지난 5월 31일 영국 일간 <가디언>에 올라온 뉴스가 내 눈에 띄었다. 미국 텀블러의 이메일과 패스워드 6500만 계정을 판매한다는 정보가 다크넷에 올라왔다고 한다. 2013년 초에 발생한 개인정보 유출 사건의 결과이다. 지금은 많이 잊혀진 서비스 마이스페이스 데이터베이스의 3억6000만 레코드도 팔려고 한단다.

정보 유출은 늘 있어 왔고, 그때마다 보안 이슈가 강조되거나 전체적인 점검이 시작되곤 한다. 그러나 내가 요즘 우려하는 면은 일상적인 해킹이나 정보 유출의 문제가 아니다.
슬슬 투자 위축, 버블 붕괴, 유니콘 몰락 등의 기사가 나오기 시작한다. 국내에서도 기업 가치를 낮춰서 투자를 받으려고 하는 다운 라운딩 얘기가 나오고, 그럼에도 투자가 여의치 않다고 한다. 노력했으나 더 이상 펀딩을 받지 못한 서비스와 사업을 닫는다는 글이 소셜 네트워크에 올라오기 시작한다.

많은 스타트업이 실패하고, 잘 되던 기업도 환경 변화에 대응을 못하거나 사용자 세대가 변화함에 따라 좌초하곤 했다. 과거에는 회사를 잘 정리하고, 계정 데이터 등을 잘 삭제하면서 사용자 보호를 완료하면 큰 문제가 없었다.

그러나 최근 나타나는 기업들은 단지 계정 정보만을 갖고 있지 않다. 사람들의 온라인 행동, 기기와의 연계, 게다가 O2O 흐름이 강해지면서 오프라인에서의 정보도 수집했다. 또한 다양한 서비스와 연계하면서 그 데이터는 또 다른 방식으로 가공되거나 전달되고, 연결했다.

사물인터넷은 이를 더 복잡하게 만든다. 스마트 기기에는 내 정보가 어떻게 저장되는지, 이를 얼마나 보관하는지, 누구에게 전달하는지 사용자가 일일이 알 수가 없다. 비콘, 모바일 결제 과정, 모바일 마케팅, 소규모 SNS나 소셜 미디어, 데이터 분석 전문 회사에 전달해 분석 결과를 얻는 과정, 광고를 위한 흔적 수집 등의 엄청난 데이터가 수집되어 흘러다닌다.

조만간 많은 서비스 업체가 문을 닫을 수밖에 없을 것이다. 이들이 수집한 데이터가 안전하게 파기되었음을 누가 보장할 것인가. 싸이월드를 통해서 이런 데이터의 예민함을 경험해 왔지만, 큰 회사이고 신뢰할 수 있는 프로세스가 있었을 것이라 생각했다. 그러나 작은 기업, 실험적인 O2O 서비스가 하나 둘씩 사라지면서 이들이 수집했던 데이터가 어떻게 파기되고 있는지 우리는 잘 알지 못한다.

2015년 1월에 미국 연방거래위원회(FTC)는 스태프 보고서를 통해 사물인터넷 회사의 시큐리티와 프라이버시 문제를 주목했고, 데이터 보호와 최소 저장·관리·운영에 대한 전문가의 의견을 수렴했다.

웨어러블 기기나 헬스케어와 관련된 데이터는 더 민감한 정보를 갖고 있을 수 있다. 미국 조본은 피트니스 밴드 사업을 중단한다고 발표했다. 그동안 모아놓은 데이터를 어떻게 처리할 것인지 의문이 든다. 국내에서도 작은 기업들이 웨어러블 사업을 펼쳤지만, 사라지면서 데이터를 완벽히 파기했는지 알 수가 없다.

이제는 악의적인 해킹이나 내부자에 의한 정보 유출만이 아니라 의도하지 않은 가운데 무책임하게 방치하거나 맘대로 폐기한 정보가 나중에 악용될 수 있는 가능성에 대해 고민해야 한다.

19대 국회가 마감되면서 각 의원실에서 중요한 정부 자료가 마구 버려졌다는 뉴스를 보았다. 회사나 서비스를 정리하면서 이런 온라인 데이터가 쓰레기처럼 버려지는 것은 아닌지 걱정된다.

나아가서 내가 죽고 나면, 나에 대해 수집한 많은 행동 데이터나 생체 데이터들이 내가 원하는 대로 파기되거나 삭제될 수 있을지 의문이다. 이런 문제를 고민해야 하는 시대가 조만간 올 것이라 생각한다.

<한상기 소셜컴퓨팅연구소 소장>