사용자 동의의 허구: 과연 자유의지로 동의한 것일까?

데이터는 누구의 것인가: 프라이버시 이후의 자본주의 ②

제1장. 프라이버시는 죽었는가?

고전적 프라이버시 개념의 탄생

프라이버시는 처음부터 법적 개념으로 존재했던 것이 아니다. 인류의 오랜 역사 속에서 개인의 삶은 공동체 속에서 자연스럽게 공유되었고, ‘사생활’이라는 개념조차 분명하지 않았다. 그러나 근대 시민사회의 형성과 함께, ‘나만의 공간’, ‘침해받지 않을 권리’라는 관념이 서서히 모습을 드러내기 시작했다. 이는 곧 개인이라는 존재를 사회와 구분 짓는 경계에 대한 사유로 이어졌다.

1890년, 미국의 법률가 사무엘 워렌과 루이스 브랜다이스는 하버드 로리뷰에 한 편의 논문을 발표한다. 제목은 〈The Right to Privacy〉. 이 글에서 두 사람은 ‘방해받지 않을 권리(the right to be let alone)’를 핵심으로 삼아, 기술의 발달과 언론의 무분별한 보도가 개인의 삶을 침해하고 있다고 경고했다. 이 논문은 오늘날 우리가 이해하는 현대적 프라이버시 개념의 기초를 닦은 결정적인 전환점이 되었다.

이 시기의 프라이버시는 본질적으로 ‘침입에 대한 방어’로 정의되었다. 나의 공간, 나의 신체, 나의 정보에 외부인이 함부로 접근하지 못하도록 막는 권리, 즉 외부 간섭을 거부할 수 있는 자유가 중심이었다. 산업사회로 접어들면서 개인은 법과 제도 안에서 점차 독립된 주체로 인식되었고, 그에 따라 프라이버시는 ‘사적 영역의 보호’라는 이름 아래 사회적 지위를 획득하게 된다.

20세기의 프라이버시: 개인의 경계

20세기에 들어서며 프라이버시는 단순한 ‘은둔의 권리’를 넘어 보다 적극적인 개념으로 확장되기 시작했다. 법학자 앨런 웨스틴(Alan Westin)은 1967년 저서 《프라이버시와 자유(Privacy and Freedom)》에서 프라이버시를 다음과 같이 정의했다. “개인이 자신에 관한 정보를 어떤 방식으로, 어떤 범위에서, 누구와 공유할지를 선택할 수 있는 권리.”

이 정의에는 단순히 외부의 침해를 방어하는 수동적 권리를 넘어, 정보의 흐름을 스스로 통제할 수 있는 능동적인 권리라는 관점이 담겨 있다.

즉, 프라이버시는 ‘숨을 권리’에서 ‘보여줄 것을 선택할 권리’로 개념이 전환되었다. 주체성, 통제력, 선택 가능성이라는 요소들이 프라이버시 논의의 핵심으로 떠오르며, 정보화가 점차 진전될수록 그 의미는 더욱 정교해지고 복합적으로 발전했다.

하지만, 이 시기까지만 해도 프라이버시는 여전히 개인의 의사에 기반한 권리로 기능했다. 은행 계좌, 의료 기록, 주소지 등 민감한 정보들은 법의 보호를 받았고, 사람들은 이를 공유하지 않음으로써 자신의 프라이버시를 지킬 수 있었다. 기술은 아직 개인의 명시적인 동의 없이는 그 경계를 넘기 어려웠으며, 어떤 정보를 ‘기록한다’는 행위 자체가 비교적 예외적인 일이었다.

디지털 전환기에서의 균열

21세기에 접어들며, 디지털 기술의 폭발적인 발전은 프라이버시라는 개념을 근본부터 흔들기 시작했다. 스마트폰의 보급, 소셜미디어의 일상화, 위치 기반 서비스의 확산, 검색 기록과 쇼핑 히스토리의 축적 등 인간의 거의 모든 활동이 디지털 흔적으로 남는 환경이 도래했다. 기술은 이제 개인의 경계를 ‘넘는 것’을 넘어, 경계 자체를 다시 그리기 시작했다.

디지털 환경에서 프라이버시는 더 이상 기본값이 아니다. 노출이 디폴트가 되었고, 보호는 선택 가능한 ‘옵션’으로 밀려났다. 사용자는 자신의 정보를 숨기기 위해 따로 행동해야 하지만, 대부분은 그런 선택을 하지 않거나, 하지 못한다. 그 과정에서 ‘동의’는 점점 형식적인 절차로 전락한다. 우리는 거의 모든 경우 이용약관을 꼼꼼히 읽지 않으며, 단지 서비스를 이용하기 위해 어쩔 수 없이 ‘동의함’을 클릭할 뿐이다.

이제 프라이버시는 사용자의 권리가 아니라, 플랫폼이 부여하는 조건으로 바뀌었다. 사용자들은 자신이 어떤 정보를 제공하고, 그 정보가 어떻게 사용되는지에 대해 실질적인 통제권을 상실했다. 프라이버시는 더 이상 ‘보호받는 권리’가 아니라, 서비스 이용의 대가이자, 시장에서 거래되는 소비자의 비용이 되었다.

이러한 변화가 바로 우리가 ‘포스트 프라이버시(post-privacy)’의 시대에 진입했다고 말하는 이유다. 프라이버시는 완전히 소멸한 개념은 아닐지라도, 이제는 본래의 의미에서 점점 멀어지고 있다. 더는 우리가 자연스럽게 ‘지키는 것’이 아니라, 이제는 의식적으로 ‘되찾아야 할 것’이 되었다.

