권태욱 국방대학교 국방관리대학원 컴퓨터공학 전공 교수
김종건 국방대학교 국방관리대학원 컴퓨터공학 석사과정, 학생장교

우리나라를 떠들썩하게 만들었던 ‘n번방’은 IT 기술 발달의 양면성을 여실히 보여 주는 사건이며, 발전되어 가는 기술을 따라가지 못하는 ‘디지털 윤리’에 대해 경종을 울리는 것이었다. 이 사건을 계기로 개인은 자신의 개인정보를 다시 돌아보았으며, 기업은 기업윤리를 생각했고, 정부는 시스템의 문제점과 대책에 대해 고민하게 되었다.
경찰청 통계자료에 의하면, 사이버 범죄는 2017년 131,734건, 2018년 149,604건으로 2017년 대비 17,870건 증가하였고, 2019년에는 180,499건으로 2018년 대비 30,895건 증가하였다. 모바일기기 및 사물인터넷 등의 발달로 범죄 발생이 지속 증가하고 있는 추세이다.

 
[그림 1] 2020년 10대 IT 전략기술 트렌드
 

  IT 기술의 발달과 개인정보에 대한 인식의 전환으로 디지털에서의 윤리에 대한 요구는 더욱 커지고 있다. 이에 미국의 정보기술 연구 및 자문회사인 Gartner는 매년 주목할 10대 IT 전략기술 트렌드를 선정하여 발표하는데, 2019년에 ‘Digital Ethics & Privacy’를 발표한 것에 이어서 2020년에는 ‘Transparency and Traceability’를 선정하며, 디지털 윤리 측면의 중요성을 강조했다.
 

• Gartner 보안 전략 변화
 
  Gartner는 미국의 IT 분야 설문 조사 부분에 높은 공신력을 얻고 있는 리서치 기업으로 평가받는다. 이런 Gartner에서 매년 선정하는 전략 기술을 살펴보면, 어떤 기술들이 주목을 받고 어떻게 흘러왔는지를 알 수 있으며, 향후 주목받는 기술을 짐작할 수 있다. 이것은 미래를 준비하는데 있어서 매우 중요한 부분이다.
  Gartner는 2015년부터 10대 전략 기술에 보안관련 분야를 선정해 왔다. 2018년까지의 내용을 보면, 애플리케이션의 보안역할(2015년), 사용자 또는 기업 활동의 분석 기술(2016년), IoT 환경에서의 보안(2017년), 지속적이며 적응적인 보안(2018년) 등의 문제에 초점을 두어 전략기술을 선정해 왔다.
  이렇게 2018년까지의 기술들이 외부 공격으로부터의 방어 개념이었다면, 2019년은 분위기가 바뀌어 ‘디지털 윤리와 개인정보보호’에 관하여 주목했다. 2020년은 이것을 발전시켜 좀 더 개인정보보호에 초점을 두고 개인정보 사용에 있어서 보안적인 측면을 강조함Transparency and Traceability과 동시에 2018년까지 선정했던 외부 공격로부터의 방어분야AI Security까지도 포함하면서 보안분야를 10개 중 2가지로 확대하였다. 연도별로 선정된 기술을 살펴봄으로써 그 흐름을 짚어보자.
 

◆ 2015년 : Risk-Based Security and Self-Protection
 
  웹에 많은 정보를 저장하게 되면서 이를 보호하기 위한 보안에 초점을 두었던 시기이다. 현실에서 100% 안전한 환경은 존재하지 않으며, 기업이 이를 인정하면, 더욱 정교한 위험 평가와 완화 도구를 적용할 수 있다. 또한 애플리케이션 보안테스트, 상황 인식, 적응적 접근 통제와 결합한 런-타임 애플리케이션 자가 방어 도구들이 필요함을 강조하여 애플리케이션단에 많은 보안요소가 요구된다는데 주목하였다.
  따라서 향후에는 애플리케이션이 직접 보안을 구현하게 될 것이며, 방화벽은 부족하고, 개별 앱이 위험 자각과 자가 방어를 제공해야 함을 강조하였다.
 

