톡, 토독, 톡톡….
손가락 끝이 리드미컬하게 움직이는 만큼 새하얗던 화면이 색으로 물들어 간다.
갓 나와 김이 모락모락 피며 치즈가 길게 늘어지는 피자 사진을 점심 때에 맞춰 페이스북에 올렸다. 부러움과 질투가 섞인 ‘ 좋아요’를 눌렀다는 알람이 빠른 속도로 날아든다. 생각보다 격렬한 반응에 뿌듯한 것도 잠시, 달갑지 않은 문자 메시지 알림음이 울렸다. 하, 잊을만하면 연락이 오는 구남친이다. 이 번엔 또 무슨 내용인가 확인하는 순간 뒷골이 오싹해졌다.
‘난 지금 네가 광화문에서 피자를 먹고 있다는 것을 알고 있다’
2010년, 스마트폰 전성시대가 본격적으로 열릴 무렵 반도의 흔한 ‘오빠믿지’ 어플이 뜨거운 감자로 떠올랐다. 오빠믿지는 커플간에 상대의 위치 추적을 할 수 있는 어플이었는데, 사생활 침해 논란을 불러일으켰기 때문이다.
그로부터 3년이 지난 2013년, 오빠믿지는 사람들의 기억 속으로 사라져갔지만 과연 내 정보는 그 때 논란을 잊을 만큼 잘 보호되고 있을까. 평범한 직장인 ‘나’의 하루를 통해 내 정보가 어디서 빠져나가는지 되짚어 보자.
내 정보는 소중하다. 내 정보가 무엇을 의미하는지 정확히는 모르겠지만 어쨌든 나만의 것이라고 하니 소중하다. 근데 내 정보라는 것이 대체 어디까지일까. 이름, 주소, 전화번호, 성별, 나이, 혈액형…. 나만의 고유 정보를 대라면 끝도 없이 튀어나온다. 그런데 스마트폰에서 개인 정보는 매우 간단하다. 단 4개의 코드만 있으면 스마트폰을 구분할 수 있다.
스마트폰, 나를 대표하는 새로운 정의
사람 100명 중 한 명을 구분하기 위해서는 무엇이 필요할까. 머리 색, 길이, 얼굴 생김새, 키, 체형, 목소리…. 수많은 특징을 인지하고 각 특징이 맞아 떨어져야만 하나로 한 사람을 구분할 수 있다. 어린 시절 한 번쯤 봤을 도서 ‘월리를 찾아라’를 보면 와글와글 모여있는 사람 중에서 단 한 사람을 찾는 것이 얼마나 어려운지 깨닫게 된다.
사람들이 단 한순간도 손에서 놓지 않는 스마트폰은 어떨까. 눈에 보이지 않지만 스마트폰으로 정보를 나르기 위해 수없이 많은 전파가 오가고 있다. 그 수많은 전파는 어떻게 자신에게 명령을 내린 스마트폰을 정확히 찾아갈 수 있을까.
스마트폰을 구분하는 것은 맥 주소(MAC address)다. 사람으로 치면 집 주소다. 정보를 주고 받을 때 기준이 되는 고유의 주소로, 스마트폰 뿐만 아니라 인터넷 모뎀처럼 통신을 할 수 있는 기기라면 반드시 갖고 있다. 맥 주소에 스마트폰이 가입된 통신사 코드와 스마트폰이 등록된 국가 코드, 그리고 전화번호만 있으면 수많은 스마트폰 중에서도 필요한 단 한 대를 명확하게 구분할 수 있다.
스마트폰을 확실히 구분할 수 있다면 스마트폰의 주인이 누군지는 문제가 안된다. 네 가지 코드를 이용하면 스마트폰을 완벽하게 추적할 수 있다. 스마트폰의 주인은 어차피 한시도 폰을 몸에서 떼어놓지 않으니, 바꿔 말하면 스마트폰을 추적한다면 그 주인의 행동을 완전히 따라갈 수 있다는 뜻이다. 신체적 특징에 이어 스마트폰이 사람을 대표하는 새로운 정의가 될 수 있는 이유다.
개인정보 언제 어디서 빠져나가는지 모른다
스마트폰을 정의하는 코드 4개는 어디에 이용되는 것일까. 해외 사이트를 돌아다니다 보면 하단에 한글로 된 광고가 종종 보인다. 한 때는 한국인이 많이 방문한다는 것을 안 광고주가 홈페이지 주인에게 광고를 게시하도록 의뢰했다고 생각했다. 그러나 사실은 달랐다. 홈페이지에 접속하는 사람의 IP 주소로 접속자의 국적을 파악한 뒤 국적에 맞는 광고가 자동으로 제공되는 체계였다.
