지난 11월 27일 9개국 의회 대표들이 영국 런던 국회의사당에서 개인정보 유출과 가짜뉴스 사태와 관련해 페이스북을 상대로 청문회를 열었다. 이날 페이스북 CEO인 저커버그는 참석하지 않았다. ⓒphoto 뉴시스
지난 11월 27일 9개국 의회 대표들이 영국 런던 국회의사당에서 개인정보 유출과 가짜뉴스 사태와 관련해 페이스북을 상대로 청문회를 열었다. 이날 페이스북 CEO인 저커버그는 참석하지 않았다. ⓒphoto 뉴시스

“우리는 당신의 데이터를 보호할 책임이 있으며, 만약 우리가 그렇게 할 수 없다면 우리는 (페이스북) 서비스를 제공할 자격이 없다.”

마크 저커버그 페이스북 최고경영자(CEO)는 지난 3월 17일(현지시각) 영국 가디언과 미국 뉴욕타임스가 페이스북 이용자 개인정보 유출 의혹을 보도한 직후 이렇게 항변했다. 하지만 서비스 보안에 대한 저커버그의 자신감은 오래가지 못했다.

지난 12월 14일 또다시 페이스북 이용자 개인정보가 유출되는 사고가 확인됐다. 이번엔 페이스북 이용자들이 공유하지도 않은 사진이 외부로 유출됐다. 페이스북 측의 설명에 따르면, 이번 사고는 9월 발생한 버그로 인한 것으로, 본인이 공유하지 않은 사진이라도 외부의 ‘제3자’ 앱에서 접근할 수 있었다. 피해를 입은 사용자들은 약 680만명 정도가 되는 것으로 추정됐다. 토머 바 페이스북 엔지니어링부문 이사는 “지난 9월 13일부터 25일까지 발생한 버그로 인해 876명의 개발자가 개발한 1500개의 앱에 영향을 미쳤을 것으로 판단된다”고 말했다. 쉽게 말해 최대 1500개의 앱을 개발하는 과정에 유출된 이용자의 사진정보가 사용됐을 수 있다는 설명이다.

반복적으로 터져나온 페이스북 이용자 개인정보 유출 사고는 페이스북에 대한 시장의 신뢰를 무너뜨리고 있다. 그도 그럴 것이 굵직한 사고가 2018년에만 벌써 세 번째다. 9월엔 5000만명에 달하는 페이스북 이용자의 개인정보가 해킹당하는 사고가 발생했다. 이보다 앞선 3월 17일에 터져나온 ‘내부자 고발’은 페이스북의 데이터 보안에 대한 이용자들의 신뢰를 심하게 흔들어놨다. ‘케임브리지 애널리티카 사건’으로 불리는 이 사고는, 영국 데이터 분석회사 케임브리지 애널리티카가 2016년 미 대선 당시 최대 8700만명에 이르는 페이스북 이용자 정보를 빼돌려 도널드 트럼프 캠프에 제공했다는 내용이었다. 사고가 알려진 직후, 저커버그는 이 사고의 책임을 ‘부도덕한 앱 개발자의 소행’으로 돌렸다. 앱 개발자가 페이스북이 개발한 오픈그래프(Open Graph)에 접근해 페이스북 이용자 관련 정보를 맘대로 긁어갔으며, 나아가 부정한 목적으로 사용했다며 비판했다.

2018년에만 세 번째 유출 사고

그러나 이 과정에서 페이스북이 이용자의 정보를 동의 없이 수집해 ‘믿을 만한’ 기업에 제공해왔다는 사실이 드러났다. 영국 의회가 공개한 자료에 따르면 페이스북은 자사와 파트너십을 맺거나 선호하는 기업은 ‘화이트리스트’ 기업으로, 트위터 등 경쟁사는 ‘블랙리스트’로 분류해 차별적으로 개인정보를 제공해왔다. 에어비앤비, 넷플릭스, 리프트 등 화이트리스트 기업엔 회원 개인정보 접근권을 줬고, 반대의 경우엔 접근권을 차단했다는 것이다. ‘이용자수 1위’의 소셜미디어인 페이스북에 대한 대중의 신뢰는 회복하기 어려운 수준으로 하락했다.

개인정보 유출 사고는 비단 페이스북만의 문제는 아니다. 또 다른 IT공룡 구글도 개인정보 유출로 여러 차례 홍역을 겪었다. 지난 11월 구글의 소셜미디어인 구글플러스에서 5000만명이 넘는 이용자 개인정보가 앱 개발자 등 제3자에게 노출되기도 했다. 노출된 개인정보에는 이름, 이메일 주소, 실거주지 주소, 직업, 나이 등이 포함됐다. 소셜미디어의 사용이 확산된 오늘날 이용자들의 기본 신상정보부터 취향, 정치적 성향까지 모든 데이터가 소셜미디어의 데이터베이스에 모인다. 구글플러스와 페이스북은 이러한 데이터를 기반으로 서비스를 제공한다는 공통점이 있다.