◆ 2016/17년 : Adaptive Security Architecture
 
  디지털 비즈니스와 알고리즘 경제의 복잡성은 보안적 측면에서 조직에게 큰 위협이 된다. 이것은 많은 조직에서 개방형 API를 사용하기 때문에 규칙기반 및 단순한 경계 방어에 의존은 부적절함을 의미한다. IT 리더들은 전통적인 차단과 공격 방지를 위해 행하는 더 많은 조치 외에, 위협을 탐지하고 대응하는 것에 집중해야 한다.
  사용자나 기업의 행동분석 뿐만 아니라, 애플리케이션 자체 보호는 적응형 보안 아키텍처를 이행하는데 도움이 되며, 사용자 및 기타 실체의 활동과 행동을 상호 연관시키고, 활동을 프로파일과 비교하는 고급 기계 학습 및 통제 모델을 사용하여 비정상적인 행동과 패턴을 탐지해야 함을 강조한다.
 

◆ 2018년 : Continuous Adaptive Risk & Trust(CARAT)
 
  디지털 메시와 관련된 기술의 발달과 점점 더 정교해지는 기술과 도구를 이용한 공격이 가능해진 세상에서 보안 및 리스크 관리 담당자는 적응 가능하며, 실시간적으로 위협과 신뢰에 기반한 의사 결정을 하기 위해 ‘지속적이며 적응할 수 있는 리스크 및 신뢰 평가(CARTA) 접근법’을 택해야 한다.
  보안팀과 애플리케이션 팀 간 장벽은 해소되어야 하고, SDN Software Defined Network 같은 기술의 발전으로 네트워크 기반 보안기술인 ‘적응형 허니팟’ 등을 배치하여 관리 및 모니터링을 추진해야 한다.
 

◆ 2019년 : Digital Ethics & Privacy
 
  2019년에 선정된 ‘Digital Ethics & Privacy’는 2020년 발표된 ‘Transparency and Traceability’의 전신으로 볼 수 있으며, 많은 부분이 유사하다. 이 때 가트너 부사장 데이비드 설리는 “개인정보보호에서 윤리로의 전환은 ‘우리는 준수하고 있는가’에 대한 담론을 ‘우리가 옳은 일을 하고 있는가’에 관한 것으로 변화시킨다”라고 강조하였다.
 

◆ 배 경
  
  ‘Transparency and Traceability’가 선정된 배경을 살펴보면, 먼저, 디지털 윤리와 사생활에 대한 개인, 단체, 정부의 우려가 증가하였다. 소비자는 본인 개인정보의 가치를 점점 인식하고 이에 대한 통제를 요구하게 되었으며, 조직은 개인 데이터의 보안 및 관리의 위험성이 증가하고 있음을 인식하게 되었고, 이에 따라 정부는 소비자의 요구와 조직의 활동을 보장하기 위해 엄격한 법률을 시행하게 되었다.
  또한 인공지능과 머신러닝이 발전함에 따라서 자율적인 의사결정을 위해 활용되기 시작하였고, 이러한 새로운 의사결정 방식이 윤리적이고 공정하게 이루어지고 있는가에 대한 새로운 차원의 우려를 유발하였다.
 

◆ 개 념
 
  ‘Transparency and Traceability’는 우리말로 ‘투명성과 추적가능성’으로 해석할 수 있다. 이것은 특정한 제품이나 조치 등을 뜻하는 것이 아니라, 규제 요구 사항을 충족하고, 인공지능과 기타 첨단 기술 사용에 대한 윤리적인 접근 방식을 보존하며, 기업 내 사라져 가는 신뢰를 회복하기 위해 고안된 다양한 태도, 행동, 지원 기술, 관행 등을 지칭한다.
  GDPR(General Data Protection Regulation/EU)의 일반개인정보보호법에 따르면, 투명성은 애플리케이션 개발사들이 이용자에게 데이터 처리 활동을 어떻게 알리는지, 이용자 권리에 대한 커뮤니케이션은 어떻게 이루어지는지, 이용자의 권리 행사를 돕는 방법은 무엇인지 등을 다루는 요소로써, 실제 이용자의 개인 데이터에 대한 기업의 접근이 투명하게 이뤄져야 함을 의미한다. 추적가능성은 ‘제공된 개인정보가 어디에 어떻게 사용되었는지 추적할 수 있어야 함’을 의미한다.

[그림 2] 신뢰의 6대 핵심요소

  Gartner에 따르면, ‘Transparency and Traceability’를 달성하기 위해서 신뢰의 6가지 핵심요소가 고려되어야 한다.
 
