'빅데이터와 선거' 유권자 정보, 안전할까?

CSO
대부분 선거 운동 본부는 후보자 관련 정보를 유권자에게 제공하고 있다. 하지만 빅데이터 시대에 이들은 유권자에 대한 정보도 취합하고 있다. 문제는 유권자에 대한 정보 취합에 거의 아무런 제제를 받지 않고 있고 안전하게 관리하지도 않는다는 데 있다. 



미국 대통령 선거가 다가오면서 후보자들은 유권자에게 자신을 알리는데 많은 돈을 쓸 준비를 하고 있다. 그러나 후부 자신을 알리는 데만 돈을 쓰는 것은 아니다.

후보자들은 유권자 정보 수집에도 많은 돈을 투자한다. 문제는 유권자에게는 수집될 정보에 대한 발언권이 없다는 데 있다.

빅데이터 시대에는 후보자가 유권자 본인보다 유권자를 훨씬 더 많이 알고 있다.

물론 유권자를 자신의 편으로 만드는 것이 무엇인지 파악하려는 희망이 처음 생겨난 것은 아니다. 선거 운동 본부들은 수십 년 동안 유권자를 소수계, 동성애자, 블루칼라 노동자, 사커 맘, 종교, 진보, 베이비 붐 세대, 나스카(NASCAR) 대드, 노조원, 은퇴자, 부자, 법 관련 종사자, 식품산업 및 주류산업 종사자 등의 직업군 등 여러 다양한 이해 집단으로 분류해왔다.

이밖에 그 동안의 투표 양태, 정치 헌금, 선거 자원봉사 이력도 추적했다.

그러나 최근 수집되는 정보는 훨씬 더 자세하다. 여기에는 소셜 미디어도 포함된다. 페이스북의 친구들과 '좋아요', 유튜브 시청 기록, 링크드인 프로필, 핀터레스트 및 텀블러, 인스타그램, 레딧 활동 내역, 트위터 팔로워, 리트윗 등을 예로 들 수 있다.

또 잡지 구독 내역, 소유한 자동차나 보트의 종류, 즐겨 쇼핑하는 장소, 자선 활동, 회원 가입 내역, 거주지, 주택 임대 또는 소유 여부, 휴가용 주택 소유 여부, 각종 자격증과 면허증, 총기 소유 여부 등도 포함된다.

모두 유권자 집단에 맞춰 정밀하게 표적화된 메시지를 만들 수 있도록 도와주는 정보들이다. 여기에는 정보 조작 요소가 들어있기는 하지만, 더 효과적인 커뮤니케이션으로 알려졌다.

정치 기부금을 낼 때, 가장 먼저 접하게 되는 것이 '유권자를 더 깊이 이해하기 위한' 설문 조사다.

CDT(Center for Democracy & Technology)의 최고 테크놀리지스트인 조셉 로렌조 홀(왼쪽 사진)은 "포커스 그룹, 또는 더 복잡한 방법들인 광고에 등장하는 사람들의 특징이나 시각적인 특징을 바꾸는 것만큼 간단하게 유권자에게 더 호소력 높은 메시지로 바꿀 수 있다"고 말했다.

빅데이터가 정치에 미칠 영향을 집중적으로 소개한 '파악과 분류(Identify & Sort)'라는 책을 쓴 뉴욕주 변호사인 조세프 앤소지는 가장 중요한 정보 중 하나로 우편번호를 꼽았다. 거주지, 직장, 학교 등은 개인에 대해 많은 것을 알려주기 때문이다.

그는 "이를 연락처에 수집한 정보와 결합하고, 전화나 방문 조사로 개인의 투표 성향을 파악할 수 있다"고 설명했다.

엔소지(오른쪽 사진)는 선거 운동 본부가 이를 통해 유권자 집단을 세분화한다고 전했다. 여기에서 가장 중요한 것은 생각을 바꿀 수 있는지다. 선거 운동 본부는 이들 집단에 영향을 미치기 위해 가장 열심히 노력하게 될 것이다.

