당신의 비밀, 페이스북은 알고 국정원은 모른다
당신의 비밀, 페이스북은 알고 국정원은 모른다
[독서통] <당신은 데이터의 주인이 아니다>
2016.06.01 08:25:31
우리는 초연결 사회에 살고 있습니다.

우리는 인터넷을 통해서 스마트폰으로 또 페이스북, 카카오톡 등의 플랫폼으로 모두가 모두와 연결되어 있습니다. 이런 초연결 사회에서 우리의 개인 정보 역시 곳곳으로 새 나가고 있습니다. 구글, 페이스북, 카카오 또 유통 업체, 금융 업체 등은 우리의 모든 정보를 데이터로 수집합니다. 이 정보를 기반으로 기업이 빅 데이터 마케팅을 한다는 건 이제 상식이 되었죠.

찜찜하지 않으세요? 돈벌이를 최고의 목적으로 삼는 사기업이 어쩌면 은밀한 정보까지 '나'를 속속들이 알고 있다는 사실이요. 만약 이 회사의 데이터 센터가 나쁜 목적을 가진 집단에게 뚫리면 어떻게 될까요? 갑자기 국가 기관이 이 회사가 보유한 나의 개인 정보를 마음대로 열람한다면 어떻게 될까요?

<프레시안>과 <시사통>이 함께 만드는 '독서통'은 31일 보안 전문가가 쓴 섬뜩한 책 <당신은 데이터의 주인이 아니다>(브루스 슈나이어 지음, 이현주 옮김, 반비 펴냄)를 다뤘습니다. 빅 데이터 전문가인 이효석 박사(<뉴스페퍼민트> 대표)와 함께 정보화 시대, 우리의 정보를 누가 통제하는지에 관해 이야기했습니다.



▲ 이효석 박사(<뉴스페퍼민트> 대표). ⓒ프레시안(이대희)


내 정보, 누군가 지켜본다

김종배 : 오늘 소개할 책을 소개해 주세요.

강양구 : 지난 독서통에서 <리틀 브라더>(코리 닥터로우 지음, 최세진 옮김, 아작 펴냄)와 <댓글부대>(장강명 지음, 은행나무 펴냄)를 소개한 적이 있지요? 오늘 소개한 책도 이 책들의 연장선상에 있습니다. 브루스 슈나이어의 <당신은 데이터의 주인이 아니다>를 오늘 함께 읽어보겠습니다.


김종배 : 저자 소개도 잠깐 해주시죠?

강양구 : 글쓴이 브루스 슈나이어가 경력이 독특합니다. 보안 업계에서는 세계 최고의 보안 전문가로 꼽힙니다. <이코노미스트>가 "보안 구루"로 칭하기도 했습니다. 2013년에 에드워드 스노든이 미국 국가안보국(NSA) 기밀문서를 폭로했잖아요? 그 때 스노든이 폭로한 문서를 분석해서 <가디언>의 특종 보도에 도움을 준 전문가도 바로 슈나이어입니다.

김종배 : 오늘 이 자리에는 저자를 대신해 특별한 전문가도 한 분 모셨죠?

강양구 : 굉장히 다재다능한 분입니다. 2012년에 창간한 매체 <뉴스페퍼민트>가 있어요. 좋은 외신 기사를 골라 발췌 번역해 매일 소개하는 매체입니다. 이 매체를 직접 만들고, 현재도 대표로 재직 중인 이효석 박사를 이 자리에 모셨습니다. 이 박사는 <뉴스페퍼민트> 운영과 병행해서 스타트업에서 빅 데이터 전문가로도 활동하고 있습니다.

한국과학기술원(KAIST)에서 물리학 박사 학위를 받고 나서, 이동 통신 기술인 LTE(Long Term Evolution) 표준화에 참여하기도 했습니다.

김종배 : 어서 오십시오.

이효석 : 안녕하세요. 반갑습니다.

강양구 : 미국에 계신다고 들었는데요?

이효석 : 작년(2015년) 8월에 한국에 들어왔습니다. 미국 하버드 대학교에서 8년간 연구원으로 일했습니다. 사물 인터넷(IoT) 등 데이터 과학을 본격적으로 연구했어요. 지금은 의료 관련 스타트업에서 빅 데이터를 연구하고 있습니다. 이렇게 재미있는 자리에 불러주셔서 고맙습니다.

