⊙ 전 세계 데이터 브로커 시장은 2022년 기준 약 350조원
⊙ 쿠팡 3370만 명의 완전한 정보 패키지라면 수십억 달러 가치
⊙ 정보 유출 사고 터지면 기업은 과징금 내고 주가가 일시적으로 빠지지만, 1~2년 뒤 회복… 개인 피해자의 삶은 회복되지 않아
⊙ ‘웹의 아버지’가 제시한 代案 ‘솔리드 프로젝트’… 데이터는 개인이 통제, 플랫폼이 서비스 제공하려면 접근 권한 요청하게 해야
⊙ 쿠팡은 내 구매 패턴을 분석해 광고 효율 높이고 수익 올려… 그 가치의 일부가 왜 나에게 돌아오지 않는가?
⊙ 기술 主權만 이야기하고 데이터 주권 빠뜨린 소버린 AI는 절반짜리 주권에 불과
郭昌圭
1956년생. 서울대 영어교육과 졸업, 미국 일리노이주립대 경제학 석·박사 / 경실련 상임연구위원, 이화여대 겸임교수, 한나라당 여의도연구소 부소장, 금융감독원 산하 금융보안연구원 제2대 원장 역임. 現 한국외대 겸임교수
쿠팡 이용자의 개인 정보 약 3370만 개 유출 사태로 피싱 등 2차 피해에 대한 우려의 목소리가 커지고 있다. 2025년 서울의 한 쿠팡 이용자가 비밀번호를 변경하고 있다. 사진=조선DB
서울에 사는 김모(42)씨는 지난달 낯선 전화를 받았다. ‘쿠팡 고객센터’를 사칭한 목소리가 최근 주문한 에어컨 설치 일정을 확인해 달라고 했다. 실제 주문 내역이라 별다른 의심 없이 이름과 전화번호, 주소를 알려 줬다. 며칠 뒤, 그의 계좌에서 350만원이 사라졌다. 범인은 그의 구매 내역까지 정확히 알고 있었다. 허구가 아니다. 쿠팡 정보 유출 이후 신고된 실제 피해 사례를 바탕으로 재구성한 것이다.
대한민국 성인 4명 중 3명이 피해자
2025년 12월 2일 오전 서울 여의도 국회 과학기술정보방송통신위원회에 쿠팡 박대준 사장과 브랫 매티스 CISO가 출석했다. 사진=조선DB
3370만 명. 전 국민의 65%, 대한민국 성인 4명 중 3명에 해당하는 숫자다. 2025년 11월, 쿠팡은 대한민국 역사상 최대 규모의 개인 정보 유출 사고를 일으켰다. 유출된 정보는 이름, 전화번호, 주소에 그치지 않았다. 구매 내역까지 포함됐다. 구매 내역은 단순한 쇼핑 기록이 아니다. 그 안에는 생활 패턴, 경제 수준, 건강 상태, 가족 구성, 심지어 정치 성향까지 유추할 수 있는 정보가 담겨 있다. 임신 테스트기를 구매한 기록, 특정 종교 서적을 주문한 내역, 정신건강 관련 제품을 산 흔적. 이 모든 것이 범죄자의 손에 넘어갔다.
사건의 경위는 더욱 충격적이다. 정보 탈취는 2025년 6월에 시작됐다. 그러나 쿠팡이 이를 인지한 것은 5개월이나 지난 11월이었다. 내부 모니터링 시스템이 이상 징후를 포착한 것도 아니었다. 고객들의 민원이 쏟아진 뒤에야 뒤늦게 알아챘다. 최초 발표에서는 피해 규모가 4500건이라고 했다. 불과 며칠 만에 그 숫자는 7500배로 뛰어올랐다.
원인은 더욱 허탈하다. 정교한 해킹이 아니었다. 퇴직한 직원의 시스템 접속 권한이 반년 가까이 살아 있었다. 이미 회사를 떠난 사람이 언제든 고객 데이터베이스에 접근할 수 있는 상태였다. 가장 기초적인 계정 관리의 부재(不在)가 초래한 인재(人災)였다.