그러나 사람들의 삶과 선호도, 의견, 심지어는 개인의 건강 등에 대한 자세한 정보 수집에는 개인정보 보호 및 보안에 대한 우려가 따른다. 얼마나 많은 사람이 정보에 접근할까? 온라인 공격으로부터 얼마나 잘 보호되고 있을까? 선거가 끝나면 정보를 폐기할까? 아니면 계속 보관할까? 당선자가 이를 계속 이용하고, 경쟁자를 지지한 사람들을 추적하고 싶어 할까?

앤소지는 빅데이터를 이용해 여러 집단에 여러 다양한 메시지를 전달하는데 문제가 하나 있다고 지적했다. 그는 "민주주의에는 이런 종류의 활동으로 훼손되는 기본적인 보편성이라는 요소가 존재한다"고 설명했다. 그러면서 유권자들은 자신의 프로필을 기반으로 정보가 전달되는 방식을 인식해야 한다고 덧붙였다.
 

데이터그래비티(DataGravity)의 CISO인 앤드류 헤이(왼쪽 사진)는 "유권자 데이터 수집 자체는 물론 메시지 변경조차도 크게 우려할 문제는 아니다. 후보자들은 기억해야 할 정보가 많다. 데이터 분석은 유권자 집단의 필요 및 희망 사항이 특정 메시지와 일치시키도록 도움을 준다"고 이야기했다.

그러나 데이터 보안과 거버넌스가 아주 중요하다고 강조했다. 그는 "정부가 유권자 집단에서 '번 리스트(Burn List, 마약상 또는 범죄자 리스트)'를 계속 보관하는 것보다는, 수집한 데이터의 보호, 보유, 파괴를 더 걱정한다. 원본 데이터, 원본 데이터를 분석한 데이터 모두가 여기에 포함된다"고 설명했다.

프라이버시의 미래 포럼(Future of Privacy Forum)의 운영 담당 디렉터 겸 선임 자문위원인 브렌다 레옹(오른쪽 사진)도 이러한 견해를 밝혔다.

"빅데이터 분석은 유권자가 자신이 가장 중요하게 생각하는 부분에 관여할 수 있는 새로운 방법을 제시한다. 더 큰 자극을 받고, 더 많은 정보를 가진 상태에서 선거에 참여할 수 있다. 이는 투표율을 높이는 효과도 있다. 그러나 선거 운동 본부가 데이터를 제대로 취급하지 못할 수 있다. 선거 운동 본부란 아주 작은 조직에서 출발해 단시간에 수백만, 수십억 달러의 엔터프라이즈로 성장하는 조직이기 때문이다. 여기에는 많은 자원 봉사자와 비정규직이 참여하고 있다. 모든 선거 운동 본부가 보안과 프라이버시를 신중하게 다뤄야 한다. 또 직원들을 제대로 교육해야 한다. 우리는 모든 선거 운동 본부가 CPO(최고 프라이버시 책임자)를 임명, 이 문제를 모니터링 할 것을 권장한다."

앤소지도 레옹의 의견에 동의했다. 그는 "이런 데이터베이스는 정부나 정당의 통제를 벗어날 수 있다. 내국인이나 외국인이 이 정보를 남용할 위험도 있다. 특정 목적을 위해 수집된 데이터가 다른 목적으로 남용된다는 의미다"고 지적했다.

안타깝게도 이는 '가능성'이 아닌 '사실'이라는 증거가 많다. 3주 전, 맥키퍼(MacKeeper)의 보안 연구원인 크리스 비커리(Chris Vickery)는 데이터 중개 회사인 L2의 고객사 한 곳이 미국 유권자 1억 5,400만 명의 유권자 등록 기록을 호스팅하고 있었고, 총기 소유 여부, 주소, 페이스북 프로필, 나이, 동성 결혼 찬성 여부, 인종, 이메일 주소, 낙태 찬성 여부 등 자세한 정보가 유출된 일이 있었음을 발견했다.

사례는 더 있다. <CSO>의 '솔티드 해시(Salted Hash)’ 칼럼니스트인 스티브 레이건에 따르면, 비커리는 6개월 전에도 자신에 대한 기록을 포함, 1억 9,600만 명의 유권자 기록이 담긴 데이터베이스가 잘못 설정되어 일반에 공개되기 직전이라는 사실을 발견했다.

