2018년은 페이스북에게 악몽이었다. 전세계 수십억 명의 사회, 정치, 상업 활동의 중심에 자리한 인터넷 거대 기업의 10년에 걸친 끝없어 보이는 성장이 마침내 종지부를 찍었다. 정치 컨설팅 회사인 케임브리지 애널리티카(Cambridge Analytica)가 수천만 이용자의 개인정보를 무단으로 수집하고 이용하는데 페이스북이 일정 역할을 했다는 것이 폭로된 지난 3월부터 페이스북은 급격히 쇠퇴의 길로 접어들었다.
그때부터 회사는 매달 스캔들 아니면 논쟁에 휘말렸다. 물론 이들 전부가 프라이버시와 연관된 것은 아니었다. 이로 인해 페이스북은 금전적 이익을 위해 이용자의 상세 정보를 거리낌 없이 이용하는 회사, 그리고 프라이버시 보호와 데이터 보안을 허술하게 관리하는 회사로 낙인이 찍혔다. 페이스북과 규제 기관이 이러한 사건에 어떻게 대응하는가는 향후 다른 모든 회사가 소비자 데이터를 관리하고 보호하는 방식에 영속적 영향을 줄 것이다.
9월 페이스북은 이메일 주소, 전화번호, 성별, 위치, 생일, 최근 검색 이력 등 수천만 이용자의 개인정보를 노출할 수 있었던 이용자 액세스 토큰과 연관된 보안 취약점을 발표했다. 12월 초 페이스북은 9월 중 12일의 기간 동안 최대 680만 이용자의 사진을 개발자에게 노출할 수 있었던 버그를 발표했다.
연말에는 페이스북의 데이터 보호에 대한 신뢰를 크게 실추시키는 또 다른 대형 사건이 터졌다. 뉴욕타임스가 입수한 수백 페이지짜리 문서에 따르면, 페이스북은 지금까지 자체적으로 발표했던 것보다 아마존, 마이크로소프트, 넷플릭스 등 150곳 이상의 IT 기업에게 이용자 개인정보로의 한층 침투적인 접근을 허용했다. 위 데이터 공유 약정은 너무나 터무니없는 것이어서 이는 연방무역위원회(FTC)와 맺은 2012년의 동의 계약(consent agreement)에 위배될 소지가 있다. 합의에서는 페이스북이 명시적 허가 없이 이용자 데이터를 공유하는 것을 금지한다.
페이스북은 개인정보를 심각하게 취급하겠다고 여러 차례 선언했다. 그러나 12월 초, 영국의 의회가 공개한 페이스북의 내부 이메일과 문건을 보면 페이스북은 ‘데이터가 새로운 석유 자원’이라는 금언을 명확히 인식하면서 사적 이익을 취했다. 아울러 페이스북은 제휴업체를 직접 선정하는가 하면, 경쟁자에게는 수십억 이용자의 귀중한 데이터 보호자 역할을 자처하며 불이익을 주었다.
페이스북 사태의 잠재적 여파
페이스북 문제에 대한 속성 처방은 현재 얼마 되지 않는다. 그러나 2019년에 접어들면 아래에 서술하는 모든 영역에서 강화되는 조치를 예의주시해야 한다. 이들 모두가 소비자 데이터를 처리하는 회사의 보안 및 프라이버시 팀에 직접적 내지 간접적 영향을 줄 수 있기 때문이다.
프라이버시 입법
EU가 개인정보보호규정(GDPR)을 2018년 3월 발효하고 1개월 후 캘리포니아가 예상외로 엄격한 데이터 프라이버시 법률을 채택함에 따라, 미국 의회에서 데이터 프라이버시 및 보안 입법이 탄력을 받고 있다. 12월 중순, 브라이언 샤츠가 이끄는 15명의 민주당 상원의원 그룹은 데이터 케어 법(Data Care Act)를 발의했다. 이 법안은 개인정보를 수집하는 회사가 정보를 보호하는 합당한 조처를 하도록 규정하고 소비자에게 해로운 방식으로 개인정보를 사용하는 것을 금지한다.
샤츠의 법안은 인터넷 및 기술회사가 지지하고 있고, 데이터 프라이버시를 취급하는 몇 안 되는 의회 차원의 조치 가운데 하나다. 지난 의회에서 제기된 법안 가운데 가장 눈에 띄는 것은 론 와이든 상원의원이 발의한 소비자 데이터 보호법(Consumer Data Protection Act)이다. 이 법안은 프라이버시를 위반한 회사에게 엄중한 경제적 형벌을 가하는 한편 법안이 강제하는 연례 보고서에서 연방무역위원회(FTC)에게 허위 진술한 CEO에게 징역형을 부과할 수 있다.
