글로벌 칼럼 | “업계 자율 규제는 허구” 강력한 프라이버시 법안이 필요하다

대형 IT 기업이 기술 사업이 아니라 사용자 데이터 사고파는 사업에 열을 올리는 상황을 어떻게 해석해야 할까? 레귤러토리 리뷰(Regulatory Review) 보도에 따르면, 구글은 매일 전 세계 수십억 명의 데이터를 수집한다. 그러면서도 타겟 광고를 통해 사용자도 이익을 본다고 주장한다. 하지만 이는 명백한 허위다. 오히려 구글 검색이 구글 광고 사업과 완전히 분리되면, 사용자가 검색어와 무관하고 이상하기까지 한 결과를 보는 비율이 더 줄었을 것이다.
 

실제로 구글의 스폰서드(sponsored) 검색 결과에서 사용자가 얻는 이익은 아무 것도 없다. 사용자가 사이트를 이동해도 따라다니는 구글 광고의 불편한 진실이다. 이런 디지털 광고는 IT 기업의 거대한 비즈니스다. 구글과 메타(페이스북)의 경우 매출 대부분이 여기서 나오고, 다른 대형 IT 기업은 물론 그보다 더 작은 기업도 매출 상당 부분이 여기서 출발한다. 

상황이 이런 데도 미국 정부와 미국 시민은 거대 IT 기업이 온라인 프라이버시를 침해하는 것을 방관하고 있다. 이들 기업의 앱과 웹사이트 서비스를 이용하는 시민이 수백만 명에 달하는데도 말이다. 이들 IT 기업의 목표는 광고주와, 그들의 물건을 살 가능성이 높은 사람을 연결하는 것이다. 온라인 상호작용을 근거로 광고주가 파는 상품을 구매할 가능성이 높은 사람을 특정하려 한다.
 

2023년 주요 업체별 디지털 광고 매출

아마존	$44.3 billion
애플	$6.51 billion
구글	$237.8 billion
메타(페이스북)	$131.9 billion
마이크로소프트	$12.2 billion

이를 위해 IT 기업은 검색 데이터, 구매 내역, 결제 정보, 얼굴 인식 데이터, 문서, 사진, 영상, 위치, 와이파이 기지국, IP 주소, 생일, 메일 주소, 휴대폰 번호 같은 정보를 수집한다. 어떤 영상을 봤는지, 어떤 앱을 쓰는지, 주고받은 이메일이 무엇인지, 기기를 어떻게 사용하는지, 어떻게 통화하는지 등 광범위한 행동 정보를 모은다. 아마존과 애플, 메타(페이스북), 구글, X(트위터)가 사용하는 데이터 형태에 대한 더 자세한 분석 결과는 Security.org 웹사이트에서 확인할 수 있다. 이 정보에 따르면, 구글이 가장 광범위하게 데이터를 수집하고 애플이 가장 적다.
 

사용자가 주의해야 할 사항

이런 정보 수집이 위험한 것은 기업의 데이터 수집 담당자와 데이터 거래를 중계하는 브로커가 개별 사용자에 대해 가능한 한 자세하게 프로파일링한다는 사실이다. 이들 기업에서 데이터 유출 사고가 발생해 다크웹 어디선가 팔리게 되면 신원 도용 문제로 이어질 가능성이 큰 것도 이 때문이다.

이런 위험 때문에 사용자 정보를 추적해 수집하는 기업은 그들이 사용자 데이터를 수집해 무엇을 하려고 하는지에 대해 암호문 같은 법적 용어로 어렵게 설명한다. 사용자가 제어할 수 있는 프라이버시 권한을 불완전하게 제공하고 분산시키고 찾기 어렵게 하고 모호하게 하고 필요 이상으로 복잡하게 만드는 것도 같은 맥락이다. 여기에 이런 법률 용어와 프라이버시 설정을 아무런 사전 고지 없이 변경하는 것은 덤이다. 

만약 메타와 구글 같은 기업이, 데이터 프라이버시 수준을 가장 높게 유지해 수익을 더 낼 수 있다면 이미 예전에 그렇게 바꿨을 것이다. 하지만 현실은 어떤가? 강력한 사용자 데이터 프라이버시를 설정하기 어렵게 하는 것이 오히려 그들의 사업에 도움이 된다는 것이 확인됐다. 물론 페이스북은 마법사 같은 툴을 통해 사용자가 보안과 프라이버시 설정을 관리할 수 있도록 지원한다. 이들 툴은 충분히 칭찬할만큼 사용하기 쉽다. 그러나 이렇게 제어할 수 있는 사용자 데이터는 페이스북이 수집하는 전체 데이터와 비교하면 한 줌에 불과하다.

분명한 것은 온라인 사용자 데이터를 수집하는 기업이 사용자를 보호하기 위해 스스로 내놓는 '자체 규제'는 한계가 명확하다는 사실이다. EU가 2018년 GDPR 법률을 시행한 데 이어, 최근 DMA 반독점법을 시행한 것도 이 때문이다. 이제 미국도 이와 비슷한 연방법을 제정할 때가 됐다. 그래야 기업도 개별 주법의 규정이 아니라 더 광범위한 단일 기준을 더 쉽게 준수할 수 있다.