비커리는 격앙된 목소리로 레이건에게 "내 기록에는 다른 사람들이 악용할 수 있는 자세한 정보가 들어있었다. 어떻게 1억 9,100만 명의 기록을 이렇게 부주의하게 다룰 수 있지?"라고 말했다.

또 5,600만 명에 대한 기록이 유출된 사고도 있었다. 이 가운데 1,900만에 대한 기록에는 투표 이력은 물론 기독교적 가치, 성경 연구, 총기 소유 등 아주 개인적인 정보도 들어 있었다.

이 밖에도 전국적으로 선거 운동과 관련된 정보 시스템 해킹 사고가 발생하고 있다. 이런 점을 고려했을 때, 유권자들은 현대적인 선거 운동 목적으로 수집되는 데이터를 우려해야 한다.

홀은 "정적으로부터 자신을 보호하는 문제와 직결된 경우에만 선거 운동 본부가 데이터 보안을 걱정한다. 선거 운동 본부가 데이터 취급과 보호에 주의를 기울이지 않고 있으므로 유권자는 이를 크게 신경 써야 한다"고 말했다. 비영리 단체는 FTC의 관할권이 아니다. 이는 수정 헌법 1조의 큰 문제점 중 하나다. 정부는 선거 운동 본부에 해야 할 일을 권고만 할 수 있다.

그는 "정치인들이 유권자 데이터를 철저히 보호하는 법안을 통과시킬 리 만무하다. '세밀한 표적화' 역량을 제한하기 때문이다"고 지적했다.

또 정치 관련 데이터베이스는 기업 데이터보다 해킹 위험이 높다. 이를 공유하는 사람이 많기 때문이다. 레옹은 "기업은 데이터를 공유하지 않는다는 약속을 한다. 그러나 선거 운동 본부와 정치 후원 단체는 데이터를 공유하는 때가 많다. 따라서 데이터를 제공할 때 공개 관련 내용을 철저히 읽어 이해하는 것이 아주 중요하다.


그녀는 "특정 사안과 관련해 서명하거나 가입할 경우, 해당 단체는 비슷한 의견을 가진 다른 조직과 이런 정보를 공유할 계획이라고 알려줄 것이다. 그러면 결과적으로 여러 단체의 메일링 리스트에 등재된다"고 설명했다.

홀도 여기에 동의했다. 그는 "정치 헌금을 낼 때 가장 먼저 접하게 되는 것이 '유권자를 더 깊이 이해하기 위한' 설문조사이다. 그리고 이들은 다른 데이터 소스에서 획득할 수 없다. 총기 소유 여부, 낙태에 대한 의견 등 여러 정보를 추구할 것이다"고 말했다.

자발적으로 이런 정보를 제공하는 유권자들도 있다. 그러나 이 경우에도 해당 유권자는 표적화를 위해 이런 정보에서 더 자세한 정보를 추출하는 용도로 이용된다는 것을 알지 못한다. 올해 많이 발생한 사례를 예로 들면, 정치적인 의견을 드러내지 않는 사람들에 대한 데이터를 수집하기 위해, 이들을 대상으로 "이웃이 총기를 소유하고 있습니까?"라고 묻는 경우가 있었다.

앤소지는 대선을 중심으로 데이터 수집을 제한하는 법안을 제정하는 것이 그렇게 어렵지만은 않다고 지적했다. 이어서 "후보자들은 법을 위반한 사람으로 낙인 찍히는 스캔들을 원하지 않아 절제할 것이다"고 덧붙였다.

유권자 본인이 지지 후보에게 더 많은 개인 정보를 제공하기로 할 수도 있다. 일종의 '데이터 기부행위'다. 그러나 유권자 본인의 선택이어야 한다는 점이 중요하다.

수집된 데이터가 상세하다는 점을 고려했을 때, 대부분 사람은 선거 운동 후 데이터를 파기하는 규정이 있어야 한다고 입을 모은다.

헤이는 미국 정부도 EU처럼 '잊혀질 권리'를 규정한 GDPR(General Data Protection Regulation) 규정을 도입해야 한다고 강조했다.

그는 "국민 한 사람으로서 데이터 수집에 동의하지만, 동시에 수집한 정보가 무엇인지 요청할 수 있는 권리, 이를 지울 수 있는 권리를 원한다"고 주장했다. ciokr@idg.co.kr