[해외 DS] 틱톡 금지해도 소용없다? 미국 데이터 보안의 딜레마

미 하원, 틱톡 금지 법안 압도적 다수로 승인
틱톡 아니어도 미국인의 개인정보는 이미 심각한 위협에 처해
정치적 편의가 아닌 개인정보 보호를 위한 고민과 규제가 필요한 때

[해외DS]는 해외 유수의 데이터 사이언스 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 저희 데이터 사이언스 경영 연구소(GIAI R&D Korea)에서 콘텐츠 제휴가 진행 중입니다.

---

지난주 미 하원은 틱톡을 미국 내에서 금지하는 법안을 압도적 다수로 승인했다. 틱톡이 중국을 제외한 나라의 모회사에 매각되지 않는 한 미국에서의 사용을 전면 금지하겠다는 것이다. 또한 조 바이든 대통령과 일부 미국 의원들은 틱톡을 가리켜 잠재적인 국가 안보 위협이라고 부르며, 중국 공산당이 미국 내 1억 5천만 사용자의 민감한 데이터를 수집하는 데 틱톡을 사용할 수 있다고 경고했다.

그러나 홍콩의 민주화 시위대와 관련된 매우 제한적인 증거만 있을 뿐, 틱톡의 모회사인 바이트댄스가 중국 정부와 내통해 사용자 데이터를 직접 공유했다는 증거는 어디에도 없다. 이에 여러 개인정보 보호 전문가들은 틱톡만 문제 삼는 것은 근본적인 해결책이 아니라고 지적했다. 디지털 데이터의 글로벌 거래가 계속 확대됨에 따라 민감한 정보에 접근할 수 있는 다른 많은 방법이 존재하기 때문이다. 단순히 하나의 앱을 제재한다고 해서 데이터 보안 문제가 해결될 수는 없는 것이다.

정치적 드라마 같은 틱톡 금지 법안

디지털 프라이버시와 온라인 표현의 자유를 옹호하는 비영리 단체인 전자 프라이버시 정보센터(EPIC)의 캘리 슈뢰더(Calli Schroeder) 변호사는 틱톡을 금지하려는 시도는 “일종의 정치적 연극”이라며, “입법자들은 이 법안이 문제의 근본을 해결하지 못한다는 것을 잘 알고 있지만, 노력한 것처럼 보이기를 원한다”라고 비꼬았다. “지금 당장 틱톡을 없애도 중국은 미국인의 개인 정보를 크게 잃지 않을 것이다”고 그는 덧붙였다.

또한 틱톡 금지법은 해석에 따라 법적 논란이 가중될 여지가 있다. 틱톡은 이미 모든 연방 기기와 미국 대부분의 주에서 발급한 기기에서 사용이 금지됐다. 몬태나주에서는 작년에 틱톡 금지 법안이 통과되었지만, 몇 달 후 연방 판사가 이를 막았다. 판사는 금지 조치의 합헌성에 의문을 제기하며 “주정부의 권한을 넘어선 것”이라고 판단한 것이다. 최근 하원에 상정된 법안(공식 명칭은 H.R. 7521)은 미국 사용자의 정보·온라인 플랫폼 접근을 제한하는 것이기 때문에 분명히 몇 가지 심각한 법적 문제와 헌법 수정 제1조를 침해하는 문제를 포함하고 있다.

많은 기술 정책 분석가들은 이 법안이 의회를 통과하든 통과하지 못하든, 금지법을 요구하는 의원들의 주장에 반박할 가치가 있다고 말한다. 이미 “수많은 애플리케이션과 소셜 미디어 서비스가 우리의 데이터를 수집하여 판매하거나 전 세계로 유출하는 일이 항상 일어나고 있어”, “하나의 애플리케이션에 대한 접근을 금지한다고 해서 중국이나 다른 나라로부터 미국인의 데이터가 안전하거나 보안이 확보되는 것은 아니다”고 비영리 시민권 단체인 민주주의와 기술센터(CDT)의 케이트 루안(Kate Ruane) 변호사는 강조했다.

미국인의 프라이버시, 더 이상 안전하지 않아

아울러 미국 리치몬드대학교의 사이버 법률 및 개인정보 보호의 앤 투미 맥케나(Anne Toomey McKenna) 교수에 따르면 중국 기업이 소유하고 미국 사용자의 데이터를 수집하는 앱은 틱톡이 유일하지 않다고 말한다. 메시징 앱인 위챗, 결제 플랫폼인 알리페이 등도 사용자 데이터를 수집하고 있다. 맥케나 교수는 “특히 틱톡을 표적으로 삼는 것은 미국인의 데이터 보안과 프라이버시를 보호하기 위한 효과적인 법안이라기보다는 정치적인 드라마로 보인다”고 해석했다.

그리고 미국인의 프라이버시를 위협하는 온라인 위협은 비단 이런 앱들만 있는 것은 아니다. 이미 많은 국내외 기술 기업들이 엄청난 규모와 깊이로 사용자 데이터를 수집하고 있다. 심지어 이러한 데이터의 대부분은 데이터 브로커를 통해 합법적인 시장에서 전 세계적으로 거래되고 있다. NATO 전략 커뮤니케이션 센터의 2020년 연구 보고서에 따르면 미국에 본사를 둔 최대 데이터 브로커 중 하나인 라이브램프(LiveRamp, 이전 Acxiom의 자회사)는 미국의 모든 소비자에 대해 약 3,000개의 데이터와 전 세계 25억 인구 각각에 대한 최대 1,500개의 데이터 포인트를 축적했다고 한다. 정보는 휴대전화, 스마트 스피커, 커넥티드 카, 데이트 앱, 현관 카메라, 또는 기타 인터넷에 연결된 모든 기기에서 수집될 수 있다. 페이스북이나 인스타그램과 같은 소셜미디어 서비스를 초기 비용 없이 이용할 수 있는 것은 바로 이 때문이다. 공짜 점심이 없듯이 이용자들은 자신들의 데이터로 사용료를 지불한 것이다.