김종배 : 요즘 들어서 개인 정보 이슈가 자주 논란이 됩니다. 툭하면 금융 기관이나 신용 카드 회사에서 고객 정보가 유출되는 사고가 있습니다. 또 국가정보원이나 경찰 같은 국가 권력이 시민의 사생활을 감시하는 일도 여러 차례 이슈가 되었고요. 그런데 여기서 이해할 수 없는 부분이 있어요.

똑같은 개인 정보 이슈인데, 어떤 뉴스는 사회적으로 큰 파장을 일으킵니다. 많은 시민이 분노하죠. 예를 들어, 국가 권력의 사생활 감시가 그렇죠. 반면에 어떤 뉴스는 그 심각성에 비해서 파장이 적을 뿐만 아니라, 시민 역시 둔감한 것 같습니다. 수시로 일어나는 개인 정보 유출 사건이 그렇습니다. 이 차이는 도대체 어디서 비롯된 걸까요?

이효석 : 개인 정보 유출 사건이 실제로 자기 삶에 어떤 영향을 미칠지 모를 경우에 사람들은 무덤덤하기 마련입니다. 특히 처지에 따라서 개인 정보의 가치를 다르게 평가하는 것 같습니다. 기업은 수백만 명의 정보를 가지고 있으니 그것이 지닌 엄청난 상업적 가치를 알죠. 하지만 개인 한 사람 한 사람은 자신의 정보가 얼마나 큰 가치를 지녔는지 알기가 쉽지 않아요.

더구나 개인 입장에서는 '내 정보를 기업에 내줌으로써 약간의 손해를 보지만, 그보다 훨씬 큰 이득을 얻는다'고 생각할 수도 있습니다. 구글 이용자는 따로 비용을 지불하지 않고 이메일을 사용하고, 어디서나 접근 가능한 저장 공간(구글 드라이브)을 사용할 수 있습니다. 페이스북 이용자도 비용 지불 없이 친구의 소식을 쉽게 접할 수 있죠.

반면 개인 정보 이슈가 정치적인 문제로 떠오르는 경우가 있습니다. 앞에서 지적했듯이, 이 경우에는 파장이 큽니다. 그 이유를 딱 한 가지로 잘라서 설명하기는 쉽지 않죠. 일단 생각해 볼 수 있는 것은 정치적 이해관계에 따라서 정부-여당을 비판하는 수단으로 개인 정보 이슈에 접근하는 사람이 있겠죠.

김종배 : 카카오의 검찰-경찰 감시 논란이 한창이었을 때 '사이버 망명'이 큰 호응을 얻은 건 어떻게 봐야 하나요? 정치적 이해관계에 따른 것이라고 하기엔 100만 명은 많은 숫자죠.

이효석 : 저도 텔레그램 망명자 가운데 하나입니다. (웃음) 숨길 게 없이 떳떳하면 왜 개인 정보에 그렇게 신경을 쓰느냐고 묻는 분들이 있습니다. 이에 대해서는 예전 독서통에서 개인 정보 이슈를 다룰 때 정확하게 답한 것 같아요. 화장실에서 볼 일 보는 걸 남에게 공개하고 싶은 사람은 아무도 없죠. 하지만 그게 숨겨야 할 부끄러운 일도 아닙니다.

사이버 망명에 동참한 시민도 마찬가지 심정 아닐까요? 특별히 숨길 게 있어서가 아닙니다. 나와 친구가 나눈 사적인 대화가 감시당할 수 있다는 사실을 참을 수 없다고 느낀 거죠.

김종배 : 비단 카카오톡뿐만 아니라, 우리가 일상적으로 스마트폰이나 컴퓨터로 인터넷을 쓰면서 행한 온갖 활동이 다 기록으로 남아서 어딘가에 저장되고 있다면서요?

강양구 : 아마 <당신은 데이터의 주인이 아니다>를 읽는다면, 많은 독자가 깜짝 놀라리라고 생각합니다. 우리가 일상적으로 사용하는 구글, 페이스북, 인스타그램 등을 통해서 내 개인 정보가 얼마나 많이 기업으로 넘어가고 있는지 실감하실 수 있을 거예요. 명백한 증거가 오스트리아 한 페이스북 이용자의 사례입니다.

2011년 이 이용자는 페이스북을 상대로 그들이 가진 자신에 관한 모든 데이터를 돌려달라고 요구했어요. 사실 이용자의 당연한 권리죠. 그런데 페이스북이 이를 거부했습니다. 결국, 2년에 걸친 법정 공방 끝에 페이스북은 1200쪽의 PDF 파일이 든 CD를 이 이용자에게 보냈습니다.

