커넥티드 교통 시스템, 양자 감지, 의료 진단, 합성 AI 기반 콘텐츠와 같은 신흥 기술이 등장하면서 데이터 보호와 개인정보 보호에 큰 공백이 발생하고 있다. 이런 변화는 규제 기관과 기업의 기술 통제 역량을 빠르게 벗어날 수 있다.

이는 영국의 개인정보 감독기구인 ICO(Information Commissioner’s Office)의 최신 보고서 ‘테크 호라이즌 2025(Tech Horizons 2025)’에서 제기된 가능성이다. 이 보고서는 4가지 부문이 어떻게 데이터 보안 문제에 대한 오늘날의 인식을 시대에 뒤떨어진 것으로 만들 수 있음을 분석했다.

최근 새 자동차를 구매한 사람은 알겠지만, 차량 내 경험은 이제 엔진, 변속기, 배터리 시스템만큼이나 내장된 디지털 시스템의 영향을 크게 받고 있다.

운전자는 자동차와 대화하고 얼굴 인식을 통해 시스템에 접근하며, 소프트웨어를 이용해 메모나 문자를 작성하고 원격으로 집안의 중앙 난방 시스템을 작동할 수 있다. 이 모든 것을 하면서도 실시간 교통 상황을 고려한 최적의 경로를 찾아 길을 안내한다. 한편, 자동차는 센서를 사용해 운전자의 피로도와 운전 스타일을 모니터링하고, 이런 데이터를 중앙 시스템과 여러 앱에 업로드할 수도 있다.

이것은 시작에 불과하다. 머지않아 차량은 서로 연결돼 끊임없이 데이터를 주고 받을 뿐 아니라 주변 도로 인프라, 심지어 보행자가 소지한 스마트폰과도 연결될 것이다. ICO는 이런 변화가 데이터 및 데이터 통신의 폭발적인 증가를 의미하며, 현행 영국의 데이터 보호 및 동의 규정을 준수하려는 기업에 막대한 과제가 될 것이라고 분석했다.

ICO는 “커넥티드 차량에 센서가 급증하면서 명시된 목적을 넘어 과도한 정보를 수집할 위험이 있다. 특히 센서는 연속적이고 자동으로 데이터를 수집할 수 있으며, 사용자가 이를 효과적으로 거부할 수 있는 선택권은 제한적이거나 아예 없을 수 있다”라고 지적했다.

불공정한 데이터 처리와 가짜 데이터 문제

문제는 차량에만 국한되지 않는다. 빠르게 발전하는 또 다른 기술인 양자 센서가 있다. 이는 자기장, 중력, 온도의 미세한 변화를 감지하는 데 사용되는 의료용 센서 기기 유형을 포괄한다. 이런 기술은 환자의 건강에 대한 방대한 데이터를 실시간으로 생성할 수 있으므로 데이터 보안이 필수적으로 요구된다.

ICO는 “사람들은 어떤 정보가 왜 수집되고 있는지 제대로 이해하지 못할 수 있다. 기술이 오용되거나 정보가 적절히 보호되지 않을 경우 불공정한 데이터 처리, 심지어 신경 차별(neuro-discrimination) 위험까지 초래할 수 있다”라고 우려했다.

보고서는 이미 문제를 일으키고 있는 AI 생성 콘텐츠의 영향도 다루고 있다. 이런 콘텐츠는 완전히 합성된 것이지만, 이런 시스템을 훈련하는 데 사용되는 데이터는 개인 또는 생체 인식 데이터를 기반으로 한다. 대표적인 예가 딥페이크다.

이는 최근까지 다소 비현실적으로 들렸을 법한 새로운 유형의 데이터 보호 문제다. 완전히 가짜이거나 대부분이 조작된 PII(Personally Identifiable Information)로부터 개인을 보호해야 하는 상황이 된 것이다.

설계상의 데이터 보호가 필요하다

ICO는 이런 변화로 인해 3가지 문제가 발생할 것으로 예상했다. 첫째, 신기술이 방대한 양의 데이터를 생성하게 되면서 이를 보호하려는 기업과 기관의 업무 부담이 급격히 증가할 것이다.

둘째, “뇌파 패턴부터 운전 피로도에 이르기까지” 새로운 유형의 데이터가 생성될 것이다. 이를 보호하기 위해서 ICO는 시스템 출시 전에 기술 회사들이 설계상의 데이터 보호 기능을 구축해야 한다고 조언했다.

마지막으로 가장 중요한 문제는 이런 데이터가 여러 기관과 기업 간에 공유되면서 각 단계에서 누가 책임을 지는지에 대한 투명성이 부족해질 수 있다는 점이다.

이들 문제 중 일부는 소비자와 관련이 있지만, 이런 데이터를 활용 및 처리하는 기업도 동일한 문제에 직면할 수 있다.

ICO는 “이번 보고서에서 볼 수 있듯이 신기술을 개발하고 활용하는 혁신 기업이 늘어나면서 네트워크가 복잡해지고 있다. 이로 인해 사람들이 자신의 정보가 누구에 의해 처리되는지, 그리고 정보에 대한 권리를 어떻게 행사할 수 있는지 이해하기가 더욱 어려워지고 있다”라고 지적했다.

비영리 공공정책 연구기관 CSBR 이사 앤드류 처칠은 “기업 입장에서 이 문제를 해결하는 것은 단순히 데이터 보호 규정을 준수하는 것에 그치지 않는다. 어떤 규정에 주목해야 하는지 정확하게 파악하는 것이 더 중요한 과제가 될 것”이라고 말했다.

이어 “대다수 영국 기업이 EU 시민의 데이터를 처리하고, 거의 모든 기업이 공급망 내에서 미국 IT 시스템을 활용한다는 점을 고려하면 각기 다른 규제 체계로 인해 전 세계 기업은 서로 다른 법적 관점 사이에서 모순을 조율해야 하는 상황에 놓이게 될 것”이라고 덧붙였다.

예를 들어 한 기업의 1차 공급업체는 영국에 있고, 그 공급업체는 프랑스에 있는 다른 업체와도 거래한다. 그 프랑스 업체는 독일 업체와 연결돼 있을 수 있다. 처칠은 “EU의 NIS2 지침에 대한 프랑스의 해석이 독일과 다를 수 있다. 이는 다시 영국의 데이터 법안과도 차이를 보일 수 있다”라고 설명했다.

이로 인해 기업의 데이터 보호 책임자는 복잡한 규제 환경 속에서 혼란을 겪게 되며, 결국 데이터 컴플라이언스의 효과가 저해될 위험이 있다고 처칠은 지적하며 “공공정책을 논의할 때 간과할 수 있는 파급 효과를 고려하지 않는 경우가 너무 많다”라고 경고했다 .
dl-itworldkorea@foundryco.com