 된다”는 것이다.
 
이 규범들을 준수하지 않을 경우 위험에 처할 수도 있다. 예를 들어 올해 초에 나는 비행기에서 건너편 좌석에 앉은 남성이 휴대전화로 매우 성적인 대화를 나누는 것을 듣게 됐는데 참지 못하고 눈치를 줬다.
 
그때 그 남성 바로 뒷자리에 있는 한 승객이 용감하게 또는 경솔하게 목소리를 좀 낮출 수 없느냐고 말했다. 그러자 그 남성은 전화기에 “잠시만, 어떤 멍청한 자식이 말을 걸어서”라고 하더니 고개를 돌리고 그 승객에게 “그냥 조용히 앉아서 입 닥쳐”라고 답했다.
 
와인버거는 현재 사생활과 관련해 광범위한 문화적 변화가 나타나고 있다고 말한다. 새로운 기술은 기존 규범을 전복하고 있으며, 새로운 규범은 시간을 두고 협상하는 과정이 필요한 상태다. 또 기존의 사회적 계약 때문에 공적 상황에서 다른 사람의 사생활에 대해 아는 것 가운데 일부를 모른 척해야 하지만 새로운 기술로 이러한 의무를 지키기가 점차 어려워지고 있다고 덧붙였다.
 
사생활 보호의 필요성
와인버거는 인사담당자가 구글에서 구직자를 검색할 경우(HBR 2007년 6월호 ‘구글에서 당신을 찾았어요’ 참고) “그 사람의 모든 것, 예를 들어 길을 가다 넘어진 것과 같은 사소한 일들까지도 찾을 수 있다”고 말한다. 구글은 한 사람의 모든 정보를 똑같은 비중으로, 예를 들어 보이스카우트상을 받았든 노상방뇨로 체포됐든 그저 똑같이 보여줄 뿐이다. 이는 정보가 모두 하나의 비트에 불과한 것이고 소프트웨어는 결정이나 판단을 내릴 수 없기 때문이다.
 
와인버거는 이처럼 사생활을 사회적 시각을 통해 살펴보면서 구글의 무차별적 정보 공개로 인한 문제를 방지하기 위해서는 검색하는 사람이 불필요하거나 원하지 않는 정보를 무시해야 한다고 조언한다. 그는 “기업들이 좀 더 관용을 갖고 검색 결과를 거시적 관점에서 살펴보기를 원한다”고 말한다.
 
이는 수상이나 노상방뇨처럼 한 사람에 대한 상반된 정보들이 충돌할 가능성이 높기 때문에 학습 과정이 필요하다는 설명이다. 그는 “우리는 대개 결점이 없고 건설적인 이력서가 한 사람을 드러낸다고 생각하지만 잘 꾸며진 이력서 한 장으로는 문제나 허점으로 가득한 개인의 실제 모습을 제대로 보여줄 수 없다”면서 “이런 이유로 좋은 것이든 나쁜 것이든 개인에 대한 정보들이 무차별적으로 쏟아지고 있는 것”이라고 말했다.
 
대니얼 솔로베와 함께 조지워싱턴대 로스쿨 교수로 재직하고 있는 제프리 로즌은 사생활을 침해하지 않고도 필요한 개인 정보를 선별할 수 있다고 주장한다. 그는 ‘원치 않는 시선 - 미국의 사생활 파괴’와 ‘벌거벗은 대중 - 불안한 시대에 보안과 자유 되찾기’라는 자신의 저서 두 권에서 사생활 위협의 문제를 다뤘다.
 
전자에서는 빌 클린턴 미국 전 대통령의 탄핵, 재판, 사면 등 일련의 사건을 촉발한 케니스 스타 검사의 수사를 분석했다. 그는 스타 검사의 수사가 “오늘날 우리의 법 체계가 개인의 사생활을 얼마나 침해하는지, 불과 얼마 전까지만 하더라도 법과 사회가 개인의 비밀을 얼마나 강력하게 보호했었는지”에 대한 관심을 불러일으켰다고 지적한다.
 
책 ‘벌거벗은 대중’에서 그는 승객 검색기(pass -enger screening machine)의 실제 견본 두 대를 자세히 묘사함으로써 말 그대로 노출의 문제를 제기한다. 한 기계는 검색대를 지나가는 사람의 옷 속을 투과해 매우 정밀한 인체 해부도를 만들 수 있다. 다른 기계는 성별 구분 없는 사진을 출력할 수 있다. 두 기계 모두 숨겨진 무기나 그 밖의 보안상 위협이 될 만한 물건들을 탐지한다는 본연의 목적을 충실히 수행할 수 있다.
 
