사물인터넷이 차세대 경제 빅뱅을 만들어낼 것이다. 하지만 사람들이 사물인터넷 생태계 속 개인정보 침해를 생각해 본다면, IoT 붐은 사그라들 수도 있다. 이제 사물인터넷에서 수십억 달러의 이익을 보고자 하는 이해당사자들이 사용자의 신뢰를 얻은 개인정보 보호 표준을 지원해야 할 때가 되었다.
사물인터넷 골드러시
인터넷-활성 소비자 제품, 커넥티드 카, 스마트 주택, 웨어러블 등의 폭발적인 증가로 앞으로 5년간 전세계적 경제 붐이 일어날 것이라는 점에 대해서만큼은 업계 전문가들 모두 동의할 것이다. 지난해 11월 <컴퓨터월드>가 실시했던 ‘2015년 전망 조사(Forecast Study 2015)’에서 기업의 1/3은 올해 사물인터넷 전략에 착수할 것이라고 답했다. 포브스는 7월 이 속도가 급격하게 빨라졌고 3/4 이상이 사물인터넷에 뛰어들고 있다고 보도했다.
그 결과는 어떠한가? 몇몇 추정에 따르면 240억 개의 인터넷연결 기기들이 2020년 전까지 등장할 것이라고 하는데 이는 전세계 인구 1명당 3대꼴이다.
IDC의 예측대로 이러한 폭발적인 증가가 연간 1조 7,000억 달러 투자를 가져올 지는 다음의 2가지 요인에 달려있다. 하나는 사물인터넷이 사용자들에게 전달하는 가치며, 다른 하나는 사물인터넷의 개인정보 보호와 보안에 대한 사용자들의 신뢰다.
사용자들의 공포
지난 5월 가트너는 보고서에서 사이버보안과 개인정보 보호 우려가 사물인터넷 채택의 주된 장애물이라고 밝혔다. 1월 미국 연방 통상 위원회의 보고서에서는 사물인터넷의 위험요소들을 열거했다. 개인정보에 대한 인증되지 않은 접속과 사용, 다른 시스템에 대한 공격 보조, 개인 안전 위험 등이 손꼽혔다.
그렇다면, 사물인터넷에서 사람들이 걱정하는 바는 무엇인가?
• 커넥티드 카의 예비 구매자 : “해커들이 자동차의 제어권을 탈취해 차에 탄 사람을 사고의 위험에 빠지게 할 수 있다는 뉴스를 들었다. 또 다른 누군가가 자동차 안에서 나눈 대화와 교통 법규 준수와 언제 어디서나 내가 있는 위치를 원격으로 감시할까 두렵다.”
• 상호 연결된 가전기기, 스마트 계측기, 스마트 TV 등을 갖춘 스마트 주택의 미래 소비자들 : “다른 누군가가 내 집 실내 공간 제어권을 원격으로 탈취해 집안에서의 활동을 감시하고, 집에서 무엇을 하는지 그리고 그들의 생활 패턴에 기반해 어떤 유형의 사람인지 파악할 지도 모른다.”
• 웨어러블 기기 사용자 : “웨어러블 기기가 하루에 몇 걸음을 걷는지를 모니터링 하는 것을 넘어 더욱 포괄적인 건강과 웰빙 프로필이 스마트폰과 소셜 네트워크와 결합된 것으로 확대되면, 사용자의 주석과 해당 데이터 사용 여부도 걱정스럽고, 또 이것이 공개될까 두렵다.”
연구원과 영화 시나리오 작가들은 이런 상황과 다른 사물인터넷 생태계의 취약점들을 이용하고 모르는 존재에 대해 사용자들의 공포를 자극할 것이다.
사물인터넷 이해당사자들이 이 상황을 주도적으로 극복하고 세계 경제의 고수익을 거둘 수 있을까?
IoT 개인정보 보호 핵심 사항 5가지
필자는 이해당사자들이 피할 수 없는 공포를 미리 인지하고 사물인터넷 사용자들의 핵심 우려사항들을 해결하는 표준을 지원할 필요가 있다고 생각한다. 다른 업계들은 성공적으로 그와 유사한 자체 규제 접근방식을 취해왔다. 모바일 마케팅 산업의 모바일 애플리케이션 프라이버시 정책 프레임워크(Mobile Application Privacy Policy Framework), 자동차 산업의 차량 기술과 서비스의 소비자 프라이버시 보호 원칙(Consumer Privacy Protection Principles for Vehicle Technologies and Services) 그리고 농업사업의 경우 농장 데이터의 프라이버시와 보안 원칙(Privacy and Security Principles for Farm Data) 등이 그 예다.