이론적으로 이러한 데이터는 익명으로 처리되어 기술 회사와 광고주 간에 거래되기 때문에 더욱 세분화된 잠재고객을 대상으로 마케팅 활동을 펼칠 수 있게 한다. 최근 컨슈머리포트가 약 700명의 페이스북(현 메타) 사용자를 대상으로 분석한 결과에 따르면, 각 사용자의 데이터는 평균 2,230개의 회사가 페이스북과 공유한 것으로 나타났다. 해당 데이터에 포함된 세부 정보(예: 세밀한 위치 추적 정보)는 개인을 쉽게 식별하고 습관, 관심사, 정치적 성향, 소재지, 종교, 심지어 성행위에 대한 많은 것을 유추할 수 있게 해준다. 이에 전 세계 정부와 정보기관이 이러한 데이터에 관심을 두고 있으며 미국도 예외는 아니다. 2023년에 기밀이 해제된 보고서에서 국가정보국장실은 미국 정보기관이 상업 데이터 시장을 이용하여 “거의 모든 사람”에 대해 영장이나 소환장이 필요로했던 것보다 더 많은 “민감하고 친밀한” 정보에 접근할 수 있었다고 밝혔다.

정치적 편의 vs 개인 정보 보호, 데이터 수집 단계부터 규제해야

CDT의 개인정보 및 데이터 프로젝트 공동 책임자인 에릭 널(Eric Null)은 “온라인에서 자유롭게 흐르는 데이터가 너무 많기 때문에 데이터 생태계는 본질적으로 규제를 받지 않는다”라며, 결과적으로 “외국 정부가 민감 정보를 찾는 것은 매우 쉬운 일이 될 것이다”고 바라봤다.

2월 28일 바이든 대통령은 미국 데이터 브로커가 중국, 러시아, 북한 등 특정 국가의 구매자에게 정보를 판매하는 것을 막기 위한 행정 명령에 서명했고, 다른 관련 법안도 하원 위원회를 통과했다. 널은 두 정책 모두 “환영할 만한 접근 방식”이지만, 위치별로 구매자를 리스팅하는 것은 “시행하기 어려운 일”이라고 꼬집었다. 행정명령이나 하원 법안 모두 데이터 브로커가 위치 확인이 어려운 대부분의 구매자에게 데이터를 판매하는 것을 막을 수 없기 때문이다. 게다가 법안은 데이터 브로커가 중개자에게 데이터를 판매하는 것을 막지 못하므로 다른 중개자를 통해 적색 목록에 오른 국가에 데이터를 계속 판매하는 활동은 제한할 수 없게 된다. 또한 공식적으로는 기술 기업을 ‘브로커’로 간주하지 않으므로 기술 기업은 해외 구매자에게 데이터를 자유롭게 판매할 수 있다. 따라서 현재 하원에서 논의 중인 틱톡 법안이 법제화되어 틱톡이 미국 개인이나 기업에 매각될 경우, 법안이나 행정명령에는 새로운 틱톡이 적색 목록에 오른 국가에 직접 데이터를 판매하는 것을 막을 수 없게 된다.

그리고 해당 법안들은 데이터의 합법적인 이동 경로를 규정할 뿐, 디지털 정보를 불법적으로 수집하는 방법은 얼마든지 있다고 국제 개인정보 보호 전문가 협회의 연구 및 인사이트 담당인 조 존스(Joe Jones) 이사는 우려했다. “앞단에서 데이터 수집을 제한하는 효과적인 연방 데이터 개인정보 보호법이나 프레임워크가 없다면 이 문제를 해결할 수 없을 것이다”고 맥케나 교수는 분석했다. 루안 변호사와 슈뢰더 변호사도 이에 동의했다. 그렇다면 유럽연합처럼 데이터 수집 및 판매를 광범위하게 단속하는 일반 데이터 보호 규정이라는 법을 시행할 수는 없을까? 슈뢰더 변호사는 포괄적인 연방 데이터 보호법은 강력한 미국 기술 기업의 로비에 막혀 크게 인기가 없을 것이라며, 미국 입법자들은 “미디어 캠페인과 기부금 손실의 형태로 기술 기업으로부터 상당한 반발에 직면할 것”으로 예상했다. 그런 이유에서 타국 소유의 한 기업을 공격하는 것이 정치적으로 더 편리한 대응이었을 것이다는 분석이 흘러나온다. 앞서 많은 전문가들이 틱톡 금지법을 정치적 드라마에 비유한 이유다.

하지만 정치적 편의를 개인 정보 보호와 맞바꿀 수는 없는 노릇이다. 미국에서 온라인에 접속하는 것만으로도 대부분의 미국인은 이해 여부와 상관없이 자신의 디지털 데이터를 수만 명의 이해관계자와 공유하는 데 자유롭게 동의하고 있다. 슈뢰더 변호사는 “중국이 정보를 오용할 수 있는 권위주의적인 정부로 비치기 때문에 틱톡에 대한 우려가 큰 것”이라며, “사실이 아니라고 말하는 것은 아니지만, 사람들은 왜 미국의 정부와 민간 기업은 이 정도의 침략적 추적을 자행해도 괜찮은지에 대해 질문하게 될 것이다”고 이번 법안의 모순을 짚어냈다.

영어 원문 기사는 사이언티픽 아메리칸에 게재되었습니다.