디지털 귀족의 과두정치

 

캐서린 테일러의 인생은 하루아침에 뒤바뀌었다. 개인정보 브로커가 실수로 그녀의 개인 자료에 ‘히로뽕 제조와 판매 시도’라고 기재했기 때문이다. 이 잘못된 정보는 정보 판매 브로커에 의해 순식간에 퍼져버렸다. 이 디지털 낙인이 따라다니며 그녀의 취업을 가로막았다. 그녀는 신용카드로 식기세척기조차 살 수 없었다.  

 

 ‘초이스포인트(ChoicePoint)’는 개인정보를 수집하는 수많은 회사들 중 한 곳이다. 초이스포인트는 결국 캐서린 테일러의 자료에 대한 오류를 수정했다. 그러나 그녀의 자료를 판매한 다른 많은 회사들은 수정하지 않았다. 직접 관련 회사들을 찾아다니며 소송을 해야만 했던 그녀는 그 과정에서 지칠 수밖에 없었다. “나는 하루도 인터넷을 감시하지 않을 수가 없었다”라고 그녀는 자신의 이야기를 폭로해 준 <워싱턴 포스트>와의 인터뷰에서 밝혔다.(1) 이 사건 후 4년 만에 테일러는 취업했지만, 아직도 아파트를 구하지 못해 언니 집에서 지내고 있다. 그녀는 이 사건으로 인한 스트레스 때문에 심장 문제가 악화됐다고 한다.

 

자신의 정보가 잘못됐음을 인지하는 제2, 제3의 캐서린 테일러들도 있지만, 심지어 자신의 프로필이 잘못됐다는 사실과 디지털 염탐에 대해서도 전혀 모른 채 이런 일을 겪고 있는 이들도 많다. 우리를 감시하고, 정보를 취급하는 데 있어서 정밀한 알고리즘을 사용하는 기업들은 해명 요구를 받아도 ‘사업상 비밀’이라는 핑계 뒤에 숨고 있다. 언론과 내부 고발자들은 주기적으로 새로운 디지털 경제의 어두운 측면을 조금씩 드러내고 있다. 페이스북 유저들의 정보를 빼돌린 케임브리지 애널리티카(Cambridge Analytica)에 대한 폭로는 개인정보 정책의 필요성을 제기했다. 이 사건으로 압력을 받은 국가들은 개인정보 사용을 규제할 필요성을 느끼고 있다.  

 

 

대서양 양쪽의 정치 책임자들이 법률제정 또는 기존 법률의 제대로 된 적용을 준비하는 가운데, 데이터에 담긴 방대한 인프라 지도를 제작할 필요성도 드러나고 있다. 미로 속에서 방향을 정하기 위해 현대기업에서 개인정보를 다루는 방식은 세 가지로 구별된다. 수집, (관계된 유저에 대한 결론을 도출하기 위한) 분석, 그리고 활용이다. 세 과정의 단계마다 각기 문제점이 대두된다. 

 

시민들은 페이스북이나 구글에서 자신의 개인정보를 검색했을 때 삭제했다고 생각했던 수많은 사진과 영상, 사적인 대화가 아카이브에 완벽하게 보존된 것을 발견하고 공포에 떤다. 시민들의 이동 경로에 관한 상세한 기록들도 나타난다. 안드로이드 스마트폰은 SNS상에서 그들의 기기와 관련된 정보를 은밀히 모은다. SNS가 유저의 사적인 상세정보를 담고 있음이 중요 데이터 속에서 드러난다. 스마트폰의 수집능력이 개선됨에 따라 거대 웹 회사들은 유저의 취약점, 욕망, 단점, 범죄까지 발가벗기며, 유저의 완벽한 초상을 얻기 위해 한층 더 많은 정보를 수집하려 시도한다. 

 

검색엔진에 ‘임질 징후’ 또는 ‘파산 신고 방법’이라고 쳐 본 적이 있는가? 당신의 이름, 당신의 컴퓨터 IP주소, 로그인 기록을 담고 있는 검색 이력은 아마도 여전히 존재할 것이다. 덕분에 기업들은 신경쇠약이나 결핍증 환자의 리스트를 쉽게 작성할 수 있다. “신용카드 사용명세, 운전 차량, 생활방식을 통해 우리 회사가 취급하는 병에 당신이 걸렸는지 아닌지 알 수 있다”라고 건강관련 기업 부회장이 밝혔다.(2) 그리고 우울증이나 암에 걸린 환자의 처방전과 이메일 주소를 되파는 기업도 있다.  