로즌은 사생활을 최대한 보호할 수 있는 방안을 마련해야 할 뿐 아니라 모든 프로세스와 기술에 이 부분을 반영해야 한다고 주장했다. 이 책은 과도하게 사생활을 침해하지 않고도 보안상 중요한 목적 대부분을 달성할 수 있다고 주장하고 있다.
그러나 누군가는 지속적으로 사생활 보호의 필요성을 주장해야 한다. 정부에서든 민간 부문에서든 이 문제는 최우선 순위가 아니기 때문이다. 이를 뒷받침하는 연구 결과도 있다.
 
사생활 문제 기고가이자 학자인 앨런 F. 웨스틴이 사생활에 대한 관심이 오랜 시간에 걸쳐 어떻게 변하는지를 살펴보기 위해 근본주의자(로건 루츠 같은 절대주의자), 실용주의자(사생활 위협을 우려하지만 적절한 보호 수단이 있거나 앞으로 구축될 것이라고 믿는 사람들), 방관주의자(사생활 문제를 심각하게 생각하지 않는 사람들) 등 세 집단을 대상으로 연구한 결과 근본주의자들은 시간이 지나도 조사 대상의 15∼20%에 머문 것으로 나타났다.
 
로즌은 최근 한 인터뷰에서 “기업들은 공론을 통해 모든 문제를 해결할 수 있을 것으로 기대해서는 안 된다는 사실을 명심해야 한다. 이보다는 문제를 일으키지 않는 정보 공유 및 수집 체계를 마련하고 선제적으로 대응해야 한다. 이러는 것이 책임감 있는 일이기도 하고, 그렇지 않을 경우 망신을 당할 수도 있기 때문”이라고 말했다.
 
[DBR TIP] 사생활 보호 및 침해와 관련한 역사적 사건들
 
사생활 보호
- 담장, 벽, 커튼, 블라인드
- 상거래에서 익명성을 보장해 주는 현금
- 봉랍(sealing wax)
- 스테가노그라피: (투명잉크 등) 메시지, 이미지, 파일 안에 다른 메시지나 이미지를 숨기는 다양한 기법들
- 권리장전
- 루이스 D. 브랜데이스와 새뮤얼 D. 워런의 1890년 하버드 로 리뷰 기고문. 이 글은 개인이 ‘개성을 존중 받을 권리’와 더 광범위하게는 ‘간섭 받지 않을 권리’를 갖고 있다고 주장했다.(제프리 로즌은 저서 ‘원치 않는 시선’에서 이 글의 내용을 상세하게 다뤘다)
- 1980년 경제협력개발기구(OECD)의 사생활 보호 지침. 이 지침은 회원국들의 사생활 보호법이 경제 개발에 필요한 정보의 국가간 이동을 저해하지 않도록 하기 위해 각국의 법을 ‘조화하는 것’을 목적으로 하고 있다.
- 1986년 전자커뮤니케이션 사생활보호법(ECPA). 이 법은 무단 도청 규제 범위를 컴퓨터 커뮤니케이션에까지 확대했다. 다만 고용인이 회사 컴퓨터 네트워크를 통한 피고용인의 커뮤니케이션에 자유롭게 접근하는 것은 금지하지 않았다.
- 1988년 피고용인에 대한 거짓말탐지기 사용 규제법(EPPA). 이 법은 고용인이 현재 및 미래의 피고용인을 대상으로 거짓말 테스트를 하지 못하도록 하고 있다. 다만 정부 기관, 납품업체 등은 적용 제외 대상이다.
- 1999년 3월 빌 클린턴 미국 대통령은 당시 오하이오주립대 로스쿨 교수로 재직 중이던 피터 스와이어를 연방정부 최초의 사생활 문제 담당 자문으로 임명했다.
- 2003년 누알라 오코너 켈리는 미국 국토안보부의 첫 번째 최고사생활책임자(CPO)로 임명됐다.(켈리는 2005년 퇴임 당시 사생활 보호주의자들로부터 상당한 제도적 제약에도 불구하고 최선을 다한 공로를 인정받았다)
- 2003년 6월 연방통신위원회(FCC)는 광고전화금지 등록제(National Do Not Call Registry)를 실시했다. 현재까지 1억5700만 개의 전화번호가 등록돼 있다.
- 2003년 7월 캘리포니아 상원법안 1386은 시민들의 개인 정보 보호 의무를 위반한 기업에 사실을 발견한 즉시 공시할 의무를 부과했다.
- 2005년 IBM은 채용 여부나 후생복지 제공 수준을 결정할 때 직원들의 유전 정보를 참고하지 못하도록 하는 정책을 발표했다. 2008년 5월 이와 유사한 조항을 담은 법안이 미국 의회를 통과했으며, 이는 유전자 정보 차별금지법(GINA)으로 법제화됐다.
 