그의 친구 목록, 뉴스피드에 올라온 기사, 그가 클릭한 적 있는 모든 사진과 페이지, 심지어 그가 본 모든 광고 데이터까지 저장되어 있었습니다. 페이스북이 이 방대한 자료를 그냥 갖고 있었을 리 없죠. 분명히 돈벌이 수단으로 어딘가에 활용했겠죠. 예를 들어, 가장 손쉬운 활용 방법은 친구 추천입니다.

우리는 페이스북의 친구 추천 기능에 환호하죠. 그런데 사실 페이스북이 나의 개인 정보를 (동의도 없이) 자신의 가입자 수를 늘리는 데 활용하는 겁니다. 또 페이스북을 이용하다 보면, 자신에게 맞춤한 광고가 뜨는 경우가 있습니다. 여행을 준비 중인데 숙박 예약 사이트의 광고가 뜨죠. 역시 페이스북이 나의 개인 정보를 활용해서 내놓은 표적 광고입니다.

이효석 : 책에서 저자는 과거에는 모든 이메일을 각각 분류하고 저장했는데, 2006년을 기점으로 일단 모두 저장하고 필요할 때마다 검색하는 방식으로 바꾸었다고 고백합니다. 사실 저도 비슷한 시기에 그런 변화를 겪었어요. 왜냐하면 매일매일 처리해야 하는 이메일의 양이 너무 많아져서 어쩔 수 없었기 때문이죠.

페이스북, 구글, 아마존 같은 기업도 마찬가지입니다. 수집한 개인 정보를 무조건 다 저장한 다음, 나중에 필요할 때 꺼내 쓰는 게 비용이 적게 드는 시대가 된 거죠. 그러니 이런 기업은 가능한 한 모든 정보를 무조건 저장합니다. 기업은 기본적으로 '고객의 개인 정보는 내 것'이라고 생각합니다.

이런 상황에서 인터넷 공간에서 개인의 '잊혀질 권리'를 행사하기가 현실적으로 어려울 수밖에 없어요. 유럽은 개인 편이지만, 미국은 기업 편을 드는 추세입니다.

모든 걸 다 아는 전능

김종배 : 책을 읽어 보면 '데이터' 개념과 '메타 데이터' 개념을 분리합니다. 일단 두 개념을 설명해주시죠.

이효석 : 전화 통화로 설명하죠. A와 B가 언제 얼마나 오랫동안 통화했는지를 기록한 정보가 메타 데이터입니다. 그리고 실제로 그 통화 내용을 누군가가 도청했다면, 그것은 데이터죠. 

강양구 : 이 책을 읽고서 부끄러웠어요. 에드워드 스노든이 NSA의 기밀문서를 폭로했을 때, NSA는 이렇게 반론을 폈어요. 우리는 미국 시민의 모든 데이터를 수집한 게 아니라 메타 데이터만 수집했을 뿐이라고요. 그러니까, 테러리스트와 통화한 적이 없는 대다수 보통 사람은 메타 데이터를 수집한 사실에 걱정할 필요가 없다는 거였죠.

반론을 들으면서 저도 솔깃했습니다. 그런데 이 책을 읽고 나서야 메타 데이터가 치명적인 개인 정보라는 사실을 깨달았어요. 

이효석 : 맞습니다. 한 사람의 메타 데이터만으로도 그 사람의 행적, 친소 관계, 특정 인물과의 연결고리를 추적할 수 있습니다.

강양구 : 스탠포드 대학교 연구 팀이 수개월간 자원자 500명의 전화 메타 데이터를 확보해서, 그 메타 데이터로부터 자원자의 개인별 특징을 추론했어요. 그 결과는 정말로 섬뜩했습니다.

참가자 C는 대형 병원의 심장병 전문의와 오랫동안 이야기를 나눴고, 약국에서 걸려온 전화를 받았습니다. 또 심부정맥 모니터링 장비 회사의 고객 센터와 간단히 통화했습니다. 아시겠죠? C는 심장마비가 온 적이 있습니다. 참가자 D는 3주 동안 집수리 용품 매장과 자물쇠 수리인, 수경 재배 식물 판매업자, 마약 복용 물품을 판매하는 가게에 전화를 걸었죠.

D는 뭘 하는 사람이었을까요? 집에서 마리화나를 재배하는 사람이었습니다. 참가자 E는 어느 날 이른 아침에 언니와 오랫동안 통화했어요. 이틀 뒤에 그녀는 동네의 가족계획을 위한 사무소에 연달아 전화를 걸었고, 2주 뒤에 다시 짧게 통화했습니다. 짐작이 가시죠. 맞아요. E는 낙태했어요.