 

수집가들, 브로커들, 재판매업자들은 때로 위험하지 않은 정보들을 퍼트리기도 하지만 그들은 또한 불법적으로 파렴치한 카테고리를 만든다. 그들은 성폭력 피해자 리스트나, 에이즈, 알츠하이머 환자 리스트를 만들었다. 또한 장애인, 우울증 환자 리스트도 있다. 신뢰도가 떨어지는 이런 리스트는 1인 당 몇 푼에 팔리고 있으며, 주요 구매자는 마케팅 종사자들이고, 사기를 피하고자 고객을 평가하거나, 채용하려는 직원의 프로필을 평가하려는 금융기관들의 구매가 늘고 있다. 음지의 지배자인 브로커는 자신들의 본질이랄 수 있는 정보의 기밀유지를 지키지 않는다. 상업 시장이 커질수록 사생활의 입지는 좁아지고 이에 따라 이런 정보 거래시장은 활성화된 지 오래다.

 

 

일부 데이터는 잘못된 정보를 담고 있다. 한 기자는 매우 건강한 자신의 친구가 어떻게 다발성 경화증 환자 모임에 초대받았는지 폭로하는 기사를 썼다. 그녀는 이 병에 걸린 친구들을 가진 사람들의 모임에 신청서를 작성했었고, 이 자료는 수집된 후 마케팅 기업에 재판매됐다. 그녀는 이 신청서 안에 향후 정보 활용에 관한 설명이 기재돼 있었는지 아닌지 기억하지 못한다. 누가 사용처 세부사항들을 모두 다 기억하겠는가? 보통은 다 읽지 않고 클릭한다. 그렇다면 이런 정보를 마케팅 기업은 제약 회사를 거느린 기업들에 항상 재판매하는 것일까? 그녀는 이 모임에 대한 홍보물을 받으며 의심하기 시작했다. 아무것도 모른 채 얼마나 많은 이들의 이름이 명단에 오르고 있는 것일까?(3)  

 

케임브리지 애널리티카 사건은 페이스북의 수백만 유저의 정보를 유출해 이를 정치세력에 판매한 사례다. 이런 정보 유출 사실을 모두 알기란 쉽지 않다. 따라서 정부는 데이터를 수집한 기업들에게 그 수집 이유를 설명하도록 하고, 유저들의 정보가 담긴 블랙박스의 정확한 사용 실태를 파악하는 시도를 도와야만 한다. 또한, 정부는 정보사용 허용 여부를 ‘전부 또는 전혀’로 하지 말고, 일부 민감한 정보는 수집 되지 않도록 금지시켜야 한다. 

 

최근 사생활 침해 위험도가 증가하며 ‘소비자 타깃 마케팅’을 위한 정보수집에 신뢰도가 떨어졌다. 정밀하고 신중한 프로그램을 보유한 거대 기업조차 해커들의 공격을 당할 수 있기 때문이다. 정보를 거래해 사이버범죄에 이용하는 것부터가 비밀리에 행해지고 있다. 한 미국인 브로커는 수백만 명의 사회보장 번호, 운전면허, 은행계좌, 신용카드 번호를 개인신상 침해업자들에게 판매했다.(4) 

 

이러한 불상사를 막기 위해서는 자료의 출처와 구매자를 감시해야 한다. 그런데 이를 실행하려는 입법부의 노력에도 불구하고, 수치화된 수백만 개의 파일들은 클릭 한 번으로 전송될 수 있기에 의학정보 거래는 감시가 어렵다. USB 하나에는 수백만 개의 파일을 담을 수 있다. 한편, (때로 자료의 판매 흔적을 찾을 경우도 있겠지만) 브로커들 사이에서 공식적인 합의로 거래 됐을 때에도 그 흔적을 찾을 수 있을까? 감시기관은 이미 기업들을 물리적으로 통제하는데 어려움을 겪고 있다. 데이터 회사들은 넘치도록 늘어나고 있다. 모든 자료의 출처와 발송지를 상세히 설명해야할 의무가 없는 한, 불법 전송을 막을 수도, 불법 사용의 규모를 파악할 수도 없다. 

 

데이터를 수집한 기업의 책임을 넘어, 새로운 EU 법안처럼 입법부는 예외적인 경우를 제외한 모든 정보거래를 금지시켜야만 한다. 예를 들어 미국의 몇몇 주에서는 고용주가 직원(또는 미래의 직원)에게 SNS 계정에 접근할 권한을 요구하는 것을 금지하고 있다. 그러나  고용주가 정보를 공개한 지원자를 우선적으로 채용할 수 있기 때문에 일부 지원자들은 스스로 자신의 SNS 정보를 제공하려 한다. 민감한 정보의 사용이 금지되지 않고 이를 심각하게 규제하지 않는 한, 사생활 없는 미래로부터 안전지대는 없다. 