사생활 침해
- 소형 망원경, 쌍안경, 망원렌즈, 첩보 위성 등 감시·정찰·첩보활동 등을 가능하게 하는 기술적 도구들.(오늘날 일부에서는 구글어스와 구글맵이 ‘스트리트 뷰’에서 일반 개인의 집, 심지어는 그 안에 사는 거주자들의 사진까지 보여주고 있다며 강하게 반발하고 있다)
- 1763년 조지 3세의 병사들은 존 윌크스의 런던 자택에서 그의 일기장을 압수했다. 저서 ‘원치 않는 시선’에서 로즌은 이 사건을 비롯한 정부의 사생활 침해 사례들이 권리장전이 불합리한 수색이나 압수를 금지하는 조항을 마련하는 계기로 작용했다고 말한다.
- 개인의 거래 내용을 디지털로 기록하는 신용카드나 직불카드. 학자들은 익명으로 이러한 거래가 가능하도록 하는 방안을 모색하고 있다. 페이팔(Pay Pal) 모델과 같이 신뢰할만한 제3자를 활용하는 방법을 예로 들 수 있다.
- 스팸 메일. 1978년 인터넷의 모체인 ARPANET을 통해 393명의 수신인에게 발송된 e메일이 최초의 스팸 메일이라 할 수 있다.(당시 발신자는 새로운 컴퓨터 제품 출시를 선전하는 문구로 수신자들을 속였다) 일부에서는 스팸 메일 발송자들이 하루에 1000억 건이 넘는 e메일을 보내고 있는 것으로 추정하고 있다. 다만 스팸 매일 증가 속도는 최근 몇 년 동안 둔화세를 보이고 있다.
- 인터넷. 인터넷은 일부 학자들이 자신들만의 커뮤니티 내에서 개발한 것으로, 당시에는 사생활 보호에 대한 기준이 없었다.
- 1999년 선마이크로시스템스의 공동 창업자인 스콧 맥닐리의 유명한 발언. 그는 와이어드에 “사생활은 어디에도 없다. 잊으라”고 말했다.
- 2001년 미국이 제정한 애국자법. 이 법은 정보 및 검경 당국이 개인간 커뮤니케이션 감시, 금융거래 규제 등을 강화하고 외국인들의 미국 내 입국 허용 기준을 더욱 엄격하게 적용할 수 있도록 했다. 9·11 사태 발생 후 신속하게 통과된 이 법안은 국가 안보가 어떤 사회적 가치보다 중요하게 떠오르던 당시 상황을 잘 보여 준다.
- 방대한 데이터베이스 가운데 일부라도 뚫릴 경우 해킹 당하기 쉽다.(9·11 사태 후 오라클의 CEO 래리 엘리슨은 테러를 방지할 수 있는 아이디 카드용 소프트웨어 개발을 제안했다)
- 고객카드. 고객들의 구매 정보를 고스란히 담고 있는 카드.
- 감시 문화 확산. 런던에는 무려 50만대의 CCTV가 있으며, 조지 오웰이 ‘1984년’을 집필한 아파트 블록 하나에만 42대가 있다는 보도가 있었다.
- TJX와 다른 기업들에서 발생한 정보 유출 사례. 이 가운데 일부 기업들은 보안 조치가 매우 허술하거나 삭제해야 할 민감한 정보를 그대로 보유하고 있었다.
 
기업의 사생활 보호 조치
사생활 보호 조치를 오래 전부터 취하고 있는 기업들도 있다. 해리엇 피어슨은 루이스 거스너가 최고경영자(CEO)로 재직하고 있던 2000년에 IBM의 최고사생활 책임자(CPO)직을 맡았다.
 
피어슨은 “거스너는 웹이 기업의 플랫폼으로 떠오르는 상황에서 IBM과 같은 기업들은 사생활 보호에 선도적 역할을 해야 한다고 믿었다. 비즈니스 프로세스에서 기술 적용이 확산되고 있는 가운데 우리는 변곡점에 있었다. 거스너는 IBM이 전자 상거래에서 유리한 입지를 점하기 위해 이 문제를 주도적으로 다룰 필요가 있음을 정확하게 간파하고 있었다”고 말했다.
 
피어슨은 셸 오일에서 엔지니어로 일하다가 로스쿨에 진학했으며, 환경법 전문 변호사로 활동하던 1993년 IBM에 합류했다. 당시 사생활 관련 문제에 대한 지식이 전무하던 피어슨은 IBM 내부 관련 서류 전부를 꼼꼼히 훑어보고 IBM이 1960년대에 앨런 웨스틴에게 자문해 인사관리를 위한 전 세계적 사생활 관련 원칙을 마련했다는 사실을 파악했다.
 
이 과정에서 IBM은 상대적으로 일찍 직원들의 사생활 문제에 대해 방대한 연구를 할 수 있었다. 피어슨은 “IBM은 구직자 면접을 할 때 종교나 소속 단체에 대해 묻지 않도록 규정한 몇 안 되는 초창기 기업 가운데 하나였다”면서 “많은 기업이 면접에서 이러한 질문들을 했지만 우리는 별로 중요하지 않은 것이라고 판단했다”라고 말했다.
 
