신뢰라는 말을 파헤칠 수밖에 없었던 한 주가 지나갔다. 아무래도 ‘신뢰’라는 말에 대한 합의부터 끌어내는 게 먼저인 듯한 상황이다.
[보안뉴스 문가용 기자] 2024년 3월 2주차 <보안뉴스>가 선정한 키워드는 ‘테크 윤리’다. 이번 주 테크 분야에서 나오는 소식들은 ‘과연 테크 기업들은 일반인들이 기대하고 있는 윤리적인 모습을 충족시킬 수 있을까’하는 의문이 들게 하기 때문이다. 테크 기업들이 딱히 ‘비윤리적’인 모습을 보여서라기보다, 일반 대중과 테크 기업이 바라고 추구하는 가치관이 동떨어져 있다는 사실이 여과없이 드러났다. 그 뿌리에는 ‘신뢰’라는 개념이 있고, 그 신뢰의 배경에는 ‘돈’이 강력한 영향력을 발휘하고 있다.
[이미지 = gettyimagesbank]
신뢰를 와장창 깨트리는 소식들
IT 기술 혹은 테크놀로지가 지배하는 세상이 되면서 우리에게는 새로운 계층의 인물들이 생겼다. 이른 바 ‘인플루언서’라고 하는 사람들이다. 소셜미디어라는 테크 플랫폼을 타고 한껏 날아오른 이들은 기존 ‘브라운관’ 스타들이 누리던 인기를 그대로 누리고 있으며 그보다 더한 영향력을 발휘하고 있다. 테크 분야의 사람들은 아니지만, 테크를 가장 잘 누리고 있는 계층이라고 할 수 있다.
이런 사람들이 돈을 받고 중국의 ‘짝퉁’ 제품들을 적극 광고하고 있다는 소식이 이번 주 와이어드로부터 나왔다. 스니커즈 분야에서 영향력을 발휘하던 틱톡 스타 에반 폭스(Eban Fox)가 판다바이(Pandabuy)라는 웹사이트를 홍보하며 “이전에는 비싸서 살 수 없었던 물건을 반값 이하로 살 수 있는 곳”이라고 주장했다가 해당 영상을 삭제했다고 하며, 이 사건을 좀 더 깊이 들여다보니 여러 소셜미디어 인플루언서들이 판다바이와 같은 수상하도록 저렴한 물건을 판매하는 사이트들을 홍보하고 있었다고 한다. 판다바이 스스로도 작년 1만 5천 명 이상의 인플루언서들이 마케팅 프로그램에 참여했다고 자랑하고 있다.
일부 인플루언서들의 일탈을 가지고 무슨 ‘테크 윤리’씩이냐 논하냐고 질문할 수 있다. 그렇다면 점점 강력한 테크 업체로 변해가는 자동차 회사들에서 나온 소식은 어떨까? 이번 주 뉴욕타임즈는 자동차 회사들이 IT 기술을 차량에 탑재시킨 뒤, 이 기술을 통해 운전자의 운전 습관 정보를 아무런 사전 동의나 고지 없이 수집했고, 심지어 보험사에 판매하고 있다고 보도했다. 그래서 사고 이력이 하나도 없던 65세 운전자가 갑자기 21% 오른 보험금 고지서를 받아 당황했고, 다른 보험사들을 알아봤을 때도 비슷한 가격이 책정됐다고 한다. 자동차 회사가 한 군데도 아니고 여러 보험사들과 정보를 공유했다는 것이다.
그 정보의 양도 어마어마했다. 6개월 동안 한 운전자를 추적해 기록한 문건이 130여 페이지에 달했을 정도라고 한다. 어느 정도의 거리를 몇 분만에 주파했는지, 그러는 동안 가속 페달을 얼마나 어떻게 밟았는지가 상세히 보고되었다. 그 운전자는 “배신감이 느껴진다”고 밝혔다. “나도 모르는 나의 습관을, 나도 모르게 수집해, 내 뒤에서 보험사들과 담합함으로써 보험금을 높였다”고 그 무사고 운전자는 억울함을 토로했다. 전과 기록이고 뭐고 아무 것도 없지만 범죄를 저지를 ‘가능성’만 가지고 사람을 체포하는 세계관이 그려진 영화 ‘마이너리티리포트’가 생각나는 대목이다. 기사 속 운전자의 경우, 일으키지도 않은 사고에 대한 벌금을 미리 내야 하는 상황에 처한 것이나 다름 없다.
[이미지 = gettyimagesbank]
이런 행위들이 문제가 되면서 데이터 브로커라고 분류되는 업체들에도 시선이 쏠리기 시작했다. 이들은 각종 데이터를 이 기업에서 저 기업으로 옮기는 ‘중개자’ 역할을 담당하는데, 그 데이터에 각종 민감 데이터가 섞여 있어 문제가 되고 있다. 정확한 위치정보, 아동들의 개인정보, 의료 기록 등도 거래한다고 브로커들 스스로가 인정했다. GDPR이 이미 5년 전에 시행된 지금의 세상에서 이런 기업들이 존재한다는 것 자체가 의아스럽지만 놀랍게도 데이터 브로커는 아직 일부 국가에서 합법적인 사업 행위다. 일부 국가 중에는 데이터 프라이버시와 보안이 국가적으로 강조되는 미국도 포함되어 있다. 다만 데이터 보호와 관련된 여러 규정들이 신설되면서 데이터 브로커에 대한 규제가 조금씩 도입되고 있기는 하다.