제2장. 데이터는 새로운 석유인가: 프라이버시의 경제학

개인정보의 수집과 거래 구조

“데이터는 새로운 석유다.” 이제는 거의 상투적인 표현이 되었지만, 이 말이 던지는 함의는 여전히 강력하다. 이 문장은 단순히 데이터가 가치 있는 자원이라는 의미를 넘어선다. 데이터는 채굴되고, 정제되고, 저장되며, 유통되는 과정을 통해 경제적 가치를 창출하며, 이러한 구조적 유사성에서 석유와의 비교는 지금도 설득력을 갖는다. 그리고 그 중심에 있는 것이 바로 ‘개인정보’다.

우리가 일상적으로 사용하는 디지털 서비스들—검색엔진, 소셜미디어, 온라인 쇼핑몰, 내비게이션 앱, 심지어 건강 추적기까지—이 모두가 실시간으로 데이터를 수집하고 있다. 사용자가 무엇을 검색했는지, 어떤 게시물에 얼마나 오래 머물렀는지, 밤에는 어디에서 자고 아침에는 어느 경로로 출근하는지 등, 우리의 일거수일투족은 ‘디지털 그림자’처럼 플랫폼에 남는다. 이 정보들은 고유 식별자를 통해 개인 단위로 축적되며, 정제된 후 알고리즘의 연료로 사용된다.

핵심은 이 데이터가 반드시 직접적으로 사고 팔리지 않더라도 엄청난 경제적 가치를 생성한다는 점이다. 사용자들은 보통 무료로 서비스를 이용한다고 생각하지만, 실제로는 자신의 데이터를 ‘비화폐적 대가’로 제공하는 것이다. 데이터는 일종의 보이지 않는 화폐로 작동하며, 플랫폼 기업들은 이를 기반으로 맞춤형 광고, 상품 추천, 사용자 행동 예측 등 수익을 극대화하는 시스템을 구축한다.

더 나아가, 이러한 정보들은 데이터 브로커(data brokers)라 불리는 제3자 산업을 통해 2차 시장에서도 활발히 거래된다. 광고주, 보험사, 금융기관, 정치 캠프 등은 더욱 정밀한 타겟팅과 예측을 위해 이 데이터를 구매하거나, 이용할 수 있는 권리를 확보하려 한다. 결국 오늘날 개인정보는 플랫폼 내에서 직접 활용될 뿐 아니라, 다양한 경로를 통해 ‘상품처럼’ 유통되고 있다.

이것이 오늘날 우리가 맞닥뜨린 현실이다. 개인의 흔적이 데이터로 포착되고, 그 데이터가 자산이 되어 거래되며, 그 과정이 다시 또 다른 이윤을 낳는 구조. 정보는 흐름을 따라 움직이지만, 그 출처인 ‘개인’은 점점 더 보이지 않게 된다.

플랫폼 경제의 수익 모델

프라이버시가 경제적 자산으로 전환되는 순간, 디지털 플랫폼은 이를 중심축으로 수익 모델을 새롭게 설계한다. 구글, 페이스북(메타), 틱톡 등 우리가 흔히 사용하는 무료 플랫폼들이 대표적인 사례다. 이들은 더 이상 단순한 정보 서비스 제공자가 아니다. 이 플랫폼에서 진정한 ‘상품’은 바로 사용자 자신이다. 사용자의 시선, 클릭, 위치, 감정, 시간—모든 것이 분석의 대상이자 수익 창출의 자원으로 전환된다.

이 수익 모델의 핵심은 광고가 아니라 예측에 있다. 단순히 광고를 노출하는 것이 아니라, 누가 무엇을, 언제, 어떤 맥락에서 소비할지를 정밀하게 예측하는 것이다. 이 예측 자체가 광고주와 제3자에게 판매할 수 있는 또 하나의 상품이 된다. 따라서 플랫폼은 가능한 한 더 많은 데이터를, 더 깊이, 더 빠르게 수집하려고 한다. 그럴수록 예측의 정확도는 높아지고, 그만큼 경제적 가치도 커진다.

이러한 구조 속에서 프라이버시는 필연적으로 비용 절감의 대상이 된다. 사용자에게 제공되는 ‘동의’는 형식적이고 제한적으로 축소되며, 알고리즘은 점점 더 교묘하게 사용자의 선택을 유도하거나 왜곡하게 된다. 예컨대, 특정 뉴스를 오래 본 사용자에게 유사한 뉴스를 계속 추천하는 알고리즘은 단지 편의성을 제공하는 것이 아니다. 그것은 사용자의 ‘주의 시간’을 가능한 한 길게 붙잡아두려는 전략이며, 궁극적으로 더 많은 광고 노출과 수익으로 연결된다.

결국, 프라이버시는 플랫폼 경제에서 수익 극대화를 위한 전략적 자산이 된다. 보호해야 할 권리라기보다는 조정 가능한 변수로 취급되며, 사용자에 대한 통제권은 점차 알고리즘과 플랫폼의 손에 넘어간다. 이처럼 플랫폼 기반의 디지털 경제는 프라이버시의 의미를 근본적으로 재편하는 중이다.

데이터 주권 vs 데이터 상품화

그러나 모든 사용자가 이 거래 구조에 순순히 동의하는 것은 아니다. 점점 더 많은 이들이 질문을 던지기 시작했다. “이 정보는 과연 누구의 것인가?”