샘 팔미사노가 IBM의 CEO가 된 뒤 IBM은 2005년 채용이나 의료 보험 등 후생복지 제공 여부를 결정할 때 직원 개개인의 유전 정보를 참고하지 못하도록 하는 정책을 전 세계적으로 채택했다. 피어슨은 IBM이 이 정책을 도입할 수 있었던 것은 일찍부터 직원들의 사생활 보호와 차별 금지에 큰 관심을 갖고 있었던 덕분이라고 말했다.(조지 W. 부시 대통령이 2008년 5월 유전자 정보 차별금지법에 서명할 때 IBM의 정책이 이 법안 통과에 기여했다)
 
IBM은 게놈 연구, 의약 혁신 가속화 시스템 등 새로운 기술 분야에 대한 다양한 연구개발(R&D) 과정에서 향후 사생활 보호와 관련해 어떤 문제가 발생할 수 있을지를 예측할 수 있었다. 피어슨은 기업과 업계 동향을 살펴보면서 문제가 될 수 있는 부분을 감지하는 것이 자신의 임무 가운데 하나라고 밝혔다.
 
그는 “어떤 날은 유전학과 무선인식(RFID) 기술을 연구하면서 이 영역이 사생활 문제에 어떤 영향을 줄지를 살펴봐야 한다”면서 “어떤 날은 전 세계 비즈니스 프로세스나 ‘클라우드 컴퓨팅’이라 일컫는 기술 도입과 관련한 사생활 및 보안 문제에 대해 파악해야 한다”고 말했다.
 
피어슨은 “IBM이 RFID에서 사업 잠재력을 발견했지만 사생활이라는 관점에서는 논란의 여지가 있는 것으로 판단하고 있다”면서 이렇게 말했다. “우리는 정책 담당자들과 기술표준 등 다양한 부분에 대해 논의한 뒤 가장 바람직한 RFID 도입 방법을 마련해 비즈니스 파트너들에게 권유했다. 이 기술을 어떻게 도입할 것인지는 그들 스스로의 판단에 달려있지만 우리는 우리가 이 영역에서 어느 정도는 영향력을 발휘할 수 있을 것임을 확신한다. 그렇게 하는 것이 기업 차원에서도 도움을 줄 것이다. 비즈니스 모델과 사생활 보호에 대한 인간의 욕구나 기대, 법적 의무가 어디서 접점을 이루는지를 파악하고 이 둘을 올바른 방식으로 접목하는 것이 리더들에게도 필요하다고 판단한다.”(HBR TIP ‘기업이 사생활 보호를 위해 점검해야 할 것들’ 참조)
 
7년 전에 피어슨은 사생활 담당 임원 몇 명으로 구성된 사적 모임에 참석한 적이 있다. 이 자리에 참석한 사람 대부분이 맡고 있는 직함은 새로 생긴 데다 아직 완전히 체계가 잡히지 않은 것으로(일부는 책임 범위가 광범위했고 어떤 사람들은 기업 내규 감독이 주된 업무였다), 이들은 서로의 메모와 아이디어를 교환하고 비교하는 것이 상당히 도움이 된다고 판단하고 국제사생활보호협회(IAPP)라는 조직을 구성했다.
 
IAPP는 현재 5000여 명의 회원을 확보하고 있으며, 이러한 성장세는 그동안 기업들의 사생활 보호에 대한 관심이 높아졌을 뿐 아니라 이를 적절히 수행하지 못했을 경우 받을 수 있는 타격도 커졌음을 시사한다.
 
피어슨은 “2004년 이전까지만 하더라도 합당한 이유만 있으면 사람들에 대한 정보를 수집하고 원하는 대로 사용하는 데 아무런 문제가 없었다. 정보가 손실되거나 유포된다 하더라도 손해 볼 것은 없었다. 아무에게도 알릴 필요가 없었다. 그러나 이제는 모두에게 그 사실을 알려야 한다”고 말했다.
 
2003년 캘리포니아주는 캘리포니아 거주자를 고객으로 하는 기업들에 위반 공시 의무를 부과하는 법안을 통과시켰다. 이 법에 따르면 기업들은 사생활 보호 의무를 위반했을 때 이를 발견하고 나서 가능한 한 이른 시일 내 이 사실을 고객들에게 알려야 한다.
 
이후 미국 내 대부분의 주 정부가 비슷한 조치를 도입하면서 기업들은 내규 관리 부담이 늘어났으며, 사생활 보호 문제를 우선순위로 다루기 시작했다. 피어슨은 이 법안에 대해 “이로 인해 리스크 균형이 근본적으로 이동했다”면서 “의무 공시 규정으로 기업들은 위반 사실 공개에 따른 직접적 비용은 물론 이미지 실추와 같은 무형의 손실까지 감당해야 하는 상황”이라고 말했다.
 