그런 규정들 중에는 작년 10월부터 시행되기 시작한 ‘삭제법(Delete Act)’이 있다. 개인정보 당사자의 요구가 있을 때 즉각 정보를 삭제해야 한다는 내용이다. 아동개인정보보호법도 조만간 개정될 내용으로, 국회를 통과하기만 한다면 데이터 브로커들의 아동 정보 거래 행위가 금지될 것으로 예상되고 있다. 아무래도 한 나라의 법이라는 게 모두의 상생을 먼저 생각해야 하다 보니, 데이터 브로커들이라 하더라도 한 번에 금지시켜 생계를 곤란케 할 수는 없고, 그래서 시간을 둬가며 하나씩 금지 조항을 늘리고 있는 모양새다. 다만 그 시간 동안 데이터 브로커들이 다른 사업 아이템을 찾는 게 아니라 편법의 방법을 고안할 것이라는 생각이 먼저 드는 건, 그들에 대한 신뢰가 어지간히 희박하기 때문이다.
법과 규정이 만드는 ‘신뢰’
‘별 문제가 없던 사업자’였던 데이터 브로커가 규정 좀 바뀌었다고 서서히 ‘규제가 필요한 사업자’가 되어가는 것은 ‘대 개인정보 보호’의 시대에 맞는 흐름이다. 새 시대의 윤리라고도 할 수 있다. 데이터 브로커들에게는 안타까운 추세이지만 어쩔 수 없다. 그런데 시대가 법과 규정을 통해서 요구하는 윤리관이 더 있으니 바로 ‘상호호환성(interoperability)’이다. 다른 말로 ‘반독점’이라고 표현되기도 한다.
[이미지 = gettyimagesbank]
올해 3월 6일은 유럽연합과 빅테크들에 있어 기념비적인 날이었다. 바로 이날부터 유럽연합의 디지털 마케팅법(Digital Marketing Act)이 실질적으로 시행되었기 때문이다. DMA라고 줄여서 부르는 이 법은 이미 2022년 11월 1일부터 시행됐으나 올해 3월 6일이 중요한 건 이날까지 빅테크들이 DMA를 어떻게 준수할 것인지 구체적인 계획을 보고서에 담아 제출해야 했기 때문이다. 빅테크라 함은 아마존, 애플, 알파벳, MS, 메타, 바이트댄스다. DMA는 영향력이 지대한 이 여섯 개 기업들이 서드파티 업체들과 좀 더 공정한 경쟁을 해야 한다는 것을 골자로 삼고 있으며, 그러기 위해 왕국처럼 쌓아올린 거대 플랫폼들에 상호보완성을 대폭 더하라고 요구하고 있다.
빅테크들은 일단 마감일에 맞게 보고서를 제출했다. 순응했다. 애플리케이션 스토어들을 통해서만 결제가 되던 정책을 완화시켰다. 다른 앱을 통해서도 이들 빅테크의 고유 메신저 앱이 활용될 수 있도록 API 정책도 바꿨다. 자기 플랫폼에서 자기 상품을 가장 먼저 띄우고, 자기 상품을 디폴트로 삼았던 관례(예를 들어 안드로이드 모바일 생태계에서 구글 검색 엔진이 디폴트로 설정되던 것이나 윈도 환경에서 에지 브라우저가 디폴트인 것 등) 역시 폐지될 것이라고 한다. 이것이 실효성을 얼마나 가질 것이냐에 대한 의문이 제기되고 있기는 하지만 아무튼 법이라는 거대한 시스템은 상호호환성이라는 윤리를 새롭게 강조했다.
이를 통해 빅테크들은 유럽 시장의 신뢰를 회복할 수 있을까? 아니, 이게 신뢰와 관련된 문제이긴 할까? 상호호환성을 강조하며 ‘어기면 당신은 반독점하는 기업’이라는 굴레를 씌울 것이므로, 그리고 시장을 독점하고 있는 회사는 소비자들의 반감을 사는 것이 일반적이므로, 신뢰와 아주 관련이 없지는 않다. 아직은 기업의 논리보다 유럽연합과 같은 입법 기관의 움직임에 더 신뢰를 실어주는 게 일반적이기도 하다. 그도 그럴 것이 빅테크 기업들이 자처해서 데이터 브로커 사업을 벌였던 전적을 수없이 가지고 있기 때문이다.
확실한 건 유럽연합은 유럽의 기업들로부터 신뢰를 받게 됐다는 것이다. 유럽의 테크 기업들을 미국과 중국의 거인들로부터 보호하겠다고 만든 것이 DMA이기 때문이다. 사실 GDPR도 그런 의도와 관련이 없지 않다. 애초에 유럽연합이라는 단체가 결성된 이유에도 시장 논리가 개입되어 있다. 2차대전 이후 더 이상 유럽 국가들끼리 피 흘리지 말자는 의도도 크게 작용했지만 그 시작은 유럽석탄철강공동체였다. 석탄과 철강을 보다 자유롭게 이동시키고 거래하자는 일부 유럽 국가들만의 연합체가 지금 유럽연합이라는 정치적(으로 보이지만 매우 상업적인) 단체의 모태인 것이다. DMA는 유럽연합의 존재 의의를 단적으로 보여주는 사건이라고도 할 수 있다.