FTC의 프라이버시 강제 조치
FTC는 케임브리지 애널리티카 스캔들을 이미 조사 중이고, 최근의 폭로들이 2012년의 동의 판결(2012 consent decree)을 실제로 위반했다고 판단한 경우 페이스북에 대해 강제 조치를 내놓을 수 있다. FTC는 프라이버시 위반 의혹이 불거지면서 구글 및 트위터와도 동의 계약을 맺었다. 따라서 FTC는 실리콘밸리 거대 기업들이 이용자 데이터를 부주의하게 보호한 것이 드러날 경우 이들에게 철퇴를 가할 수 있는 상당한 재량권을 가지고 있다.
그러나 페이스북의 동의 판결(consent decree) 사례와 마찬가지로 FTC 조치가 실효성을 갖기는 만만치 않다. 이 판결 하에서 페이스북은 2인의 최고 프라이버시 임원과 프라이스워터하우스쿠퍼스(PwC)가 감독하는 ‘포괄적 프라이버시 프로그램’을 도입했다. 그러나 페이스북이 다른 기술 기업과 맺은 데이터 제휴의 많은 부분이 프라이버시 리뷰를 거치지 않은 것으로 전해진다.
프라이버시 소송
케임브리지 애널리티카 스캔들의 와중에서 페이스북은 과실, 프라이버시 침해, 주-수준 소비자 보호법 위반, 저장통신법(the Stored Communications Act) 등 연방법 위반을 근거로 이용자 및 투자자가 배상을 구하는 수십 건의 소송에 휘말려 있다. 12월 9일, 컬럼비아 특별구 검찰총장인 칼 레이신은 주로 케임브리지 애널리티카 위반에 근거해 페이스북을 기소했다. 페이스북이 특별구의 소비자 보호 절차법을 위반했다는 것이다. 다른 주의 검찰총장은 페이스북에 대해 소송을 검토 중이라고 언급해서, 소송이 여러 주로 번질 가능성이 있다.
페이스북 계정 삭제
페이스북의 프라이버시 위반이 계속 드러나자 이미 한 발을 뺀 상태의 이용자들은 한계에 도달했다. 페이스북 계정의 공공연한 삭제가 일어났고, 페이스북이 계속 이런 식이라면 머지않아 마이스페이스의 전철을 밟을 것이라는 추측이 힘을 받고 있다. 전직 WSJ의 IT 리더이자 레코드(Recode)의 공동 설립자인 월트 모스버그가 2018년 후반의 동향을 보여주는 전형적 실례다.
모스버그는 트위터에서 “나의 가치관과 페이스북의 정책 및 행동이 내가 그곳에서 더 이상 편안함을 느끼지 못할 정도로 괴리되었기 때문에” 페이스북 계정을 (그리고 페이스북이 소유한 인스타그램, 메신저 및 왓스앱 계정) 삭제한다고 밝혔다. 모스버그는 자신의 결정에 대한 인터뷰를 거절하고 있지만, 일련의 후속 트위터 발언을 보면 그는 소셜 미디어 회사가 개인정보를 제 3자와 공유하기 전에 먼저 동의를 구해야 하고 필요 시 대가를 지불해야 한다고 규정하는 연방법을 지지한다.
모스버그 같은 유명인이 페이스북 계정을 삭제했지만, 이 소셜 미디어 플랫폼은 대다수 이용자의 삶에 너무 깊이 침투해 있어 확연한 단절은 쉽지 않아 보인다. 터프츠 대학교(Tufts University)가 발표한 한 연구에서는 페이스북 계정을 폐쇄한 사람들에게 실제로 돈을 지불한 일련의 경매를 했다. 그랬더니 페이스북 이용자들은 계정을 1년간 중지하는 대가로 평균 1,000달러 이상을 요구했다.
소비자 정보 보호에 대한 페이스북의 안이한 태도가 끊임없이 폭로되는 것을 감안하면, 2019년은 데이터 프라이버시와 보안 전선에서 바쁜 한 해가 될 것으로 예상된다. 페이스북이 2018년에 입은 타격은 보안 및 프라이버시 전문가가 가진 데이터 보호에 대한 생각을 급격히 변화시키는 전기가 될 것이다. ciokr@idg.co.kr