[새로운 기회 빅데이터 1] 개인정보 보호 기반의 비즈니스 모델을 찾아라
[새로운 기회 빅데이터 2] 개인정보 생태계의 파괴 요인은 무엇인가?
들어가면서
2012년부터 빅데이터에 대한 관심이 집중되기 시작했고, 이미 방대한 양의 빅데이터가 클라우드 및 빅데이터 분석 기술을 통해 축적 및 가공되기 시작했다. 빅데이터가 가능해진 데는 기술적 요인이 우선적이다.
즉, 4G LTE 기반의 모바일 인터넷 시대에 카카오톡이나 페이스북, 트위터 등을 통해 오가는 다양한 메시지, 이미지, 영상 등이 폭발적 증가로 세상에 존재하는 모든 모바일 정보들이 갑자기 의미 있는 데이터로 인식되기 시작한다.
데이터로는 소셜 네트워크 서비스(Social Network Service ; 이후 SNS) 데이터 외에 GPS 기반의 지도, 날씨 정보처럼 기존에 지나쳤던 비정형(unstructured) 데이터가 활성화되기 시작하면서, 특히 인터넷 기업들 중심으로 이러한 데이터를 의미 있다고 인식하게 된다.
실제로 SNS가 활성화되기 시작하면서 활자뿐만 아니라 업데이트되는 데이터의 90%가 이미지나 동영상 등 다양한 형태를 보이기 시작한 빅데이터는 지금까지 없었던 것이 아니라, 알아차리지 못했을 뿐이다.
이제 많은 기업들이 빅데이터 분석을, 특히 마케팅 툴로 활용할 수 있을지에 대해 많은 기대를 하기 시작했고 개인정보가 마케팅에 활용되는 사례들이 속속 등장하게 된다. 대표적인 예로, 2012년 미국 할인매장업계의 2위인 타깃(Target)의 빅데이터 활용 마케팅 사례이다. 이 사례는 빅데이터 사례에서 프라이버시 침해와 관련해 늘 회자되어 왔다.
간단히 소개하면, 타깃은 지난 2012년 고객으로부터 거센 항의를 받았다. 타깃이 고등학생인 딸에게 유아용품 할인 쿠폰을 보냈기 때문이다. 당시 타깃의 매니저는 “예비 엄마에게 보내야 할 쿠폰을 잘못 보냈다”며 사과했다.
타깃이 고등학생에게 유아용품 할인 쿠폰을 보낸 것은 빅데이터를 활용했기 때문이다. 일반적으로 여성이 임신을 하게 되면 초기에는 영양제를 찾고, 점차 입덧을 하면서 향내 나는 로션에서 무향 로션으로 바꾸게 되며, 임신 말기에는 유아용품을 주로 구매한다는 데이터 분석 결과가 바탕이 됐다.
여고생이 영양제를 구입한 후 얼마 지나지 않아 로션을 구매하자 타깃 측은 출산 시점이 머지않았다는 판단 아래 유아용품 할인 쿠폰을 보낸 것이다. 부모인 고객의 항의 문의는 한 달 뒤 반전됐다. 실제로 이 여고생이 진짜로 임신 중이었던 것이다. 부모조차 몰랐던 딸의 임신 사실을 유통업체가 빅데이터를 기반으로 한 구매 행태 분석 기반의 예측 시스템을 통해 먼저 알았던 것이다.
이는 하나의 예이지만, 점차 빅데이터를 활용하려는 다양한 산업 분야에서 개인의 구매 행태 등이 분석되고 활용됨에 따라 기업들이 사용하는 퍼스널데이터(Personal data : 이후 개인정보)에 대한 상호간 신뢰(Trust) 여부가 빅데이터 기반 비즈니스 생태계 조성과 성장의 핵심 이슈로 대두되기 시작한다. 빅데이터 분석의 내용이 대개 사람들의 생활 패턴 등을 계량화하다 보니 필연적으로 개인의 프라이버시를 침해할 수 있다는 우려가 제기된다.
이미 빅데이터 시대와 무관하게 옥션(Auction)이나 네이트(Nate), 소니(Sony) 등 다양한 기업에서 개인정보 유출 사고가 지난 몇 년간 발생했고, 이로 인해 개인정보 보호에 대한 사회적 관심이 높아지고 있는 상황에서 빅데이터의 등장은 이러한 이면의 우려를 동반하지 않을 수 없게 된다.