그러니까 구체적인 통화 내용(데이터)을 모르더라도, 메타 데이터만으로도 한 사람의 신상을 충분히 재구성할 수 있는 거죠.

김종배 : 특히 의료 데이터가 유출된다면 개인에게 정말 치명적일 겁니다. 당장 지난해(2015년) 국민건강보험공단이 무려 110만 건의 개인 정보를 검찰과 경찰에 넘겼다는 뉴스가 떠오릅니다. 이런 식으로 개인의 동의 없이 마구 의료 정보가 넘어가도 되는 겁니까?

이효석 : 의료 데이터는 특별합니다. 보통 의약업체가 신약 하나를 개발하는 데 보통 수조 원의 돈을 들여서 여러 차례에 걸쳐 임상시험을 한 후 시중에 내놓죠. 만약 의료 데이터를 활용할 수 있다면 이런 비용을 크게 절약할 수 있습니다. 그러니까 의료 데이터는 공적 활용을 위해서 필요한 대목이 있습니다. 

미국에는 '히파(HIPPA, Health Insurance Portability and Accountability Act)'라는 개인병원기록보호법이 있습니다. 개인 식별이 가능한 정보와 그렇지 않은 의료 정보를 철저히 구별해서, 후자만 공공을 위해 활용하도록 강제하는 법입니다. 이런 법이 있을 정도로 개인의 사회생활에 큰 지장을 줄 수 있는 의료 개인 정보는 조심해서 다뤄야 합니다.

김종배 : 물론 빅 데이터를 여러 가지로 활용한다면 순기능을 얻을 수 있다고 봅니다. 하지만 선을 넘는 게 문제인데요. 기업이나 국가는 항상 선을 넘으려 하죠.

이효석 : 이 책이 아주 중요하게 다루는 주제입니다. 특히 저자는 '대량 감시'를 일관되게 반대하죠. 특정 인물이 위협 요소가 있다면 법 집행 기관에 영장을 발부받은 후 그 사람을 감시해야 합니다. 무차별적으로 모든 사람을 감시해 개인 정보를 수집하고, 그 빅 데이터를 토대로 감시하는 건 효과도 없고 여러 가지 부작용만 낳죠.

김종배 : 책을 읽고 나서 가장 심각한 문제라고 여겼던 부분이 바로 NSA 같은 정부 기관이 민간 업체가 보유한 이용자 개인 정보를 언제라도 들여다볼 수 있다는 사실이었어요. 저자는 "징발됐다"라고 표현하더군요. 아주 적절한 표현이라고 봅니다. 국가와 기업의 감시가 결합할 때, 끔찍한 재앙이 일어날 수 있죠.

강양구 : 한국도 마찬가지입니다. 앞서 우리가 정치와 관련한 개인 정보 유출에는 민감하고, 기업 관련 개인 정보 유출에는 둔감하다는 얘기를 했어요. 그런데 사실은 우리가 둔감한 부분, 그러니까 기업에 민감한 데이터가 많이 모여 있습니다. 그리고 국가 권력이 그걸 활용하려고 마음만 먹는다면 정부와 기업 간의 긴밀한 협력으로 언제든지 가능하죠.

결국, 우리의 정보가 평소에는 기업의 돈벌이 수단으로 활용되고 결정적인 순간에는 국가 권력의 대국민 감시에 징발될 가능성이 있어요. 무섭지 않습니까?

▲ 에드워드 스노든 전 미 중앙정보국(CIA) 직원은 NSA의 무차별 개인 정보 수집 활동을 폭로했다. ⓒNBC


언제나 활짝 열린 우리 집 뒷마당?

김종배 : 이 대목에서 우리가 놓쳐서는 안 되는 개념이 '백 도어(back door)'입니다. 이 개념이 무엇인지부터 설명해주세요.

이효석 : 시스템 보안을 무력화해서 시스템 내부로 들어갈 수 있는 방법을 통칭합니다. 사실 보안이 완벽한 시스템을 만드는 것은 불가능합니다. 어떤 시스템이든 허점이 있을 수밖에 없어요. 그래서 백 도어를 발견할 때마다 기업은 이를 고치려고 노력하죠. 그런데 이런 경우가 있습니다.

예를 들어, NSA가 특정 기업 시스템의 백 도어를 발견했어요. 정상적인 상황이라면 그 기업에 즉시 알려서 백 도어를 막으라고 조언하는 게 정부의 역할이죠. 그런데 NSA는 그렇게 조언하기는커녕 그 백 도어의 존재 자체를 비밀로 붙입니다. 왜냐하면, 자기들이 필요할 때 그 백 도어를 이용하기 위해서죠.