[DBR TIP] 기업이 사생활 보호를 위해 점검해야 할 것들
 
사생활 보호와 전략을 연계하라.
브랜드 가치가 높거나 건강보건, 금융, 첨단기술 등 정보 집약적인 산업에서 경쟁하는 기업은 사생활과 정보 보호에서 주도적인 입지를 다지는 것이 특히 중요하다.
 
사생활을 중시하는 기업문화를 조성하라.
사생활과 보안을 중시하는 기업 문화를 조성하면 광범위한 제반 규정을 도입하는 것보다 훨씬 큰 효과를 거둘 수 있다. 이러한 문화 속에서는 조직 내 모든 구성원이 자발적으로 사생활 보호 노력을 기울일 것이기 때문이다.
 
문제 발생 가능성을 예측하라.
진행 중인 사업이나 종사하고 있는 산업에서 사생활 관련 문제가 발생할 소지가 있는 제품이나 관행이 어떤 것인지를 점검할 사람이 필요하다. 또 누군가는 이해관계자들과 협력하면서 적절한 문제 해결 방안을 마련해야 한다. 내부 사람뿐 아니라 동종 업계 내 다른 기업들과도 공조할 준비가 돼 있어야 한다.
 
책임소재를 분명히 하라.
기업 내 사생활이나 보안 책임자는 모든 부서의 사생활 보호 노력과 조치들을 결합하고 조율하는 역할을 담당한다. 인사부장, 최고정보책임자(CIO), 마케팅 담당 부사장 등 정보 정책 마련과 실행에 관여하는 사람은 많지만 이 모든 절차를 책임질 사람이 반드시 있어야 한다.
 
보안과 사생활 보호를 혼동해서는 안 된다.
기업 환경에서 사생활을 충분히 보호하기 위해서는 수집 정보의 종류나 규모, 공유 주체, 사용 및 보호 방법, 보유 기간 등에 대해 사회적 기대에 부응하거나 관련 규정을 준수해야 한다. 무조건 정보 보안에만 초점을 맞춰서는 안 된다.
 
사생활을 사회적 책임으로 간주하라.
국제적이고 정보 집약적인 사회에서는 기업들이 사생활 및 정보 보호 문제를 환경, 다양성 등 기업 시민정신 관련 의제들과 동등하게 다루고 있다.
 
자체 정보 공급체인을 운영하라.
기업이나 국가의 경계를 넘나드는 정보에는 취급 의무가 수반된다. 기업이 전 세계적으로 인재나 서비스를 활용하고 있다면 국제적 규정이나 기대 수준을 합리적으로 반영한 정보 관리 기준을 마련할 필요가 있다.
 
기술의 힘을 빌어라.
기술이 리더십, 상식, 우수한 정책을 대체할 수는 없지만 자동화된 점검표·암호화 등과 같은 간단한 기술들은 사생활 보호 조치의 원활한 실행에 큰 도움을 줄 수 있다. 또 디지털 감시 시스템을 피해 신원을 감추거나 사생활을 보호하면서 정보를 추출하는 등 최근 개발된 새로운 기술들은 정보 이용과 사생활 사이의 충돌 문제를 해결해 줄 수 있다.
 
피해 복구 계획을 세워라.
오류나 문제가 전혀 발생하지 않는 정보시스템은 없다. 정보 손실이나 유출 가능성에 대비해 미리 기술적·법적·개인적 문제를 해결할 수 있는 대응 방안을 마련해 두어야 한다.
 
모든 세대의 목소리에 귀를 기울여라.
25세 이하의 젊은이들이라고 사생활을 경시하는 것은 아니다. 다만 이들이 온라인상에서 다른 사람과 함께 협력하고 게임하는 것을 좋아하는 것은 사실이다. 따라서 사생활 보호 조치에는 여러 세대의 규범과 기대를 반영해야 한다. 직원들이 온라인 사이트에 사진이나 개인의 정보를 올리는 것은 그들 자유지만 기업이나 정부가 신원 파악을 위해 개인의 정보를 수집하는 것은 분명 잘못된 일이다.
 
사생활 노출, 사업의 기회인가
오늘날 사람들이 과거보다 사생활의 가치를 덜 중시한다고 말하기는 어렵다. 그러나 사생활에 대한 태도가 변하고 있는 것은 분명한 사실이다. 이는 기술 발전으로 사생활이 위협을 받고 개개인이 온라인상에서 전혀 새로운 형태로 노출되고 있는 데 따른 것이다. 유튜브와 페이스북에는 일종의 공연처럼 개인 사생활이 실시간으로 공개되고 있다. 이러한 현상을 거리낌없이 사업 기회로 활용해도 될까.
 