신뢰, 의외로 돈의 단위
보안 업계의 오랜 인플루언서 중 한 명인 브루스 슈나이어는 저서 ‘비밀과 거짓말들(Secrets and Lies)’을 통해 “신뢰는 사회적 비용을 절감시킨다”고 주장했다. 나를 향해 걸어오는 행인 아무개가 나를 공격하지 않을 거라는 사회적 신뢰가 있기에 나는 무장 비용을 아낄 수 있고, 집으로 찾아온 A/S 기사가 악의를 품고 있지 않을 거라는 신뢰가 있어서 경찰 행정력을 낭비하지 않을 수 있다는 것이다. 이런 모든 사건 하나하나를 다 확인하고 공증을 받는다고 상상했을 때 그 비용은 엄청날 것이며, 사회가 이 비용을 감당하느라 제대로 기능하지 못할 가능성도 다분하다. 인증과 확인, 사건 예방과 빠른 해결 등을 통해 결국 신뢰를 구축하려는 보안의 도구들은 그래서 비용 절감의 기능까지도 감당하고 있다는 게 슈나이어의 설명이다.
이 개념을 이번 주 있었던 소식들에 적용하면 어떻게 될까? 유럽연합이 DMA 등의 장치를 통해 신뢰라는 측면에서 빅테크보다 우위에 섰으므로, 당분간 빅테크들에서 이 불균형을 맞추기 위해 더 많은 비용을 쓰게 될 거라는 뜻이 된다. 상대적으로 부족한 신뢰를 돈으로 충당해야 한다. 그래서 우선은 불만이 가득해도 유럽이 정한 마감 일자에 딱 맞춰서 규정 준수 계획안을 제출한 것이기도 하다. 한쪽만 일방적으로 가져가는 신뢰를 나누겠다는 의도다. 그럼으로써 피해를 최소화 하려는 것이다.
대중들의 신뢰를 얻음으로써 비용의 측면에서 이득을 가져가겠다는 기업의 계산은 이번 주 에어비앤비(Airbnb)의 새로운 결정을 통해서도 엿볼 수 있다. 손님을 받는 집 주인들은 그 어떤 감시 카메라도 실내에 설치하지 못하도록 규정을 강화한 것이다. 어떤 손님이 집으로 와서 집과 가구에 무슨 짓을 할지 모르기 때문에 카메라를 설치하는 것인데, 그것보다는 머무는 사람들의 ‘프라이버시’를 중시하겠다는 결정이다. ‘집의 안전’도 중요한 문제지만 현 시점에 소비자들의 신뢰를 가장 빠르게 얻어낼 수 있는 건 ‘프라이버시’ 쪽일 수밖에 없다. ‘이 기업이 나의 집을 아껴준다’와 ‘이 기업이 프라이버시를 존중한다’고 했을 때의 느낌은 사뭇 다르다.
[이미지 = gettyimagesbank]
신뢰와 돈의 방향
여기까지 봤을 때 우리는 한 가지를 깊이 의심할 수 있다. 돈이 가는 방향에 ‘신뢰’라는 윤리관이 새로운 모양으로 미리 조성된다는 것이다. 마치 누군가 물의 길을 내는 것과 비슷하달까. 작년 광풍처럼 몰아쳤던 ESG 유행이 좋은 예시다. ESG가 새로운 윤리라고 권력 기관들이 여기저기서 외치자 기업들은 자신들의 온갖 사업 행위에 ESG 개념을 끼워맞춰 홍보했고, 적잖은 투자가 이어졌다. 입법 기관은 각종 법적 장치를 가지고 ‘이걸 지켜야 신뢰받을 수 있다’고 제시하고, 기업들은 그 가치관에 동조하며 따라간다. 그러므로 그 길에 돈이 자연스럽게 차오른다.
지금은 ESG의 자리를 인공지능이 꿰차고 있다. 인공지능이 새 시대의 키워드다. 다만 이는 입법 기관들이 아니라 기업들 쪽에서 먼저 유도하고 있는 흐름이다. ESG를 하지 않는 기업은 신뢰할 수 없는 기업이라는 인식이 퍼졌던 것(혹은 퍼트리려 했던 것)과 마찬가지로 인공지능을 이용하지 않는 기업은 도태되는 기업이라는 뉘앙스의 농도가 점점 짙어지고 있다. 그래서 기업들은 어마어마한 돈을 인공지능에 쏟아붓고 있다. 돈의 흐름이 이렇게 인공지능 분야로 기울고 있으니, 우리는 인공지능이 알아서 잘 개발될 거라고 신뢰할 수 있을까?
[이미지 = gettyimagesbank]
이번 주 ‘인공지능의 어머니’라고 불리는 페이페이 리(Fei-Fei Li) 스탠포드대학 교수는 바이든 대통령에게 긴급한 탄원서를 제출했다. 인공지능 연구를 진행하는 학계에 좀 더 투자를 해달라는 내용이었다. 현재 빅테크들이 거대한 자본력을 앞세워 학자들을 죄다 빼가고 있다는 설명이 붙었다. 자본의 싸움에서 대학들과 기업들은 상대가 될 수 없다. 메타는 인공지능 연구에 35만 개의 GPU를 동원할 예정이고, 스탠포드대학은 대학 중 꽤나 부유한 축에 속하지만 단 68개의 GPU만 보유하고 있다고 한다. 사기업 인공지능 연구자들이 받는 급여와 대학 연구진들이 받는 급여는 비교가 불가하다. 학계는 점점 줄어들고 사기업의 인공지능 팀은 급하게 불어나는 중이다.