NSA만 백 도어의 존재를 알고 있으란 법은 없죠. 테러리스트 같은 나쁜 의도를 가진 집단도 백 도어의 존재를 알아챌 수 있습니다. 그들이 백 도어를 활용할 수 있죠.

김종배 : 백 도어가 열려 있다면, 수사 기관은 영장을 받은 후 특정 개인을 조사해야한다는 법적 상식이 무력화될 수 있잖아요? 필요하다면 언제든 뒷문으로 들어가 개인 정보를 볼 수 있으니까요. 책에 소개된 이메일 회사 라바비트(Lavavit)가 폐업을 결정한 사례를 보면서 정말 국가와 기업이 결합한 개인 정보 침해의 심각성을 느꼈습니다.

강양구 : 라바비트는 웬만한 대기업 이메일 서비스보다 보안성이 더 뛰어난 이메일 서비스 제공 업체였습니다. 에드워드 스노든이 바로 이용자 중 한 명이었죠. 스노든이 2013년 홍콩으로 도망친 후, 정부가 모든 라바비트 이용자 정보를 보호하는 암호화 마스터키를 넘기고, 이들이 정부에 감시당할 수 있음을 알리지 마라는 요청을 라바비트 측에 했죠.

백 도어를 요구한 겁니다. 라바비트는 정부와 맞서 법정 소송까지 갔습니다만, 소송에서 지고 나서 결국 문을 닫는 결정을 내렸습니다.

김종배 : 고객 정보 보호를 위해 이런 결정을 내릴 수 있는 사업가가 몇 명이나 되겠습니까?

이효석 : 일전에 애플이 총격 사건 용의자의 아이폰 보안을 해제해 달라는 미국 정부의 요구를 거절한 일이 있습니다. 그러니까 미국 정부가 애플한테 아이폰의 백 도어를 알려 달라, 혹은 백 도어를 만들어라, 이렇게 요구한 거죠. 뒤이어 애플은 미국 정부가 (프라이버시를 침해하려는) 전례 없는 요구를 기업에 한다는 장문의 메시지를 고객에게 보내 화제가 되었죠.

보통 정부와 기업이 싸울 때 사람들은 정부 편을 들기 마련입니다. 그런데 이 사건에서 대부분의 시민은 애플 편을 들었습니다. 다수의 시민도 백 도어의 문제점을 알아챈 겁니다.

강양구 : 애플의 의도가 이용자의 개인 정보를 보호하겠다는 순수한 건 아니었겠죠. 소비자로 하여금 '애플은 안전하다'고 인식하게끔 정부와의 충돌을 마케팅 수단으로 활용한 거죠.

김종배 : 여태까지 우리가 많은 이야기를 했는데요. 기업의 개인 정보 수집이 낳는 문제점을 어느 정도 실감하셨을 거예요.

강양구 : 요즘 여러분이 자신의 일상을 기록한 사진을 인스타그램 같은 곳에 올립니다. 그런데 인스타그램 사진이 끔찍한 결과를 낳을 수도 있어요. 그런 사진이 특정 시점에 특정 공간에 있었다는 식별 정보로 활용될 수 있거든요. 예를 들어, 반정부 시위 때 찍은 사진이 인스타그램에 올라간다고 생각해 보세요.

이효석 : 그러고 보니, 제가 미국에 있을 때 티베트 독립을 지지하는 집회에 참여한 적 있습니다. 혹시 당시 제가 찍힌 사진이 있다면, 중국을 방문할 때 문제가 될 수 있겠죠. (웃음)

▲ 소셜 미디어는 네트워크를 타고 만인을 감시한다. 우리의 소중한 개인 정보 데이터는 바로 나를 감시하는 도구다. ⓒpixabay.com


내 프라이버시는 어디까지 희생해야 하나

김종배 : 오늘 우리는 당장의 편리를 위해서 개인 정보 침해를 용납할 때, 어떤 치명적인 결과를 낳을 수 있는지를 살펴보았습니다. 그런데 제 생각은 여기서 멈춘 상태예요. 대안에 관해 할 말이 없습니다. 우리가 스마트폰을 안 쓰고, 이메일을 안 쓰긴 어려우니까요.

강양구 : 가장 답답한 부분입니다. 개인 정보 보호에 관한 이야기가 많이 나옵니다만, 변화를 체감할 수 없어요. 그 이유는 많은 사람이 막연한 불안함에 대처하고자 구체적으로 무엇을 할지 알지 못한다는 데 있습니다. 그 와중에 기업은 기업대로, 국가 권력은 권력대로 개인 정보를 수집하고 감시할 능력을 키우고 있고요.