피어슨은 “이는 리스크를 어떻게 최소화하고 그 리스크와 정보 취득의 필요성 사이에서 어떻게 균형을 맞출 것인가의 문제”라고 말했다. 다시 말해서 특정한 기회를 좇는 것이 사업에 득이 될지 실이 될지를 판단하는 문제라는 것이다.
 
성공적 커뮤니티 사이트인 크레이그 리스트의 짐 버크마스터 CEO는 이러한 기회를 거의 이용하지 않는 것이 바람직하다는 입장이다. 그는 “우리는 하지 않는 것이 매우 많은데 이는 우리 사이트가 거의 100% 사용자들이 운영하고 있기 때문”이라면서 “실제로 사용자들은 자신들의 행동 패턴을 분석해달라고 요청하지 않는다”라고 말했다.
 
크레이그 리스트의 창업자인 크레이그 뉴마크는 크레이그 리스트가 매출액 극대화를 표방하지 않는다고 공공연히 밝혀왔다. 이들이 기본적으로 사생활에 대해 매우 보수적인 입장을 취하는 것은 그래서 당연한 일인지도 모른다. 버크마스터는 “대부분의 기업이 매출액 극대화를 목표로 하고 있어서 마음만 먹으면 사람들의 개인 정보를 활용해 이윤을 낼 수 있다”면서 “그러나 우리는 매출액 확대에 관심이 없어서 그렇게 할 이유도, 필요도 없기 때문에 우리는 다른 기업들처럼 이해 상충의 문제를 겪지 않는다”고 말했다.
 
다른 기업들도 이러한 태도를 본보기 삼아 정상적이라고 간주한 부분들을 되돌아볼 필요가 있다. 예를 들어 페이스북은 지난해 사용자들끼리 교환한 제품에 대한 의견에 광고업자들이 자유롭게 접근할 수 있도록 기본 설정을 해놓았다. 사용자들이 이를 불쾌하게 받아들이지 않을 것이라고 생각했기 때문이었다.
 
그러나 이 판단은 빗나갔다. 페이스북은 기본 설정을 ‘네’에서 ‘아니오’로 바꾸고 사이트 내 사생활 보호를 더욱 강화해야 했다. 여기서 얻을 수 있는 교훈은 간단하다. 친구들과 사적으로 공유한 정보가 상업적 목적으로 활용되면 사람들은 이를 사생활 침해로 받아들인다는 사실이다.
 
세대 차이
시간이 가면서 사람들의 생각과 태도가 바뀌듯 사생활 문제에서 중시하는 부분도 세대마다 다를 수 있다. 내가 이러한 생각을 하게 된 것은 감시 카메라 때문이었다. 몇 년 전 어머니와 CNN을 시청하던 중 감시 카메라로 한 여성이 자동차 뒷좌석에서 자녀를 마구 때리는 장면을 촬영한 것을 봤다.
 
우리 두 사람 모두 그 장면을 보고 충격을 받았지만 이유는 달랐다. 나는 여성의 행동에 경악을 금치 못했지만 어머니는 카메라가 그 장면을 촬영했다는 사실에 놀란 것이다. 물론 감시 카메라가 공공장소로 확산되는 것이 바람직하다는 것은 아니지만 이를 현대인의 삶에서 불가피한 부분으로 받아들일 수는 있다.
 
어머니는 카메라가 자신의 사생활까지 침해할지 모른다며 우려했으며, 나는 다른 부모들과 마찬가지로 젊은이들이 그 방송 내용을 인터넷상에 마구 유포할 것을 걱정했다. 사람들은 자신의 사생활을 침해 받을 때 가만히 있을까. 기업의 인사 담당자들이 입사 지원자들의 평소 행동과 성격을 알게 된다면 데이비드 와인버거가 제안한 대로 관용을 발휘할 수 있을까.
 
해리엇 피어슨과 많은 동료가 페이스북 페이지를 갖고 있다. 나도 마찬가지다. 내 딸들과 손녀들, 또 손녀 또래의 대학생들이 들으면 실망하겠지만 당초 젊은이만을 위한 사회적 네트워크로 시작한 공간을 서서히 어른들이 점령하고 있다. 젊은이 간의 사회적 교류를 위한 세상을 결국 어른들이 감시하기 시작한 것이다. 이러한 추세로 인해 사생활에 대한 사회적 규범이 더욱 빨리 나타날까.
 
구글 검색 결과에 대한 관용은 디지털 세대만이 자연스럽게 기를 수 있는 태도일지도 모른다. 나머지 세대들은 일단 오래되고 낡은 사고방식부터 버려야 할 것이다. 사회적 변화로 인해 나타난 결과들은 시간이 지나면 자연스럽게 자리를 잡는다.
 
그 동안 온라인 커뮤니티에서 사람들은 좋아하는 책이나 영화, 밴드나 음악, 맥주나 립스틱 브랜드의 이름을 자유롭게 공유한다. 시장의 흐름을 한 발 먼저 읽으려는 마케팅 담당자나 새로운 트렌드를 좇는 사람들이라면 민감하게 받아들일만한 내용들이다.
 