페이페이 리 교수는 이런 현상이 지속된다면 ‘공익을 위한 인공지능 기술 개발과 연구’는 사라지고 ‘개별 기업들의 이윤 논리에 맞춰 개발된 인공지능’만 득세하게 될 것이라고 경고하고 있다. 이미 학계의 연구들마저 ‘기업의 눈에 들기 위한’ 목적으로 진행되는 상황이라고도 한다. 리 교수의 이런 우려는 현재 학계 전체에 팽배하고 있는 공통된 심리라고 워싱턴포스트는 보도했다. 표면적으로라도 공익을 추구하려는 의도로 개발된 인공지능이, 특정 기업의 이윤 추구를 위해 개발된 인공지능보다 신뢰하고 싶어지는 것이 일반 대중의 심리에 더 가깝다.
우리는 신뢰와 돈의 이상적인 형성 순서를 알고 있다. 신뢰할 수 있는 관계를 구축하면 자연스럽게 돈이 따라온다고 말이다. 이것이 반대로 뒤집히면, 즉 돈부터 추구되는 현상이 나타나면 신뢰라는 면에서 부작용이 일어난다. 이번 주 보안 업계에는 충격적인 조사 결과가 하나 발표됐는데, 대량 해고 등으로 갈 곳을 잃고 생계 유지가 어려워진 보안 전문가들이 다크웹의 문을 두드리고 있다는 내용이었다. 낮에는 방어수로 열심히 살다가, 밤에는 공격수(즉, 범죄자)로서 탈바꿈하는 것이다. 경제난으로 생활이 어려워졌기 때문이라는, 심적으로 이해가 가는 이유가 있긴 하지만 이 역시 돈을 먼저 추구한 행위라고 할 수 있다. 그러면서 보안 전문가들에 대한 신뢰에 손상이 갔다.
그렇다고 신뢰부터 형성하려는 움직임이 무조건 옳다고 하기도 힘들다. 유럽연합과 같은 단체나 빅테크들은 이미 가지고 있는 영향력을 이용하여 신뢰의 길을 먼저 터놓고 돈이 따라오도록 유도하는 데 능숙하다. 에어비앤비의 프라이버시 중시 정책, 유럽연합의 DMA, 빅테크의 DMA 준수 다짐 모두 신뢰를 저 먼 앞길에 미리 던져놓고 돈의 흐름을 유도하려는 의도로 해석이 가능하다. 지금의 신뢰는 슈나이어의 말처럼 정말로 ‘돈’의 또 다른 말이 되고 있는 것이다.
테크 윤리
한주 만에 몰아친 이런 일련의 사건들은 무엇을 의미하는가? 새로운 윤리관이 요란하게 제시될 때 항상 걸러들어야 한다는 것이 첫 번째다. 흔히 피싱 공격이나 소셜엔지니어링 공격을 분간할 때 출처를 확인하라고 하는데, 이제는 그럴듯한 출처마저 의심해야 한다. 유럽연합이, 구글이, 애플이, MS가 ‘공익에 부합하는 것처럼 보이는’ 뭔가를 새롭게 제시한다고 덥썩 받아들이는 게 아니라 한 동안 지켜봐야 한다. 특히 돈이 너무 자연스럽게 그 방향으로 같이 흘러갈 때 경계하는 게 지금으로서는 맞아 보인다.
[이미지 = gettyimagesbank]
예를 들어 인공지능은 지금 지나치게 많이 강조되고 있고, 지나치게 많은 돈을 빨아들이고 있다. 한 때의 유행이 될 거라는 예언이 아니다. 미심쩍다는 것이다. 인공지능이라는 기술보다, 그것을 이렇게까지 크게 부풀리는 누군가의 의도들을 감시해야 한다. 의도가 개입된 게 아니라면, 최소한 우리가 원하지 않는 방향으로 흘러가는 현상이 일어나지 않도록 감시해야 한다. 지금 기업들이 말하는 신뢰는 돈의 흐름을 유도하기 위한 장치일 가능성이 높아 보이고, 우리가 기대하는 신뢰는 입법 기관들과 대기업들이 자정 작용을 통해 인류 전체에게 도움이 되는 안전한 인공지능을 만드는 것이다. 간극이 크다.