법적으로 개인정보는 사용자 개인에게 소유권이 있다고 간주된다. 하지만 현실 속 플랫폼 환경에서 이 권리는 거의 작동하지 않는다. 데이터는 플랫폼에 의해 자동으로 수집되고, 그 흐름을 사용자가 통제할 수 있는 여지는 극히 제한적이다. 바로 이 권리와 현실 사이의 간극에서 등장한 개념이 ‘데이터 주권(data sovereignty)’이다.

데이터 주권은 단순히 프라이버시를 보호하자는 요구를 넘어서, 개인이 자신의 데이터에 대해 실질적인 결정권을 가져야 한다는 주장을 담고 있다. 데이터의 수집, 활용, 이동, 삭제에 대한 주도적인 통제권을 회복하려는 시도다. 더 나아가, 이것은 경제적 권리의 회복이기도 하다. 내가 만들어낸 정보로부터 누군가가 수익을 창출하고 있다면, 그 수익 구조에 대한 정보 접근권이나 일정한 보상을 요구할 수 있어야 한다는 것이다.

이러한 배경 속에서 등장한 것이 데이터 협동조합, 데이터 이익 공유 모델, 블록체인 기반의 데이터 소유권 실험 등이다. 이들은 공통적으로 데이터의 주체성을 개인에게 되돌려주려는 ‘데이터 주권 운동’의 일환이다. 개인은 더 이상 수동적인 공급자가 아니라, 자신의 정보에 대해 능동적인 결정권을 가진 데이터 시민이 되어야 한다는 요구가 점점 힘을 얻고 있다.

반면, 기업의 시각은 다르다. 대부분의 플랫폼 기업은 데이터를 ‘소비자와의 계약에 따라’ 정당하게 확보한 자산으로 간주한다. 이들에게 데이터는 생산자와 사용자 사이에서 자유롭게 거래 가능한 시장 재화다. 정보의 수집과 활용은 일종의 서비스 제공 계약이며, 데이터는 계약의 부산물이자 정당한 교환 대상이라는 것이다.

바로 이 지점에서 충돌이 발생한다. 프라이버시는 권리인가, 자산인가? 혹은 이 둘을 나눌 수 없는 중첩 개념인가? 이 질문은 단순히 학술적인 논쟁을 넘어, 오늘날 디지털 경제의 철학적 근간을 뒤흔드는 핵심 쟁점이다. 데이터 주권과 상품화의 경계는 여전히 불명확하며, 우리는 그 경계 위에서 새로운 윤리와 제도를 요구받고 있다.

제3장. 감시자본주의의 실체

슈샤나 주보프의 이론: 감시자본주의의 정체

‘감시자본주의(Surveillance Capitalism)’라는 개념은 하버드대 경영대학원 교수인 슈샤나 주보프(Shoshana Zuboff)가 2019년 출간한 저서 《감시자본주의 시대(The Age of Surveillance Capitalism)》에서 본격적으로 제시한 용어다. 이 개념은 오늘날 디지털 플랫폼이 어떻게 작동하며, 왜 그것이 문제적인지를 가장 명확하게 드러내는 분석 틀로 널리 인용되고 있다.

주보프에 따르면, 감시자본주의는 개인의 삶에서 발생하는 경험과 행동을 데이터로 추출하여, 이를 예측하고, 다시 수익화하는 경제 체제다. 단순한 정보 수집을 넘어서, 인간의 일상—시선, 반응, 습관, 감정 등—을 원자화(原子化)하고, 그것을 다시 상품으로 가공하는 시스템이라는 점에서 기존의 자본주의와는 다른 작동 방식을 갖는다.

그녀는 이 체제를 “자본주의가 한때 자연을 착취하던 방식처럼, 감시자본주의는 이제 인간의 행동 자체를 착취한다”고 날카롭게 지적한다. 여기서 중요한 점은, 이 전환이 대부분 사용자의 자각이나 동의 없이 이루어진다는 사실이다. 우리는 흔히 무료 서비스를 사용하는 대가로 일부 정보를 제공한다고 여긴다. 그러나 주보프는 그 이면에서 플랫폼 기업들은 우리의 무의식적 행동 패턴, 심지어 예측 가능한 미래까지 수집하고 상품화하고 있다고 경고한다.

즉, 감시자본주의는 단지 ‘정보의 거래’를 넘어선다. 그것은 인간이라는 존재를 데이터의 형태로 해체하고, 그 잔해 위에 예측과 통제의 권력을 구축하는 새로운 자본주의의 얼굴이다. 주보프의 이론은 우리가 기술과 시장의 결합이 만들어낸 새로운 질서에 어떻게 노출되어 있으며, 그 속에서 어떤 권리를 상실하고 있는지를 근본적으로 되묻는다.

행동 데이터를 이용한 예측상품

감시자본주의의 핵심 엔진은 바로 행동 데이터(behavioral surplus)다. 이는 사용자가 디지털 서비스를 이용하는 과정에서 무의식적으로 남기는 다양한 흔적들—클릭의 속도, 화면에 머문 시간, 마우스의 움직임, 접속 빈도, 친구 관계, 검색어 기록 등—을 모두 포함한다. 이러한 데이터는 단순히 사용자 경험을 개선하거나 기능을 최적화하기 위한 목적을 넘어선다. 본질적으로는 미래의 행동을 예측하고 조작할 수 있는 상품, 즉 예측상품(prediction products)을 만들기 위한 원재료로 수집된다.