역사상 최대 규모의 개인 정보 유출 사고는 2013년 미국 야후(Yahoo)에서 터졌다. 2013년 30억 개 계정 정보가 털렸다. 충격적인 것은 야후가 이 사실을 3년이나 숨겼다는 점이다. 2016년에야 공개했고, 처음에는 ‘10억 개’로 발표했다가 30억 개로 정정했다.
쿠팡 사건은 야후와 기이할 정도로 닮았다. 정보 탈취와 인지 사이 5개월의 공백, 외부 민원으로 뒤늦게 인지, 최초 발표와 실제 규모의 천문학적 차이. 야후와 쿠팡 사건 사이에는 12년이 있다. 그사이 클라우드 보안 기술은 비약적으로 발전했고, 제로 트러스트(Zero Trust) 같은 새로운 보안 패러다임이 등장했으며, 개인정보보호법은 여러 차례 강화됐다. 그런데 왜 똑같은 패턴이 되풀이되는가? 이 질문에 답하려면 플랫폼 기업들이 우리의 데이터를 어떻게 다루는지 이해해야 한다.
350조원의 그림자 산업, 데이터 브로커의 세계
보안 스타트업 S2W의 플랫폼을 통해 확인한 다크웹 내 개인 정보 판매 글. 한국인의 이메일과 패스워드 묶음 개인 정보 3만 개를 판다는 내용이다. 사진=조선DB
대부분의 사람에게 낯선 산업이 있다. ‘데이터 브로커(data broker)’ 산업이다. 이들은 개인의 명시적 동의 없이 공개·비공개 정보를 광범위하게 긁어모아 제3자에게 판매한다. 당신이 온라인에서 무엇을 검색했는지, 어떤 물건을 샀는지, 어느 동네에 사는지, 건강 상태는 어떤지, 이 모든 정보가 수집되고, 분석되고, 패키지화되어 거래된다.
전 세계 데이터 브로커 시장 규모는 2022년 기준 약 350조원(2500억 달러)에 달한다. 2030년에는 500조원까지 불어날 전망이다. 한국의 연간 국방예산(약 60조원)과 비교하면 그 규모를 가늠할 수 있다.
미국의 대표적 데이터 브로커 액시엄(Acxiom)은 전 세계 7억 명이 넘는 소비자 정보를 보유하고 있다. 개인 한 명당 1500개가 넘는 데이터 항목을 저장한다. 구매 습관, 신용 상태, 건강 기록, 정치 성향, 종교, 인종까지 망라한다.
이 산업의 문제는 합법과 불법의 경계가 모호하다는 점이다. 정당하게 수집된 데이터와 출처 불명의 데이터가 뒤섞여 유통된다. 한번 유출된 개인 정보는 다크웹(dark web)을 통해 거래되고, 데이터 브로커들의 데이터베이스에 흡수되어 반복적으로 재판매된다.
다크웹에서 개인 정보의 가격은 얼마일까? 2024년 프라이버시 어페어스(Privacy Affairs) 조사에 따르면 신용카드 정보는 건당 10~20달러, 온라인 뱅킹 계정 정보는 50~200달러, 완전한 신원 정보는 100~200달러에 거래된다. 쿠팡에서 빠져나간 3370만 명의 완전한 정보 패키지라면 수십억 달러의 가치가 있을 수 있다. 이미 다크웹 어딘가에서 거래되고 있을 공산이 크다.
2014년 1월 롯데카드 등 3개 카드회사의 고객 개인신용정보가 유출되자 서울 모 백화점 지하 1층 롯데카드 영업점에 카드 교체와 정지를 하기 위해 사람들이 길게 줄을 서 있다. 사진=조선DB
12년 전인 2014년 1월, 대한민국은 사상 초유의 금융 정보 유출 사태를 겪었다. KB국민카드, 롯데카드, NH농협카드에서 총 1억 400만 건의 개인 정보가 유출됐다. 당시 대한민국 경제활동인구가 약 2600만 명이었으니, 한 사람당 평균 4개의 계정 정보가 털린 셈이다. 사실상 대한민국 전체가 피해자였다.