➊ 윤리Ethics : 모든 이해 당사자에게 투명한 시스템 설계 원칙을 가지고 있는가?
➋ 무결성Integrity : 특정 데이터에 편향을 줄이거나 제거하는 시스템 설계를 가지고 있는가?
➌ 개방성Openness : 윤리 원칙 및 개인정보보호 약속에 쉽게 접근할 수 있는가?
➍ 책임성Accountability : 윤리 및 개인정보보호에 대한 우려를 식별·해결할 수 있는 시스템이 갖춰져 있는가?
➎ 역량Competence : 윤리 및 개인정보보호 관련 시스템이 정상 작동할 수 있도록 프로세스, 시험 및 테스트가 시행되었는가?
➏ 일관성Consistency : 정책 및 프로세스를 일관성 있게 처리하고 있는가?
 
  이렇게 개인정보의 ‘Transparency and Traceability’가 강조되면서 ‘투명성 보고서’를 작성하는 조직이 많아지고 있다. ‘투명성 보고서’는 특정 법인이나 개인이 정부가 지정한 인터넷에 있는 나쁘고 정의롭지 않은 허위 정보에 대해 삭제 요청한 것을 통계로 보여 주는 기업 보고서 형식의 문서이다.
  투명성 보고서에는 이용자가 요구한 삭제 내용을 투명하게 공개하고 있다. 2010년 구글이 최초의 투명성 보고서를 공개했으며, 국내에서는 2015년 네이버와 다음카카오가 [그림 3]과 같이 투명성 보고서를 공개하기도 했다.

 
[그림 3] 네이버 투명성 보고서
 

  또 다른 예로, 구글이 지원하고, 고려대 법학전문대 학원 공익법률상담소 인터넷 투명성 보고팀이 수행하는 ‘한국 인터넷 투명성 보고서’는 대한민국 정부가 국내에서 전체적으로 수행하는 인터넷 감시와 검열 현황에 대한 분석으로써 한국의 인터넷 자유가 얼마나 확보되어 있는지 파악할 수 있는 지표가 된다.
  분석 대상은 통신제한조치, 통신사실확인자료 제공, 통신자료제공, 압수·수색의 4대 인터넷 감시 조치, 방송통신심의위원회 시정요구 제도 및 최신 개별 문제 사례 등이다.
 

◆ 개인정보보호 요구의 증대와 조직
 
  공공·민간부문 모두에서 개인정보가 어떻게 활용되는지에 대한 우려가 커지고 있다. 이 우려를 사전에 해소하지 못하는 조직은 ‘후폭풍’을 맞게 될 것으로 예상된다.
  다음의 국내 사례들로 보았을 때 민간부문에서의 개인정보는 법률로써 개인정보보호가 강력해지고 있으나,
 
■ ‘개인정보 유출’ 위메프, 과징금 18억 5,200만 원 철퇴, BLOTER(’19. 11. 22.)
■ ‘늘어나는 개인정보 유출…기업에 과징금 등제재도 강화 돼야, ChosunBiz(’20. 2. 15.)
■ 통신 3사 콜센터 재택근무 본격화… 내 개인정보 괜찮을까?, ChosunBiz(’20. 3. 12.)
■ ‘내 개인정보 권리 찾자’…유출 피해 등 조정 신청 급증, 연합뉴스(’20. 3. 17.)
■ 방통위, 개인정보보호 교육 온라인 강화, 아이뉴스24(’20. 4. 20.)
■ 방통위, 네이버 개인정보 유출에 과징금 등 4천 20만 원, 아이뉴스24(’20. 4. 29.)
 
  다음 사례와 같이 세계적인 추세로 보았을 때는, 법 집행의 부문에서 더 적은 통제를 받고 있다.
 
■ 경찰의 범죄자 식별을 위해 안면인식의 사용, 자동번호판 인식 기술을 이용한 차량 추적, 범죄 발생당시 사람들의 위치와 심장박동수 측정을 위해 피트니스 추적기 데이터 이용, 스마트폰 잠금 해제를 위해 페이스 ID 사용.
 
  [그림 4]와 같이 마음만 먹으면, 수십억 개의 말단으로부터 정보가 수집되어서, 사법당국은 특정인이 누구인지, 어디에 있는지, 무엇을 하고 있고, 무엇을 생각하고 있는지를 확인할 수 있다. 이런 상황에서 조직은 윤리 및 신뢰에 대해 더욱 광범위하게 접근해야 한다.