 

 

데이터 수집은 사생활 파괴로 가는 과정의 첫 단계에 지나지 않는다. 기업들은 데이터를 수집한 후 분석하고 상호관계와 결론을 도출해낸다. 일례로, 사회학자 메리 이블링은 임신 초기에 몇 개의 설문조사를 작성한 적이 있었다. 그녀는 결국 유산했다. 그녀가 아직 유산의 충격에 빠져있을 때 마케팅 회사는 그녀에게 아기용품을 광고했다. 그녀는 수없이 많은 데이터베이스에 임산부로 등록돼 있었다. 그녀는 이런 일이 발생하게 된 과정을 이해하지 못했고, 수 년 동안 광고를 계속 받아온 경험을 담아 책을 출간했다.(5) 대출자, 학생, 집주인, 직원으로서의 우리에 관한 소문을 만드는 알고리즘이 있다. 많은 대출회사들은 자신들의 서비스를 소비자와 작은 기업에 제안하기 위해 요즘 전례 없는 방식으로 정보를 활용하고 있다. 사람들은 이런 회사에서 어떻게 자신의 신용도가 평가되는지 모른다. 

 

이런 문제는 근심스러운 결과를 낳고 있다. 국제프라이버시(Privacy International)의 최근 보고서에 따르면, 시장 점유율을 차지하기 위해 디지털 기술을 사용하는 금융 기업들은 대출자의 상환능력을 평가하기 위해서 망설임 없이 비밀 정보를 이용한다고 한다. 정치 활동, 전화, 메시지, 사용한 애플리케이션, 위치 정보, 작성한 각종 양식 등을 이용한다.(6) 게다가 빅데이터 분석을 토대로 예측과 조정을 하는 자동 프로그램들은 상환능력을 평가하기 위해 더욱 깊숙이 개인정보에 침투하는 방법을 동원한다. 최근 기사에 따르면 일례로 개인의 외모로부터 범죄 성향을 판단할 수 있다고 한다.(7) 인공 지능 연구자들은 사람의 얼굴로부터 건강과 성적 취향을 예측한다. 사람의 사진은 구글이나 페이스북에서 쉽게 얻을 수 있다.(8)    

 

자동 정보시스템은 암 퇴치나 해킹에 대비한다는 측면에서 중요한 혁신이지만 사람에 대한 부작용도 야기하고 있다. 예측적인 분석을 위해 신용카드를 사용하는 우리 일상이 관찰당하고 있다는 것을, 특히 정신과 관련된 일상이 관찰당하고 있다는 것을 우리는 알고 있다. 부부상담치료를 받는 부부는 다른 부부보다 이혼 할 가능성이 높다는 것이 통계적으로 드러났다. 그런데 부부의 불화는 (이혼 후) 미래에 재정적으로 어려워질 수 있다는 신호로 여겨진다. 부부상담치료를 받는 커플에 대해 금융기업이 감점을 매기는 것은 입법자들에게 딜레마를 안겨준다. 입법자들이 개인정보 보호에 중점을 둔다면, 신용카드 사용자의 상환능력과 관계된 중요한 단서를 숨기는 게 된다. 그렇다고 개인정보 활용을 허용한다면, 커플들은 패널티가 두려워 관계 개선을 위한 치료 자체를 거부할 수 있다.

 

부부상담치료와 금융 연체 사이의 상관관계가 확인된 적은 없지만 개인 신용도를 결정하는 데는 활용된다. 임신처럼 객관적으로 확인할 수 있는 경우 때로 좋지 않은 결과가 나올 수 있다. 그리고 ‘게으른’ ‘신용도가 낮은’ ‘재정적으로 어려운’과 같은 카테고리로 분류된 이들에게는 최악의 결과가 나올 수 있다. 디지털이라는 연금술이 새로운 아날로그적 현실을 창조하는 이 시대에 온라인에 떠도는 정보들은 계속해서 염려스러운 상황을 야기할 수 있다. 한 정보시스템이 어떤 사람에 대해 직업적으로 책임감이 없으며, 소비 방식이 불안정하고, 신용도가 위험하다고 평가해버리면, 다른 경제 정보시스템에서도 신용도가 수없이 바뀔 수 있다. 당국은 금융 기업의 기능을 규제하고 평가해야하며, 특정한 추론을 금지시켜야 한다. 예를 들어 대출자 상환능력 평가에 위치정보가 쓰이면 빈곤 지역과 관계된 사람의 신용 대출을 거절하게 만들 수 있다.