김종배 : 앞서 거론된 라바비트는 아주 양심적인 업체입니다. 분명 극히 예외적 사례라고 생각됩니다. 실제로 기업이 고객의 개인 정보를 보호하기 위해 얼마나 고민하고 있습니까?

이효석 : 기업 입장에서는 법이 아주 중요합니다. 저자는 "모든 기업이 이익을 극대화하기 위해 노력하지만, 시민이나 정부가 방향을 잘 정하면 그 범위 안에서 노력한다"고 언급하죠. 기업이 얼마나 고객의 정보를 보호해야하는지에 관한 법적 가이드라인이 마련된다면, 기업은 결국 그 테두리 안에서 움직이는 경향이 있다는 겁니다.

강양구 : 그런 점에서, 저자가 제안한 '정보 보호 수탁자' 개념도 대안이 될 수 있지 않을까요?

이효석 : 맞습니다. 의사, 변호사, 회계사는 고객의 이익을 반드시 우선시해야 하는 의무를 가지고 있습니다. 정보 보호 수탁자는 고객의 정보를 오직 고객의 이익을 위해서만 사용한다는 개념이죠. 구글이나 페이스북은 고객의 개인 정보를 많이 갖고 있지만, 고객의 이익이 아니라 자신의 이익을 위해서 사용합니다.

하지만 신생 IT 업체가 고객 정보를 오직 고객의 이익을 위해서만 활용하겠다고 약속한다면, 즉 정보 보호 수탁자로서의 의무를 최우선에 놓고서 기업을 경영하겠다고 한다면, 많은 고객이 그런 업체의 서비스를 신뢰하고 선택하지 않을까요? 또 정부도 정보 보호 수탁자로서의 의무를 선언한 기업에 세제 혜택, 법적 혜택을 주는 인센티브를 고려할 수도 있겠죠.

김종배 : 정보 보호 수탁자 개념처럼 기업이 고객의 개인 정보를 중요하게 취급할 수 있도록 하려면 법이 제정되어야 합니다. 결국 모든 문제는 정치로 수렴되는군요. 국회가 어떤 법을 만드느냐에 따라서 기업의 운신의 폭이 조정이 될 테니까요. 그런 점에서 테러 방지법의 경우는 정부-기업이 결합한 감시의 가능성만 더 키웠죠.

내 정보를 지키는 방법은?

강양구 : 개인이 취할 수 있는 대응에는 뭐가 있을까요?

이효석 : 저자가 몇 가지를 언급했습니다.

우선 감시를 차단하는 프로그램을 사용하는 방법이 있습니다. 프라이버시 강화 기술(privacy enhancing technologies, PET)이라고 하는데요. 라이트빔(lightbeam), 프라이버시 배저(privacy badger), 디스커넥트(disconnect), 고스터리(ghostery), 플래시블럭(flash block) 등의 플러그인이 대표적입니다.

또 인터넷 익스플로러 대신 암호화된 웹브라우저 토르(tor)를 사용하는 것도 좋은 방법입니다.

강양구 : 저도 토르를 사용하고 있습니다. 익스플로러나 크롬에 비해서 약간 느리지만, 일상적인 웹 서핑에는 전혀 문제가 없습니다.

재미있는 사례가 하나 생각납니다. 2013년 하버드 대학교 폭탄 위협 사건 때 범인이 추적을 피하고자 토르를 사용했어요. 그런데 그가 기숙사에서 토르를 사용한 유일한 사람이었기 때문에 걸렸다는 말이 있습니다. 자신의 흔적을 감추기 위해서 토르를 사용했는데, 정작 그런 사용 패턴 때문에 자신이 더 부각되는 역설은 어떻게 생각하십니까?

이효석 : 좀 더 많은 사람이 토르처럼 보안이 강화된 프로그램을 사용한다면 그런 일이 생기지 않겠죠.

김종배 : 특히 기자와 같이 정보를 취급하는 일을 한다면 토르 같은 보안이 강한 브라우저를 사용할 필요가 있습니다. 예를 들어, 내가 지금 터뜨리면 어마어마한 파장을 일으킬 권력형 비리를 추적 취재 중이라고 합시다. 일반 브라우저를 사용하는 도중 누군가 내 검색 과정을 다 지켜본다면 얼마나 어처구니없는 상황입니까? 그나저나 다른 건 또 없습니까?