사물인터넷 개인정보 보호 프레임워크는 어떤 모습을 가지게 될까? 필자는 위에 나열된 주요 리스크와 공포를 해결할 5가지 핵심 원칙을 생각해 보았다.
1. 검증된 보안. 신용카드 사기를 줄이기 위해 만들어진 ‘결제카드 산업 데이터 보안 표준(Payment Card Industry Data Security Standard)’같은 보안 표준을 채택하는 것이 한가지다. 그리고 정교한 침투 테스트에서 그런 제어가 이겨내는 것도 관건이다. 사물인터넷은 사용자 신뢰를 최대한 얻기 위해 이렇게 높은 수준으로 설정해야 한다.
2. 데이터 최소화. 사물인터넷 요소는 서비스를 수행하기 위해 최소한의 개인 데이터를 사용하도록 하는 기본 설정을 유지해야만 한다. 최소한은 수집되는 데이터 필드 유형과 타 기기로 노출되는 데이터의 최소화는 물론 데이터 유지 기간 최소화도 의미한다.
3. 투명한 공개. 전세계 법 집행과 국방 담당 기관은 사물인터넷 내에서 자신들의 적법한 목적을 추구하고자 할 것이다. 거의 모든 산업이 IoT의 최종 소비자며 그들 시스템 내에서 이동하는 상황을 분석하거나 추적하고자 할 것이다. 하지만 만약 어떤 위협이 감지됐을 때 이런 조치들이 믿을 수 잇는 정보 공개 통제와 균형을 이루지 않는다면, 기업 전체에 대한 신뢰는 깨질 것이다.
4. 데이터 이동성. 사용자들은 데이터를 자체 전용 포맷으로 저장함으로써 사물인터넷 생태계의 어떤 노드에 너무 많은 권력이 축적되는 것을 원치 않을 것이다. 전체 시스템에 대한 신뢰를 강화하기 위해 사용자들이 그들의 데이터를 한 플랫폼에서 다른 플랫폼으로 이동시킬 수 있게 해주는 공동 데이터 포맷을 채택해야 한다.
5. 잊혀질 권리. 사물인터넷은 우리 사회의 가장 취약한 계층인 어린이, 범죄 피해자, 가난한 사람들에게 안전해야 한다. 그들의 안전을 보호하고 그래서 사물인터넷을 가능한 최대 시장으로 만들기 위해 사용자들이 그들의 데이터를 완전히 뺄 수 있는 선택권을 주어야 한다.
이를 읽은 후 마케터들은 “우리 소비자와 고객들은 이런 기능을 요청하지 않는데”라고 생각할 수 있다. 제품 디자이너들은 아마도 “우리가 그걸 어떻게 다 할지 모르겠다”고 말하고, 변호사들은 “가능해지기 전까지 이를 지원하지는 않을 것이다”고 덧붙일 것이다.
만약 사물인터넷 제공자가 유럽 시장에서 성공하고자 한다면 새로운 EU GDPR(General Data Protection Regulation)이 강제하는 것을 기다리는 대신 한발 앞서 이런 기능들을 설계하는 것이 훨씬 비용이 적게 들 것이다. GDPR은 ‘설계에 의한 데이터 보호’와 ‘잊혀질 권리’같은 필수요건들을 포함하고 있다.
이런 맥락에서 온라인 트러스트 얼라이언스(Online Trust Alliance)는 위 테마들 상당수를 반영한 더욱 상세화된 제어 세트인 자체 사물인터넷 드래프트 프레임워크(IoT Draft Framework)에 대한 대중의 논평을 요청했다. 이것 혹은 그 어떤 사물인터넷 프레임워크의 다음 과제는 영향력 있는 사용자들이 이를 시행하기 시작하느냐에 달려있다.
미국 역사상 가장 부자라고 하는 반더빌트(Vanderbilt), 록펠러(Rockefeller), 카네기(Carnegie)는 전세계 힘의 균형을 바꾼 산업혁명에 불을 붙였다. 사물인터넷의 설계자들은 그보다 더 큰 기회를 목전에 두고 있다. 신뢰와 채택 사이의 연결이 형성되는 수준이 사물인터넷 현실화의 정도를 결정하게 될 것이다.
*Jay Cline은 PwC LCC에서 개인정보 보호와 소비자 보호 분야를 이끌고 있다.dl-ciokorea@foundryco.com