스마트폰 광고도 마찬가지다. 무료 앱의 위나 아래에 달린 광고는 스마트폰의 위치를 파악해 적절한 광고를 내보낸다. 여기까지는 문제가 없다. 문제는 이렇게 사용된 위치정보가 단순히 1회성으로 끝나는지, 아니면 맥 주소를 비롯한 정보와 결합해 새로운 정보로 진화(?)하는 지에 대한 여부다.
스마트폰 앱을 다운받거나 실행하면(안드로이드 체계와 iOS체계는 순서가 다르지만 내용은 비슷하다!) 앱 권한을 요구하는 설명서가 나온다. ‘휴대전화의 기능을 이용한다’거나, ‘네트워크 통신을 이용한다’와 같은 항목이다. 대부분 별 의심없이 넘어가지만 잘 읽어봐야 한다. 앱 사용자의 정보를 수집한다는 내용이 들어있을 수 있다. 이 의미는 단순히 위치 정보만이 아니라 앞서 언급한 맥 주소와 전화번호 등을 수집 한다는 의미다. 그나마 미리 설명했다면 다행이다. 앱 개발자가 일부러 설명하지 않으면 사용자로서는 정보를 수집하는지 아닌지 알 수 없다.
앱을 통해 개인 정보를 수집하기 쉬운 이유는 정보 수집에 대한 명확한 기준이 없어서다. 미리 정보를 수집한다고 명시를 했더라도 어느 정도 수준까지 저장 할 수 있는지에 대한 기준이 없다. 예를 들어 ‘사용자의 지역 정보를 저장한 뒤, 마케팅에 이용할 수 있다’는 문구가 있을 때 사용자는 ‘대한민국 서울시 서대문구’ 정도로 지역을 저장한다고 생각한다. 그러나 실제로 ‘충정로 29 16층 과학동아’라고 구체적으로 저장할 수도 있다. ‘위치 정보’의 기준이 없기 때문이다. 현재까지 스마트폰에서 맥 주소 등 고유 정보와 위치 정보를 수집하는 것으로 보고된 앱은 다양하다. 날씨, 대중교통, 주식, 맛집 정보 등 주로 지도와 연계하는 앱이다. 여기에 한 가지 정보를 더 ‘빼’간다. 바로 ‘주소록’이다. 스마트폰 내 개인정보를 빼가는 목적이 바로 ‘광고’이기 때문이다.
개인정보 유출, 약일까 독일까
나만의 고유 정보를 남이 안다는 것은 불쾌한 일이다. 난생 처음 보는 사람이 다짜고짜 자신을 향해 ‘김주황, 29세, 과학동아 기자’라고 말했을 때 얼마나 당황스럽고, 심지어는 무서울까. 마찬가지로 스마트폰 정보를 통해 날아오는 스팸 문자는 짜증과 불쾌감을 조성한다.
이준 한국인터넷진흥원 개인정보보호지원팀 책임연구원은 “스팸 문자를 단 한 번이라도 받았다면 본인이나 본인의 전화번호를 저장한 사람의 주소록이 털린 것”이라고 말한다. 스팸 문자도 아무 번호로나 보내지는 않는다. 처음에는 사례1처럼 주소록에 있는 번호로 무작위로 보냈던 스팸 문자지만 스마트폰의 고유 정보가 모이면서 좀더 정확하게 광고 대상을 선정한다.
사례2는 때마침 날아온 적절한 광고 덕에 이득을 본 경우다. 편리했으며 금액적인 이득을 보았다. ‘운이 좋았다’라는 생각이 먼저 들며 다음에 이런 행운이 또 오길 기대할 수도 있다. 아마 자신의 정보가 어딘가에 빠져나가서 이런 문자를 받았다는 불쾌감은 떠오르지 않을 수도 있다.
빠져나간 개인 정보가 이용되는 곳은 또 있다. 바로 ‘배달’이다. 배달 음식점에 전화를 하면 주소를 말할 필요없이 알아서 집까지 배달한다. 처음 주문하는 곳이라도 아무 문제가 없다. 편리해서 아무도 인식을 못하고 있지만 업체가 어디선가 내 정보를 구해 데이터베이스로 구축했기 때문이다. ‘배달의**’ 같은 앱에서는 전화도 필요없다. 휴대전화에서 결제까지 끝낼 수 있으며 ‘용케’ 집까지 음식이 배달된다. 이쯤 되면 과연 무엇이 문제인지 헷갈리기 시작한다.
페이스북, 트위터, 카카오 스토리…. 신나게 SNS를 이용하다가 자신의 정보를 숨겨야겠다고 생각한 독자를 위해 온라인에 한번 올라간 정보가 얼마나 오래 존재하는지 알아봤다.
항간에는 ‘구글링’이라고 불리는 조사 방법이 있다. 특정 단어-주로 사람 이름-를 검색어로 넣어 관련 정보를 모두 찾은 뒤, 필요한 정보만 골라내는 방법이다. 구글링을 ‘잘’하는 사람은 이름 하나로 한 사람의 신상을 털 수도 있다고 한다.