유출된 정보의 범위는 충격적이었다. 이름과 주민등록번호는 기본이었다. 연봉, 결혼 여부, 자동차 보유 현황, 주거 형태, 신용등급, 카드 사용 한도까지 적나라하게 털렸다. 범인은 외부 해커가 아니었다. 신용평가사 KCB(코리아크레딧뷰로)의 직원 한 명이었다. 그는 카드사에 파견 나간 1년 2개월 동안 USB 메모리 하나에 정보를 담아 조금씩 빼돌렸다.
당시 사회적 충격은 대단했다. 국회 청문회가 열렸고, 카드사 임원들이 고개를 숙였다. 과징금이 부과됐고, 보안 투자 확대가 약속됐다. 개인정보보호법이 강화됐다. 그리고 사람들은 잊었다.
2014년 카드사 사건의 핵심 교훈은 ‘내부자 위협(insider threat)에 대한 통제’였다. 12년이 지났지만 같은 구멍이 뚫렸다. 우리는 정말 아무것도 배우지 못한 것인가.
글로벌 스캔들의 교훈: 에퀴팩스와 케임브리지 애널리티카
2017년 미국에서 터진 에퀴팩스(Equifax) 사건으로 1억 4700만 명의 정보가 유출됐다. 미국 성인의 거의 절반에 해당하는 숫자다. 에퀴팩스는 미국 3대 신용평가사 중 하나였다.
해외에서도 대형 유출 사고는 끊이지 않았다. 2017년 미국에서 터진 에퀴팩스(Equifax) 사건은 개인 정보 유출이 기업에 어떤 결과를 가져오는지 보여 주는 대표적 사례다. 에퀴팩스는 미국 3대 신용평가사 중 하나로, 미국인 대부분의 신용 정보를 관리하는 회사다. 이곳에서 1억 4700만 명의 정보가 유출됐다. 미국 성인의 거의 절반에 해당하는 숫자다.
원인은 어처구니없었다. 아파치 스트러츠(Apache Struts)라는 웹 애플리케이션 프레임워크에서 심각한 보안 취약점이 발견됐고, 패치가 배포됐다. 에퀴팩스 보안팀에도 패치 지시가 내려갔다. 그러나 아무도 패치가 제대로 적용됐는지 확인하지 않았다. 해커들은 76일간 에퀴팩스 시스템 안에서 자유롭게 돌아다니며 데이터를 빼갔다. 두 달 반 동안 해커들이 시스템 안에 있었는데 아무도 몰랐다.
에퀴팩스는 결국 연방거래위원회(FTC)와 7억 달러(약 9000억원) 규모의 합의에 이르렀다. 역대 최대 규모의 개인 정보 유출 합의금이었다. CEO를 포함한 경영진이 물러났고, 회사의 시가총액은 순식간에 40억 달러 이상 증발했다. 그러나 진짜 피해자인 1억 4700만 명의 미국인들에게 돌아간 배상은 미미했다.
2018년 터진 페이스북-케임브리지 애널리티카(Cambridge Analytica) 스캔들은 개인 정보 유출이 민주주의 자체를 뒤흔들 수 있음을 보여 줬다. 8700만 명의 페이스북 사용자 데이터가 동의 없이 수집돼 2016년 미국 대통령 선거와 영국 브렉시트(Brexit) 국민투표에서 맞춤형 정치 광고에 동원됐다.
케임브리지 애널리티카는 페이스북의 느슨한 데이터 정책을 악용했다. 성격 테스트 앱을 통해 수집한 사용자 정보를 본인뿐 아니라 그 친구들의 정보까지 확장해 긁어모았다.
이 사건은 개인 정보 유출이 단순한 금전적 피해를 넘어 선거 결과를 조작하고 민주주의의 근간을 훼손할 수 있음을 보여 줬다. 페이스북은 FTC로부터 50억 달러(약 6조 5000억 원)의 벌금을 부과받았다. 역사상 개인 정보 침해에 대해 부과된 최대 규모의 벌금이었다.