그러니 테크를 사용하는 개개인들이 테크 윤리를 수용해야 한다. 그것은 깨어있는 감시자로서의 역할을 다하는 것이다. 기술의 발전으로 우리는 긴 글을 보지 않고도 요약글을 볼 수 있고, 검색하지 않고도 중요한 자료를 일목요연하게 정리받을 수 있다. 편리해졌다. 하지만 아이러니하게도 그런 기술들이 난무하는 세상에서의 개개인의 책임은 더 지켜보고 더 관찰하고 더 확인하는 태도를 유지하는 것이 된다. 귀찮아졌다. 더 많은 정보를 찾고, 너무 짧아져 파편화 된 것들을 일부러 길게 이어 붙여 관련성을 찾고, 검색엔진으로 나오지 않는 통찰들을 추구해야 한다. 지금의 테크 윤리는 그런 귀찮음을 감수하는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2024년 3월 2주차 <보안뉴스>가 선정한 키워드는 ‘테크 윤리’다. 이번 주 테크 분야에서 나오는 소식들은 ‘과연 테크 기업들은 일반인들이 기대하고 있는 윤리적인 모습을 충족시킬 수 있을까’하는 의문이 들게 하기 때문이다. 테크 기업들이 딱히 ‘비윤리적’인 모습을 보여서라기보다, 일반 대중과 테크 기업이 바라고 추구하는 가치관이 동떨어져 있다는 사실이 여과없이 드러났다. 그 뿌리에는 ‘신뢰’라는 개념이 있고, 그 신뢰의 배경에는 ‘돈’이 강력한 영향력을 발휘하고 있다.
[이미지 = gettyimagesbank]
신뢰를 와장창 깨트리는 소식들
IT 기술 혹은 테크놀로지가 지배하는 세상이 되면서 우리에게는 새로운 계층의 인물들이 생겼다. 이른 바 ‘인플루언서’라고 하는 사람들이다. 소셜미디어라는 테크 플랫폼을 타고 한껏 날아오른 이들은 기존 ‘브라운관’ 스타들이 누리던 인기를 그대로 누리고 있으며 그보다 더한 영향력을 발휘하고 있다. 테크 분야의 사람들은 아니지만, 테크를 가장 잘 누리고 있는 계층이라고 할 수 있다.
이런 사람들이 돈을 받고 중국의 ‘짝퉁’ 제품들을 적극 광고하고 있다는 소식이 이번 주 와이어드로부터 나왔다. 스니커즈 분야에서 영향력을 발휘하던 틱톡 스타 에반 폭스(Eban Fox)가 판다바이(Pandabuy)라는 웹사이트를 홍보하며 “이전에는 비싸서 살 수 없었던 물건을 반값 이하로 살 수 있는 곳”이라고 주장했다가 해당 영상을 삭제했다고 하며, 이 사건을 좀 더 깊이 들여다보니 여러 소셜미디어 인플루언서들이 판다바이와 같은 수상하도록 저렴한 물건을 판매하는 사이트들을 홍보하고 있었다고 한다. 판다바이 스스로도 작년 1만 5천 명 이상의 인플루언서들이 마케팅 프로그램에 참여했다고 자랑하고 있다.
일부 인플루언서들의 일탈을 가지고 무슨 ‘테크 윤리’씩이냐 논하냐고 질문할 수 있다. 그렇다면 점점 강력한 테크 업체로 변해가는 자동차 회사들에서 나온 소식은 어떨까? 이번 주 뉴욕타임즈는 자동차 회사들이 IT 기술을 차량에 탑재시킨 뒤, 이 기술을 통해 운전자의 운전 습관 정보를 아무런 사전 동의나 고지 없이 수집했고, 심지어 보험사에 판매하고 있다고 보도했다. 그래서 사고 이력이 하나도 없던 65세 운전자가 갑자기 21% 오른 보험금 고지서를 받아 당황했고, 다른 보험사들을 알아봤을 때도 비슷한 가격이 책정됐다고 한다. 자동차 회사가 한 군데도 아니고 여러 보험사들과 정보를 공유했다는 것이다.
그 정보의 양도 어마어마했다. 6개월 동안 한 운전자를 추적해 기록한 문건이 130여 페이지에 달했을 정도라고 한다. 어느 정도의 거리를 몇 분만에 주파했는지, 그러는 동안 가속 페달을 얼마나 어떻게 밟았는지가 상세히 보고되었다. 그 운전자는 “배신감이 느껴진다”고 밝혔다. “나도 모르는 나의 습관을, 나도 모르게 수집해, 내 뒤에서 보험사들과 담합함으로써 보험금을 높였다”고 그 무사고 운전자는 억울함을 토로했다. 전과 기록이고 뭐고 아무 것도 없지만 범죄를 저지를 ‘가능성’만 가지고 사람을 체포하는 세계관이 그려진 영화 ‘마이너리티리포트’가 생각나는 대목이다. 기사 속 운전자의 경우, 일으키지도 않은 사고에 대한 벌금을 미리 내야 하는 상황에 처한 것이나 다름 없다.
[이미지 = gettyimagesbank]
이런 행위들이 문제가 되면서 데이터 브로커라고 분류되는 업체들에도 시선이 쏠리기 시작했다. 이들은 각종 데이터를 이 기업에서 저 기업으로 옮기는 ‘중개자’ 역할을 담당하는데, 그 데이터에 각종 민감 데이터가 섞여 있어 문제가 되고 있다. 정확한 위치정보, 아동들의 개인정보, 의료 기록 등도 거래한다고 브로커들 스스로가 인정했다. GDPR이 이미 5년 전에 시행된 지금의 세상에서 이런 기업들이 존재한다는 것 자체가 의아스럽지만 놀랍게도 데이터 브로커는 아직 일부 국가에서 합법적인 사업 행위다. 일부 국가 중에는 데이터 프라이버시와 보안이 국가적으로 강조되는 미국도 포함되어 있다. 다만 데이터 보호와 관련된 여러 규정들이 신설되면서 데이터 브로커에 대한 규제가 조금씩 도입되고 있기는 하다.