예측상품이란, 사용자가 앞으로 어떤 물건을 살지, 어떤 감정 상태에 놓일지, 어떤 광고에 반응할지, 그리고 어떤 순간에 지갑을 열 가능성이 높은지를 예측하는 데이터 기반의 상품이다. 기업은 이 데이터를 분석해 정밀한 예측 모델을 구성하고, 이를 광고주나 제3자에게 판매함으로써 수익을 창출한다. 이 과정에서 인간은 더 이상 단순한 소비자가 아니다. 인간의 삶 자체가 데이터로 환원되어, 시장분석과 알고리즘 최적화의 대상으로 재구성된다.

특히 이 상품들은 실시간 경매 시스템인 RTB(Real-Time Bidding) 같은 메커니즘을 통해 거래된다. 이 시스템에서는 수많은 광고주가 사용자에 대한 데이터를 바탕으로, 극단적으로 세분화된 타겟팅 경쟁을 벌이며, 가장 높은 입찰자가 사용자의 시선 한 조각을 차지하게 된다. 이때 거래되는 것은 ‘공간’이 아니라 ‘가능성’이며, 광고주는 사용자의 미래 행동에 투자하고 있는 셈이다.

결국 이 구조 속에서 인간은 점점 더 ‘예측 가능한 존재’로 만들어진다. 데이터는 단지 과거를 설명하는 것이 아니라, 미래를 조종하기 위한 도구로 전환되고 있으며, 우리의 삶은 시장의 연료로, 지속적으로 소모되고 있다. 프라이버시의 침식은 여기서 끝나지 않는다. 그것은 곧 자율성의 축소, 나아가 인간 주체성 자체에 대한 도전으로 이어진다.

사용자 행동과 광고 수익의 연계 구조

감시자본주의가 수익을 창출하는 구조는 정교하게 조율된 사용자 행동의 계량화에서 출발한다. 이 시스템이 제대로 작동하기 위해서는 사용자의 모든 활동이 측정 가능한 단위로 분해되어야 한다. 예를 들어, 사용자가 특정 게시물에 오래 머문다면, 플랫폼은 해당 유형의 콘텐츠를 더욱 자주 추천한다. 관심이 지속될수록 광고 노출의 기회는 늘어나고, 클릭 가능성도 상승한다. 이로 인해 플랫폼은 광고주에게 더 높은 단가의 광고 공간을 판매할 수 있게 되며, 이는 곧 수익 증대로 이어진다.

이러한 ‘행동 → 추천 → 광고 → 수익’으로 이어지는 구조는 감시자본주의의 실질적인 수익 엔진이다. 표면적으로는 사용자의 취향에 맞춘 ‘개인화 서비스’처럼 보이지만, 실제로는 시선, 감정, 시간이라는 인간의 경험이 광고 수익으로 환산되도록 조율된 알고리즘 시스템이다.

사용자는 편리함과 효율을 얻는 것처럼 느끼지만, 그 이면에서는 자신의 관심과 감정의 흐름이 시장 논리에 따라 설계되고 유도된다. 사용자의 선택은 자유로운 듯 보이지만, 플랫폼은 이미 그 선택지를 배치하고 조정한 후다.

더 나아가 이 시스템은 단순히 사용자의 행동을 예측하는 수준을 넘어서, 행동 자체를 조종하려는 방향으로 진화하고 있다. 강화학습(Deep Reinforcement Learning) 등 고도화된 기술을 통해 알고리즘은 사용자의 반응을 실시간으로 학습하고, 그 학습을 다시 행동 유도에 활용한다. 이제 플랫폼은 단순한 관찰자가 아니다. 플랫폼은 사용자의 행동을 설계하고, 감정을 유도하며, 욕망을 구조화하는 행동의 설계자로 작동하고 있다.

요약

감시자본주의는 단지 데이터를 수집하고 분석하는 시스템이 아니다. 그것은 인간의 삶을 수익화하는 총체적 구조이며,

프라이버시의 자산화,
행동 데이터의 예측 상품화,
사용자 행동의 알고리즘적 설계

라는 삼각축 위에서 작동한다. 이 체제 속에서 인간은 점점 더 ‘예측 가능하고 조정 가능한 존재’로 전환되고 있으며, 플랫폼은 우리가 어떻게 행동할지를 ‘먼저 아는’ 존재가 아니라, 우리를 그렇게 행동하도록 만드는 존재가 되어가고 있다.

제4장. 사용자 동의의 허구: 동의는 자유의지인가

쿠키 배너와 이용약관의 현실

우리는 인터넷을 사용할 때마다 수없이 많은 “동의” 버튼을 마주한다. 쿠키 배너, 이용약관, 개인정보 수집 및 이용 동의서에서 알 수 있는 바와 같이 대부분의 웹사이트와 앱은 처음 접속한 사용자에게 법적으로 요구되는 ‘설명’과 ‘동의’ 절차를 전면에 내세운다.

하지만 정작 사용자의 대다수는 어떤 정보가 수집되고, 누구에게 전달되며, 어떻게 활용되는지 제대로 이해하지 못한 채, 습관적으로 ‘수락’을 클릭한다. 이른바 묵시적 강제 동의의 구조다.

이용약관은 보통 수천 단어에 이르며, 법률적 용어로 가득하다. 이는 사용자에게 실질적인 선택지를 제공하기보다는, “이 서비스를 계속 사용하고 싶다면 동의하라”는 메시지를 암묵적으로 전달한다. 선택처럼 보이지만 사실상 강제된, 선택 아닌 선택인 셈이다.