결론부터 말하면 인터넷에 한번 올라간 정보는 거의 지워지지 않는다. 막강한 검색 엔진 ‘구글’에서는 더욱 그렇다. 한 번 온라인에 올라간 정보는 일부러 검색이 안되게 만들지 않는 이상 검색 엔진을 운영하는 포털의 데이터 센터에 저장된다.
예를 들어 쇼핑몰 질문 게시판 전화번호를 올렸다고 가정해 보자. 쇼핑몰은 검색이 생명이다. 당연히 각종 포털에 검색되도록 설정한다. 이렇게 하면 포털의 데이터 센터에 홈페이지에 대한 정보가 저장된다. 홈페이지를 폐쇄했더라도 이미 데이터 센터에 저장된 정보는 그대로 남아있어 검색 엔진에서는 미리보기 형식으로 일부가 검색된다. 연결된 주소를 누르고 넘어가면 페이지를 찾을 수 없다는 경고 문구가 뜨지만 데이터 센터에 저장된 정보를 완전히 삭제하지 않는 이상 검색을 막는 것은 불가능하다.
해당 정보를 삭제하기 위해서는 그 센터를 운영하는 포털에 신청해야 한다. 정보의 성격에 따라 삭제하기도 하고, 삭제가 불가능하다고 통보하기도 한다. 지우고 싶은 정보를 일일이 찾아내고 이 정보가 어떤 정보인지 설명한 뒤 삭제해달라고 요청하는 것은 사실상 불가능에 가깝다.
찾아보니까 대행해 주는 업체가 있다는 제보가 있어서 첨언. 국내 포털의 경우 데이터 센터에 저장된 정보를 삭제하는 것이 아니라 검색 결과에서 보이지 않도록 만들 순 있다. 훨씬 쉬우며, 기자는 실제로 포털에 직접 신청해 본 기억도 있다. 일단 눈에 안 보이니 기분은 좀 나아지지만 진짜 정보가 삭제된 것은 아니라는 것을 명심하자. 물론 이 방법이 구글에는 안 통한다. 괜히 ‘구글신’이라고 부르는 것이 아니다.
정보 유출, 2차 응용 됐을 때 심각한 문제
스마트폰의 고유정보와 위치정보 수집이 문제가 되는 이유는 둘을 결합해 새로운 정보를 만들 수 있기 때문이다. 시간대 별로 추적할 경우 스마트폰이 이동한 경로를 알 수 있다. 스마트폰 주인의 생활 반경을 알 수 있다는 의미다. 현재까지는 마케팅 수단 정도로만 사용되고 있지만 앞으로 범죄에 악용될 가능성도 있다.
해외에서는 실제로 악용된 사례가 여럿 있다. 미국에서는 스마트폰 위치 정보를 이용한 것은 아니지만, 페이스북이나 트위터에 ‘집을 비운다’라는 내용의 글을 올린 사람의 집만 골라서 20여 차례 절도에 성공한 범죄가 있었다. 영국에서도 페이스북에 올라온 휴가계획을 보고 2주간 집을 비운 사람의 집을 털기도 했다.
스마트폰이나 SNS에서 흘러나오는 정보를 지키는 것을 ‘정보 보안’이라고 한다. 이준 연구원은 “앱은 공식 마켓에서만 받고, SNS에는 자신의 신상에 대한 정보를 안 올리는 것이 좋다”고 충고한다. 구글 스토어나 아이튠즈와 같은 공식 앱 스토어에서 내려받는 앱은 몰래 정보를 수집하는 것을 발견하는 즉시 그 앱을 마켓에서 차단한다. SNS도 아직까지 우리나라에서는 범죄에 이용된 사례가 없지만 미리 예방해서 나쁠 것이 없다.
택배 상자와 같은 실제 물건에서 나오는 정보를 보호하는 ‘물리 보안’ 또한 중요하다. 1회용 번호인 ‘안심 번호’ 서비스가 널리 퍼졌지만 전화번호만이 정보는 아니다. 물품도 보안 대상이 될 수 있다. 택배 송장에 주문 물품이 적혀있는데, 주기적으로 기저귀를 주문하는 가정에는 ‘이 집에는 아기가 있다’라는 표식이 될 수 있다. 범죄에 어떻게 응용될지는 별로 생각하고 싶지 않다.
내 정보가 어딘가에 알려지는 것은 생활을 편하게 만드는 수단이 될 수도 있지만 범죄에 악용될 수도 있는 양날의 검이다. 이준 연구원은 “정보 보안과 물리 보안을 모두 고려하는 융합 보안이 필요하다”고 말한다. 가능성이 있는 곳을 모두 막아야 한다는 의미다.
바야흐로 정보가 가장 큰 무기인 시대다. 무기가 되는 만큼 중요한 정보를 보호하고 숨기는 것이 중요해졌다.
