개인정보 제공에 동의하십니까
💻기술/Security

개인정보 제공에 동의하십니까

반응형

개인정보 동의

 

 현대 사회에서의 거래는 대부분 인터넷에서 이루어진다. 단적인 예로 배달음식이 있다. 맛있는 음식을 먹기 위해 굳이 음적점에 가지 않아도 배달의 민족에서 시켜먹으면 된다. 이러한 거래는 배달 수령을 제외하고 모두 온라인상에서 이루어진다. 그렇기 때문에 배달 서비스 제공자는 내가 누구이지 상세하게 알아야 한다. 그래야 올바른 장소로 안전한 배달이 가능할 테니 말이다.

 

 동시에 배달의 민족 같은 서비스 제공자는 추천 알고리즘 개선을 위해 추가 정보도 수집한다. 배달 서비스를 예시로 들자면 소비자의 성별, 나이, 최근 주문했던 음식 정보가 수집하는 정보에 해당한다. 소비자를 알면 알수록 추천 알고리즘의 정확도는 높아진다. 알고리즘 정확도가 높다면 맛있는 음식을 먹기 위한 주문 소요시간이 줄어들고 전환율이 높아지는 결과를 내게 된다. 고로, 어느 음식의 전환율이 높은 지를 파악해서 다른 이용자로 하여금 어떤 음식 스타일을 선호하는지 유추할 수 있다.

 위에 소개한 추천 알고리즘은 Collaborative Filtering이라 불린다. 직역하자면 협동 필터링 정도가 되겠다. 유저 관점에서 A가 1, 2번 상품을 보고 3번 상품을 구매했는데, B도 1, 2번 상품을 구매했다면 똑같이 3번 상품을 추천해주게 된다. 여기서 유저 취향 정보를 연결시킨다면 유저 백터의 가중치를 정밀하게 조정시킬 수 있어서 정확하게 추천할 수 있다. 정확한 추천은 더 많은 클릭을 유도한다. 생각해보자. 배민에서 내가 먹고 싶었던 음식이 추천으로 뜬다면 허기진 배를 채우기 위해 바로 주문을 클릭하지 않던가.

 

 이 과정에서 소비자의 정보를 과도하게 침해할 우려가 있다. 예를들어 음식 하나를 주문하기 위해 결혼 여부, 자녀 유무, 배우자의 수입 등을 수집하거나 예측한다면, 뭔가 께름칙한 기분이 드는 건 누구에게나 마찬가지다. 왜 배달하나 시키는데 사적인 정보가 필요한지 자문해본다면 그리 필수적인 정보는 아니라는 결론을 얻게 된다. 이미 수많은 데이터가 있으니 말이다. 자칫 민감한 정보가 해킹으로 인해 유출되거나 제 3자에게 제공되기라도 한다면 상황은 더 심각해지기 마련이다.

 

 기업의 불필요한 정보 수집을 막기 위해 소비자는 동의 절차를 거쳐야 한다. 그렇다. 회원가입때 어떤 내용인지도 안 보고 재빠르게 '동의' 눌러버리는 페이지 말이다. 페이지 이름은 "개인정보 제공에 동의하십니까", 개인정보의 무차별 수집을 막기 위한 마지막 저지선이다. 소비자 입장에서 기업의 정보 이용 범위를 제한할 수 있는 유일한 제도는 이 정보동의에 있다. 그렇기에 무엇보다 중요하다. 그중 소비자에게 해가 되는 동의 유형을 정리해보면 다음과 같다.

 

 

1. 선택 동의

 

 카카오톡에 가입한다고 상상해보자. 카카오톡에 가입하기 위해 개인정보 수집 및 이용 동의 외의 몇 가지 약관 동의 절차를 거친다. 사실 대부분이 모두 동의 버튼만 누르고 그냥 지나쳐버린다. 이때 선택 약관까지 모두 동의를 해버리면 내가 굳이 주고 싶지 않은 정보들 또한 카카오가 수집하게 되는 결과를 낳는다. 

 

선택 동의

 

2. 잘못된 동의서

 

 개인정보 동의를 잘못받는 경우도 있다. 모 쇼핑몰 페이지의 개인정보 수집 및 이용 동의서이다.

 

 언뜻 보기에는 아무 문제가 없는 동의서처럼 보일지는 몰라도 누락된 항목이 있다. 개인정보 보호법 제15조(개인정보의 수집ㆍ이용) 제2항에 따르면 다음 각 호의 사항을 정보주체에게 알려야 한다고 나와있다.

1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

 그러나 위 이용동의서에는 거부할 권리가 있다는 사실과 불이익의 내용이 명시되어 있지 않다. 