다크 패턴과 조작된 인터페이스

표면적으로는 사용자가 동의 여부를 자유롭게 결정할 수 있는 것처럼 보인다. 예를 들어, 쿠키 배너에는 ‘모두 동의’와 ‘모두 거부’ 버튼이 함께 표시되어야 마땅하다. 그러나 현실에서는 ‘거부’ 버튼이 작게 표시되거나, 여러 단계를 거쳐야만 접근 가능하게 설계되어 있는 경우가 많다. 반면, ‘동의’ 버튼은 눈에 띄는 위치에, 눈에 잘 띄는 색상으로 배치된다.

이처럼 사용자 행동을 유도하고 왜곡하는 인터페이스 디자인을 **다크 패턴(Dark Patterns)**이라 부른다. 사용자가 자율적으로 선택을 한 것처럼 보이지만, 실제로는 디자인된 선택이라는 것이다. ‘편리함’이라는 이름 아래, 사용자의 클릭은 점점 더 플랫폼이 의도한 방향으로 몰려가게 된다.

동의는 자유의지인가?

그렇다면 우리는 정말로 동의하고 있는가? 사용자의 ‘동의’는 법적 정당성을 부여받은 것처럼 보이지만, 실제로는 정보 비대칭과 구조적 유도 속에서 이루어진다. 대부분의 사용자는 약관을 읽지 않고, 읽는다 해도 그 내용을 이해하기 어렵다. 동의란 법적으로 ‘자발적이고, 명시적이며, 충분히 이해된’ 결정이어야 한다. 그러나 현실에서의 동의는 이 세 가지 조건을 충족하지 못하는 경우가 많다.

결국 오늘날의 ‘동의’는 플랫폼이 합법성을 확보하기 위한 형식적 장치일 뿐, 사용자의 실질적 자율권과는 거리가 멀다. 사용자는 자유롭게 선택하는 것처럼 느끼지만, 사실상 프라이버시를 포기하도록 설계된 구조 안에서 움직이고 있다.

‘선택’의 피상성과 비대칭 정보

법적으로는 사용자가 동의했다면 그 정보 제공과 활용은 정당하다고 간주된다. 하지만 실질적으로는 사용자와 플랫폼 사이에 존재하는 정보의 비대칭이 매우 크다. 사용자는 자신의 데이터가 어디까지, 누구에게, 어떤 방식으로 전달되는지를 정확히 알 수 없다. 개인정보 수집 및 활용 동의서에 나열된 정보는 표면적인 내용에 불과하며, 그 데이터가 어떻게 파생되고 연결되며 재가공되는지는 거의 설명되지 않는다.

더 큰 문제는 이 구조가 사용자의 인지 능력을 전제로 한 동의라는 허구 위에 설계되어 있다는 점이다. 정보 비대칭은 단순히 정보량의 차이를 의미하는 것이 아니라, 실제로 결정할 수 있는 권한의 불균형을 드러낸다. 사용자는 선택 가능한 위치에 있는 것이 아니라, 선택지를 충분히 이해하지 못한 채 형식적인 절차만 따라야 하는 존재가 된다.

그리고 이처럼 선택이 피상적이라는 사실은 기업에게 유리하게 작용한다. “당신은 동의했잖아요”라는 명분은 사용자 권리 침해에 대한 방패가 되며, 시스템에 정당성을 부여하는 근거가 된다. 그 결과 플랫폼의 이익은 커지고, 사용자의 통제권은 점점 더 멀어진다.

알고리즘 권력과 실질적 강제성

동의 구조의 또 다른 문제는 알고리즘이 사용자 선택 자체를 구조적으로 설계한다는 데 있다. 우리는 특정 콘텐츠를 스스로 ‘선택’했다고 믿지만, 실상은 그 콘텐츠가 이미 알고리즘에 의해 정해진 목록 중 하나였다는 사실을 인식하지 못한다. 선택의 자유가 존재하더라도, 그 자유가 행사되는 공간은 이미 제한된 틀 안이라는 점에서 자유의지는 본질적으로 제약된다.

예컨대 동영상 추천, 뉴스 피드, 쇼핑 목록, 친구 제안에 이르기까지, 사용자는 자신에게 먼저 ‘보인 것’ 중에서만 선택할 수 있다. 우리는 알지 못한 채, 선택지가 미리 정해진 감시된 자유 안에서만 움직이는 것이다.

이런 시스템에서 동의는 형식적 자율성과 실질적 강제성이 결합된 이중 구조를 드러낸다. 겉으로는 사용자가 ‘선택할 수 있다’고 말하지만, 실제로는 ‘선택할 수 있는 것처럼 보이는 항목’만 제공된다.

일각에서는 사용자가 원하면 플랫폼을 떠날 자유도 있다고 주장한다. 하지만 오늘날의 디지털 인프라는 일상, 업무, 사회관계에 깊숙이 통합되어 있다. 페이스북, 구글, 유튜브, 인스타그램, 네이버 같은 플랫폼을 떠난다는 것은 곧 사회적 단절과 업무상의 비효율, 정보 접근의 불이익을 감수하는 것을 뜻한다. 결국 사용자는 실질적으로는 거절할 수 없는 계약에 계속 머물게 된다.

요약

디지털 환경에서의 ‘동의’는 선택의 이름을 한 강제다. 그것은 자율성을 가장한 구조화된 복종이며, 플랫폼 권력과 알고리즘 기술의 결합 속에서 사용자는 점점 더 수동적인 존재로 전락하고 있다.