그런 규정들 중에는 작년 10월부터 시행되기 시작한 ‘삭제법(Delete Act)’이 있다. 개인정보 당사자의 요구가 있을 때 즉각 정보를 삭제해야 한다는 내용이다. 아동개인정보보호법도 조만간 개정될 내용으로, 국회를 통과하기만 한다면 데이터 브로커들의 아동 정보 거래 행위가 금지될 것으로 예상되고 있다. 아무래도 한 나라의 법이라는 게 모두의 상생을 먼저 생각해야 하다 보니, 데이터 브로커들이라 하더라도 한 번에 금지시켜 생계를 곤란케 할 수는 없고, 그래서 시간을 둬가며 하나씩 금지 조항을 늘리고 있는 모양새다. 다만 그 시간 동안 데이터 브로커들이 다른 사업 아이템을 찾는 게 아니라 편법의 방법을 고안할 것이라는 생각이 먼저 드는 건, 그들에 대한 신뢰가 어지간히 희박하기 때문이다.
법과 규정이 만드는 ‘신뢰’
‘별 문제가 없던 사업자’였던 데이터 브로커가 규정 좀 바뀌었다고 서서히 ‘규제가 필요한 사업자’가 되어가는 것은 ‘대 개인정보 보호’의 시대에 맞는 흐름이다. 새 시대의 윤리라고도 할 수 있다. 데이터 브로커들에게는 안타까운 추세이지만 어쩔 수 없다. 그런데 시대가 법과 규정을 통해서 요구하는 윤리관이 더 있으니 바로 ‘상호호환성(interoperability)’이다. 다른 말로 ‘반독점’이라고 표현되기도 한다.
[이미지 = gettyimagesbank]
올해 3월 6일은 유럽연합과 빅테크들에 있어 기념비적인 날이었다. 바로 이날부터 유럽연합의 디지털 마케팅법(Digital Marketing Act)이 실질적으로 시행되었기 때문이다. DMA라고 줄여서 부르는 이 법은 이미 2022년 11월 1일부터 시행됐으나 올해 3월 6일이 중요한 건 이날까지 빅테크들이 DMA를 어떻게 준수할 것인지 구체적인 계획을 보고서에 담아 제출해야 했기 때문이다. 빅테크라 함은 아마존, 애플, 알파벳, MS, 메타, 바이트댄스다. DMA는 영향력이 지대한 이 여섯 개 기업들이 서드파티 업체들과 좀 더 공정한 경쟁을 해야 한다는 것을 골자로 삼고 있으며, 그러기 위해 왕국처럼 쌓아올린 거대 플랫폼들에 상호보완성을 대폭 더하라고 요구하고 있다.
빅테크들은 일단 마감일에 맞게 보고서를 제출했다. 순응했다. 애플리케이션 스토어들을 통해서만 결제가 되던 정책을 완화시켰다. 다른 앱을 통해서도 이들 빅테크의 고유 메신저 앱이 활용될 수 있도록 API 정책도 바꿨다. 자기 플랫폼에서 자기 상품을 가장 먼저 띄우고, 자기 상품을 디폴트로 삼았던 관례(예를 들어 안드로이드 모바일 생태계에서 구글 검색 엔진이 디폴트로 설정되던 것이나 윈도 환경에서 에지 브라우저가 디폴트인 것 등) 역시 폐지될 것이라고 한다. 이것이 실효성을 얼마나 가질 것이냐에 대한 의문이 제기되고 있기는 하지만 아무튼 법이라는 거대한 시스템은 상호호환성이라는 윤리를 새롭게 강조했다.
이를 통해 빅테크들은 유럽 시장의 신뢰를 회복할 수 있을까? 아니, 이게 신뢰와 관련된 문제이긴 할까? 상호호환성을 강조하며 ‘어기면 당신은 반독점하는 기업’이라는 굴레를 씌울 것이므로, 그리고 시장을 독점하고 있는 회사는 소비자들의 반감을 사는 것이 일반적이므로, 신뢰와 아주 관련이 없지는 않다. 아직은 기업의 논리보다 유럽연합과 같은 입법 기관의 움직임에 더 신뢰를 실어주는 게 일반적이기도 하다. 그도 그럴 것이 빅테크 기업들이 자처해서 데이터 브로커 사업을 벌였던 전적을 수없이 가지고 있기 때문이다.
확실한 건 유럽연합은 유럽의 기업들로부터 신뢰를 받게 됐다는 것이다. 유럽의 테크 기업들을 미국과 중국의 거인들로부터 보호하겠다고 만든 것이 DMA이기 때문이다. 사실 GDPR도 그런 의도와 관련이 없지 않다. 애초에 유럽연합이라는 단체가 결성된 이유에도 시장 논리가 개입되어 있다. 2차대전 이후 더 이상 유럽 국가들끼리 피 흘리지 말자는 의도도 크게 작용했지만 그 시작은 유럽석탄철강공동체였다. 석탄과 철강을 보다 자유롭게 이동시키고 거래하자는 일부 유럽 국가들만의 연합체가 지금 유럽연합이라는 정치적(으로 보이지만 매우 상업적인) 단체의 모태인 것이다. DMA는 유럽연합의 존재 의의를 단적으로 보여주는 사건이라고도 할 수 있다.