[그림 4] 개인정보 악용 사례

  조직은 스스로에게 “우리는 순응하고 있는가?”에서 “우리가 옳은 일을 하고 있는가?”란 질문을 할 수 있어야 하며, 나아가 “우리가 옳은 일을 하려고 노력하고 있다는 것을 보여 주는가?”를 생각해야 하는 것이다. 즉, 법에 따르는 것이 중심인 조직에서, 윤리가 중심이 되는 조직으로 이동이 요구된다는 뜻이다.
  시간이 지날수록 개인은 남용되고 있는 개인정보에 대한 통제권을 되찾고 싶어 한다. 이러한 개인의 요구는 업체에 대한 서비스 중단, 현금 등을 지불하여 일부러 잘못된 정보를 제공하거나, VPN을 이용해서 자신의 위치를 숨기거나, 특정 조직과 관계를 끊는 등의 조치로써 나타난다.

[그림 5] 디지털 장의사

  개인정보를 오용하는 기업은 수익을 창출하는 핵심 요소인 고객의 신뢰를 잃게 될 것이며, 반대로 고객의 신뢰를 얻고 유지하는 조직은 번창하여 그렇지 않는 기업보다 더 많은 이익을 창출할 수 있을 것이다. 하지만 모든 투명성과 신뢰요소를 자동화하여 고객을 만족시키는 것은 쉽지 않기 때문에 기업과 조직의 부단한 노력이 필요하다.
 

[그림 6] 기업들의 정보보호 기반 및 환경
 

◆ 설명 가능하고 윤리적인 AI 및 알고리즘의 대두
 
  알고리즘에 의한 결정은 제품 및 서비스 구입, 웹상의 콘텐츠 선택, 대출에 대한 수락 및 거부 등 조직 및 소비자의 모든 분야에서 활용된다.
  불투명한 알고리즘은 책임감과 공정성에 대한 우려를 야기할 수 있는데 반해, 설명 가능한 AI는 판단 모델의 장단점과 편견을 보여 주는데, 이것은 의사결정의 공정성, 책임성, 안정성 및 투명성에 기여할 수 있다.
 

[그림 7] 기존 AI와 XAI 설명 비교(DARPA) 
 

  설명 가능한 인공지능(Explainable AI, XAI)은 판단에 대한 이유를 사람이 이해할 수 있는 방식으로 제시하는 인공지능의 새로운 개념을 의미한다.
 

◆ EU의 일반개인정보보호법(GDPR) 발표(2018년)
  
  GDPR General Data Protection Regulation은 EU 국민의 프라이버시 강화를 위해 마련된 ‘데이터 보호법’으로써 정보주체의 권리와 정보관리자의 책임을 강화하고, 개인정보 유출 사고가 발생할 경우 72시간 내 소비자에게 통지하는 등 강력한 의무를 부여한다.
  심각한 위반 시 최대 전 세계 매출액의 4% 또는 2천만 유로(한화 약 264억 원)의 과징금을 부과하는 등 강력한 제재를 가하며, 기업은 최소한의 데이터만을 필요한 기간 동안만 가지고 있고, 가지고 있는 동안에는 정확하고 안전하게 지켜야 한다.

[그림 8] 유럽의 GDPR 홈페이지

  GDPR은 기업들로 하여금 변화를 불러일으켰다. 유럽, 미국, 남미에서 많이 사용되는 채팅앱-‘왓츠앱’은 유럽 서비스 이용자의 최저 연령을 상향(13 → 16세)했으며, ‘스냅챗’의 경우 16세 이하 청소년의 개인정보 수집을 최소화하기로 했다. ‘트위터’는 서비스 약관, 개인정보보호 정책을 업데이트하면서 개인정보 통제권을 강화하고, 수집한 데이터에 대한 투명성 강화를 추진했다. ‘페이스북’은 16세 미만의 유럽 청소년에게 부모의 허가를 득하도록 했다.
 

◆ 우리나라의 개인정보정책
 
  우리나라도 개인정보 침해사고로 인한 국민의 불안감이 급증, 관련 법률 미비로 인한 법 적용 사각지대 발생, 개인정보보호법 체계 일원화 등을 위해서 2011년 개인정보보호법을 제정하면서 개인정보정책의 체계를 갖추어 나갔다.
 