강양구 : 이 책의 저자가 추천한 방법이 있습니다. 가끔은 스마트폰을 집에 두고 다녀라. 마트에서 자기 회원 카드로 상품을 사지 말고 친구 카드로 구매하라. 신용 카드 대신 현금을 사용하라. (웃음)

이효석 : 농담 같지만 전혀 의미 없는 실천은 아니에요. 사실 가끔 한 번씩만 스마트폰을 집에 두고 다녀도 감시 시스템을 교란할 수 있기 때문에 추적이 어려운 사람이 될 수 있습니다. 신용 카드 사용을 줄이는 것도 마찬가지고요. 작은 교란 행위로도 정부, 기업의 감시로부터 자신을 지킬 수도 있습니다.

강양구 : 또 있습니다. 페이스북에서 가끔은 자신과 전혀 무관한 사람을 검색하라. 시스템을 교란하는 장난을 쳐 보라는 거죠. 한 번 해보세요. 페이스북에서 자신과 전혀 상관없는 특정인을 몇 번 검색하면, 친한 사람 혹은 당신이 알 수 있는 인물로 등록이 되거든요. 페이스북의 친구 추천 시스템을 교란하는 거죠.

김종배 : 저자는 프라이버시권을 내 정보를 컨트롤할 수 있는 권리라고 정의하더군요. 내 정보의 통제권을 내가 갖는 것. 다른 한편으로 보자면, 지금의 감시 사회에서는 내 정보 통제권을 내가 갖기도 어렵다는 겁니다. 오늘 우리가 나눈 이야기를 한 마디로 정리하자면 이 얘기가 아닌가 싶습니다.

나는 나를 숨길 권리를 갖고 있다

강양구 : 이 대목에서 저자는 아주 중요한 화두를 하나 던집니다. 우리가 부모님에게 보여드리는 내 모습이 다르고, 친구에게 보여주는 내 모습도 다르죠. 심지어 사랑하는 사람에게 보여주고 싶은 내 모습도 따로 있습니다. 그런데 내가 보여주길 원하지 않는 내 모습을 예상치 못한 상황에서 예상치 못한 상대에게 어쩔 수 없이 보여주게 된다면 어떨까요?

정말로 빅 데이터 사회에서는 나의 정체성을 내가 결정하기가 어렵습니다.

이효석 : 통제력을 갖는다는 것 자체가 굉장히 어렵죠. 페이스북 대표인 마크 저커버그가 "모든 사람의 정체성은 하나"라고 말한 적 있습니다. 하지만 이 얘기는 저자의 지적대로 순진하죠. 내가 연인과 나누는 얘기, 파티에서 친구들과 나누는 얘기, 직장에서 하는 얘기는 전부 다르거든요.

▲ <당신은 데이터의 주인이 아니다>(브루스 슈나이어 지음, 이현주 옮김, 반비 펴냄). ⓒ반비

그런데 이런 사실을 무시하고 나의 모든 정보가 노출된 환경에서 내가 스스로를 통제하기란 결코 쉽지 않습니다. 맨체스터 유나이티드의 감독이었던 알렉스 퍼거슨 경이 남긴 유명한 말씀도 있지 않습니까? "트위터는 인생 낭비"라고요. (웃음) 당장 힐러리 클린턴처럼 노회한 정치인도 공적, 사적인 구별을 잘 하지 못해 정치적 곤경에 처하지 않았습니까?

강양구 : 이 책에서 브루스 슈나이어가 제기한 여러 문제가 사회적 합의를 거쳐 잘 해결되리라고 생각하십니까? 아니면 디스토피아적 소설에 나오는 것처럼 감시 사회로 넘어갈 것 같습니까? 

이효석 : 저는 물론 전자를 희망합니다. 전자처럼 되기 위해 사회적 노력이 필요할 테고요. 하지만 아직은 ‘이렇게 될 것’이라고 답하긴 어려운 상황 같습니다.

김종배 : 오늘 이효석 박사를 모시고 브루스 슈나이어의 <당신은 데이터의 주인이 아니다>에 관해 이야기 나눴습니다. 개인 정보 보안이 왜 중요한지, 모두가 연결되는 사회에서 개인 정보가 얼마나 쉽게 뚫리고, 얼마나 무서운 방향으로 이용당할 수 있는지 알아보는 시간이었습니다. 나와 주신 이효석 대표께 감사 말씀 드립니다. 

이효석 : 즐거운 시간이었습니다. 감사합니다.