한국인터넷진흥원(KISA) 산하의 개인정보분쟁조정위원회가 발표한 '2012년도 개인정보분쟁조정사례집'(2013.5.8)을 보면, 2012년도 접수된 우리나라 분쟁 사건은 총 143건으로 전년도의 126건보다 13.5%나 늘었다는데, 조정 신청이 가장 많은 유형으로 ‘목적 외 이용 및 제3자 제공’이 전체의 53%(76건)를 차지했다. 이는 개인의 전화번호나 이메일 등을 주인 동의 없이 홍보 목적으로 이용하거나 보험사와 같은 제휴업체에 제공한 것이다.
빅데이터가 가져올 핑크빛 미래에 대해 다양한 의견과 논의가 있지만, 중요한 개인의 프라이버시 보호 내지 개인정보 보호에 대해서는 충분한 논의가 이뤄지지 않아 늘 문제점으로 지적되고 있다.
특히 모바일 환경에서 웨어러블 환경, 그리고 사물인터넷(Internet of Thing ; 이후 IoT) 환경에서 빅데이터 기반의 비즈니스 환경이 급속도로 전개되면서 인간과 인간, 사물과 인간 상호 간의 연결성을 가능하게 하면서 동시에 개인정보 관리가 일정 수준의 신뢰도와 정확도를 갖도록 하는 것이 더욱 요구되는 시점이다.
빅데이터 시대가 열리면서 개인정보의 활용 가치 또한 함께 높아지고 있으며, 이러한 데이터 수집 욕구도 아울러 증대되고 있다. 기업이 가공한 소비자의 고객 정보에 대한 소유권을 누가 갖는 것인지, 기업에 남아 있는 프라이버시 관련 개인정보에 대해 삭제할 권리가 소비자에게 있는 것인지 등 다양한 이슈들이 불거져 나온다. 프라이버시 개념을 '누구인지 식별되지 않을 권리'로 바꾸어야 한다는 주장도 나오기 시작했고, 개인정보나 영업 기밀을 다루는 문제도 함께 해결해 나가야 할 이슈로 급부상 중이다.
개인정보 이슈가 장기화되면서 페이스북 위기론이 제기되기도 하는데 그 원인은 바로 이렇게 쌓인 개인정보에 대한 보호가 미흡하기 때문이다. CNET지에 따르면(2012.7.17), 페이스북은 ‘2012 미국 소비자조사지수(ASCI)’의 소비자 만족도에서 최하위를 기록했다.
국내에서도 최근 몇 년 간 국내 발생 개인정보 유출 건수가 1억 건에 달했고, 이로 인한 피해가 속출하자 2012년 8월 18일부터 인터넷상에서 주민등록번호 수집, 이용이 제한되는 법률※1을 방송통신위원회가 내놓았다.
현대호(2012. 27)에 의하면, 개인정보는 정보 주체 정보를 대상으로 하므로 국내법인 <개인정보보호법>과 <정보통신망 이용 촉진 및 정보보호 등에 관한 법률>에서도 공공, 민간 부문에서 처리되는 모든 개인정보들을 그 보호 대상으로 한다. 대표적인 개인정보로는 정부, 교육, 의료, 금융, 비즈니스 정보 등이다. 특히 처방 정보 등의 의료 정보는 제약회사 같은 관련 기업들의 마케팅 활동에 실제로 사용되고 있는 게 현실이다(박완규, 2012: 18).
따라서, 본고는 먼저 개인정보가 빅데이터 기반의 비즈니스에 활용되기 시작한 배경을 설명하고자 하며, 점차 개인정보 생태계의 파괴 과정이 어떻게 진행되고 있는지에 대해, 즉 불신(Mistrust) 과정이 어떻게 조장되기 시작했는지 그 요인을 살피고, 이의 파급력을 언급한 후, 다양한 비즈니스적 대응 행위의 가능성들을 현황 조사와 함께 살펴보면서 미래 비즈니스 기회를 탐색하고자 한다.
개인정보가 빅데이터 기반 비즈니스에 활용되게 된 배경
개인정보가 빅데이터 기반 비즈니스에 활용되게 된 배경을 살펴보기 전에, 개인정보에 대한 이해가 필요하다고 여겨진다. 국가별로 다소 차이가 있을 것으로 보이나, 우리나라 중심으로 법령에 나타나 개인정보 개념부터 살펴보자.