연방 차원의 프라이버시 법안 논의가 지지부진한 사이 미국내 13개 주가 포괄적인 데이터 프라이버시 법률을 통과시켰다. 캘리포니아, 버지니아, 콜로라도, 코네티컷, 유타, 아이오와, 인디애나, 테네시, 텍사스, 플로리다, 몬타나, 오레곤, 델라웨어 등이다. 다른 몇몇 주에서는 더 약한 규제를 시행중이거나 새 법안이 제안된 상태다.

이런 법안 논의에서는 처벌 규정이 중요하다. 처벌이 있는 규제를 시행해야 기업의 참여를 실질적으로 유도할 수 있다. EU로부터 벌금을 부과받은 일부 거대 IT 기업은 벌금 납부를 거부하거나 나중에야 납부했다. 이런 사례를 보면, 프라이버시 보호 문제에 있어 벌금은 정답이 아니고 최소한 최고의 답은 아닐 수 있다. 이들 IT 기업은 사용자 데이터로 막대한 돈을 벌고 있으므로, GDPR 위반에 따른 벌금이나 다른 규제가 해당 기업의 사업에 큰 타격을 주지 못하기 때문이다. 더 논의가 필요한 이유다. 이밖에 연방 차원의 규제가 마련된다면 AI 규제 역시 주제에 포함돼야 한다.
 

사용자 기기에서 프라이버시를 개선하는 9가지 방법

인터넷에서 사용자 데이터를 완벽하게 보호하는 것은 불가능하지만, 프라이버시를 크게 개선하는 방법은 있다. 단, 이를 위해서는 기존에 익숙하고 편안한 관행에서 다소 벗어나야 하고 새로운 활용 방식을 익혀야 한다. 구체적으로 다음과 같다.
 

1. 프라이버시 보호를 염두에 두고 개발된 파이어폭스 같은 브라우저를 사용하라. 그리고 기본 검색엔진으로 덕덕고(DuckDuckGo)를 설정하라.
2. 모든 계정에서 고유한 암호를 사용하고, 이중인증 혹은 패스코드를 설정하라. 이를 위한 가장 쉬운 방법은 원패스워드(1Password) 같은 암호 관리자를 사용하는 것이다. 암호 관리자를 이용하면 로그인 창을 자동으로 채워주므로 사용하기도 매우 편리하다.
3. 가능한 한 앱을 사용하지 말라. 대신 소셜 미디어 혹은 다른 웹 기반 서비스를 웹브라우저에서 사용하라.
4. 서프 샤크(Surf Shark), 익스프레스 VPN(ExpressVPN) 같은 VPN과 연결된 프라이버시 창에서 브라우저를 사용하라. 이를 통해 IP 주소 정보를 보호하고 브라우징 데이터를 암호화할 수 있다. VPN의 가장 중요한 장점은 프라이버시 강화다.
5. 각 플랫폼이 수집하는 사용자 데이터가 무엇인지 점검하고 보호해야 할 정보가 있는지 확인한다. 악마는 디테일에 있다는 것을 명심해야 한다. 이런 고된 작업을 미리 한 결과가 다음 2가지 사이트다. 단, 일부 정보는 변경될 수 있다.
   • 거대 IT 기업이 수집하는 데이터(Security.org)
   • 거대 IT 기업이 사용자 데이터를 수집하는 비열한 방법(Milnsbridge.com)
6. 자주 사용하는 데이터 수집 플랫폼이 제공하는 프라이버시 설정 툴을 사용하라. 결제 방법, 문서와 사진, 영상에 대한 접근 권한, 위치 정보 같은 민감한 데이터 관련 사항을 확인하라. 다음 사이트는 디지털 프라이버시를 강화하는 데 도움이 된다.
   • 비타협적 베스트 프랙티스 10가지(Wordstream.com)
   • IT 기업이 불법적으로라도 사용자 데이터를 확보하려는 이유(CyberGhost)
7. 기기의 위치 서비스를 세심하게 관리하라. 위치 서비스를 끄고 살 수 없다면 앱 별로 켜고 끌지는 각각 설정하라.
8. 휴대폰을 더 추적하기 어렵게 하는 방법은 여기를 참고하라.
9. 마지막으로 항상 추천되는 방식은 아니지만, 프라이버시를 크게 강화하는 방법이 있다. 취약점이 될 수 있는 플랫폼을 하나 혹은 그 이상 완전히 사용하지 않는 것이다. 즉 구글 혹은 메타 같은 디지털 플랫폼을 모든 기기에서 삭제하고 더는 쓰지 않는 것이다. 플랫폼에 따라 계정을 정지시키고 모든 데이터를 삭제하는 방법을 실행한 후 최종적으로 계정 자체를 지우면 된다.

editor@itworld.co.kr