당신은 그들과 거래한 적이 없다. 그들의 이름을 들어 본 적조차 없을 가능성이 크다. 그런데도 그들은 당신의 나이와 소득, 건강 상태와 정치 성향, 어젯밤 둘러본 상품 목록까지 묶어 하나의 파일로 만들어 두고, 그것을 사고판다. 데이터 브로커라 불리는 이 산업에서 거래되는 상품은 다름 아닌 당신 자신이다.

보이지 않는 거래의 구조

데이터 브로커는 소비자와 직접 거래하지 않으면서 소비자에 관한 정보를 수집, 분석, 판매하는 기업을 가리킨다. 이들은 공개 기록, 상업 거래 내역, 온라인 활동 추적 등 다양한 경로에서 정보를 끌어모은다. 그렇게 모은 조각들을 결합해 개인의 상세한 프로필을 구성하고, 이를 광고주, 보험사, 마케팅 회사, 때로는 다른 데이터 브로커에게 판매한다. 핵심은 이 모든 과정이 정보의 주체인 본인은 알지 못하는 사이에 이뤄진다는 점이다.

거래되는 정보의 범위는 흔히 짐작하는 수준을 훨씬 넘어선다. 미국 연방거래위원회(FTC)가 데이터 브로커 9곳을 조사해 펴낸 보고서는 그 규모를 구체적인 숫자로 드러냈다. FTC가 공개한 데이터 브로커 투명성 권고에 따르면, 조사 대상 한 곳은 약 14억 건의 소비자 거래와 7천억 개 이상의 데이터 요소를 보유하고 있었으며, 업계 전체로는 사실상 거의 모든 미국 소비자에 관한 정보를 다루고 있었다.

당신이 고객이 아니라 상품일 때

이 산업을 이해하는 한 문장이 있다. 무료 서비스에서 당신이 비용을 내지 않는다면, 당신은 고객이 아니라 상품이다. 데이터 경제의 작동 원리가 바로 이것이다. 검색, 지도, 무료 애플리케이션 같은 서비스가 대가 없이 제공되는 것처럼 보이지만, 그 대가는 화폐가 아니라 데이터로 지불된다. 그렇게 수집된 데이터가 브로커의 손을 거쳐 상품이 되고, 그 거래의 이익은 데이터의 원천인 개인에게 돌아오지 않는다.

FTC 보고서가 특히 우려한 지점은 프로필의 분류 방식이다. 브로커들은 소비자를 특정 범주로 묶는데, 그중에는 소득이 낮은 계층, 특정 질병이나 건강 상태를 가진 사람, 인종이나 민족 집단을 가리키는 분류도 포함됐다. 이런 분류가 마케팅을 넘어 신용, 보험, 고용 같은 중요한 결정에 은밀히 영향을 미칠 경우, 당사자는 자신이 왜 불이익을 받는지조차 알 수 없게 된다. 차별의 근거가 보이지 않는 데이터 안에 숨겨지는 것이다. 정치 성향을 비롯한 이런 세밀한 분류가 선거 지형을 설계하는 데 어떻게 쓰이는지는 ACP가 게리맨더링을 다룬 보도에서 살핀 바 있다.

법의 사각지대

이런 거래를 규율할 법이 없는 것은 아니다. 그러나 기존 법의 틀에는 분명한 빈틈이 있다. 신용, 고용, 보험 목적의 정보 이용을 규율하는 공정신용보고법은 그 목적에 한정해 적용되며, 마케팅이나 위험 분석 같은 다른 용도로 같은 데이터가 거래될 때는 적용을 비껴간다. 즉 같은 개인정보라도 어떤 꼬리표를 달고 거래되느냐에 따라 보호의 여부가 갈린다. 소비자 입장에서는 자신의 정보가 어디서 어떻게 쓰이는지 추적할 방법이 사실상 없다.

정보가 한번 흘러나가면 통제권을 회복하기 어렵다는 점도 문제를 키운다. 잘못된 정보가 프로필에 섞여 있어도 본인은 그 존재를 모르므로 바로잡을 수 없고, 한 곳에서 유출된 데이터는 다른 브로커로 복제되며 영구히 남는다. 디지털 권리 옹호 단체 EPIC은 이 구조가 개인의 자기정보 통제권을 근본적으로 침식한다고 지적한다. EPIC이 정리한 데이터 브로커 쟁점 자료는 투명성 의무화와 소비자의 열람 및 삭제 권리 보장을 핵심 개혁 과제로 제시한다.

추적은 디지털 위험과 만난다

데이터 브로커가 만들어 내는 위험은 추상적인 프라이버시 침해에 그치지 않는다. 상세한 개인 프로필은 표적형 사기와 신원 도용의 재료가 되며, 가정폭력 피해자나 공직자처럼 위치 노출이 곧 신변 위협으로 이어지는 사람에게는 생명의 문제가 되기도 한다. 누군가의 거주지와 일상 동선이 손쉽게 거래될 수 있다는 사실은, 디지털 흔적이 어떻게 현실의 위험으로 전환되는지를 보여 준다.

이 연결은 ACP가 이미 추적해 온 영역과 맞닿는다. 개인정보가 어떻게 수집되고 악용되는지, 그 흔적을 기술적으로 분석한 ACP의 사기 사이트 포렌식 분석은 데이터가 무기가 되는 경로를 구체적으로 드러낸 바 있다. 데이터 브로커 산업은 그 경로의 상류에 자리한다. 합법의 외피를 쓴 대규모 정보 수집이, 불법적 악용의 토양을 함께 비옥하게 만드는 셈이다.

개인이 줄일 수 있는 노출

구조적 문제를 개인의 노력만으로 해결할 수는 없지만, 노출을 줄이는 현실적인 방법은 있다. 상당수 데이터 브로커는 본인의 정보를 목록에서 제외해 달라는 옵트아웃 요청을 받아들이도록 되어 있다. 다만 그 절차는 브로커마다 제각각이고 일회성으로 끝나지 않아, 같은 정보가 다시 수집되면 반복해야 한다는 한계가 있다. 그럼에도 위치나 연락처처럼 위협으로 직결될 수 있는 정보를 다루는 사람에게는 의미 있는 방어선이 된다.

일상의 습관도 데이터의 양을 좌우한다. 애플리케이션에 무심코 허용한 위치와 연락처 접근 권한을 점검하고, 불필요한 추적을 차단하며, 가입할 때 요구되는 정보를 최소한으로 제공하는 것만으로도 수집되는 조각의 수를 줄일 수 있다. 근본적인 해법은 어디까지나 제도에 있지만, 자신의 디지털 흔적이 어떻게 상품이 되는지를 아는 것 자체가 그 흔적을 관리하는 첫 단계다. 보이지 않는 거래의 구조를 인식하는 순간, 막연한 불안은 구체적인 점검 목록으로 바뀐다.

자료: 미국 연방거래위원회(FTC) 데이터 브로커 투명성 권고 보고서, 전자프라이버시정보센터(EPIC) 데이터 브로커 쟁점 자료. 본 기사는 일반적인 정보 제공을 목적으로 한다.