쿠팡에서 유출된 정보에도 구매 내역이 포함돼 있다. 구매 내역은 그 사람이 어떤 사람인지를 말해 준다. 이 정보가 악의적으로 활용된다면 한국에서도 케임브리지 애널리티카와 같은 일이 벌어지지 말라는 법이 없다.
학습하지 않는 기업: 편리함이 빚은 취약성
야후, 에퀴팩스, 페이스북, 카드 3사, 그리고 쿠팡. 왜 같은 실수가 되풀이되는가? 기업들이 어리석어서가 아니다. 현행 시스템 안에서 경제적으로 ‘합리적’인 선택을 하기 때문이다. 답은 비용과 수익의 비대칭적 인센티브 구조에 있다.
기업 입장에서 정보 보호는 ‘비용 센터(cost center)’다. 보안 시스템에 아무리 투자해도 직접적인 매출이 늘어나지 않는다. 오히려 서비스 속도가 느려지고 사용자 경험이 번거로워질 수 있다. 반면 데이터 수집과 활용은 ‘수익 센터(revenue center)’다. 더 많은 데이터를 모을수록 광고 타깃팅은 정교해지고, 추천 알고리즘은 정확해지며, 고객 이탈률은 낮아지고, 매출은 늘어난다.
쿠팡의 재무제표를 보자. 2020년대 들어 쿠팡은 매년 두 자릿수 매출 성장을 기록해 왔다. 쿠팡이츠로 배달 시장에 진출했고, 쿠팡플레이로 OTT 시장에 뛰어들었으며, 대만 진출로 해외 시장까지 공략하고 있다. 공격적인 확장 일변도였다. 그러나 정보 보호 투자가 이 성장 속도를 따라갔는지는 의문이다.
제재 수준도 실효성이 떨어진다. SK텔레콤은 2023년 2324만 명의 유심(USIM) 정보 유출로 개인정보보호위원회로부터 1348억원의 과징금을 부과받았다. 역대 최대 규모의 과징금이라고 했다. 그러나 SK텔레콤의 2023년 매출은 약 17조원이다. 1348억 원은 매출의 0.8%에 불과하다. 기업 입장에서 과징금은 사업 비용의 일부로 계산될 뿐이다.
더 근본적인 문제는 피해의 비대칭성이다. 정보 유출 사고가 터지면 기업은 과징금을 내고, 주가가 일시적으로 빠지고, 경영진이 고개를 숙인다. 그리고 1~2년이 지나면 대부분 회복한다. 그러나 피해자 개인의 삶은 회복되지 않는다. 한번 유출된 정보는 영원히 떠돈다. 사기 피해는 수년간 반복될 수 있다.
현대 플랫폼 경제의 본질적 특성이 있다. 데이터의 집적(aggregation)이다. 아마존, 구글, 메타, 그리고 한국의 쿠팡, 네이버, 카카오가 거대해진 이유는 더 많은 사용자 데이터를 한곳에 쌓았기 때문이다. 데이터가 많을수록 분석은 정교해지고, 예측은 정확해지며, 네트워크 효과는 강화되고, 시장 지배력은 공고해진다.
그러나 집적은 필연적으로 취약성을 동반한다. 수천만 명의 정보가 몇 개 서버에 모여 있다면, 그 서버 하나만 뚫어도 모든 것이 한꺼번에 쏟아진다. 보안 전문가들은 이를 ‘허니팟(honeypot·꿀단지) 효과’라고 부른다. 꿀단지에 벌레들이 몰리듯, 거대한 데이터베이스는 공격자에게 가장 매력적인 표적이 된다.
지금까지 우리는 더 두꺼운 방화벽, 더 복잡한 암호화, 더 정교한 침입 탐지 시스템으로 문제를 풀려 했다. 성곽을 더 높이 쌓고, 해자를 더 깊이 파고, 경비병을 더 많이 배치하는 식이다. 그러나 역사는 난공불락의 요새란 존재하지 않음을 보여 준다. 콘스탄티노플도, 마지노선도 결국 뚫렸다.
