Share           Pin It

이번 사태에 대해서 나보다 글을 잘 적거나 더 많은 전문지식을 가진 사람들이 다양한 각도에서 심도 깊은 의견을 내놓고 있기에 굳이 나까지 숟가락을 얻을 필요는 없을지도 모른다. 그러나 나만이 가지는 개인의 시각이 있을 수도 있고 나만의 개인적 감정을 토로할 필요도 있고 그리고 이런 역사적 사건에 대해서 이정표는 남겨놔야겠다는 생각에 글을 적는다.

KB국민카드, 롯데카드, NH농협을 통해서 1억건 이상의 개인정보가 유출되었다고 한다. 사건의 경위를 따로 재구성할 필요는 없을 것같다. 자세한 경위는 slownews.kr에 실린 "대규모 개인정보 유출 사건에도 이용자는 피할 곳이 없다"를 참조하면 되고, 왜/어째서 문제인가는 ppss.kr의 "잇따른 개인정보유출, 예고된 사고다"를 참조하면 된다. 어쨌든 반복적으로 일어나는 것을 미연에 방지하지 못했다는 점과 적어도 몇 개월 전에 발생한 사건을 제때 알아채지 못했거나 -- 이러면 진짜 심각해지는데 -- 미리 알고도 쉬쉬하며 숨겼다는 것에는 분노를 표할 수 밖에 없다. 더 다양한 의견이나 사건의 경과는 뉴스나 다른 분들을 글에서 확인하기 바란다.

사건 발생에 대한 뉴스를 처음 접하고 어떤 종류의 정보가 빠져나갔는지를 확인했을 때 분노 다음으로 머리 속을 스쳤던 생각은 "이미 예전부터 다 유출되어 이미 공공재가 되어버린 정보가 한 번 더 빠져나갔구나"라는 생각이었다. ppss의 글을 보지 않더라도 이미 우리는 매일 스팸 문자와 메일에 시달리고 있다. 랜덤 넘버를 생성해서 전화를 걸었다고 생각할 수도 있지만 실상은 그렇지 않을 가능성이 더 높다. 프라이버시가 통제권을 의미한다는 이전 글은 잠시 잊고 이번 사태만을 바라봐야 한다.

나와 관련된 많은 정보가 이미 공공재가 되어있다는 것은 예전부터 알고 있던 바였지만, 일부에서는 개인의 신용도도 유출되었다는 얘기를 들었다. 신용도가 낮다는 것은 대출 등으로 돈을 빌려서 제때 갚지 못했기 때문일 가능성이 높다. 그러면 이들을 타겟으로 한 대출 스팸들이 대량으로 뿌려질 것같다는 예상을 해본다.

사실 나를 더욱더 분노하게 만들어서 이 글을 적게 한 이유는 따로 있다. 왜 각 개인이 자신의 정보가 유출되었는지를 해당 카드사 홈페이지 등에 접속해서 알아봐야 하느냐라는 점이다. 이런 일이 발생했다면 각 회사에서 고객 개인들에게 먼저 알려줘야 하는 것이 아닐까? 이번에 유출된 정보에 핸드폰 번호도 있던데 그러면 SMS로 어떤 정보가 유출되었는지 발송하면 되고, 이메일 주소도 포함되어있으니 이메일로 유출 사실 및 항목을 알려줘도 되고, 이것마저 어렵다면 자택이나 직장 주소도 있던데 그것으로 우편을 보내도 된다. 대출/카드론을 하라는 안내 편지는 정기적으로 보내면서 왜 이런 사건에 대한 사과 말과 현황을 자세히 명시한 안내문은 먼저 보내지 않느냐는 거다.

다른 글들에서도 보여지듯이 모든 사건의 책임을 개인에게 넘겨버리는 것같다. 유출은 지들이 하고 책임은 고객이 지는 것같다.