버크마스터는 이러한 사회적 네트워킹 현상은 모험이 가득하다는 점에서 매력적이라고 말한다. 그는 “아이들은 사회적 네트워킹을 통해 즐거워한다. 어떤 사람에게는 실제 세계보다 인터넷상에서 사회적 관계를 맺는 것이 더 쉬울 수 있다. 이런 의미에서 이런 현상은 굉장히 멋진 것 같다”고 말했다.
 
그러나 버크마스터는 10대들이 과도하게 온라인 세계에 빠지는 것은 젊은이들이 객기를 부리며 무모하게 운전하는 것과 비슷하다고 말한다. 그는 “사람들은 30, 40대가 되기 전까지 어떤 것이 위험한지에 대해 완전히 인식하지 못한다. 이는 어디에서나 마찬가지다. 실제로 16∼18세의 젊은이들이 30, 40대보다 큰 교통사고가 날 가능성이 훨씬 높다는 조사 결과가 많다. 여기에는 10대들이 위험을 충분히 인지하지 못하는 데도 어느 정도 원인이 있다”고 말했다. 그는 젊은이들이 나이가 들면 리스크에 대한 태도 역시 변한다고 믿는다.
 
피어슨은 “이에 대해 도덕적 판단을 내리는 것이 맞는지는 잘 모르겠다”면서 “기업가 입장에서는 이러한 현상이 온라인 광고를 활용하는 비즈니스 모델을 구축하거나 소비자들에게 더 가까이 다가가려고 할 때 엄청난 기회를 제공할 것”이라고 피력했다. 그러나 그는 사생활을 침해할 소지가 있는 부분에 대해서는 미리 조치를 취할 필요가 있다고 덧붙였다.
 
사생활 침해 방지를 위한 조치들
사생활 침해 소지를 차단하는 방법은 개인, 기업, 사회의 행동과 기술적 측면에서 생각해 볼 수 있다. 기술을 개발하는 일이 어렵긴 하지만 행동적 측면에서 사생활 보호 방안을 마련하는 것보다 쉽다. 기술적 측면의 조치는 가장 저항을 적게 받는 방향으로 가려는 인간의 성향에 대한 보상에 초점을 맞춰야 한다. 인터넷 보안은 전문가의 도움 없이는 쉽게 설치하지 못한다는 맹점이 있다. 따라서 그 동안 엄청난 온라인 사용자들이 신원 도용의 리스크에 노출될 수밖에 없었다.
 
IBM
은 소프트웨어 공급업체 컨소시엄과 함께 히긴스라는 명칭의 오픈소스 프로젝트에 참여, 사용자들이 신뢰할 만한 제3자가 보장하는 온라인 익명 아이디를 통해 개인 정보를 숨길 수 있도록 했다. 히긴스는 매우 유연한 프로그램으로, 사용자들이 다른 사이트로 이동하더라도 계속 사용할 수 있을 뿐 아니라 사이트마다 선별적으로 정보 공개 수위를 결정할 수 있도록 했다.
 
아마존은 책, 음악, DVD 등 고객들의 취향에 대한 정보를 방대하게 구축하고 있다. 그러나 직원들이 내 정보를 이용하지 않는다고 확실히 믿을 수 있을까. 그렇게 생각하고 싶지만 확신할 수는 없는 일이다.
 
그렇다면 아마존에서 쇼핑할 때 히긴스와 같은 프로그램을 이용하면 될까? 그럴지도 모른다. 그러나 이러한 프로그램들도 내가 이전에 방문한 사이트에서 공개한 개인 정보까지 완전히 삭제하기는 어려울 것이다.
 
일반적으로 기업들은 고객 정보를 잠재적인 기회의 원천으로 간주하면서 이를 보유하기를 원한다. 그러나 고객이나 다른 사람들의 민감한 개인 정보를 보유하는 것에는 대가가 따르게 마련이다. 2006년 말 TJX 고객 카드번호 유출 사건에서 알 수 있듯 매우 위험한 일이 될 수도 있다.
 
앞에서 언급한 사생활 보호 위반 공시 의무 외에 기업들은 어떤 정보 보호 조치를 예상할 수 있을까. 내년 1월 미국에 새로운 정부가 출범하면 사생활에 대한 현재 정부의 방침과 보호 조치들은 바뀔 가능성이 높다. 그러나 어떤 후보가 승리하더라도 환자의 의료 기록에 대한 접근을 차단하는 방안은 추진될 것이라고 피어슨은 예상한다. 마찬가지로 정부가 ‘스스로의 정보 접근을 제한하기 위해’ 사생활 보호법을 수정할 가능성도 높다.
 