근본적 질문을 던져야 할 때다. 수천만 명의 정보가 중앙 서버에 집적되어야 할 필연적 이유가 있는가? 이 질문에 대한 답을 찾는 것이 다음 단계로 나아가는 출발점이다.
거대 플랫폼의 데이터 독점 구도에 맞선 ‘솔리드 프로젝트’
1989년 월드와이드웹(www)을 발명한 팀 버너스리(Tim Berners-Lee)는 21세기 가장 위대한 발명가 중 한 명으로 꼽힌다. 그가 만든 웹은 인류의 소통과 협력 방식을 근본적으로 바꿔 놓았다. 그러나 정작 버너스리 자신은 자신이 창조한 웹이 거대 플랫폼의 데이터 독점 도구로 변질된 현실에 깊은 우려를 표명해 왔다.
2018년, 버너스리는 ‘솔리드(Solid)’라는 대안 프로젝트를 세상에 내놓았다. Solid는 ‘Social Linked Data’의 줄임말로, MIT에서 시작된 이 프로젝트의 핵심 개념은 ‘팟(Pod·Personal Online Data Store)’이다. 이 구조에서 모든 개인 데이터는 각자의 팟에 저장된다. 데이터는 개인의 통제 하에 있으며, 플랫폼이 서비스를 제공하려면 사용자에게 접근 권한을 요청해야 한다. 서비스가 끝나면 그 권한은 자동으로 사라진다.
현재의 구조와 비교해 보자. 지금은 쿠팡에 가입하면 내 정보가 쿠팡 서버에 저장된다. 네이버에 가입하면 네이버 서버에, 카카오에 가입하면 카카오 서버에 저장된다. 각 플랫폼이 내 데이터의 사본을 보유하고, 나는 그 데이터가 어떻게 사용되는지 알 수 없다. 솔리드 구조에서는 다르다. 내 데이터는 내 팟에만 존재한다. 쿠팡이 배송을 위해 내 주소가 필요하면, 쿠팡은 내 팟에 ‘주소 열람 권한’을 요청한다. 나는 이를 승인하거나 거부할 수 있다. 승인하더라도 ‘이번 배송 건에 한해’ ‘배송 완료 후 일정 시간까지만’이라는 등의 조건을 붙일 수 있다.
공상이 아니다. 솔리드는 이미 실제 서비스에 적용되고 있다. 영국 국가보건서비스(NHS)는 환자 데이터 관리에 솔리드 도입을 검토하고 있다. 벨기에 플랑드르 지역정부는 솔리드 기반의 행정 서비스를 실제로 구축했다. 2024년에는 영국의 ODI(Open Data Institute)가 솔리드 프로젝트의 공식 관리를 맡으며 본격적인 확산에 시동을 걸었다.
기술은 이미 준비되어 있다: UCASM의 구현
‘그런 시스템이 현실적으로 구현 가능한가’라는 물음이 나올 수 있다. 놀랍게도 필요한 기술적 요소는 상당 부분 이미 개발되어 있다.
첫째, 영(零)지식 증명(Zero-Knowledge Proof)이다. 이는 정보 자체를 드러내지 않고도 특정 조건이 충족되었음을 입증할 수 있는 암호학 기술이다. 예를 들어 술집에 들어갈 때 신분증 전체를 보여 주지 않고 ‘나는 19세 이상’이라는 사실만 증명할 수 있다. 배송 시스템에 적용하면, 배송 가능 지역인지 여부만 확인하고 상세 주소는 배송 기사의 단말기에만, 배송 시점에만 표시되도록 제한할 수 있다.
둘째, 분산 원장(元帳) 기반 접근 로그다. 블록체인 기술을 활용하면 누가, 언제, 어떤 목적으로 내 데이터에 접근했는지를 투명하게 기록하고, 이 기록을 사후에 조작하지 못하게 할 수 있다. 쿠팡 사건에서 5개월간 무단 접근이 이루어졌지만 아무도 몰랐던 이유는 접근 로그가 중앙집중화되어 있어 조작되거나 삭제될 수 있었기 때문이다.