나는 아직 정보 유출 여부를 확인하지 않았다. 이미 회자된 허술한 정보확인 방법도 그렇지만... 이미 유출되었다고 확신하기 때문에 굳이 다시 확인하고 싶지 않다. 회사 법인카드로 롯데카드를 사용하고 있기 때문에 롯데카드를 통해서 한번, 농협에 계좌가 있기 때문에 농협을 통해서 또 한번, 오래 전에 무턱대로 사무실로 찾아온 외판원 때문에 만들었다 해지했을 국민카드에서 또 한번... 그물이 너무 촘촘하니 내가 빠져나갈 구석이 없다.

정보 유출을 확인하지 않은 또 다른 이유는 확인하더라도 그 다음에 취할 액션이 전혀 없다. 집단 소송에 참여한다고 해도 뽀죡한 딱히 뭘 얻을 수 있을지 모르겠다. 이전의 일련의 사태들에서 모두 회사들에 면죄부를 줬다. 그런 관행이 이번 사태의 간접적인 원인이 되었다. 어쩌면 나같이 이렇게 집단소송에 소극적인 사람들때문에 사태가 더 악화된 것이 아닌가라는 생각에 잠시 미안한 마음은 있다.

그리고 방금 300만원 가량을 자동이체했다. 그런데 이번 사건 때문에 급하게 마련되었는지는 모르겠으나 전에는 없던 과정이 추가되었다. 전에도 적금을 해약할 때마다 은행에서 전화와서 개인인증을 거쳤는데 이제는 자동이체를 할 때도 전화를 통해서 인증과정이 한번더 거치고 있다. 공인인증서면 뭐든 다될 것처럼 떠들더니... OTP로 바꾸면 다 해결된다더니... 결국 공인인증서로 로그인해서 OTP를 입력하고 다시 전화로 개인인증을 더 거쳐야지 이체가 가능해졌다.

누군가 트위터에 올렸던 글이 생각난다.

전근대적인 주민등록번호부터 없애자. 주민번호야 말로 독재, 북한식 모델이다. 이걸 없애지 않는다면 현 정부는 종북 정부임을 자인하는 셈이다.

** 추가. 오늘자 장도리를 보면 주민등록번호가 처음 만들어진 것이 박정희 때였으니, P는 이제 아버지가 묶어놓은 것을 결자해지의 심정으로 풀어주시죠.

==

페이스북 페이지: https://www.facebook.com/unexperienced

댓글을 달아 주세요

Share           Pin It

이 주제에 대해서 자세히 다룰 능력이 되지 않지만 이 주제를 뺀다면 글이 완성될 수 없기 때문에 생각했던 그리고 주워들었던 일반적인 내용만이라도 짧게 다룹니다. 프라이버시라고 제목에 적었지만 단지 프라이버시 뿐만 아니라, 여러 법적인 문제들은 늘 서비스 또는 알고리즘을 개발하는데 이슈가 됩니다. 특히 추천은 궁극적으로 개인화로 가기 때문에 개인정보 및 사용에 대한 고민이 많을 수 밖에 없습니다. (이 글은 조금 민감한 주제이므로, 미리 밝히는데 이 글은 오로지 개인의 일탈적 생각일 뿐, 제가 몸담고 있는 조직의 생각/프랙티스는 아닙니다. 어떤 것들은 그냥 가능성 또는 잠재성만을 얘기하는 것일 뿐 저의 신념을 얘기하는 것도 아닙니다.)

이전 글에서 사적인 영역에서 봤던 것을 기준으로 추천된 것이 공적인 영역에서도 노출될 수 있다는 우려의 글을 적은 적이 있습니다. 조금 낯이 뜨겁고 민망한 경우지만 웃으며 넘길 수도 있습니다. 그렇지만 하나의 기기 (대표적으로 스마트폰)로 개인의 모든 정보가 접근 가능해지고, 하나의 식별자 (이메일 등)로 모든 연결된 곳에서의 활동이 저장되고 통합된다는 것을 깊이 생각해보면 아찔하다는 생각이 듭니다. 가볍게 무시될 수도 있지만 또 그냥 넘길 수가 없는 것이 프라이버시 문제입니다.

