In the 4th Industrial Revolution age, is it possible to sell location information?

 위치기반으로 즐기는 증강현실 모바일 게임 포켓몬 고(Pokemon Go)는 전 세계 7억 5000만 다운로드를 기록 중이며, 6월 19일 기준으로 iOS 앱스토어 매출 순위 9위를 달성했다. 7월 22일 출시 1주년 기념 시카고에서 열리는 포켓몬 고 페스티벌의 입장권은 예매 시작 즉시 매진됐다.

 그런데, 이러한 흥행으로 인해 앱이 수집한 위치정보를 포함한 다량의 개인정보와 그 공유 방식에 대한 우려도 점점 확대되고 있는 추세다. 포켓몬 고는 주로 어린이와 청소년이 플레이 하기 때문에 특히 중요하다. 포켓몬 고는 단순히 위치데이터를 수집하는 것이 아니라 많은 사람들이 포켓몬을 잡을 수 있는 포켓스톱과 같은 특정 장소를 방문하도록 유도하는 것으로, 제3자와 위치정보를 공유할 수 있다는 측면에서 개인정보보호 이슈가 대두된다. 포켓스톱,체육관 등의 위치, 포켓몬을 찾을 수 있는 위치에 대한 결정은 누가, 어떻게 하는가? 이 부분이 바로 수익성을 증대하고자 하는 사업자의 동기가 실현될 수 있는 부분이자, 스토킹 등 각종 범죄의 가능성에 대한 잠재적인 위험이 교차하는 부분이다.

 포켓몬 고 게임 개발사인 나이언틱 랩스는 국내 위치기반서비스 사업자로 신고된 상태이며, 위치기반서비스란 위치정보의 수집, 이용, 제공과 관련된 모든 유형의 서비스를 말한다. 위치정보란 개인 또는 이동성 있는 물건이 특정한 시각에 존재하거나 존재했던 장소에 관한 정보로서 전기통신설비 및 전기통신회선설비를 이용하여 수집한 것이다.

 위치정보는 개인정보보호법과 정보통신망법과 별도로 존재하는‘ 위치정보의 보호 및 이용 등에 관한 법률’에 의해 보호된다. 통상의 개인정보와 달리 위치정보는 개인의 위치를 실시간 확인할 수 있는 중요한 정보이기 때문에 별도의 보호 체계를 두고 있다. 위치정보 관련 서비스 시에는‘ 개인정보보호가이드라인’도 적용된다. 그런데 최근에는 비식별화 조치가 이뤄진 개인정보를 개인정보보호법, 정보통신망법, 위치정보법 등 기존 개인정보 보호 법제의 적용 범위에서 제외시켜 관련 정보들의 활용을 증대하고 빅데이터 산업을 진흥하려는 목적으로 다양한 개정안 발의가 이뤄지고 있다.

 관련하여 2017년 2월 28일 11여 명의 여야 의원이‘ 위치정보의 보호 및 이용 등에 관한 법률’ 일부 개정 법률안을 발의했다. 그 골자는 사물위치정보와 개인위치정보의 개념을 분리하여 이용자 편의를 도모하고, 위치기반 및 사물위치정보 사업을 활성화하기 위해 사물위치정보 사업의 허가제를 신고제로 완화하며, 개인위치정보가 포함되지 않은 사물위치정보에 한해 소유자 사전 동의를 폐지한다는 것 등이다.

 위와 같은 개정안 발의가 활발하게 이루어지는 배경에 한 몫 하는 것은 성장하고 있는 위치 정보 관련 서비스 시장이다. 위치정보를 활용한 서비스·콘텐츠 분야 사업영역 중에는 실제로 포켓몬 고와 같은 엔터테인먼트 분야뿐 아니라 빅데이터 분석 및 제공과 O2O 서비스, IoT 서비스, 관제 서비스 등의 분야가 있다. KISA의 2016년 국내 위치정보서비스 산업 실태조사 결과에 의하면 2017년 위치정보시장 매출 규모는 약 5,340억 원으로 2016년 3,152억 원 대비 약 1.7배 성장할 것으로 전망됐다. 사업자들은 향후 1~2년 내 위치정보서비스를 활용한 빅데이터 분석 및 제공(42.9%), O2O서비스(14.7%), IoT서비스(13.4%) 등이 활성화되 제4차 산업혁명 시대에 융합산업 발전을 견인할 것으로 전망했다.

 다만, 현재는 위치정보 빅데이터 분석 및 제공 서비스로 매출을 창출하기는 어려운 상황이다. 관련법과 가이드라인에 의하면 위치정보를 활용하기 위해서는 반드시 비식별화 조치를 해야 한다. 그런데, 데이터가 완벽히 비식별화되어 반출될 때는 데이터로서의 가치가 떨어지며, 그러한 비식별화된 데이터를 유입시켜 분석할 때는 이종 데이터 간 통합 분석이 어려워 문제가 된다. 결국, 국내 환경에서는 SKT의 GeoVision 등과 같이 사실상 어떠한 개인과도 연결시킬 수
없는 통계적인 데이터만을 가지고 서비스를 하고 있는 셈이다.

 일부 위치정보의 유통을 원하는 사업자와 학계 연구자들은 비식별화에 대한 정부의 입장이 명쾌하지 않다고 문제를 제기하며, 글로벌하게는 구글, 애플 등이 언제든지 초기화가 가능한 계정당 발급하는 Ad-Id를 통해 기업들이 위치정보를 활용하고 있다는 사례를 들어, 이대로 우리가 제4차 산업혁명을 기반으로 한 디지털 경제를 선도하기에는 무리가 있다고 주장한다. 우리나라는 데이터가 핵심인 제4차 산업혁명 시대를 선도하겠다고 공표했지만, 세계적으로 최고 수준의 개인정보 보호 법제를 운영하고 있어 데이터 활용을 통한 산업진흥은 쉽지 않을 전망이라는 것이다.

