사용자 단계가 아니라 아예 설계 단계에서부터 프라이버시 보호
유럽연합과 미국 정부 기관 등에서는 이미 PBD 적용 중

[보안뉴스 문가용] 세계는 점점 가깝게 연결되고 있다. 웹에 접근이 가능한 모바일 기기들이 늘어나고 사용자의 매 걸음을 추적할 수 있는 스마트한 소프트웨어가 등장함에 따라 이 현상은 더욱 피부에 가까워지고, 또 가속화되고 있다. 그렇게 개개인이 의식적으로든 무의식적으로든 발생시키는 정보는 누가 얼마나 통제할 수 있는가에 대한 문제가 정부, 산업, 소비자, 여러 시민 단체의 화두다.
 


그래서 정부와 기업 단계에서 개인의 프라이버시를 보호할 수 있는 방법을 모색하고 있는데, 사용자 자신이 지켜야 한다는 의견에서부터 소프트웨어나 모바일 기기의 설계 단계에서부터 프라이버시 보호에 대한 배려가 필요하다는 의견까지 다양하게 나오고 있다. 그 중에 PBD, 즉 Privacy by Design(프라이버시를 고려한 설계)이란 개념이란 것이 출현하기도 했다.

PBD란 사용자 제어와 정보의 공유에 있어 시기나 방법을 선택할 수 있는 자유에 초점을 맞춘 ┖과정┖에 대한 제안이다. 처음 캐나다 온타리오 주의 정보와 프라이버시 위원회에서 근무하고 있던 앤 카부키안(Ann Cavoukian)이 고안했다. 현재 앤 카부키안은 라이어슨 대학에서 프라이버시와 빅 데이터 학장으로 근무 중이다.

최초 고안자인 카부키안에 의하면 프라이버시라는 건 전 세계가 공통으로 이뤄내야 할 과제다. 어느 한 나라나 기관에서 존중한다고 해력되는 문제가 아니라는 것이다. 또한 기술의 발달이 프라이버시의 침해를 수반한다는 전제와 현상을 받아들이지 않겠다는 것 역시 그의 입장이다. 그런 걸 당연하게 받아들이다보면 프라이버시에 대한 감각 자체가 마비된다는 게 그 이유다. 프라이버시는 ‘비밀스런 것’이 아니며 개인이 온전히 통제할 수 있어야 한다.

“좀 더 큰 그림을 그려야 합니다.” 프라이버시를 관리하는 데 있어 가장 중요한 건 ‘상황’이라는 말을 덧붙였다. 게다가 스노우든 사태 이후 전 세계가 정부의 검열이나 정보 통제 현상을 인지하게 되었고, 그래서 프라이버시에 민감하게 된 지금이 큰 그림을 그릴 수 있는 적기라고 주장한다.

카부키안은 “현재 PBD가 세계 표준으로 자리잡아 가고 있다”며 “현재 37개 언어로 번역되어 전파되고 있다”고 밝혔다. UN과 미국 정부 역시 PBD가 기술 발전에 발맞춘 프라이버시 보호에 꼭 필요한 요소라고 인정했다. NIST 또한 엔지니어링과 표준 구축에 PBD를 적극 차용하고 있는 움직임을 보이고 있다고 한다.

PBD의 핵심은 능동성이다. 그저 최소한의 법률과 규제를 지켜내는 것만으로 프라이버시를 지킬 수는 없다는 것이다. 프라이버시 보호를 능동적으로 해내기 위해서는 소프트웨어 자체에 디폴트 세팅으로 프라이버시 기능을 장착시켜야 한다. 최근 소프트웨어들이 가지고 있는 프라이버시 옵션들은 과도하게 복잡한 경향이 있다. 이는 소비자들의 외면을 받기 딱 좋다는 의미다. 하지만 이럴 필요가 없다. 프라이버시 기능은 아예 처음부터 삽입이 가능하다.

최근 이 PBD를 도입한 영역은 대표적으로 아홉 가지가 있다. 대규모 통행체계에서의 감시 카메라, 카지노 등에서 사용하고 있는 바이오인증 시스템, 스마트 미터와 스마트 그리드, 모바일 통신, NFC, RFID 등의 센서 기술, ID 위치정보, 원격 건강 관리 시스템, 빅 데이터 및 분석이 바로 그것이다.

국제적으로는 EU와 미국 정부는 국가마다 다르게 취급하는 프라이버시를 균일하게 맞춰보려는 노력을 공조하고 있다고 정보 정책 리더십 센터장인 보자나 벨라미(Bojana Bellamy)는 설명한다. “여기에 PBD가 많이 응용되고 있죠.” 법과 문화의 측면에서 프라이버시에 대한 균등하고 통일된 이해를 바탕에 두기 위해 PBD가 사용되고 있다는 것이다.

유럽 및 국제 단체에서는 프라이버시를 위기관리의 관점에서 바라보고 있다는 게 벨라미의 설명이다. 정보 프라이버시가 내포하고 있는 잠재위험이 무엇인지, 그런 위험에 대비한 위기관리의 역할이 무엇인지, 어떻게 해야 최고의 결과를 만들 수 있을지, 개인 정보를 보호하면서도 사용의 효율성을 높일 수 있는 방법에는 뭐가 있을지를 연구하고 있다는 것.

미국 연방 정부들은 이미 PBD를 어느 정도 적용한 운영을 보이고 있다. 방금 말한 NIST에서는 그 일환으로 프라이버시에 대한 일반 사용자의 이해도를 높이기 위해 보고서나 문건을 만들 때 법적 설명을 줄이고 최대한 간편하고 친절하게 풀어놓으려는 노력을 보이고 있다. 연방거래위원회는 기존의 연방정보처리 표준을 재해석해서 적용하고 있다. 즉, PBD 개념을 포함시키고, 사용하기 쉬운 프라이버시 옵션들을 사용자에게 제공하며, 정보 접근 과정의 투명성을 구축한다는 것이다.

특히 연방거래위원회의 경우 소비자 프라이버시 보호를 위해 정책을 활발하게 재검토하고 있다는데, 여기에는 예를 들어 아동의 정보를 다루는 데에 있어 부모와 어느 선까지 알리고 권한을 주어야 할지 검토하고 있다. 뿐만 아니라 가입된 기업들 중 고객 보호에 실패한 기업들의 개선 작업에도 적극적으로 뛰어들고 있다. 세계는 PBD 개념을 이미 적용 중에 있다.
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>