다른 글에서 (추천 시리즈 외의 글) 개인정보의 개념이 바뀌고 있다는 뉘앙스의 글/말을 한 적이 있습니다. 페이스북의 저크버그는 개인정보/프라이버시의 시대는 끝났다라는 위험한 선언까지도 했지만 어쨌든 프라이버시에 대한 생각이 많이 바뀌었고 둔화되었습니다. 다른 글에서 저는 이제 개인정보는 개인에 대한 정보에 관한 것이 아니라 그 정보에 대한 통제권/제어권의 문제다라고 적었습니다. 이제는 그리고 앞으로는 개인의 정보를 숨길 수가 없습니다. 지난해 문제가 되었던 NSA의 감시 및 첩보활동에서 보듯이, 우리가 아무리 숨기려고 해도 그것을 캐내려는 시도가 많습니다. 그리고 무의식적으로 우리 정보를 흘리고 다니고 있습니다. 이미 내 주민등록 번호는 공용이다라는 우스개 소리도 합니다.

어쩌면 그래서 개인의 이름, 생년월일, 관심사, 다녀왔던 곳 등의 정보는 더 이상 개인정보가 아닐 수도 있습니다. 프라이버시 문제를 다룰 때 이런 정보를 보호해야 한다는 접근법은 어쩌면 맞지 않을 수도 있습니다. 이제는 그런 정보에 대한 통제권이라는 측면에서 프라이버시를 다뤄야한다고 생각합니다. 내가 페이스북에 사진을 공개한다면 내 친구들이나 때로는 불특정인이 저의 개인 페이지에서 그걸 볼 수가 있습니다. 그러나 그 사진을 허락도 없이 — 저작권/초상권 문제와는 별개로 — 다른 곳에서 이용할 수는 없습니다. 나의 정보는 내가 통제하는 범위 내에서 공개되고 사용되어야 합니다. 그런 의미에서 정보 통제권을 말하는 것입니다. 이미 공개된 (때로는 그냥 아무런 숫자조합으로도 만들어지는) 주민번호나 전화번호 자체가 문제가 되는 것이 아니라, 그것을 불법적으로 사용하는 것이 문제입니다. 전화번호나 이메일 주소를 공개했다면 정상적인 연락을 받겠다는 의미이지 스팸 문제나 메일을 받겠다는 의미가 아닙니다. 그런 스팸은 저의 통제권을 벗어난 것입니다. 즉, 프라이버시 침해라고 말할 때 그것이 나의 통제권 안에 있느냐 밖에 있느냐를 따져야합니다.

그런 측면에서 추천에서도 나의 구매나 조회 기록이 다른 사람들에게 도움을 줄 수 있도록 추천 데이터로 사용되어야 된다는 허락이나, 나에게 맞는 개인화된 추천을 받아보겠다 등과 같은 명시적 허락이 필요합니다. 서비스 제공자의 입장에서는 이런 옵트인 opt-in 방식은 여러모로 꺼려지기 때문에, 적어도 옵트아웃 opt-out 방식으로 사용하지 말것 또는 추천하지 말것 등의 옵션이 제공될 필요가 있습니다. 특정 히스토리만 빼달라와 같은 CS 까지 들어온다면 서비스 제공자 입장에서는 애초에 추천 서비스를 하지 않는 것이 가성비가 더 나을지도 모르겠다는 생각도 문득 듭니다.

프라이버시나 법적인 문제는 저의 전문 영역이 아니라서 이정도에서 끝맺겠습니다.