셋째, 자동 실행 계약(Smart Contract)이다. ‘서비스 종료 후 일정 기간 내 접근 권한 자동 삭제’ ‘마케팅 동의 철회 시 즉시 데이터 접근 차단’과 같은 조건을 코드로 작성하면 시스템이 예외 없이 자동으로 집행한다. 퇴직자 계정이 장기간 활성 상태로 방치되는 일 자체가 시스템적으로 차단된다.
필자가 제안하는 ‘사용자 중심 AI 공유 모델(UCASM·User-Centric AI Sharing Model)’은 솔리드의 철학을 AI 시대에 맞게 확장한 것이다. UCASM의 핵심은 데이터 권력 구조의 재편이다.
현재 우리는 플랫폼의 ‘사용자(user)’로 규정된다. 데이터를 끊임없이 생산하지만, 그 데이터에 대한 권리는 거의 없다. UCASM에서 개인은 ‘데이터 보유자(holder)’이자 ‘라이선스 부여자(licensor)’가 된다. 내가 생산한 데이터는 내 것이다. 무엇을, 누구에게, 어떤 조건으로 공유할지를 내가 결정한다.
이 구조에서는 경제 논리도 뒤바뀐다. 현재 쿠팡은 내 구매 패턴을 분석해 광고 효율을 높이고 수익을 올린다. 그 가치의 일부가 왜 나에게 돌아오지 않는가? UCASM에서는 내 데이터가 마케팅이나 AI 학습에 활용될 경우 그 대가가 데이터 제공자에게 돌아간다. 핵심은 선택권이 플랫폼이 아닌 개인에게 있다는 것이다.
소버린 AI 시대, 빠진 퍼즐 한 조각
이재명 정부는 ‘AI 주권 시대’를 선언하며 ‘소버린 AI(Sovereign AI)’를 핵심 국정 과제로 내세웠다. 2025년 12월 5일 손정의 소프트뱅크 회장을 접견하는 이 대통령.
현 정부는 ‘AI 주권 시대’를 선언하며 ‘소버린 AI(Sovereign AI)’를 핵심 국정 과제로 내세웠다. 이재명 대통령은 취임 이후 샘 올트먼 오픈AI CEO, 젠슨 황 엔비디아 CEO, 손정의 소프트뱅크 회장 등 글로벌 AI업계 거물들을 연이어 만나며 ‘AI 3대 강국’ 도약을 선언했다. 정치권에서도 수십조원에서 최대 100조원까지 거론되는 대규모 AI 투자 구상이 쏟아지고 있다.
기술 주권이 21세기 국가 생존의 조건이 되었다는 인식은 옳다. 반도체, AI, 양자컴퓨팅에서 뒤처지면 경제적 종속을 넘어 안보까지 위협받는다. 한국이 이 경쟁에서 살아남으려면 독자적인 기술 역량을 갖춰야 한다.
그러나 소버린 AI에는 두 개의 바퀴가 필요하다. 하나는 기술 주권이고, 다른 하나는 데이터 주권이다. 아무리 강력한 국산 AI 모델을 만들어도, 그 모델을 학습시키는 데이터의 소유권과 통제권이 불분명하다면 진정한 의미의 주권이라 할 수 없다.
현실을 보자. 한국인의 소비 데이터는 쿠팡, 네이버, 카카오에 집적되어 있다. 이동 데이터는 통신 3사와 내비게이션 앱이 보유하고 있다. 소통 데이터는 카카오톡과 인스타그램에 쌓인다. 검색 데이터는 네이버와 구글이 가져간다. 이 데이터들은 개인의 실질적 통제를 벗어나 있다.
여기에 외국 플랫폼의 문제가 더해진다. 구글, 유튜브, 인스타그램, 틱톡. 한국인이 생산하는 막대한 데이터가 해외 서버로 흘러나가고 있다. 국가가 외국 기술에 종속되지 않으려는 것처럼, 개인도 플랫폼에 종속되지 않아야 한다. 기술 주권만 이야기하고 데이터 주권을 빠뜨린 소버린 AI는 반쪽짜리 주권에 불과하다.