 

 

3. 이벤트 참여

 

 살다보면 가끔씩 이벤트에 참여할 때가 있다. 이때 잠깐 혹 해서 개인정보를 넘겨주지는 않았는지 생각해보자. 개인정보 수집 및 이용 동의를 받았다면 문제 될 건 없지만, 그렇지 않은 경우도 있다. 대표적인 케이스로 유튜버들이 진행하는 무료 나눔이 있다. 유튜브에서 나눔 이벤트를 할 때에 이메일 주소를 댓글로 남기라는 설명을 들어본 적 있을 것이다. 이때 개인정보 수집 동의를 안내하지 않았다면 문제가 된다.

 이메일 주소 또한 개인정보에 해당한다. 공개된 주소라 개인정보로 생각하지 않을 수 있지만 개인을 특정 가능하기에 개인정보에 해당한다. 온라인 환경에서는 이메일 주소만으로도 내가 누구인지 알 수 있기 때문에 주의가 필요하다.

 

 

 

정보보안의 우선순위는 예방에 있다

 

 정보보안은 해킹과 반대로 보호에 목적을 둔다. 정보보안의 이행은 시스템 관리자에게도 있지만 일차적으로는 각 개개인에게도 있다. 그러나 보호의 측면에서 최대한 쉽게 정보보호의 이행을 돕는건 결국 소프트웨어를 만드는 사람들이다. 개발자들이 관리를 못한다면 그 어떤 정보가 안전하다고 할 수 있겠는가. 개인정보 유출과 같은 재앙을 막기 위해서는 보다 사용자 중심적으로 접근할 필요가 있다. 

 

 다수의 해킹사고는 사회공학기법에 기인한다. 사회공학 기법이란 사람의 취약점을 이용한 해킹 기법을 의미한다. 단순하게 보면 사기 또한 사회공학 기법 중 하나다. 이 기법의 종류는 대표적으로 피싱, 스팸메일, 내부자 유출, 인스타 사진 업로드 등이 있다. 다른 건 몰라도 뜬금없이 인스타그램 사진이 왜 나오냐고 질문한다면, 직접 게시한 사진만큼 직접적인 정보를 얻을 수 있는 건 없다고 답하겠다.

 우리가 찍은 사진에는 몇가지 메타정보들이 들어간다. 사진을 찍은 스마트폰 기종, GPS 위치, 시간 및 날짜 등이 존재한다. 이를 인스타그램에 올리면 이 정보들까지 게시된다. 물론 눈에 보이지는 않지만 osint 소프트웨어를 사용하면 빠르게 추출할 수 있다.

 

 어떤 사소한 정보라도 상황에 따라 유용하게 이용될 수 있다. CIA(Central Intelligence Agency)의 경우 인터넷 공개정보(Open Source)의 중요성을 인지하고 2005년부터 워싱턴 외곽에 공개정보센터(Open Source Center)를 만들어 공개정보의 집중분석을 담당하도록 하고 있다(이완희, 2013). 인스타그램에 사진을 올리는 것만으로도 주변과의 관계를 파악할 수 있고 이를 통해 방대한 정보를 수집 가능함에는 틀림없다. 우스갯소리로 창설 당시 CIA는 정보를 찾기 위해 발품을 팔아야 했지만 지금은 범죄자들이 인터넷을 통해 알아서 공개해버려 굳이 추적하지 않아도 어디서 무얼 하는지 쉽게 알 수 있을 정도라고 했다.

 

 이렇듯 정보보안은 사소한 정보까지 신경써야 한다. 서비스를 만드는 사람이든 이용하는 사람이든 간에 정보접근을 최소화하는 방향으로 나아가야 피해를 더욱 줄일 수 있다. 해킹사고를 막기 위해 첨단 기술 사용하고 보안 결함을 수정하는 일도 중요하지만, 사용자들이 잠재되어 있는 위험을 인지하도록 안내하는 일 또한 중요하다. 개발자 관점에서 메일을 열 때에 첨부파일이 있다면 "첨부파일을 함부로 열지 마세요"처럼 안내문구를 띄워주거나 개인정보의 선택 수집 내용을 한 번 더 안내하는 방향으로도 정보보호를 실천할 수 있다.

 

 

참고자료

 

이완희. "인터넷 시대의 정보활동: OSINT의 이해와 적용사례분석." 한국경호경비학회 제34호(2013): 4-5. 

Datalux. "Osintgram." Github. September 5, 2022. https://github.com/Datalux/Osintgram.

 

 

 

반응형

'💻기술 > Security' 카테고리의 다른 글

NodeJS를 위한 최소한의 7가지 보안 설정  (0) 2022.10.13