부산에서 20대 또래 여성을 살해하고 시신을 훼손·유기한 이른바 ‘정유정 살인사건’이 알려지며 사람들에게 큰 충격을 주고 있습니다. 7년 만의 부산 신상 공개 사건인 만큼, 피의자 사진부터 범행 CCTV 영상까지 빠르게 보도되며 범행 수법까지 자세하게 보도되고 있는데요. 오늘 프리-뷰에서는 피의자 정유정이 어떻게 피해자의 정보를 알아냈는지 그 배경에 대해 자세히 다뤄볼게요.

(다음부터는 자세한 범행 과정이 묘사되어 있습니다. 원치 않으신 분들은 건너뛰어 주세요) 정유정은 과외 교사 아르바이트 중개 앱에 학부모 회원 명의로 가입한 뒤 중학생 자녀를 둔 학부모인 척하며 과외를 해 줄 사람을 찾는다는 글을 올립니다. 이에 5월 24일경 20대 여성 A씨가 응하였으나, 나중에 거리가 먼 것을 알게 된 A씨는 과외 제안을 거절합니다. 하지만 정유정은 계속해서 과외를 해달라 요구했으며, 일단 시범 과외 후 결정해달라는 요청을 보냈고 이를 A씨가 수락합니다. 이후 정유정은 아이를 선생님 댁으로 보낼 테니 상담해 달라며 만남을 약속한 뒤 5월 26일 금요일 오후 6시경 중고로 산 교복을 입고 교복 안에는 흉기를 숨긴 뒤 A씨의 집을 방문합니다. 이후 정유정은 A씨를 살해 후 시신을 유기합니다.

이번 사건으로 인해 온라인 ‘커넥팅 서비스’를 통한 개인정보 노출 우려 또한 확산되었어요. ‘커넥팅 서비스’란 정유정이 피해자의 정보를 알아낸 과외 교사 아르바이트 중개 앱처럼 아르바이트·구직·만남 등 이용자들을 연결해주는 서비스를 말하는데요. 이용자들 간의 만남을 목적으로 하다 보니 수집하는 개인정보 유형이 다양할뿐더러, 이용자의 개인정보가 무방비하게 공개된 경우가 많아요. 실제로 정유정이 사용한 과외 중개 앱에서는 가입 후 과외 선생님의 사진, 학교, 출신, 사는 곳, 나이, 전화번호를 쉽게 확인할 수 있었어요. 구인·구직 앱에서는 사업주라면 구직자의 이력서를 열람할 수도 있고요. 정유정이 사용한 과외 앱 측은 앞으로 모든 회원 유형에서 신원 인증을 거쳐야만 과외 상담이 가능하도록 절차를 개선하겠다고 밝혔어요.

하지만 처음부터 서비스가 이용자의 개인정보가 보호되도록 설계되었다면 어땠을까요? 결국 이러한 피해가 최소화되려면 개인정보의 오남용과 악용 가능성을 고려하여, 서비스상에서 공유되거나 공개되는 개인정보가 최소화되도록 서비스를 설계하는 것이 중요합니다. 이처럼 서비스 기획 단계부터 제조, 폐기 등 전 과정에서 개인정보 보호 요소를 충분히 고려함으로써 개인정보 침해를 예방하는 설계를 “개인정보 보호 중심 설계” 혹은 “Privacy by Design (PbD)”이라고 해요. 개개인의 프라이버시 존중을 위해 프라이버시 보호를 기본 설정값으로 하여, 사후 대응이 아니라 사전 예방하는 것을 목적으로 하는 설계 방법을 의미하죠. 예를 들어 처음부터 과도한 개인정보를 수집하는 것이 아닌, 서비스 이용에 있어서 필요한 최소한의 정보만 필요한 시점에 수집하는 거예요. 이용자가 서비스를 탈퇴하거나 개인정보의 삭제를 요청하는 등 개인정보를 보관해야 하는 이유가 사라지면 즉시 파기하고요. 개인정보보호위원회에서도 올해 4월부터 ‘개인정보 보호 중심 설계(PbD) 인증제’를 시범 운영하고 있으니, PbD에 대한 중요성은 점차 높아질 것으로 보여요.