 

 

평범한 시민들의 인생은 끊임없이 국가의 감시를 받는 데 비해, 힘 있는 기업들은 시민을 보호하려는 정부에 그들의 정보와 알고리즘을 감춘다. 왜 공권력은 좀 더 열심히 기업들의 부정행위를 추적하지 못하는 것일까? 구글과 페이스북의 서비스 상태를 보면 이들은 강력한 감시를 받아야 한다. 합법적이고 기술적인 감시는 이미 존재한다. 정보기관들은 ‘테러리즘과의 전쟁’이라는 명분으로 전 세계에서 열심히 활약하고 있다. 사생활 침해에 반대하는 전쟁은 정보기관의 활동 영역에 새로운 방향을 제시할 것이다.

 

정보의 출처를 조금이라도 알아내기 위해 감시기관은 자동시스템의 프로세스를 감시할 수 있어야만 한다. 자동시스템도, 예측 분석도 제어하기 힘들 정도로 복잡하지 않다. 인공지능에 의지하는 일부 금융 기업은 아마도 인공지능이 도출해낸 결과가 인간의 결정 프로세스만큼 섬세하다고 반박할 것이다. 규제 완화를 정당화하는 이런 논거를 불신할 필요가 있다. 재계로부터 찬양받는 인공지능이 인공바보가 될 수도 있고, 최악이 될 수 있다. 

 

감시를 쉽게 해주는 여러 실용적인 정책들도 이미 존재한다. 감시기관은 통계 자료 수집에 쓰인 정보를 알려 달라고 요구할 수 있다. 물론 5월 25일 발효되는 EU정보보호규정(GDPR)에 의거해, 시민들은 자신의 계좌에 담긴 거래 정보를 판단하는 자동 프로세스 프로그램의 공개를 요구할 수 있다. 이런 ‘설명 받을 권리’는 보편적인 인간의 권리에 들어가야 하며, 알 수 없는 디지털 결정들이 우리의 일상생활에 깊숙이 침투하는 일은 사라져야할 것이다. 

 

(인공지능에 대한) 대중의 신뢰 회복을 위해 감시기관은 지체 없이 관련 기업들이 정보와 알고리즘을 공개하도록 독촉해야 할 것이다. EU정보보호규정의 ‘설명 받을 권리’와 같은 법 제정은 표현의 자유를 떠받칠 것이다. 기업들이 알고리즘이 너무 복잡해서 밝힐 수 없다고 한다면, 정부는 정보사용을 금지시켜야 한다. 무엇보다 정보사용에 대해 가장 핵심적인 규제가 이뤄져야 한다. 정부가 상환능력이나 안면인식을 자료로 범죄성향을 연구하는 것을 금지하기는 어려울 것이다. 전체 정보 속에서 부적절한 상관관계를 통해 도출된 결과라 해도, 연구를 어떻게 통제할 수 있을까? 예를 들자면 우리는 은행이 신용대출자를 선별하는 것을 금지할 수 있다. 또는 대학에서 개개인을 어릴 적 데이터에 따라 평가하고 학생을 선발하는 것을 금지할 수 있다. 

 

정부의 개입이 개인의 판단력보다 중요하다. 다음과 같은 시나리오를 상상해보자. 정보들이 투명하게 유통된다. 본인과 관련한 소소한 정보의 발자취를 브로커부터 최종 사용자까지 추적할 수 있다. 부정확한 정보에 대해서는 이의를 제기할 수 있다. 원한다면 판매자들이 최고의 자료를 가지도록, 당신의 취향, 흥미와 실현에 맞는 최신 버전을 갖추도록 스스로 여러 버전의 디지털 자료를 만들 수 있다. 

 

평판과 관련한 개인정보는 공포감을 느끼지 않을 수 없다. 무엇보다 정보 유출이 날로 증가하고 있는 오늘날, 개인들이 새로운 프로그램과 전문가의 도움을 받더라도 정확히 어디서 그리고 어떻게 본인이 특징지어졌는지 알기 어렵다. 또한, 많은 경우 실제 정보들이 차별 등 부당한 목적에 악용될 수 있다. 예를 들어 신용 회사는 대출 이자율을 높이기 위한 구실로, 부부상담 치료비 항목이 마치 상환능력 결핍 요소인 것처럼 프로그래밍할 수도 있다는 것이다. 건강, 의료비 지출이 신용도 조건을 결정짓는 요소가 돼서는 안 된다. 유전자는 의지와 무관한 것이므로, 채용을 위한 유전자 정보 열람은 이미 금지돼 있다. 그런데 암, 다리 골절, 불안, 우울증 등 건강상 문제가 부부간 갈등을 일으킬 가능성이 있다면, 우리는 이런 문제에 대해 죄책감이라도 가져야 마땅한 것인가? 

