나의 일상이 기록된 데이터가 내가 제공한 적이 없는 기업의 손에 들어갈 수 있을까. 정답은 ‘그렇다’이다. 데이터 중개 산업, 일명 데이터 브로커가 존재하기 때문이다. 데이터 브로커는 소셜미디어, 공공 기록 및 기타 민간 업체 등 다양한 출처를 통해 위치, 구매 이력, 통계학 정보 등 개인 데이터를 수집한다. 이들은 이렇게 수집한 개인 데이터나 해당 데이터를 기반으로 한 추론·분석 결과를 다른 회사에 판매해 매출을 올린다. 하지만 이러한 과정에서 광범위한 개인정보 침해 사례가 발생하고 있어 문제로 지적된다.

데이터 관련 이미지. /픽사베이
데이터 관련 이미지. /픽사베이
영국 일간 가디언은 23일(현지시각) 소송 사례를 통해 개인정보를 침해하고 있는 데이터 브로커의 세계를 조명했다.

보도에 따르면 아웃로직(Outlogic)으로 이름을 바꾼 엑스모드(X-Mode)는 고객사 중 하나인 NybSys가 타 회사에 원시 위치 데이터를 재판매했다고 주장했다. 위도와 경도 좌표를 포함하는 원시 형태의 위치 데이터 재판매를 금지한다는 계약 조건을 위반했다는 것이다. 엑스모드 측은 NybSys가 요약 혹은 분석된 상태가 아닌, 날 것 그대로의 개인 위치 데이터를 데이터 최초 수집 회사인 자신들의 허가 없이 재판매했다고 주장하고 있다. NybSys 측은 혐의를 부인하고 있다.

이번 소송은 개인정보가 회사 간에 전달될 때 얼마나 쉽게 침해될 수 있는지를 단적으로 보여주는 사례다. 엑스모드는 고객사가 승인 없이 원시 사용자 데이터를 재판매한 것은 적어도 두 번째라고 주장한다.

미국의 온라인 권리 보호 단체인 ‘미래를 위한 투쟁’ 책임자인 에반 그리어는 "위치 데이터는 인간이 만드는 가장 민감한 데이터 중 하나다"라며 "우리는 이러한 종류의 데이터가 익명으로 처리되거나 집계되는 경우에도 사람들을 위험에 빠뜨리는 방식으로 악용될 수 있다는 것을 알게 됐다"고 말했다.

엑스모드는 2020년에도 비슷한 논란을 겪었다. 엑스모드가 자체 수집한 위치 데이터를 군사 관련 계약자에게 판매했다는 사실이 폭로되면서다. 엑스모드가 데이터를 수집하는 출처 중에는 이슬람 기도 애플리케이션 ‘무슬림 프로’ 같이 사용 대상을 특정할 수 있는 앱들도 포함된 것으로 알려졌다. 해당 기업들은 데이터가 공유되기 전에 익명화 또는 집약된다고 주장할 수 있지만, 무슬림 프로 같이 인구통계학적으로 대상이 특정되는 앱의 데이터는 이러한 그룹들을 목표로 하는 데 쉽게 이용될 수 있다고 가디언은 지적했다.

이러한 사실이 알려지자 무슬림 프로 측은 엑스모드와의 데이터 공유를 중단했다고 밝혔다. 구글과 애플은 2020년 엑스모드가 자사 모바일 디바이스에서 더 이상 사용자 위치 정보를 수집할 수 없도록 막았다.

또 엑스모드가 사람들을 문 앞까지 추적하는 위치 정보를 한 사설 정보 업체에 판매했다는 사실도 폭로됐지만, 해당 데이터나 군사 관련 계약자에 판매된 데이터가 어떠한 용도로 사용됐는지는 알려지지 않았다.

크리스 길리어드 매콤 커뮤니티 칼리지 교수는 투명성이 거의 없는 산업에서는 이러한 종류의 불확실성이 흔하다고 지적한다. 길리어드 교수는 "보호라는 측면에서 개인은 소외된 채 기업이 영업 비밀을 주장할 수 있다는 사실은 개인의 권리에 관한 한 이 공간이 얼마나 규제되지 않았는지를 말해준다"고 꼬집었다.

임국정 기자 summer@chosunbiz.com