정부기관에서 제공하는 포털 사이트인 ‘찾기 쉬운 생활법령정보(http://oneclick.law.go.kr/CSP/CSP/CnpClsMain.laf?popMenu=ov&csmSeq=615&ccfNo=1&cciNo=1&cnpClsNo=1)에 의하면, 개인정보의 개념이 쉽게 설명되어 있어서 소개한다.
현행 「개인정보보호법」에 따른 ‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함)를 말한다(「개인정보보호법」 제2조제1호).
또한, 현행 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 ‘개인정보’란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의해 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함함)를 말한다
(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제6호).
우리나라의 현행법상 개인정보의 개념은 위 규정 외에도 「전자서명법」 제2조제13호, 「인터넷주소자원에 관한 법률」 제2조제5호 및「장애인차별금지 및 권리구제 등에 관한 법률」 제3조제8호다목 등이 있으나 그 의미는 같다.
또한, 이 사이트에서 쉽게 설명하는 부분은 개인정보와 다른 개념이 혼용되어 사용되는 것에 대해 설명하고 있다. 우선은 개인정보와 비밀을 구분하고 있다.
즉, 개인정보는 공개 여부를 불문하고 태생적으로 누군가에 의해서 이용 또는 활용될 것을 전제로 하지만, 비밀은 밝혀지지 않았거나 알려지지 않은 내용으로 남에게 드러내거나 알리지 말아야 할 것으로서 해당 비밀의 주체가 공개하지 않으면 영원히 비밀로 존재하는 것으로 원칙적으로 수집·이용의 대상이 되지 않는다.
하지만, 이러한 비밀이라 할지라도 경우에 따라서는 제한적 범위에서 활용의 필요성이 인정되는 경우가 있는데, 통신 비밀이 범죄 수사를 위해 수집·이용되거나, 성병이나 에이즈 같은 질병 정보가 다른 사람에 대한 감염 확산을 방지하기 위해 수집·이용되는 경우가 그 예가 된다. 그러나 이러한 경우에도 비밀은 그 수집·이용의 목적 범위 내에서 내부적으로만 이용될 뿐 공공연하게 이용되거나 유통되지는 않는다. 두 번째로는 개인정보와 프라이버시의 구분이다. 여전히 개인정보와 프라이버시는 동일 개념으로 오인되어 사용되고 있다. 사실상, 프라이버시는 오랜 역사와 광범위한 용어 사용에도 불구하고 아직까지 명확한 법적 정의가 정립되어 있지 않다.
하지만, 사전적 정의로만 보면 프라이버시란 개인의 사생활이나 집안의 사적인 일 또는 그것을 남에게 간섭받지 않을 권리를 말한다. 이러한 프라이버시와 개인정보는 두 가지 관점에서 근본적으로 구별됨을 알 수 있다.
먼저, 프라이버시는 자기 자신에 전속한 권리로서 누구의 간섭도 받지 않고 독립적으로 그 권리를 행사할 수 있으나, 개인정보는 그 개인정보를 실질적으로 수립·관리하고 있는 사람이나 기관·단체의 권리도 인정해야 한다.
또한, 프라이버시는 인격권 그 자체이지만 개인정보는 인격권의 침해가 없더라도 보호해야 할 경우가 있다. 예컨대 정보 주체의 은행 계좌번호나 신용카드 번호가 유출된 경우 그러한 정보가 인격권에 영향을 미치지 않는다고 하여 개인정보 보호의 대상이 아니라고는 볼 수 없다(법제처, 2009. 9. 3. 44-48면)
이 사이트에서는 이렇게 정의된 개인정보를 유형화하고 있다. 즉, 개인정보에는 개인의 성명·주민등록번호 등 인적사항뿐만 아니라 사회·경제적 지위 및 상태, 신체, 교육, 보건·의료, 문화 활동 및 정치적 성향과 같은 내면의 비밀도 포함될 수 있으며, 표 1과 같이 분류될 수 있다.