정부의 감시 시스템

정보는 권력이다. 그리고 이 명제를 가장 체계적으로 보여주는 주체는 국가다. 21세기 이후, 특히 9·11 테러 이후의 세계는 ‘안전’이라는 이름 아래 국가의 정보 수집 권한을 비약적으로 확장시켰다. 미국의 PRISM, 중국의 사회신용시스템, 러시아의 인터넷 통제법(sovereign internet law), 한국의 통신자료 제공 관행 등은 모두 현대 국가가 디지털 기술을 통해 어떻게 시민의 삶을 실시간으로 추적하고, 예측하고, 통제할 수 있는지를 보여준다.

중요한 것은, 이 감시 시스템이 보이지 않는 상태에서 작동한다는 점이다. 우리는 종종 기업의 개인정보 침해에는 민감하지만, 국가가 수집하는 데이터에 대해서는 관대하거나 무지한 태도를 보인다. 하지만 국가의 감시는 공적 권한이라는 정당성을 바탕으로 이루어지며, 위법성과 무관하게 시민의 사적 공간을 구조적으로 침식한다.

이러한 경향은 팬데믹 시기 더 강화되었다. 한국의 확진자 동선 추적 시스템, 이스라엘의 보건부 위치 추적 앱, 중국의 건강코드 시스템 등은 보건 안전을 이유로 실시간 위치 추적, 접촉 이력, 금융정보, CCTV 기록까지 통합한 감시 체계를 일상화시켰다.

이는 단지 기술적 감시의 강화가 아니라, 국가 권력의 작동 방식 자체가 바뀌고 있음을 의미한다. 과거의 국가는 법과 제도를 통해 시민의 삶을 규율했다면, 오늘날의 국가는 데이터를 통해 시민을 ‘계량화’하고 ‘모니터링’하는 방식으로 권력을 행사한다. 감시는 단지 정보 수집이 아니라, 통치 방식의 핵심으로 이동하고 있다.

결국 우리는 ‘감시 없는 민주주의’가 가능한가라는 근본적 질문과 마주하게 된다. 안전과 자유, 공익과 프라이버시 사이에서 사회는 어떤 균형점을 찾아야 하는가? 국가가 가진 감시 권한은 어디까지 정당화될 수 있으며, 그 권한을 감시할 수 있는 또 다른 감시자—즉 민주적 통제는 가능한가? 데이터의 정치학은 이처럼 단지 기술적 문제나 법률적 쟁점이 아닌, 사회의 철학적 선택을 요구하는 지점으로 우리를 이끈다.

민간 기업과 공공 데이터의 경계

오늘날 개인정보의 정치학은 단순한 ‘국가 대 개인’이라는 이분법으로는 설명되지 않는다. 이제 핵심은 국가와 기업이 데이터를 중심으로 복합적이고 전략적인 공생관계를 형성하고 있다는 점이다. 정부는 민간 기업이 보유한 데이터를 활용해 치안, 보건, 교통, 조세 등 각종 행정 시스템을 고도화한다. 반대로, 기업은 정부가 공개하는 공공 데이터를 분석하여 서비스의 정밀도를 높이고, 위치 기반 마케팅, 금융 리스크 예측, 도시 설계 등 다양한 영역에서 경쟁력을 확보한다.

예를 들어, 통신사나 카드사의 데이터는 도시 계획이나 보건 정책의 기초 자료로 활용되는 동시에, 해당 기업의 입장에서는 소비자의 구매 패턴, 이동 경로, 인구 통계 정보를 기반으로 정교한 상품 전략을 수립하는 자원으로 전환된다. 이처럼 하나의 데이터는 공공성과 상업성이라는 두 가지 얼굴을 갖고, 상호 전환 가능한 유동적 자산이 된다.

더불어, 전자정부와 스마트시티, 공공 클라우드 등의 구축 과정에서 정부는 민간 플랫폼 기업의 인프라에 의존하게 되며, 이는 곧 데이터 주권의 기술적 기반마저 사기업에 종속시키는 구조적 취약성으로 이어진다. 플랫폼 기업의 기술력 없이는 공공 시스템이 제대로 작동하지 않는다는 점은, 데이터 인프라의 독립성이라는 민주주의의 기반을 위협할 수 있다.

이러한 흐름에서 가장 심각한 문제는, 이 모든 데이터의 흐름—국가와 기업 간의 수집, 공유, 활용, 재판매—에 대해 시민이 거의 통제권을 행사하지 못한다는 사실이다. 정보의 출처와 최종 용도, 저장 주체와 기간, 2차 활용 경로는 대체로 불투명하며, 정보의 생성자이자 주체인 시민은 이 구조 속에서 일방적으로 배제된다. 바로 이 지점이 ‘데이터 주권’의 공백 지대다.

국가와 기업은 데이터의 활용을 통해 효율성과 혁신을 이야기하지만, 정작 그 데이터를 생산하는 주체인 시민은 그 흐름에서 권리를 보장받지 못한다. 데이터가 공공성과 시장성을 동시에 띤 시대, 정보 주체의 권리를 어떻게 재구성할 것인가—이것이 앞으로의 개인정보 정치학이 직면한 가장 핵심적인 질문이다.