추천시스템 전체 목록

  1. 추천 시스템과의 조우 (PR시리즈.1)
  2. 추천 시스템을 위한 데이터 준비 (PR시리즈.2)
  3. 추천대상에 따른 추천 시스템의 분류 (PR시리즈.3)
  4. 알고리즘에 따른 추천 시스템의 분류 (PR시리즈.4)
  5. 추천 시스템을 위한 유사도 측정 방법 (PR시리즈.5)
  6. 추천 시스템의 성능 평가방법 및 고려사항 (PR시리즈.6)
  7. 추천 시스템에서의 랭킹과 필터링 문제 (PR시리즈.7)
  8. 추천 시스템의 쇼핑하우 적용예 (PR시리즈.8)
  9. 개인화 추천 시스템에 대하여 (PR시리즈.9)
  10. 추천 시스템의 부작용 - 필터버블 (PR시리즈.10)
  11. 추천 시스템의 레퍼런스 (PR시리즈.11)
  12. 추천 시스템에 대한 잡다한 생각들 (PR시리즈.12)
  13. 추천 시스템을 위한 하둡 마훗 사용하기 (PR시리즈.13)
  14. 추천 시스템에 대해서 여전히 남은 이야기들 (PR시리즈.14)
  15. 추천 시스템과 머신러닝 (PR시리즈.15)
  16. 추천 시스템과 다중인격 (PR시리즈.16)
  17. 추천 시스템의 유사도에 대한 심화이해 (PR시리즈.17)
  18. 추천 시스템의 설계 (PR시리즈.18)
  19. 추천 시스템과 어뷰징 (PR시리즈.19)
  20. 추천 시스템과 프라이버시 (PR시리즈.20)

==

페이스북 페이지: https://www.facebook.com/unexperienced

댓글을 달아 주세요

Share           Pin It
 일전에도 한번 적으려고 했던 주제인 프라이버시 Privacy에 대해서 짧게 적겠습니다. 애플의 아이패드 열풍이 지난 후에, 최근 몇 주간의 뜨거운 감자는 페이스북과 프라이버시 문제인 듯합니다. 페이스북은 전세계적으로 4억명 이상의 사용자를 보유한 또 하나의 인터넷 자이언트 기업입니다. 이런 페이스북에서 조금의 수정작업을 단행해도 여러 파장이 일어나는 것은 당연한 일입니다. 그중에서도 개인의 프라이버시 문제에 대해서는 최근에 다시 크게 부각이 되었지만 그전부터 줄곳 제기가 되던 문제입니다. 페이스북의 프라이버시 문제에 대해서 장황한 설명을 하는 것보다 Matt McKeon이라는 분이 올린 Changes in default profile settings over time이라는 포스팅을 보면 현재의 상태를 명확히 볼 수가 있습니다. 페이스북은 소셜네트워크서비스, 즉 친구사이의 대화와 공유에 초점을 맞춘 서비스입니다. 즉, 개인적인 이야기를 친구들끼리 자연스럽게 공유하고, 또 친구들끼리만 공유하는 서비스입니다. 그런 친구들 사이의 비미스러운 대화들이 점점 일반에 공개되고 있는 모습을 위의 포스팅에서 확인할 수가 있습니다. 페이스북 서비스를 제공하는 회사 입장에서는 그런 개인대화 및 활동을 일반에 공개함으로써 수많은 기회와 이익이 있기 때문에 계속 조금씩조금씩 개인정보를 일반에 공개할 것을 강요(?)하고 있습니다. 물론, 19, 20세기에 제정된 프라이버시 관련 규제들이 21세기, 인터넷의 시대에 맞지 않은 부분이 많이 있다는 것도 인지해야 합니다. 그래서, 21세기에 맞는 새로운 프라이버시 관련 법/규제들이 완화, 보완, 추가, 보강되어져야 합니다. 일전에 페이스북의 창업자 Mark Zuckerburg는 'The Age of Privacy is Over'이라는 대담한 선언을 했습니다. 비슷한 선언으로, 인터넷 시대의 프라이버시는 단순히 개인정보에 관한 것이 아니라, 그런 개인정보에 대한 통제권(한)에 관한 것이다라고 재정의되어야 한다는 말도 했습니다. 즉, 내 정보가 인터넷 등의 공개된 장소에서 노출된 것만을 가지고 문제를 제기할 것이 아니라, 그런 정보를 누가 누구에게 노출했느냐가 중요하다는 의미입니다. 내 신상정보가 공개되는 것이 문제가 될 때는 그런 정보를 내가 아닌 다른 이에 의해서 공개되어졌을 때, 그리고 설혹 내가 공개를 했더라도 내가 원치 않는 곳에 퍼날라진다거나 인용이 되어질 때 문제가 발생하는 것입니다. 그런 의미에서 원론적으로 쥬커버그의 새로운 정의인 '개인정보의 통제권'에 대해서 공감을 표합니다. 21세기에 맞는 새로운 프라이버시 규정은 단순히 개인정보의 노출이 아니라, 누가 누구에게 노출했느냐를 가지고 규제가 가해져야 합니다. 