전 세계적으로 개인정보 보호에 대한 법적 규제도 강화되고 있지만 개개인의 프라이버시 보호에 대한 사회적 요구도 높아지고 있습니다. 실제로 이 사건을 접한 많은 사용자들이 커넥팅 앱을 탈퇴하고 있어요. 자신들의 프라이버시를 지켜주지 않을 서비스라면 더 이상 사용하지 않겠다는 거죠. 법적인 최소한만 지키면서 고객들의 개인정보, 프라이버시 보호에 대한 의무만 다했다는 태도만으로는 이제 더 이상 소비자들을 만족시킬 수 없어요. Privacy by Design을 실천하며 개인정보보호 수준을 높이기 위한 노력을 시작할 때입니다.

지난 6월 1일, 일본 개인정보위원회가 OpenAI에 챗GPT에 대한 행정지도를 발표했어요. “사람들의 허가 없이 민감한 데이터를 수집하지 말라"는 경고 조치를 한 것인데요. 주요 내용은 아래와 같아요.

• 수집하는 정보에 개인정보가 포함되지 않도록 해야 한다.
• 정보 수집 후 즉시, 수집한 정보에 포함될 수 있는 개인정보를 가능한 한 감소시키는 조치를 취해야 한다.
• 수집한 정보에 개인정보가 포함된 것을 발견한 경우 즉시 또는 해당 개인정보를 학습용 데이터셋으로 처리하기 전에, 해당 개인정보를 삭제하거나 특정 개인을 식별할 수 없도록 해야 한다.
• 본인 또는 개인정보위원회 등이 특정 사이트 또는 제3자로부터 개인정보를 수집하지 않도록 요청 또는 지시한 경우에는 거부할 정당한 사유가 없는 한 해당 요청 또는 지시에 따라야 한다.

각 기업에서 챗GPT를 자체적으로 규제하는 것에 이어, 국가 차원에서의 규제도 본격적으로 이루어지는 걸까요. 이탈리아에서는 한시적으로 전국적으로 챗GPT 사용을 제한하기도 했었죠. 우리나라에서는 정부 차원의 규제는 아직 없어요. 일본의 경고에 OpenAI가 적절한 대응을 하지 않는다면 벌금 등의 처분이 추가로 내려질 수도 있다고 해요. OpenAI 측이 어떻게 대응할지 관심이 주목되고 있어요.

아마존이 미국 연방거래위원회(FTC)·법무부와의 소송 2건을 해결하기 위해 3,080만 달러(약 402억 원)를 지불한다는 소식이에요. AI 서비스 ‘알렉사’와 관련된 소송에서는 2,500만 달러, 스마트홈 서비스 ‘링’과 관한 소송에서는 580만 달러를 지불하기로 했어요. 소송의 이유는 아마존의 개인정보보호 위반 때문인데, 자세한 사유는 아래와 같아요.

• 이용자가 아마존에 음성 녹음을 삭제하도록 요청하지 않는 한 알렉사에 저장된 어린이 목소리를 무기한 보관
• 이용자의 녹음 삭제 요청을 무시하고 녹음파일과 위치정보를 계속해서 보관
• 고객이 촬영한 영상에 링 직원이 무단으로 접속할 수 있는 권한을 부여 → 직원이 무단으로 영상 시청

[ 제12회 개인정보보호페어 & CPO워크숍 ‘PIS FAIR 2023’ ]

일시 : 2023년 6월 8일(목) ~ 9일(금) 09:00~17:00

장소 : 서울 삼성동 코엑스 그랜드볼룸(1F)

대국민 개인정보보호 인식제고와 개인정보보호 실무자 역량 강화를 목적으로 한 국내 최대 규모의 개인정보보호 전문 행사 자세히 보기