∷ 2011년 3월, 개인정보보호법 제정
 
  기존의 각 부처별로 담당하던 개인정보보호 체계(공공기관 개인정보법(’94년), 신용정보법(’95년), 정보통신망법(’99년))을 통합하였고, 대통령 직속 개인정보보호위원회(’11년 12월 출범)가 설치되어 개인정보보호 업무 총괄 및 조정기구가 마련되면서, 2012년을 시작으로 3년마다 법정계획 수립 체계가 확보되었다.
  그 대략의 내용을 살펴보면, 제1차는 개인정보 보호법의 안정적 정착을 지향했으며, 제2차는 각 이해관계자들의 역량강화와 능동적 실천을 위한 주요 정책목표 및 추진으로 발전되었다.
  그리고 제3차는 정보주체의 주체성, 즉 자기 권익 주장 및 보호에 대한 내용을 포함하여 각 이해관 계자들의 개인정보 보호활동 강화를 강조하였다. 세부적인 현황은 [표 1]과 같다.

[표 1] 우리나라 개인정보보호 기본계획 현황

 
∷ 정보보호관리 체계/한국인터넷진흥원(KISA)

  정보보호관리 체계는 특정 조직에 적합한 정보보호 정책을 짜고, 위험에 상시 대응하는 등 여러 보안 대책을 유기적으로 통합해 관리하는데 그 목적이 있다. 여기에서 운영하는 인증제도는 기업이 주요 정보자산을 보호하기 위해 수립·관리·운영하는 정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도이다.

[그림 9] 정보보호관리체계 인증마크

  이 제도를 도입함으로써 기업은 조직 이미지 제고 및 사업 활성화에 기여할 수 있으며, 정보시스템의 취약점을 보완하는 등 관리체계를 강화할 수 있다. 또한 직원들로 하여금 정보보호의 중요성 및 필요성을 인식시키고 능동적 정보보호활동을 가능토록 유도하기도 한다.
 
∷ ‘이용자 중심의 지능정보사회를 위한 원칙’/방송통신위원회(’19. 11. 11.)

  방송통신위원회는 정부·기업·이용자 등 구성원들이 함께 지켜가야 할 기본적인 원칙을 발표했다. 구글코리아, 카카오, 삼성전자, KT, SK텔레콤 등이 참여하였으며, AI가 일상적으로 사용되는 지능정보시대를 대비하여 이용자 보호에 선제적으로 대응하기 위한 목적이었다.
  7가지 주요 원칙을 주요 내용으로 하는데, 『사람중심의 서비스 제공, 투명성과 설명 가능성, 책임성, 안전성, 차별금지, 참여, 프라이버시와 데이터 거버넌스 등』이다. 이 원칙은 이용자 보호를 위한 책임감 있는 기업의 태도와 자율적인 대비체계에 초점을 맞추고 있다.
 

• 맺는말 및 국방분야 대비
 
  2018년 이전의 가트너는 보안분야에서 외부 공격으로부터의 방어 개념에 집중했다면, 2019년부터 현재까지는 디지털 윤리와 개인정보보호에 관한 내용을 선정하였으며, 특히 개인정보에 더 무게감을 두고 2020년에는 Transparency and Traceability를 선정하여 그 중요성을 강조하였다.
  인공지능과 머신러닝의 발달과 함께 개인정보에 대한 개인 및 조직의 우려는 현실에서 Transparency and Traceability를 더욱 발달시키고 있으며, 이것은 유럽과 대한민국을 포함한 전 세계에서 제정되고 있는 법률로 그 실체를 드러내고 있다.
  이러한 추세는 쉽게 사그라지지 않을 것이며, 우리 군에서도 ‘개인정보보호 중요성의 대두’라는 흐름에 발맞추어, 관련된 관행을 철폐하고 규정 및 법규를 재정비함으로써 대국민 신뢰를 잃지 않는 선진강군이 되어야 한다.
  국방의 영역에 IT 최신기술이 접목되면서 많은 윤리 및 법적인 문제점을 불러올 수 있다. 그리고 이것은 법규 내에서 움직여야 하고 국민에게 신뢰를 주어야 하는 군이라는 조직에게는 중요하게 고려되어야 할 부분이다.
  따라서 개인정보의 ‘Transparency and Traceability’를 달성할 수 있는 시스템을 구축하고 지속적인 연구를 통해 탄탄한 ‘윤리’라는 근간 위에 국방의 발전을 도모해야 할 것이다.
  즉, 군이라는 조직도 “법규에 순응하고 있는가?”에서 “옳은 일을 하고 있는가?”란 질문을 거쳐 갈 때가 되었으며, 곧 “옳은 일을 하려고 노력하고 있다는 것을 보여 주었는가?”를 고려해야 할 시기가 도래할 것이다.