데이터 민주주의라는 지평
이재명 대통령은 2025년 12월 샘 올트먼 오픈AI CEO, 젠슨 황 엔비디아 CEO, 손정의 소프트뱅크 회장 등과 잇달아 만나며 ‘AI 3대 강국’ 도약을 선언했다. 사진=연합뉴스
19세기 산업혁명 시대, 노동자들은 공장에서 가치를 창출했지만 그에 상응하는 권리를 갖지 못했다. 하루 16시간 노동, 아동 노동, 위험한 작업 환경. 오랜 투쟁 끝에 노동자들은 권리를 쟁취했다. 8시간 노동제, 최저임금, 산업안전 기준, 단체교섭권. 오늘날 당연하게 여겨지는 이 권리들은 처음에는 모두 ‘비현실적 이상’으로 치부됐다.
21세기 디지털 경제에서 우리는 ‘데이터 노동자’다. 매일 검색하고, 클릭하고, 구매하고, ‘좋아요’를 누르고, 댓글을 달며 데이터를 생산한다. 우리의 데이터 없이 플랫폼은 존재할 수 없다. 그러나 우리는 데이터 생산에 대해 어떤 대가도 받지 못하고, 데이터가 어떻게 사용되는지 알 권리도 거의 없다.
19세기 노동운동이 노동자 권리를 확립했듯, 21세기에는 데이터 생산자로서 개인의 권리를 확립해야 한다. 내가 생산한 데이터의 소유권, 사용처를 알 권리, 사용을 거부할 권리, 경제적 가치에 대한 분배를 받을 권리. 이것이 ‘데이터 민주주의’다.
물론 하루아침에 전환할 수는 없다. 그러나 방향은 분명하다. 첫째, 규제의 실효성 강화다. 퇴직자 접근 권한 실시간 차단 의무화, 데이터 최소 수집 원칙의 법제화, 침해 사고 발생 시 징벌적 손해배상 도입이 필요하다. 둘째, 개인 데이터 저장소(PDS) 인프라의 공적 구축이다. 셋째, 데이터 기본권의 헌법적 격상이다. 20세기에 노동기본권이 헌법에 명시된 것처럼, 21세기에는 데이터 기본권이 헌법적 보호를 받아야 한다. 비관론자들은 말할 것이다. 플랫폼이 데이터 독점을 포기할 리 없다고. 그러나 역사적 전환점은 언제나 ‘불가능해 보이던 것’이 더 이상 미룰 수 없는 과제로 부상했을 때 찾아왔다. 노예제 폐지도, 여성 참정권도, 노동자 권리도 처음에는 비현실적 이상으로 치부됐다.
우리가 던져야 할 질문은…
쿠팡 사건 이후 몇 주 동안 익숙한 풍경이 펼쳐질 것이다. 국회 청문회, 과징금, 경영진 사과, 보안 투자 약속. 그리고 사람들은 서서히 잊을 것이다. 다음 ‘역대 최대’ 사고가 터질 때까지.
3370만 명이다. 전 국민의 65%다. 이 숫자가 우리에게 말하고 있다. 지금의 구조는 지속 가능하지 않다고. 지금 필요한 것은 새로운 기술이 아니다. 기술은 이미 있다. 필요한 것은 ‘더 이상 이대로는 안 된다’는 사회적 각성과 변화를 향한 집단적 의지다. 우리가 던져야 할 질문은 ‘어떻게 하면 플랫폼의 보안을 조금 더 강화할까?’가 아니다. ‘왜 플랫폼이 우리 데이터를 무기한 축적해야 하는가?’이다.⊙
글 : 곽창규 한국외대 경제학과 겸임교수·前 금융보안연구원장
원문보기:https://monthly.chosun.com/client/news/viw.asp?ctcd=C&nNewsNumb=202601100050