 그렇다면 실제로 해외의 위치정보 보호 수준은 어떠한가? 해외에서는 대부분 위치정보를 개인정보의 일종으로 보고 개인정보보호의 큰 틀 아래서 보호하고 있다. 미국에서 위치정보는 이용자 소유 네트워크 정보로서 이용자의 명시적인 사전승인이 없이는 사용·공개·접근이 금지된다. 2015년에 위치 데이터 사용에 대한 업계 지침이 도입됐고 자율 규제 그룹인 Interactive Advertising Bureau와 Network Advertising Initiative가 활동하고 있다. 일본에서도 위치정보 제공 개시 시점, 또는 사전에 이용자 동의를 구하도록 하고, 사전 동의는 원칙적으로 철회가 가능토록 하고 있으며, 이용자가 위치정보 제공 사실을 인식할 수 있도록 해야 한다. 유럽 역시 개인정보보호와 관련된 지침들 속에 위치정보의 정의와 수집, 이용, 제3자 제공과 관련된 사항을 포함시켜 규율하고 있다. 위치정보는 익명으로 처리되어야 하고, 이용자가 부가서비스를 신청한 경우 부가서비스를 제공하기 위해 필요한 한도와 기간 동안만 처리될 수 있다.

 그런데, 국내 위치정보법과 비슷한 수준으로 입안된 위와 같은 틀 아래에서도, 미국의 경우 실제로 비식별화된, 혹은 부정확한 위치 정보가 공유되고 있다. 2007년 창립된 Factual은 전 세계 약 1억 개의 사업장의 위치와 해당 위치에 있는 모바일 기기가 보내오는 신호 데이터를 보유하고 있고, 위치기반 광고 타겟팅을 위해 잠재 고객 프로필을 구축하려는 광고주 고객에게 데이터를 판매하고 있다. 직업, 수입, 거주하고 있는 지역과 같은 인구통계학적인 정보외에도 관심사와 소비 성향과 같은 페르소나를 유추하여, 익명화된 사용자 프로필을 고유한 ID기반으로 구축하고 있다. 이렇게 만들어진 프로필을 활용하면 마케터는 특정 스타벅스 매장 안에 있는 여대생만을 타겟으로 광고를 전달할 수 있고, 대형마트에서 장을 보고 있는 모바일 사용자들 중 30-40대 주부들만 대상으로 광고를 보낼 수도 있다. 이 회사는 애플과 페이스북, Uber 등에 데이터를 제공하고 있다. Forbes지에 소개된 eTail과 RetailMeNot이 수행한 연구에 의하면 2016년 기준 위치기반의 마케팅을 수행하고 있거나 1~2년 내 수행할 예정인 소매 사업자들은 이미 57%나 됐다.

 우리나라가 미국과 다른 점이 있다면, 국내에서 현재 활용 가능한 데이터는 완벽하게 비식별화된, 어떤 개인과도 매칭시킬 수 없는 데이터가 된다는 것이다. 이는 데이터 종류에 따라 전문가마다 법적인 해석을 달리 하기 때문에 보수적으로 접근할 수밖에 없어, 가장 높은 수준으로 일괄 보호조치하는 상황을 반영하는 것이다.

 이제 개인정보보호법, 정보통신망법, 위치정보법과 관련 가이드라인은 적용되는 위치정보의 범위에 대한 정의를 명확하게 하고, 위 사례들에서와 같이 익명화된 상태이거나, 부정확한 정보라면 저장 또는 유통이 가능토록 해야 한다. 익명화라는 것은 개인의 위치정보를 통계적인 방식으로 처리하여 다른 정보와 결합되어도 재식별이 안 되며, 여러 개인과 매칭이 가능한 데이터로 만든다는 것을 의미한다. 또한, 미국 NAI(Network Advertising Initiative)의 자율 규제를 위한 민간의 기술적 가이드라인을 살펴보면 부정확한 위치정보를 활용하는 경우에는 위치정보를 이용자의 사전 동의 없이 저장할 수 있으며, 그 부정확한 위치정보에 대한 조건을 식별된 위치의 영역과 인구 밀도, 데이터의 정확도, 위치정보의 타임 스탬프와 같은 네 가지 요소를 가지고 아주 정확하게 규정하고 있다. 쉬운 예를 들자면, 특정 커피숍의 주소와 같은 위치정보를 일반 커피숍으로 범주화하는 경우에는 위치정보 관련 자율 규제의 적용을 받지 않는다는 것이다.

[그림] 부정확한 위치 정보의 기준

 정리하면, 포켓몬 고와 같은 위치기반서비스의 잠재적인 위험은 최고 수준의 법적인 보호를 통해 해소해야 하는 것이 맞지만, 데이터 활용을 통한 산업의 진흥 또한 필요하다‘. 산업 육성이냐 개인정보 보호냐’라는 이분법적 선택 논리는 복잡한 우리 현실 세계에 단순히 적용 하기에는 무리가 있다. 문제는 높은 수준의 개인정보보호 법제가 아니라, 보호해야 할 위치 정보의 범위이다. 임시적·부정확하거나 통제성이 있는 데이터는 활용 가능하도록 해야 하는 반면, 정확하게 식별되는 개인의 위치 정보는 보호해야 한다. 국내에서도 미국의 자율규제 가이드라인과 같이 보호되어야 할 정확한 위치 정보에 대한 보다 명확한 기술적 기준을 세우는 일이 필요할 것이며, 이는 공공과 민간이 함께 풀어나가야 할 숙제일 것이다.

월간SW중심사회2017년7월 위치정보