최근 충격적인 소식이 전해졌다. 남의 집 사생활을 마음대로 훔쳐볼 수 있는 해킹 소프트웨어가 우리 돈 3천원에 중국에서 유통되고 있다는 것. 이 해킹 프로그램을 깔면 혼자 있는 아이나 애완동물을 보살피기 위해 홈캠이나 IP 카메라를 설치한 가정을 몰래 엿볼 수 있다.

가정뿐 아니라 학원이나 유치원, PC방 등 카메라가 설치된 곳이면 어디든지 그 화면을 실시간으로 볼 수 있다. 카메라의 방향이나 각도도 마음대로 조절할 수 있어 욕실과 침실까지 훔쳐보는 것이 가능하다. 이렇게 해킹된 영상은 중국이나 우리나라의 성인 사이트 등에 유포되는 것으로 알려졌다.

4차 산업혁명의 핵심기술인 인공지능과 사물인터넷, 빅데이터 등은 개인의 정보를 다량으로 수집한다는 것이 특징이다. 이처럼 대량으로 자동 수집되는 데이터로 인해 이용자의 데이터 프라이버시가 새로운 이슈로 부상하고 있다.

음성인식 기반의 인공지능(AI) 개인 비서 서비스는 홈캠이나 IP카메라보다 더 많이 보급돼 있다. 전자상거래 업체인 아마존이 선보인 ‘알렉사’를 비롯해 구글의 ‘구글홈’, 애플의 ‘홈팟’, SK텔레콤의 ‘누구’ 등의 AI 스피커가 바로 그것. 이와 유사하게 휴대폰에는 음성인식 AI 비서 시스템이 탑재돼 있다.

그런데 이 같은 음성인식 AI 서비스를 통해 수집된 데이터가 해킹될 우려가 있다는 지적이 나왔다. 정보통신정책연구원(KISDI)은 최근 발간한 ‘음성인식 AI 비서 시장의 현황과 시사점’이란 보고서를 통해 AI 스피커 등을 통해 수집된 데이터는 무선인터넷을 거쳐 클라우드 서버로 전송되므로 데이터 도난이나 해킹에 대한 우려가 존재한다고 밝혔다.

수집된 데이터, 해킹 우려 존재

여기서 데이터란 소비자가 음성인식 AI 기기에 탑재된 마이크에 가전제품 제어, 문자메시지 전송, 인터넷 검색 등 말로 내리는 모든 명령이 포함된다. 기업들은 그 같은 데이터를 마케팅 활성화를 위해 자신들만의 데이터베이스로 저장, 분석해 사용하고 있다.

KISDI는 이 데이터들이 유출될 경우 이용자가 관심을 가질 만한 특정 제품 광고를 노출하거나 구매를 제안하는 등의 상업적 이용이 이뤄질 가능성이 있다고 분석했다. 따라서 이에 대한 구체적이고 투명한 대책을 마련해 잠재적 이용자들의 신뢰를 확보하는 것이 우선이라고 주장했다.

인공지능이 대량으로 수집하는 개인식별 데이터로 인해 고용주가 직원들의 개인정보를 마음대로 볼 수 있다는 주장도 제기되고 있다. 머신 러닝의 이점을 여러 가지 방법으로 이용할 수 있는 비즈니스 어플리케이션과 디바이스가 대표적인 경우다.

예를 들어 모바일 판매 앱은 장소나 IP 주소 데이터를 수집할 수 있는데, 이를 통해 소비자의 위치나 거주 지역의 파악이 가능하다. 만일 고용주가 직장에서 일할 때 사용하는 개인용 디바이스에 설치된 앱에 접근할 경우 직원이 직장에 있지 않을 때도 고용주는 해당 데이터를 볼 수 있다. 또한 이용자의 개인 앱을 통해 인사부서에서 해당 개인의 동의나 허락을 구하지 않고 정보를 수집할 수도 있다.

이를 방지하기 위해서는 IT 회사가 수집하는 데이터에 마치 마스크를 씌운 듯이 가리거나 또는 익명화하여 특정인에 대한 특정 정보를 알 수 없도록 해야 한다. 실제로 일부 기업들은 의무적인 규제로 이와 유사한 접근방법을 취하고 있는 것으로 알려졌다.

개인의 앱에 대한 프라이버시를 보장하는 또 다른 대안은 일명 ‘컨테이너화 기술’을 이용하는 것이다. 기업과 개인의 앱을 분리하는 이 기술은 기업의 모바일 관리 도구를 이용해 기업의 앱만 설치되도록 구성할 수 있다. 또한 화이트리스트와 블랙리스트 관리를 통해 말웨어 감염을 막을 수 있다.

프라이버시 보호 위한 규제안 마련

최근 전 세계적으로 많은 국가와 기업들이 새롭게 부상하는 기술에 따라 데이터 프라이버시 규제에 대한 가이드라인을 업데이트하고 있는 추세다. 대표적인 곳이 유럽연합이다. 유럽연합은 내년부터 ‘일반데이터보호규정’을 시행할 예정이다.

유럽연합 전체에서 효력을 발휘하게 될 일반데이터보호규정은 시행 첫날부터 100% 수준으로 규제가 이행될 것으로 전해진다. 이를 위반하는 기업에는 전체 매출액의 약 4%에 해당하는 벌금이 부과될 계획이다.

전문가들은 일반데이터보호규정이 기업 및 조직 전반에 스며들어 있는 개개인의 프라이버시를 보호하기 위한 일종의 규제장치로 작동할 것으로 보고 있다. 따라서 이 규정의 시행 이후 개인 정보와 관련된 데이터들이 유출되었을 경우 해당 기업 및 담당자는 과징금이나 법적 제재를 받을 수 있다.

이 규정에 의하면 개인은 자신에 대한 정보 수집시 반드시 고지 받아야 하며, 정보처리 역시 범죄행위에 대한 수사와 같은 합법적인 목적에서만 허용된다. 또한 수집되는 정보 역시 안전하게 관리되어야 하는데, 유럽연합 외부에서 수집된 정보를 공유하는 조직 및 기업에 대해서도 똑같은 규제가 적용된다.

개인의 데이터 프라이버시와 개인정보보호를 위해 마련된 유럽연합의 일반데이터보호규정은 향후 제정될 다양한 데이터 보호 관련 신규 법안들 중 하나에 불과하다. 따라서 보다 심도 있고 세부적인 사안들을 규제하기 위한 추가 절차도 계속 마련될 것으로 보인다.

이 같은 법안들은 최초 도입 시기에 데이터 보호를 위한 비용 투자로 이어져 IT 기업들에게 상당한 부담이 될 수 있다. 하지만 결국에는 보다 나은 법규 준수로 경쟁 우위를 차지할 수 있다는 이점이 있으므로 먼저 도입할수록 유리하다는 지적이 나오고 있다.

한편, 개인의 데이터 프라이버시를 관리하는 데 가장 도움이 되는 기술 역시 인공지능의 머신 러닝이라는 주장이 제기되고 있어 흥미롭다. 인공지능을 활용해 개인 프라이버시 관리 도구를 이용자 편의에 맞게 개발할 경우 인공지능이 오히려 프라이버시 관리를 위한 훌륭한 도구가 될 수도 있다는 것이다.