신뢰, 의외로 돈의 단위
보안 업계의 오랜 인플루언서 중 한 명인 브루스 슈나이어는 저서 ‘비밀과 거짓말들(Secrets and Lies)’을 통해 “신뢰는 사회적 비용을 절감시킨다”고 주장했다. 나를 향해 걸어오는 행인 아무개가 나를 공격하지 않을 거라는 사회적 신뢰가 있기에 나는 무장 비용을 아낄 수 있고, 집으로 찾아온 A/S 기사가 악의를 품고 있지 않을 거라는 신뢰가 있어서 경찰 행정력을 낭비하지 않을 수 있다는 것이다. 이런 모든 사건 하나하나를 다 확인하고 공증을 받는다고 상상했을 때 그 비용은 엄청날 것이며, 사회가 이 비용을 감당하느라 제대로 기능하지 못할 가능성도 다분하다. 인증과 확인, 사건 예방과 빠른 해결 등을 통해 결국 신뢰를 구축하려는 보안의 도구들은 그래서 비용 절감의 기능까지도 감당하고 있다는 게 슈나이어의 설명이다.
이 개념을 이번 주 있었던 소식들에 적용하면 어떻게 될까? 유럽연합이 DMA 등의 장치를 통해 신뢰라는 측면에서 빅테크보다 우위에 섰으므로, 당분간 빅테크들에서 이 불균형을 맞추기 위해 더 많은 비용을 쓰게 될 거라는 뜻이 된다. 상대적으로 부족한 신뢰를 돈으로 충당해야 한다. 그래서 우선은 불만이 가득해도 유럽이 정한 마감 일자에 딱 맞춰서 규정 준수 계획안을 제출한 것이기도 하다. 한쪽만 일방적으로 가져가는 신뢰를 나누겠다는 의도다. 그럼으로써 피해를 최소화 하려는 것이다.
대중들의 신뢰를 얻음으로써 비용의 측면에서 이득을 가져가겠다는 기업의 계산은 이번 주 에어비앤비(Airbnb)의 새로운 결정을 통해서도 엿볼 수 있다. 손님을 받는 집 주인들은 그 어떤 감시 카메라도 실내에 설치하지 못하도록 규정을 강화한 것이다. 어떤 손님이 집으로 와서 집과 가구에 무슨 짓을 할지 모르기 때문에 카메라를 설치하는 것인데, 그것보다는 머무는 사람들의 ‘프라이버시’를 중시하겠다는 결정이다. ‘집의 안전’도 중요한 문제지만 현 시점에 소비자들의 신뢰를 가장 빠르게 얻어낼 수 있는 건 ‘프라이버시’ 쪽일 수밖에 없다. ‘이 기업이 나의 집을 아껴준다’와 ‘이 기업이 프라이버시를 존중한다’고 했을 때의 느낌은 사뭇 다르다.
[이미지 = gettyimagesbank]
신뢰와 돈의 방향
여기까지 봤을 때 우리는 한 가지를 깊이 의심할 수 있다. 돈이 가는 방향에 ‘신뢰’라는 윤리관이 새로운 모양으로 미리 조성된다는 것이다. 마치 누군가 물의 길을 내는 것과 비슷하달까. 작년 광풍처럼 몰아쳤던 ESG 유행이 좋은 예시다. ESG가 새로운 윤리라고 권력 기관들이 여기저기서 외치자 기업들은 자신들의 온갖 사업 행위에 ESG 개념을 끼워맞춰 홍보했고, 적잖은 투자가 이어졌다. 입법 기관은 각종 법적 장치를 가지고 ‘이걸 지켜야 신뢰받을 수 있다’고 제시하고, 기업들은 그 가치관에 동조하며 따라간다. 그러므로 그 길에 돈이 자연스럽게 차오른다.
지금은 ESG의 자리를 인공지능이 꿰차고 있다. 인공지능이 새 시대의 키워드다. 다만 이는 입법 기관들이 아니라 기업들 쪽에서 먼저 유도하고 있는 흐름이다. ESG를 하지 않는 기업은 신뢰할 수 없는 기업이라는 인식이 퍼졌던 것(혹은 퍼트리려 했던 것)과 마찬가지로 인공지능을 이용하지 않는 기업은 도태되는 기업이라는 뉘앙스의 농도가 점점 짙어지고 있다. 그래서 기업들은 어마어마한 돈을 인공지능에 쏟아붓고 있다. 돈의 흐름이 이렇게 인공지능 분야로 기울고 있으니, 우리는 인공지능이 알아서 잘 개발될 거라고 신뢰할 수 있을까?
[이미지 = gettyimagesbank]
이번 주 ‘인공지능의 어머니’라고 불리는 페이페이 리(Fei-Fei Li) 스탠포드대학 교수는 바이든 대통령에게 긴급한 탄원서를 제출했다. 인공지능 연구를 진행하는 학계에 좀 더 투자를 해달라는 내용이었다. 현재 빅테크들이 거대한 자본력을 앞세워 학자들을 죄다 빼가고 있다는 설명이 붙었다. 자본의 싸움에서 대학들과 기업들은 상대가 될 수 없다. 메타는 인공지능 연구에 35만 개의 GPU를 동원할 예정이고, 스탠포드대학은 대학 중 꽤나 부유한 축에 속하지만 단 68개의 GPU만 보유하고 있다고 한다. 사기업 인공지능 연구자들이 받는 급여와 대학 연구진들이 받는 급여는 비교가 불가하다. 학계는 점점 줄어들고 사기업의 인공지능 팀은 급하게 불어나는 중이다.