 

개인이 빅데이터와 자동 결정 프로세스와 관련된 문제를 제기하기를 기다려서는 안 된다. 개인들은 자신들의 삶을 파괴할 수 있는 수천 개의 데이터를 탐색할 시간이 없다. 정보 활용의 문제점을 파악하는 것은 정부가 해야 할 일이다. 정부는 브로커와 대기업의 서버 목록을 조사하여 의심스러운 정보를 찾아내고 그 출처의 신뢰도를 확인하기 위해 노력해야 한다. 건강 분야에서 미국은 병원에서의 문제 있는 관행을 찾아내기 위해 여러 전문가들을 동원했다. 정보활용 관련 규제를 위한 재원은 정보경제 분야에 세금을 약간만 부과하면 마련 할 수 있다.

 

기업들은 점점 더 자동 프로세스를 사용해 리스크를 평가하고 사업에 반영하고 있다. 이런 프로세스를 지배하는 기업들은 정보경제 분야에서 가장 수익성이 높고 잘 나가는 회사들이다. 과도하게 많은 정보를 정리하기 위해 대부분 비밀 알고리즘을 사용한다. 이런 기술의 활용에 대한 유혹은 미래를 예측하고자 하는 오래된 욕망 속에서 출발했다. 이에 통계라는 절제를 담은 현대적인 손길을 가했다. 

 

이런 비밀 풍토 속에서 가짜 정보들이 진실을 덮고, 잘못된 예측, 더 나아가 끔찍한 예측을 낳을 수 있다. 부정확하고 부적합한 요소들이 알고리즘과 만나면 여러 문제를 유발하고, 실패를 낳게 된다. 합당한 결정을 원하는 시민들의 공개토론은 국가가 디지털 도구를 잘 알고 있기를 요구한다. 정부, 사회기관, 우리의 문화에 영향을 주는 기업의 방식들을 밝힐 필요가 있다. 정보화 시대에 새로운 디지털 귀족들은 자유와 자기 결정을 약속하지만, 그들의 블랙박스는 디지털 과두정치로 세상을 인도하고 있다.   

 

 

글·프랭크 파스칼Frank Pasquale

메릴랜드 대학의 법학과 교수, 저서로는 『Black Box Society 정보와 경제를 지배하는 비밀 알고리즘』, Editions FYP, Limoges, 2015년이 있다.

 

번역·김영란

고려대 불어불문학과 졸업. 한국외국어대 통번역대학원 졸업. 역서로 『완벽한 남자 에마뉘엘 마크롱』, 공역서로 『22세기 세계』가 있다. 

 

 

(1) Ylan Q. Mui, ‘Little-known firms tracking data used in credit scores’, The Washington post, 2011년 7월 16일

(2) Joseph Walker, ‘Data mining to recruit sick people’, Wall Streeet Journal, New York, 2013년 12월 17일

(3) Nicolas P. Terry, 「Protecitng patient privacy in the age of Big Data」, Univertity of Missouri-Kansas Law Review, vol. 81, n˚2, Kansas City, 2012년. Lori Andrews, ‘I Konw Who You Are and I Saw What You Did: Social Networks and the Death of Privacy’, Free Press, New York, 2011년 

(4) ‘Experian sold consumer data to ID theft service’, Drebs on Security, 2013년 10월 20일, krebsonsecurity.com

(5) Mary Ebeling, Heathcare and Big Data. Digital Specters and Phantom Objects, Palgrave Macmillan, Basingstoke, 2016년

(6) Case study: Fintech and the financial exploitation of customer data, Privacy International, 2017년 8월 30일, www.privacyinternational.org

(7) Blaise Agüuera y Arcas & Margaret Mitchell et & Alexander Todorov, ‘Physiognomy's new clothes’, Medium, 2017년 5월 6일, https://medium.com

(8) Sam Levin, ‘LGBT groups denounce “dangerous” AI that uses your face to guess sexuality’, The Guardian, London, 2017년 9월 9일; Barbara Marquand, ‘How your selfie could affect your heatlh insurance’, 2017년 4월 24일, www.nerdwallet.com