법제도 분석: GDPR과 개인정보보호법의 한계와 가능성

그렇다면 국가와 기업 사이에서 데이터 권력을 조율하고, 시민의 정보 주권을 실질적으로 보장할 수 있는 주체는 누구인가? 바로 법과 제도다. 개인정보의 수집과 활용이 플랫폼 자본주의와 국가 감시 시스템의 핵심 자산으로 기능하는 시대, 법은 이 권력의 흐름에 브레이크를 걸고 균형을 회복하는 최후의 보루로 작동해야 한다. 그러나 현재의 법제도는 그 역할 수행에 있어 분명한 한계를 드러내고 있다.

유럽연합의 GDPR: 강력하지만 완전하지 않은 제도

GDPR(General Data Protection Regulation)은 유럽연합(EU)이 2018년부터 시행한 개인정보 보호법으로, 현재까지 세계에서 가장 강력한 데이터 보호 법제 중 하나로 평가된다. 이 제도는 다음과 같은 핵심 원칙을 담고 있다:

데이터 처리의 투명성: 기업은 개인정보를 수집·이용할 때 목적과 범위를 명확히 고지해야 하며, 그 처리 과정은 투명해야 한다.

사용자 동의의 명시성: 모호한 동의는 인정되지 않으며, 사전 고지와 구체적인 동의가 필수적이다.

잊힐 권리(right to be forgotten): 사용자는 자신의 정보 삭제를 요청할 수 있으며, 기업은 이를 즉시 이행할 의무를 가진다.

데이터 이동권(portability): 사용자는 자신의 정보를 다른 서비스로 옮길 수 있으며, 이는 플랫폼 독점 구조에 대한 탈출구로 기능할 수 있다.

책임성과 제재: 데이터 유출 사고 발생 시 기업은 72시간 이내에 관계 당국에 보고해야 하며, 이를 위반할 경우 전 세계 매출액의 최대 4% 또는 2천만 유로 중 높은 금액의 과징금이 부과된다.

GDPR은 사용자 중심의 데이터 권리를 정식으로 제도화한 최초의 시도이며, 플랫폼 권력에 대한 실질적인 규제 수단으로 국제 사회에서 하나의 표준을 제시했다.

그러나 현실에서의 적용은 이상처럼 단순하지 않다.

집행력의 일관성 부족: 각국 감독기관의 해석과 집행 강도가 달라 법적 일관성이 떨어진다.

다국적 기업의 우회 전략: 일부 기업은 본사를 규제가 약한 국가에 두거나, 복잡한 법적 구조를 통해 규제의 실질적 적용을 회피한다.

기술 진보의 속도와의 괴리: 인공지능, 딥러닝, 블록체인 등 새로운 기술 환경에 GDPR이 빠르게 대응하지 못하는 측면도 지적된다.

결국 GDPR은 중요한 출발점이지만, 디지털 권력을 근본적으로 견제하기에는 여전히 부족한 지점이 존재한다.

한국의 개인정보보호법: 통합과 유연성 시도, 그러나 여전한 한계

한국은 2020년 이른바 ‘데이터 3법’ 개정을 통해 개인정보보호법, 정보통신망법, 신용정보법을 통합 관리체계로 정비하고, 데이터 활용을 촉진하기 위한 가명정보 개념을 도입했다. 이는 데이터 경제 활성화를 목표로 한 전환점이었지만, 여전히 법적·제도적 취약성이 여러 측면에서 지적되고 있다.

가명 처리의 모호성과 재식별 위험: 법률상 가명 정보는 개인정보 보호 의무를 완화할 수 있는 전제 조건이지만, 실제로는 가명처리의 기준이 명확하지 않아 제3자에 의해 재식별될 가능성을 완전히 배제하기 어렵다. 이는 데이터 활용과 프라이버시 보호 사이의 균형을 어렵게 만든다.

개인정보보호위원회의 독립성과 규제력 부족: 위원회는 개인정보 보호의 최고 감독기구로 격상되었으나, 인사 구조나 예산, 정책 결정 과정에서 행정부와 정치권의 영향을 받을 수 있는 구조적 한계를 지닌다. 기업 로비에 취약하다는 비판도 지속된다.

동의 중심 프레임에서의 탈피 미비: ‘동의 기반 보호’라는 기존 틀을 근본적으로 전환하지 못하고 있다. 사용자의 실질적 통제권을 강화하기보다는, 여전히 형식적 동의 절차를 중심으로 구성되어 있어 정보 비대칭 문제를 해소하지 못한다.

공공과 민간의 경계 불분명: 통신사, 카드사, 병원, 지방자치단체 등 다양한 주체들이 데이터를 활용하는 과정에서 공공과 민간의 경계가 모호해지고 있다. 하지만 이에 대한 체계적인 통제 기준은 부재하며, 정보 주체인 시민은 이 흐름을 인지하거나 개입할 수 없는 구조에 놓여 있다.

요약: 권력화된 정보, 점점 얇아지는 방패

정보는 이제 권력이다. 프라이버시는 단순한 개인의 권리가 아니라, 국가와 기업 사이에서 거래되고 교환되는 정치적 자산이 되었다. 법제도는 이 권력을 견제하고 균형을 맞추는 최후의 방패지만, 현실 속에서는 그 방패가 점점 얇아지고 있다. 제도가 존재한다고 해서 권리가 보장되는 것은 아니다. 문제는 제도의 실질적 작동 여부이며, 그것이 사용자에게 얼마만큼의 통제권과 자율성을 부여하는가이다.