페이페이 리 교수는 이런 현상이 지속된다면 ‘공익을 위한 인공지능 기술 개발과 연구’는 사라지고 ‘개별 기업들의 이윤 논리에 맞춰 개발된 인공지능’만 득세하게 될 것이라고 경고하고 있다. 이미 학계의 연구들마저 ‘기업의 눈에 들기 위한’ 목적으로 진행되는 상황이라고도 한다. 리 교수의 이런 우려는 현재 학계 전체에 팽배하고 있는 공통된 심리라고 워싱턴포스트는 보도했다. 표면적으로라도 공익을 추구하려는 의도로 개발된 인공지능이, 특정 기업의 이윤 추구를 위해 개발된 인공지능보다 신뢰하고 싶어지는 것이 일반 대중의 심리에 더 가깝다.
우리는 신뢰와 돈의 이상적인 형성 순서를 알고 있다. 신뢰할 수 있는 관계를 구축하면 자연스럽게 돈이 따라온다고 말이다. 이것이 반대로 뒤집히면, 즉 돈부터 추구되는 현상이 나타나면 신뢰라는 면에서 부작용이 일어난다. 이번 주 보안 업계에는 충격적인 조사 결과가 하나 발표됐는데, 대량 해고 등으로 갈 곳을 잃고 생계 유지가 어려워진 보안 전문가들이 다크웹의 문을 두드리고 있다는 내용이었다. 낮에는 방어수로 열심히 살다가, 밤에는 공격수(즉, 범죄자)로서 탈바꿈하는 것이다. 경제난으로 생활이 어려워졌기 때문이라는, 심적으로 이해가 가는 이유가 있긴 하지만 이 역시 돈을 먼저 추구한 행위라고 할 수 있다. 그러면서 보안 전문가들에 대한 신뢰에 손상이 갔다.
그렇다고 신뢰부터 형성하려는 움직임이 무조건 옳다고 하기도 힘들다. 유럽연합과 같은 단체나 빅테크들은 이미 가지고 있는 영향력을 이용하여 신뢰의 길을 먼저 터놓고 돈이 따라오도록 유도하는 데 능숙하다. 에어비앤비의 프라이버시 중시 정책, 유럽연합의 DMA, 빅테크의 DMA 준수 다짐 모두 신뢰를 저 먼 앞길에 미리 던져놓고 돈의 흐름을 유도하려는 의도로 해석이 가능하다. 지금의 신뢰는 슈나이어의 말처럼 정말로 ‘돈’의 또 다른 말이 되고 있는 것이다.
테크 윤리
한주 만에 몰아친 이런 일련의 사건들은 무엇을 의미하는가? 새로운 윤리관이 요란하게 제시될 때 항상 걸러들어야 한다는 것이 첫 번째다. 흔히 피싱 공격이나 소셜엔지니어링 공격을 분간할 때 출처를 확인하라고 하는데, 이제는 그럴듯한 출처마저 의심해야 한다. 유럽연합이, 구글이, 애플이, MS가 ‘공익에 부합하는 것처럼 보이는’ 뭔가를 새롭게 제시한다고 덥썩 받아들이는 게 아니라 한 동안 지켜봐야 한다. 특히 돈이 너무 자연스럽게 그 방향으로 같이 흘러갈 때 경계하는 게 지금으로서는 맞아 보인다.
[이미지 = gettyimagesbank]
예를 들어 인공지능은 지금 지나치게 많이 강조되고 있고, 지나치게 많은 돈을 빨아들이고 있다. 한 때의 유행이 될 거라는 예언이 아니다. 미심쩍다는 것이다. 인공지능이라는 기술보다, 그것을 이렇게까지 크게 부풀리는 누군가의 의도들을 감시해야 한다. 의도가 개입된 게 아니라면, 최소한 우리가 원하지 않는 방향으로 흘러가는 현상이 일어나지 않도록 감시해야 한다. 지금 기업들이 말하는 신뢰는 돈의 흐름을 유도하기 위한 장치일 가능성이 높아 보이고, 우리가 기대하는 신뢰는 입법 기관들과 대기업들이 자정 작용을 통해 인류 전체에게 도움이 되는 안전한 인공지능을 만드는 것이다. 간극이 크다.
그러니 테크를 사용하는 개개인들이 테크 윤리를 수용해야 한다. 그것은 깨어있는 감시자로서의 역할을 다하는 것이다. 기술의 발전으로 우리는 긴 글을 보지 않고도 요약글을 볼 수 있고, 검색하지 않고도 중요한 자료를 일목요연하게 정리받을 수 있다. 편리해졌다. 하지만 아이러니하게도 그런 기술들이 난무하는 세상에서의 개개인의 책임은 더 지켜보고 더 관찰하고 더 확인하는 태도를 유지하는 것이 된다. 귀찮아졌다. 더 많은 정보를 찾고, 너무 짧아져 파편화 된 것들을 일부러 길게 이어 붙여 관련성을 찾고, 검색엔진으로 나오지 않는 통찰들을 추구해야 한다. 지금의 테크 윤리는 그런 귀찮음을 감수하는 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(0).jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