이러한 개인정보 유형화와 유사하지만, 개인정보 범위를 공개 의사를 기준으로 네 개로 나눈 송민정/김창수(2014)에 의하면, 개인정보는 이름, 성, 나이, 주소 등 기본 정보에서부터 시작하여 개인의 사적 관심사까지 다양한 범위로 확대된다. 표 2에서 보듯이, 그 범위는 약 87% 공개 의사를 보인 업무상(거래를 위한) 데이터, 약 77% 공개 의사를 보인 신체 데이터, 약 60% 공개 의사를 보안 데이터, 그리고 공개 의사가 거의 없다고 판단되는 개인 상세 데이터로 나눌 수 있다.
표 2. 개인 정보의 범위
이러한 개인정보를 보호한다는 것은 근본적으로 정보 주체의 개인정보 자기결정권을 철저히 보장하는 것을 의미한다. ‘개인정보 자기결정권’이란 자신에 관한 정보가 언제, 어떻게 그리고 어느 범위까지 타인에게 전달되고 이용될 수 있는지를 그 정보 주체가 스스로 결정할 수 있는 권리를 말한다(행정안전부·한국인터넷진흥원, 2009, 15면).
우리나라 현행법상 개인정보 보호 관련 법령에서는 개인정보의 유출·오용·남용 등의 방지와 적절한 수집·활용을 보장하기 위해 개인정보를 수집·이용·제공 등을 하는 자에게 일정한 개인정보 수집·이용·제공상의 제한 및 그에 따른 의무를 준수하도록 해 개인정보를 보호하면서 동시에 적절하게 개인정보를 수집·활용할 수 있도록 하고 있다.
그 내용을 보면 필요최소한의 수집, 민감 정보 수집 제한, 개인정보 이용·제공 제한, 수집된 개인정보의 안전성 확보 의무, 개인정보 수집·이용·제공·이전 시 정보 주체의 동의 획득, 개인정보 수집 목적 달성 시 파기 의무 등으로 다소 모호한 감이 없지 않다.
또한, 개인정보 수집의 대상자인 개인에게는 개인정보의 수집에 동의하지 않거나 수집된 개인정보를 열람·정정·삭제 등을 청구할 수 있도록 함으로써 개인정보를 보호받을 수 있도록 하고 있다. 이 또한 애매모호한 이유는 사실상 인터넷 서비스를 이용할 때 개인정보 수집을 동의하지 않으면 해당 서비스를 이용할 수 없는 경우가 대부분이기 때문이다.
우리나라에서 개인정보가 침해된 경우에는 개인정보침해신고센터에 신고하거나 개인정보 분쟁조정위원회에 분쟁 조정을 신청할 수 있으며, 개인정보를 침해당한 개인이 손해배상청구를 할 수 있고, 개인정보를 침해한 자는 행정상의 제재를 받도록 돼 있다.
그런데, 점차 개인의 아이덴티티인 개인정보는 요즘 디지털 페르조나(Digital persona)로 무한 확대된다. 즉, 실제 사람은 오프라인에서 소비자나 시민, 종업원의 모습일 뿐인데, 디지털상에서는 광고의 프로파일, 정부 파일 등 수십 개의 프로파일화되어 디지털 모습으로 나타나고 있는 게 현실이다.
그림 1. 개인 정보의 상업적 활용 메커니즘
이렇게 디지털 페르조나가 된 개인정보가 비즈니스에 활용되게 된 배경은 그림 1의 도식에서 간단히 묘사되고 있다. 즉, 개인정보가 상업적으로 활용되는 메커니즘을 보면, 인터넷 웹사이트, 브라우저나 앱, 커넥티드 디바이스에서 수집된 개인정보는 각 기업의 프라이버시 정책에 의해 법적으로 통제받는 트래킹 기술을 기반으로 하여 활용된다.
기업은 데이터를 허락하는 대신 이용자는 관련 디지털 미디어 및 서비스를 제공받는 기브앤테이크(Give and take)가 성립한다. 또한, 허락된 데이터가 수집, 분석되게 되면 그 결과는 다시 타겟 마케팅이나 앱 개발자의 빅데이터 기반 서비스 개발을 위해 이용된다. 이러한 과정을 통해 기업을 광고주와 거래를 하게 되어 매출을 창출하게 된다.
<"[새로운 기획 빅데이터 2] 개인정보 생태계의 파괴 요인은 무엇인가?"에서 계속>
송민정 교수 _ 한세대학교 미디어영상학부 신문방송학과