 그런데, 이런 개인정보의 공개 통제권을 말할 때, 쉽게 간과되는 부분이 있습니다. 통제권이란 어떤 정보를 공개할 것인가?의 문제도 있지만, 누구에게 공개할 것인가의 문제도 있습니다. 내 이메일주소나 전화번호를 페이스북의 wall에 올린다는 것은 나와 친구관계에 있는 이들에게 보여주겠다는 의도인데, 현재의 페이스북이 직면한 문제는 내 친구 또는 내가 허락한 이들에게 그런 정보를 공개하는 것을 넘어서 일반대중, 특히 그런 정보를 가지고 상업적으로 활용하는 이들에게까지 모든 정보를 넘겨주는 것에 문제가 발생합니다. 사적으로던 공적으로던 페이스북에 올라오는 모든 업데이트들은 일단은 사적인 사용 private use only를 위해서 올린 것인데, 만약 이것이 신문기사에 인용이 된다거나 제 3자에 의해서 편집되어서 제3의 공간에서 공개가 된다면 문제가 됩니다. 누가 어떤 정보를 공개했느냐를 뜻하는 프라이버시 통제권의 측면에서 쥬커버그의 접근에 원론적인 동의를 하지만, 누구에게 공개될 것인가를 무시한 현재의 접근법에는 당연히 반감을 가질 수 밖에 없습니다.

 물론, 사업자의 입장에서는 우리는 프라이버시 세팅을 사용자들이 변경할 수 있는 옵션을 줬다고 말합니다. 물론 어떤 정보를 공개할 것인가와 누구에게 공개할 것인가는 페이스북의 세팅부분에 들어가면 변경할 수가 있습니다. 그런데, 앞의 McKeon의 그래프에서 보듯이 기본설정 default setting에 문제가 있습니다. 보통 말하는 기본선택 opt-in 또는 기본해제 opt-out의 문제입니다. Opt-in이란 사용자의 동의를 구할 때, 사업자/제공자가 미리 체크박스를 체크를 해둔 상태로서 사용자가 마음에 들지 않으면 체크상태를 off로 돌려놓을 수 있도록 해두는 것입니다. 반대로, opt-out은 처음에는 체크상태가 off인데 사용자가 마음에 들면 on으로 바꿀 수 있도록 하는 것입니다. <넛지 Nudge>라는 책에서도 설명하듯이, 이런 기본설정에 따라서 on/off의 비율이 현격히 차이가 난다는 것입니다. 보통 opt-in방식으로 제공하면 최종 결과에서도 여전히 on의 비율이 높고, 반대로 opt-out인 경우 off의 비율이 상대적으로 높아진다고 알려져있습니다. 현재 페이스북의 기본설정에 문제가 있는 것은 처음부터 모든 (대부분)의 개인정보를 opt-in방식으로 공개하도록 설정이 되어있고, 만약 공개를 꺼리는 항목이 있으면 사용자들이 설정창에 들어가서 체크를 제거하도록 한 것입니다. 짧게 생각하면 별로 문제가 될 것이 없지만, 사용자들은 기본설정이 잘 되어있다고 믿는 이들도 많고, 또 어떤 경우는 기본설정이 모두 공개가 되어있다는 것을 인지하지 못하는 경우도 있고, 또 그런 설정 자체가 있는지도 모르는 사용자들도 있고, 또는 그런 설정창이 존재하는지도 모르는 사용자도 있고, 또 설정을 어떻게 변경해야하는지도 모르는 사용자도 있고, 또 그런 설정을 변경하는 것을 매우 꺼리는/귀찮아하는 사용자들도 있는 등, 매우 다양한 사용자들이 존재하기 때문에 페이스북이 처음부터 제공하는 기본설정인 모두 공개가 영원히 그래로 이어질 가능성이 높아진다는 것입니다. 