미국 연방거래위원회(FTC)는 온라인 행동 패턴 분석에 기반한 광고 때문에 고객들의 사생활이 침해 받는 것을 막기 위해 지침을 마련했다. 이 지침은 각 웹사이트에 고객들이 광고를 원치 않을 경우 이를 용이하게 선택할 수 있도록 하고(선택적 배제), 취득한 모든 정보에 대해 충분한 보안조치를 제공하거나 정보 보유 시한을 설정하며, 의료 기록과 같은 민감한 정보의 경우 관련 광고를 받겠다는 개인의 동의를 얻은 뒤에만 수집할 수 있도록 할 것을 권고하고 있다.
 
그러나 이는 어디까지나 자발적인 조치를 권하는 지침이어서 큰 효과를 거두지 못하고 있다. 또 해킹으로 선택적 배제 절차가 무력화되면서 고객이 거부했음에도 정보가 지속적으로 유출되는 기술적 문제가 발생할 수 있다.
 
유럽의 사생활 보호법 역시 정보 수집 및 공유 모델이 변함에 따라 바뀔 가능성이 높다. 중국, 인도, 필리핀 같은 국가들의 경우 전 세계 시장 참여를 위해 투명성을 제고해야 할 필요성이 커짐에 따라 사생활 보호의 중요성이 더욱 높아질 것으로 보인다.
 
사생활 보호, 왜 중요한가
사생활에 관한 한 세상이 낙관론자와 비관론자로 구분된다고 생각하는 사람도 있을 것이다. 낙관론자는 사람들이 자신의 정보를 책임감 있고 주의 깊게 처리할 것이라고 믿는 반면에 비관론자들은 정보가 비윤리적이거나 탐욕스러운 사람들의 공격을 받기 쉽다며 불안해한다.
 
데이비드 와인버거의 말을 생각해 보자. 사생활 보호는 우리가 스스로의 정보를 통제하는 것이라기보다 우리가 더욱 문명화된 상태에서 공존할 수 있는 방안을 사회가 지속적으로 마련하기를 기대하는 것이라고 할 수 있다.
 
개인의 사생활 보호는 사회 구조에 상당한 영향을 미치기 때문에 매우 중요하다. 사생활 보호에 대해 정확하게 이해할 경우 장소나 목적에 따라 공과 사를 분명히 구분할 수 있다. 예를 들어 언론의 자유는 보장되어야 하지만 발언이 비방이나 욕설로 넘어갈 경우에는 사생활 침해 문제가 발생한다.
 
라디오 진행자 도널드 이무스가 뉴저지 럿거스대 여자 농구팀 흑인 선수들에 대한 인종차별적이고 모욕적인 발언을 했을 때 사회 규범은 이를 신속히 단죄했다. 이무스는 전국적으로 비난을 받고 해고당했으며, 농구팀에 가서 굴욕적으로 공식 사과를 해야 했다. 다만 농구팀이 이무스와 방송국을 상대로 소송을 제기하지는 않았으며, 사태는 신속하고 유기적으로 수습 국면을 맞았다.
 
낙관론자들은 합리적인 규범이 자연스럽게 생길 것이라고 믿는 반면에 비관론자들은 인위적인 법이나 규제가 필요하다고 생각한다. 그러나 사생활 보호에 대한 고객 요구나 이를 규제하는 엄격한 법률 유무와 상관 없이, 또 방대한 양의 고객 정보가 매력적인 사업 기회이건 아니건 간에 기업들은 고객들의 사생활 보호에 만전을 기해야 한다. 이에 대한 믿음이 있어야 상거래에서도 기본적인 신뢰를 구축할 수 있기 때문이다. 기업들이 적절한 규범을 지키지 않을 경우 고객들은 이를 신속하게 감지하고 대응할 것이다.
 
나는 지난 수년 동안 이 사회에서 사생활 침해 피해가 지속적으로 발생해 왔음에도 지금까지 사람들이 더 크게 반발하지 않았다는 사실에 놀랐다. 그 동안 개인 정보를 도용하고 남용하는 수많은 사례가 있었다. 그렇지만 웨스틴의 연구에서 나타났듯이 사생활 근본주의자들의 비중은 전체의 15∼20% 수준에서 크게 변하지 않았다.
 
물론 사생활은 신원 도용을 당하거나 어떤 제품에 대한 의견이 유출되기 전까지 피부에 와 닿지 않는 문제일 수도 있다. 그러나 페이스북에서 거리낌없이 의견이나 사생활을 공개했다가는 언제든지 정보 유출의 피해자가 될 수 있다는 사실을 명심해야 한다.
 
번역 홍정민 drew97@naver.com
 
루 매크리어리(lmccreary@harvard business.org)는 HBR의 선임 에디터로, 보안 및 사생활 전문지 CSO의 편집장을 역임했다.
동아비즈니스리뷰 348호 The New Chapter, Web 3.0 2022년 07월 Issue 1 목차보기