앞으로 서강대학교 철학과 박사 과정에 재학 중인 이솔 씨가 독서통에서 소개된 책을 이해하는 데 필요한 핵심 개념을 설명합니다. 브루스 슈나이어의 <당신은 데이터의 주인이 아니다>와 관련해 이솔 씨가 설명하는 핵심 개념은 '파놉티콘(Panopticon)'과 '시놉티콘(Synopticon)'입니다.

파놉티콘

파놉티콘은 1791년 제러미 벤담(Jeremy Bentham)이 처음으로 고안한 개념입니다. '모두'를 뜻하는 '판(pan)'과 '본다'는 뜻의 '옵티콘(opticon)'이 합성된 말로, '모두를 다 본다'는 뜻입니다.

벤담이 고안한 이 파놉티콘은 원래 죄수를 감시할 목적으로 설계된 특별한 형태의 감옥을 가리키는 표현이었습니다. 이 감옥은 죄수의 입장에서 감시자의 시선을 파악할 수 없도록, 그래서 끊임없이 감시되는 상태를 만들어내도록 설계되었습니다. 결과적으로 파놉티콘은 죄수들로 하여금 규율과 감시를 내면화해 스스로를 감시하게 하는 효과를 낳습니다.

시놉티콘

소수가 다수를 감시하는 파놉티콘이 근대 사회의 감시 원리였다면, 노르웨이 범죄학자 토마스 매티슨(Thomas Mathiesen)은 정보 기술의 발전에 의해 파놉티콘의 일방적 감시가 바뀌어 가고 있다고 지적합니다. 정보 기술의 발전으로 언론과 통신이 발달하면서 기존 소수의 감시자와 다수의 피감시자 간의 경계가 사라지고 모두가 함께(syn) 서로를 감시하는 상황이 조성되었다는 것이죠. 매티슨은 이를 시놉티콘(Synopticon)이라 명명했습니다.

파놉티콘이 소수가 다수를 감시하는 체제를 의미했다면, 이제 다수가 소수의 권력자를 감시하는 체제로 변화했다는 점에서 시놉티콘은 역파놉티콘(Reverse panopticon)이라고도 불립니다. 역파놉티콘이란 파놉티콘의 반대되는 개념으로 감시받던 피감시자들이 역으로 감시자들을 감시하는 상황을 의미합니다.

이렇듯 시놉티콘이 역파놉티콘을 의미한다는 점에서, 시놉티콘에는 디지털 시대로의 발전을 통해 이제는 권력에 대한 견제, 곧 감시가 시민으로부터 이루어지는 역감시가 이루어지게 되었다는 낙관적인 전망이 함축되어 있습니다. 즉, 과거처럼 소수만이 권력과 언론을 독점하고 다수의 일반 시민을 통제하는 체제가 아니라, 일반 시민 역시 자신을 감시하는 권력자를 감시하고 통제한다는 점에서 수평적인 권력 관계가 형성되리라는 기대감이 깔려 있죠.

하지만 이러한 낙관론에 대한 비판의 목소리도 적지 않습니다. 이에 대해서는 크게 두 종류의 비판이 제기됩니다.

첫째, 우리 사회가 모든 곳에서 서로를 감시하고 감시당하는 국면으로 접어들게 되면서, 파놉티콘에 갇힌 죄수가 자신이 감시당하는지 아닌지 몰랐던 것처럼 정보 파놉티콘의 네트워크에 노출된 사람은 자신의 행동이 다른 이에 의해 열람될지 확신할 수 없기 때문에, 자신의 행동을 늘 의식적으로 통제하게 되었다는 겁니다. 파놉티콘 모형에서 중앙 감시탑의 역할이 정보화 사회 네트워크의 그물망으로 분산됨에 따라서 오히려 더 극단적으로 광범위하고 내밀한 감시가 이루어진다는 거죠.

둘째, 시놉티콘에 관한 낙관주의가 현존하는 권력의 비대칭성을 간과하고 있다는 사실도 지적됩니다. 정보화 사회로 진입하면서 소수의 감시자와 다수의 피감시자 간의 경계가 사라지고 모두가 함께(syn) 서로를 감시하는 상황이 조성되었다고 하더라도, 여전히 데이터를 수집하고 소유하는 주체가 우리는 아니라는 거죠.

이러한 문제를 거론하는 입장에서는 특히 (오늘 독서통에서 중요하게 살펴봤듯이) 감시 시스템이 국가를 넘어 시장의 영역에 도입되고 있다는 점을 지적합니다.



이대희 기자 eday@pressian.com 구독하기 최근 글 보기
기자가 되면 거지부터 왕까지 누구나 만난다고 들었다. 거지한테 혼나고 왕은 안 만나준다.