개인정보 vs 편의성, 어디서 선을 그을까

편리한 만큼 내주는 것들

카카오 지도가 내 동선을 다 알고 있다. 구글이 내 검색 기록을 15년치 갖고 있다. 넷플릭스가 내 취향을 나보다 잘 안다. 쿠팡이 내 소비 패턴을 월별로 분석할 수 있다.

이걸 불편하게 느끼면서도, 맞춤 추천이 없어지면 또 불편하다. 이 모순을 어떻게 해결해야 할까.

개발자로서 개인정보 수집 기능을 만들어본 적이 있다. 사용자 행동 로그를 수집하는 코드를 짜면서, "이 데이터가 어디까지 쓰일까"를 생각하면 좀 찝찝했다.

평균적인 스마트폰 사용자가 하루에 생성하는 데이터가 한 1.7GB라는 추정이 있다. 위치 정보, 앱 사용 패턴, 검색 기록, 메시지 메타데이터.

구글 계정 설정에서 "내 활동"을 확인해본 적 있나. 나는 2년 전에 처음 열어봤는데, 내가 검색한 모든 것, 본 모든 유튜브 영상, 간 모든 장소가 타임라인으로 정리돼 있었다. (이걸 보고 한 5분 동안 좀 소름이 돋았다.)

"나는 숨길 게 없으니 상관없다"라는 말을 자주 듣는데, 이건 좀 위험한 사고방식이다. 개인정보 보호는 현재의 나뿐 아니라 미래의 나를 위한 거다.

지금은 괜찮은 데이터가 나중에 맥락이 바뀌면 문제가 될 수 있다. 건강 관련 검색 기록이 보험 심사에 쓰이거나, 정치 성향 데이터가 채용에 영향을 미치거나. 지금은 그런 법이 없어도 데이터가 존재하는 한 가능성은 열려 있다.

근데 솔직히 나도 편의성 앞에서 타협하고 있다. 구글 검색 기록을 끄면 맞춤 검색 품질이 떨어진다. 위치 기록을 끄면 구글 맵 추천이 안 된다. 이 편의성을 포기하기가 쉽지 않다.

EU GDPR 시행 이후 가장 눈에 띄는 변화는 쿠키 동의 배너다. 근데 이게 실질적 개인정보 보호에 도움이 되는지는 의문이다. 대부분의 사용자가 "모두 동의"를 누른다. UX가 그렇게 설계돼 있으니까.

다크 패턴이 문제다. "동의" 버튼은 크고 화려하게, "거부" 버튼은 작고 회색으로. 기술적으로 선택권을 줬지만 실질적으로는 유도하고 있다. 개발자로서 이런 UI를 만들라는 요구를 받으면 좀 찜찜하다.

한국의 개인정보보호법도 2023년에 강화됐는데, 현장에서의 변화는 "개인정보 수집 동의서가 더 길어졌다" 정도인 것 같다. 동의서를 끝까지 읽는 사람이 한 3%도 안 될 거다.

연합 학습(Federated Learning)이 좋은 접근이라고 본다. 데이터를 중앙 서버로 보내지 않고 디바이스에서 학습하는 방식. 애플이 Siri와 키보드 추천에 쓰고 있다.

차분 프라이버시(Differential Privacy)도 있다. 개인 데이터에 노이즈를 추가해서 개인을 특정할 수 없게 하면서 전체 통계는 유용하게 쓰는 기술.

근데 이런 기술들이 기업 입장에서는 기존 방식보다 정확도가 떨어진다. 광고 타겟팅 정확도가 한 8~12% 낮아진다는 연구가 있다. 정확도가 곧 매출인 기업이 이걸 선뜻 채택할 동기가 약하다.

모든 편의성을 포기하고 프라이버시를 지키거나, 모든 개인정보를 내주고 편의성을 누리거나. 양극단 사이 어딘가에 자기만의 선을 그어야 한다.

나는 구글 검색 기록은 유지하되, 위치 기록은 끄고, 소셜 미디어 앱의 마이크 권한은 차단하고 있다. 이게 최적인지는 모르겠다. 그냥 내가 편한 수준에서 타협한 거다.