센서가 부착된 스마트 콘택트렌즈가 눈물 속 혈당수치를 측정해 스마트폰에 보내주고, 스마트폰은 혈당이 위험 수준을 넘으면 사용자에게 알려준다. 카카오톡으로 집 안에 있는 에어컨을 작동시킨다. 시내에 들어서자 비어 있는 주차 공간을 스마트폰이 알려준다. 거울 앞에 서면 내가 지난밤 자면서 흘린 땀과 뒤척인 횟수를 분석해 알려준다. 불과 몇 해 전만 하더라도 상상만 해오던 일들이 현실화되고 있다.
모든 사물이 인터넷으로 연결돼 사물-사물, 사물-사람 간 정보교환이 가능한 사물인터넷(IoT)이 일상생활의 근본적 변화를 몰고 올 태세다. 사물인터넷이 스마트 가전제품, 헬스케어, 커넥티드 카, 스마트 시티 등 다양한 분야에서 필요한 정보를 실시간으로 제공한다.
사물인터넷을 통해 실시간으로 정보가 공유됨에 따라 정보의 이동속도와 양이 급격히 늘었다. 하지만 정보보호의 취약성 또한 커지고 있다. 사물인터넷은 개인의 생활패턴, 건강기록, 결제내역 등 민감도가 높은 정보를 수집하며, 개인의 안전과 직결되는 기능을 수행하기도 한다.
실제 2013년 8월 미국 휴스턴에서 아기를 부모와 다른 방에 재울 때 카메라로 아이 상태를 지켜볼 수 있는 ‘베이비 모니터’를 해킹해 가정 내부를 모니터링하고 마이크 기능으로 아기에게 욕설을 한 사례가 있었다. 또 극단적 예지만 커넥티드 카를 악의적으로 해킹해 브레이크 작동을 조작한다면 운전자의 생명을 위협할 수 있다.
최근 아프리카 모리셔스에서 열린 제36차 개인정보보호 감독기구 국제총회(ICDPPC)에서도 사물인터넷시대의 개인정보보호에 대해 다양하고 진지한 논의가 진행됐다. 각국의 개인정보보호 감독기구 대표들이 모여 사물인터넷으로 인해 발생할 수 있는 개인정보 침해문제와 대응방안에 대해 집중적으로 토론했다.
이번 논의의 핵심은 바로 투명성(transparency)이었다. 사물인터넷 개발자는 어떤 정보가 무슨 목적으로 수집되고, 어느 기간 동안 보유되는지 등이 투명하도록 해야 한다. 고객들이 예상하지 못하는 방법으로 정보를 사용해서는 안 된다. 또 정보주체에게 정보 수집·이용계획을 충분히 이해하기 쉬운 방식으로 알려줘야 하고, 명확한 형태로 알려주지 않았을 땐 이에 기반을 둔 동의 또한 동의가 될 수 없다고 결론냈다. 수집되는 정보는 기기 내에서만 국지적으로 처리돼야 한다. 기업들은 부당한 침해로부터 정보를 보호하기 위해 암호화를 준비해야 한다. 또 서비스 초기 개발단계부터 프라이버시를 고려해야 한다는 ‘프라이버시 바이 디자인(PbD)’ 개념 또한 재차 강조됐다.
대다수 사물인터넷 개발자들은 새 서비스 개발에 비해 개인정보보호에는 상대적으로 관심을 덜 기울인다. 그러나 향후 사물인터넷을 넘어 만물인터넷(IoE)으로까지 나아갈 것이 예상되는 이 시점에서, PbD 개념이 아직 우리 사회의 일부에는 생소할 수 있으나 지금부터라도 중요하게 여겨져야 한다.
기업이 실시하는 개인정보보호를 위한 각종 조치나 대책이 단지 소송으로부터 자사를 보호하기 위한 수단이 아니라, 사물인터넷을 구성하는 본질적 요소라는 인식 변화가 요구되는 때다. 향후 국경을 넘나드는 정보가 많아짐에 따라 국제협력의 필요성 또한 더 커진다. 이번 ICDPPC 국제총회에서도 회원국 간 협력 절차 및 내용에 관한 종합적 합의로서 ‘국가 간 집행협력에 관한 합의’가 채택됐다.
모든 것이 상호 연결된 이른바 초연결사회에서 개인정보보호를 실천하는 것은 기업뿐 아니라 모든 정보주체들의 공동책임이다. 기업은 수집하는 정보내역 및 이용계획을 개인에게 투명하게 알려줘야 하고, 개인들은 개인정보 문제에 관심을 철저히 기울여야 한다. 정부는 사물인터넷 진행상황을 지속적으로 모니터링하고, 관련 각종 국제협력 프로그램에도 적극 동참해야 할 것이다. 또 사물인터넷 환경에 대응하기 위한 방안으로서 위치정보법 등 기존 법률의 개정, 분야별 가이드라인 마련, 사물인터넷 통합법 제정 등 다양한 논의가 진행되고 있는바, 면밀한 논의를 거쳐 빠른 시일 내에 가닥을 잡아야 할 것이다.
전충열 개인정보보호위원회 상임위원 crjeon211@hanmail.net