소셜미디어를 기반으로 하는 기업의 비즈니스 모델은 방대한 이용자 데이터 위에 놓여 있다. 이들 기업은 자신들이 구축한 플랫폼 생태계 내에서 이뤄지는 모든 사용자 정보를 사용자가 인식하지 못하는 사이 수집하고, 그렇게 모인 데이터를 분석해 활용하는 방법으로 수익을 창출한다. 이들의 비즈니스 모델은 이미 잘 알려진 사실이며 기업도 이런 사실을 굳이 감추려 하지 않는다. 지난 4월 미 상원 청문회에 출석한 저커버그가 ‘페이스북이 어떻게 돈을 버느냐’는 한 의원의 질문에 “광고를 한다”고 답한 것은 페이스북과 같은 소셜미디어 업체의 비즈니스 모델 구조를 집약적으로 보여준다.

문제는 페이스북 서비스를 만들고, 이용자 데이터를 외부업체에 제공하고, 이 데이터를 이용해 제3의 서비스를 개발하는 과정에서 ‘유출’이 발생할 여지가 언제나 있다는 점이다. 개발자와 광고주들이 일단 데이터를 확보하면 이들이 그 정보로 무엇을 하는지 감시하는 것은 사실상 불가능한 구조다. 소셜미디어를 이용하는 사람들은 늘 개인정보가 노출될 위험이 있는 셈이다. 업계에서 앞으로도 상황이 크게 바뀌진 않을 것이라고 전망하는 이유다.

개인정보 유출은 이용자에게도 막대한 피해를 입히지만, 기업에도 커다란 리스크이긴 마찬가지다. 개인정보의 보안 문제가 오늘날 기업 가치에 막대한 영향을 미치기 때문이다. 실제로 ‘케임브리지 애널리티카 사건’ 보도가 나온 직후인 3월 19일과 20일, 주식시장에서 페이스북은 500억달러(약 56조원) 손실을 봤다. 12월 현재 페이스북 주가는 올초 대비 22%가량, 지난 7월 고점과 비교해서는 34%가량 폭락했다.

이탈리아서 12억7000만원 벌금 부과

특히 지난 5월 25일부터 유럽연합(EU)에서 개인정보보호법(GDPR)이 시행되면서 페이스북은 유럽연합(EU)에서 막대한 벌금폭탄도 피할 수 없게 됐다. GDPR은 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 규정으로, 개인정보를 유출한 기업에 막대한 벌금을 부과하고 있다. 이에 따라 이탈리아 정부는 12월 페이스북에 100만유로(약 12억원7000만원)의 벌금 결정을 내렸다. 9월에는 영국이 50만파운드(약 7억원) 벌금을 부과했다. 페이스북이 사용자에게 상업적 목적의 정보를 제대로 알리지 않았거나 제3자에게 무단으로 정보를 제공했다는 등의 이유였다. 재정적 손실뿐만 아니라 고객 자체를 잃을 위험도 있다. 실제로 정보 무단 유출 사건으로 사용자의 신뢰를 잃은 케임브리지 애널리티카는 결국 4월에 폐업했다.

관련 업계에서는 잇단 사고의 배경으로 페이스북의 초조함을 지목하기도 했다. 페이스북은 2013년 이후 줄곧 일일 이용자수 감소 및 이탈이라는 현상과 싸워왔다. 이용자수 감소는 광고 기반의 페이스북 수익모델에 치명타다. 이용자에게 새로운 서비스를 계속 제공하며 붙잡아둬야 한다는 부담감 속에 외부 업체에 대한 데이터 접근 권한을 관리하는 데 있어 허점을 계속 보인다는 지적이 나오고 있다.

유럽 개인정보보호법(GDPR)

유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정이다. 지난 5월 25일부터 EU 각 회원국에서 시행됐다. EU 시민의 데이터를 활용하는 경우 GDPR을 준수해야 한다. GDPR의 주요 항목은 △사용자가 본인의 데이터 처리 관련 사항을 제공받을 권리 △열람 요청 권리 △정정 요청 권리 △삭제 요청 권리 △처리 제한 요청 권리 △데이터 이동 권리 △처리 거부 요청 권리 △개인정보의 자동 프로파일링 및 활용에 대한 결정 권리 등이다.

김경민 코인와이즈 객원기자
저작권자 © 주간조선 무단전재 및 재배포 금지