 비슷한 문제는 구글이 Buzz라는 실시간 공유서비스를 오픈할 때도 벌어졌습니다. 구글은 G메일에 포함된 개인의 연락처와 최근의 송수신 기록을 분석해서, 처음 Buzz에 접속하는 사용자들에게 임의로 친구로 생각되는 이들의 opt-in방식으로 following하도록 만들어두었습니다. 즉, 사용자가 원하는 경우 unfollowing/unfriending을 하라는 것입니다. 여기서, 단순히 opt-out방식을 취하지 않은 것도 문제이고, 또 개인의 연락처 및 송수신기록을 무단으로 분석을 했다는 것 모두에 문제가 있습니다. 옵트아웃방식을 취하지 않은 것은 위에서 이미 설명이 된 부분이니 넘어가겠습니다. 서비스 사업자가 개인의 정보를 무단으로 분석해서 활용해도 되는가?에 대한 문제는 여전히 남아있습니다. 많은 경우, 사업자의 측면에서 개인들이 개인정보를 올리는 것은 그런 정보를 활용하라는 신호로 받아들인다는 것입니다. 반대로, 사용자의 측면에서는 그냥 내 정보를 단순히 기입하는 의미 이상이 없는 경우가 많습니다. 단지 내 주소를 적고, 내 관심사를 적고, 내 친구를 명시하는 것입니다. 이렇게 개인정보를 제공하면서, 많은 경우, 이런 정보를 서비스개선에 활용해도된다는 사용자동의를 해주는 것이 아닙니다. 그런데, 사용자의 동의없이 개인의 연락처 및 송수신기록을 사용했다는 점에서 구글과 같은 대기업의 저지런 실수 아닌 악행을 어떻게 봐야할지... (여담으로, 구글은 초기부터 자신들은 '순진하다'는 것을 은연중에 많이 내보였습니다. 그런데, 현재의 규모로 발전한 지금도 여전히 '나는 순진하다. 그러니 잘못없다.'는 식으로 민감한 문제들을 피해나간다면 더 큰 불행을 초래할 것입니다.) 비록, 사용자들이 자신의 정보를 활용해서 서비스 개선을 바란다고 하더라도, 민감한 정보를 활용할 때는 늘 조심해야 합니다.

 그리고, 어떤 이가 말한 '개인정보의 공개와 효용'이라는 문제도 생각해봐야 합니다. 내 정보를 조금 포기함으로써 더 나은 서비스를 받을 수 있다는 측면에서 많은 이들이 개인정보를 공개하는 것입니다. CNN에서 다룬 'In digital world, we trade privacy for convenience.' 칼럼을 주의깊게 읽어보시기 바랍니다. 하나를 포기함으로써 둘을 얻을 수 있지만, 둘을 포기함으로써 셋을 얻는 것은 아닙니다. 개인정보 통제권의 측면에서 프라이버시포기와 효용/편의 사이의 트레이드오프를 생각해야 합니다.

 요약하면, 21세기/인터넷의 시대에 프라이버시란 단순히 개인 신상정보에 관한 것이 아니라, 그런 정보의 통제권이 누구에게 있느냐의 문제입니다. 그런 통제권이란 누가 어떤 정보를 공개할 것인가에 대한 측면도 있지만, 누구에게 공개될 것이고 어떻게 사용될 것인가에 대한 측면도 있습니다. 현재 많은 인터넷 서비스들이 전자의 통제권에는 많은 합의가 이뤄졌지만, 후자의 통제권에 대해서는 제대로된 선례 best practice가 없는 상태인 듯합니다. 하나를 포기해서 얻을 수 있는 수많은 효용/편의가 있습니다. 그러나 한번 포기된 것이라고 해도, 누군가에 의해서 무단으로 사용이 된다면 그 수많은 효용이 무슨 가치가 있겠습니까? 낡은 규칙은 바뀌어야 하지만, 그렇다고 해서 임의로 그런 규칙을 무시해서도 안 됩니다. 이는 서비스 제공자와 서비스 사용자 모두에게 던지는 화두입니다. (사용자들은 자신의 정보를 공개함에 있어서 더욱 주의를 기울려야 합니다.)

댓글을 달아 주세요