제6장. 테크 저항과 탈중앙화 운동

“데이터가 권력이라면, 기술은 무기가 될 수 있다”

암호화 도구와 익명 네트워크: 기술로 저항하기

감시사회에 대한 가장 직접적이며 오래된 저항 방식 중 하나는 바로 암호화(Encryption)다.

1990년대 등장한 사이버펑크 운동(Cypherpunk Movement)은 “코드는 자유다(Code is Liberty)”라는 구호 아래, 감시 없는 디지털 자율성을 회복하기 위한 기술적 실천을 주장했다. 이들은 국가와 기업의 감시를 우회할 수 있는 암호 기술을 정치적 저항 도구로 간주했다.

오늘날 이 흐름은 구체적인 기술과 실천으로 이어지고 있다:

PGP (Pretty Good Privacy): 이메일 내용을 종단 간 암호화하여 제3자가 내용을 열람하지 못하도록 한다. 특히 정부나 기업의 검열과 사찰을 방지하는 대표적 수단으로 널리 사용된다.

시그널(Signal), 텔레그램(Telegram) 등의 메신저: 단순한 메시지 암호화를 넘어, 메타데이터의 최소화, 자가 삭제 기능, 서버에 흔적을 남기지 않는 설계 등으로 통신의 익명성과 비가시성을 극대화한다.

토르(Tor, The Onion Router): 사용자 트래픽을 다층적으로 암호화된 노드를 통해 우회시켜 IP 주소를 감추고, 위치 추적이나 사용 흔적을 어렵게 만든다. 이를 통해 검열된 웹사이트 접근이나 표현의 자유를 가능케 한다.

이러한 기술은 단순한 도구가 아니라, 감시 체제에 대한 철학적, 정치적 거부의 표현이다. 암호화는 개인이 자신의 정보 경로를 통제할 수 있도록 하고, 표현의 자유를 지키는 수단으로 기능한다.

그러나 이 기술의 양면성도 분명하다. 익명성과 비가시성은 범죄 은폐, 허위정보 확산, 디지털 책임 회피의 경로로 악용될 수 있다. 암호화 기술은 결국 자유와 안전, 투명성과 프라이버시 사이에서 끊임없는 균형 조정이 필요한 양날의 검이다.

블록체인 기반 데이터 소유권 실험: 탈중앙화와 개인의 권리 회복

블록체인은 단순히 비트코인이나 이더리움 같은 가상화폐 기술을 넘어선다.

그 본질은 중앙 권력 없이 신뢰를 분산시키고, 기록을 변경 불가능하게 하는 분산 원장 기술에 있다. 이 혁신적인 구조는 데이터 통제권을 다시 개인에게 돌려주는 새로운 실험의 토대가 되고 있다.

대표적인 사례를 살펴보면:

Solid 프로젝트 (팀 버너스리 주도)

사용자의 데이터는 중앙 서버가 아닌, 분산된 개인 저장소인 ‘포드(pod)’에 저장된다. 기업이나 서비스는 반드시 사용자의 명시적 동의를 얻어야만 해당 데이터에 접근할 수 있다. 이는 사용자 중심 데이터 주권 실현의 구체적 시도이다.

Ocean Protocol

데이터 공급자인 개인이 자신의 데이터를 직접 통제하면서, 필요한 경우 선택적으로 암호화된 데이터를 공유하고 이에 따른 대가를 받을 수 있도록 설계된 시스템이다. 데이터 시장을 열어 개인이 자신의 정보 가치를 직접 창출할 수 있게 한다.

Self-Sovereign Identity (SSI)

기존의 중앙집중형 신원 관리 체계를 벗어나, 사용자가 자신의 신원 정보를 스스로 관리하고 인증하는 분산형 신원관리 시스템이다. 국가나 기업이 아닌 개인이 데이터의 이동, 삭제, 변경 권한을 갖는다.

이처럼 블록체인과 탈중앙화 기술을 기반으로 한 다양한 실험은, “데이터의 진정한 주체는 누구인가?”라는 근본적 질문에 기술적으로 응답하려는 시도다.

탈중앙화는 단순한 분산 저장을 넘어, 데이터 권력의 민주화와 개인의 실질적 권리 회복을 목표로 한다.

개인이 다시 주체가 되는 가능성

지금까지 우리는 사용자 동의의 허구, 플랫폼 권력, 국가 감시 등 개인이 배제된 복잡한 구조를 살펴보았다.

그러나 암호화와 탈중앙화 기술은 개인이 단순한 데이터 제공자가 아니라, 자신의 정보 생애주기를 능동적으로 관리하는 정보의 주체로 복귀할 가능성을 열어준다.

다만, 이 변화는 단순히 기술이 존재한다고 저절로 이루어지지 않는다.

필요한 것은 다음과 같다:

정치적 의지와 제도적 뒷받침

시민들의 기술적·디지털 리터러시 강화

윤리적 설계 원칙의 확산과 실천

기술은 그 자체로 중립적인 무기이지만, 그 무기를 누가, 어떻게, 왜 사용하는가에 따라 완전히 다른 결과를 만들어낸다.

따라서 개인이 다시 정보의 주체가 되기 위해서는 단순한 도구의 사용을 넘어서, ‘디지털 시민권(digital agency)’의 재정의가 필수적이다.

요약

기술은 감시와 통제의 수단이기도 하지만, 저항과 해방의 도구이기도 하다.
암호화와 탈중앙화 기술은 개인이 정보의 객체에서 주체로 복귀할 수 있는 가능성의 실험장이며, 데이터 권력의 재분배를 위한 첫걸음이다.