Intro
사람들은 이름, 이메일, 번호, 주소 정도만 개인정보라 생각하고 소중하게 다룹니다. 하지만 휴대폰 볼륨 기록만으로도 당신이 누구인지 알아낼 수 있다면 믿겨지시나요?
해외 보안업체 Lockdown과 워싱턴포스터의 조사에 따르면 휴대폰 충전 시간을 통해서 수면 시간을 알아내거나 지도 앱 검색 기록을 통해서 직장과 집의 위치를 추정하고 당신의 이름조차 모르는 상태에서 휴대폰 볼륨 조절 사용 패턴만으로도 당신을 추적할 수 있습니다.
이러한 개인정보 활용은 광고로 사용된다고 알려져 있습니다 그러나 사용자의 정치 성향을 파악해 선호하는 정책을 제안받아 그 정보를 활용해 자신의 지지측을 형성하는 등 다른 목적으로 활용되는 사례가 계속해서 발생하고 있습니다. 실제 사례로 2012년 미국 대선 후보였던 오바마는 사이트에서 지지자들이 자신들의 사진과 이야기를 공유할 수 있도록 장려하였고 이를 페이스북 오바마 페이지에 영상으로 올려 활용하는 캠패인을 적극적으로 진행했습니다. 이 과정에서 수많은 개인정보들을 수집하여 분석 후 자신을 지지하는 사람에게 정책을 홍보하는걸 넘어서서 미국 시민 개개인마다 선호하는 정치 메세지를 예측하여 캠패인을 진행하였고 그 결과는 당선으로 이어졌습니다.
그렇습니다. 우린 당신이 알려주지 않아도 당신의 휴대폰 충전 위치, 사용하는 앱으로 당신이 언제 화장실 가는지조차 알아낼 수 있습니다. 당신이 언제 아이를 유치원에서 대려오는지. 당신이 언제 심박수가 올라가는지 까지. 물론 당신이 약관에 허락한 내용대로요
불편하지만 현실입니다. 하지만 개인정보는 너무 편합니다. 수집안하고는 못배기는 정도죠 심지어 이걸로 돈도 많이법니다. 넷플릭스 영화 추천같이 유저에게도 편리한 기능들도 만들 수 있구요. 현재의 모바일 앱과 웹은 개인정보 수집 없이는 통제도 불가능하고 개인 맞춤화된 기능 제공도 불가능합니다. 앱 투명성 정책(ATT)와 같이 애플, 구글등에서 개인정보의 문제를 막기 위해서 기술적, 사업적 관점의 다양한 정책들을 도입했지만 대다수의 IT 회사들은 개인정보의 편리함과 가치를 포기하진 않았습니다. 어떤 방식이든 수집하고 대체할 수 있는 다른 데이터로 우회하고 있지요
저는 개인정보의 문제점을 아래와 같이 정의하고 생각해봤습니다.
- 내 개인정보가 어디에 어떻게 쓰이는지 관심이 없고 알아내기 복잡하다.
- 한번 유출되어 악용되면 수습하는건 피해자가 모두 진행해야한다.
- 1명의 개인정보가 저장되는 서버가 수백개로 나뉘어져서 내 개인정보가 거래되는지도 알 수 없다.
그리고 위 문제점들은 정보를 공개해야지만 개인정보로서 가치가 생긴다는 특징때문에 해결하기 어려운 특징 때문이라고 생각했습니다.
개인정보의 특징과 구조적 문제점
구조가 원인인 이유는 너무 간단합니다. 개인정보의 목적은 개인을 식별하기 위함이기 때문에 자신의 정보를 공개해서 증명해야합니다. 그러나 인터넷과 모바일앱에서 매번 개인정보를 공개하기는 너무 불편하기 때문에 이를 저장하고 필요할때마다 사용하는 구조가 자리잡혔습니다. 이런 구조에서는 당연히 위와 같은 문제들이 발생할 수 밖에 없습니다. 일반인들은 프로그래머가 아니며 프로그래머라고 하여도 서버에 접근해서 내 개인정보가 잘 보관되고 있는지 확인하는건 불가능하다고 생각해야 합니다. 유저로서 그래야하는 불편함은 말할것도 없구요.
실질적으로 개인정보 보호는 법률에 의존하는게 현실이라고 생각합니다. 다양하고 고도화된 보안기술들로 문제를 방지하고 있지만 문제가 발생하고 나서부터는 수습하기 상당히 힘들며 무었보다 문제가 발생했는지 파악하는것 부터가 어렵습니다.
그러면 구조라도 바꿔보자
어느날 자다가 생각났습니다. 개인정보 문제는 분명히 보편적이고 광범위한 커다란 문제인데, 이걸 단일화된 솔루션으로 해결 할 수 있다면 너무 재미 있겠다구요. 나름대로 고민한것이 개발자가 개인정보를 사용할때마다 유저가 해당 내용을 통보받는 서비스였지만, 개발자에게 물어보니 그러면 개인정보 서버로 넘어올때 맘대로 다른곳에 저장할 수 있어서 아무런 의미가 없다고 대차게 까였습니다. 그렇게 시무룩하게 지내다가 영지식증명 이라는 개념에 대해서 알게되었습니다.
영지식증명은 간단하게 설명하자면 내 개인정보가 2 라는 숫자라면 거기에 6을 곱하여 12라는 숫자를 만들고 12라는 숫자를 공개해서 내가 2라는 개인정보가 있다는걸 증명할 수 있는 암호화기법입니다. 벌써부터 어지럽죠?
간단하게 말해서 내 특정 정보를 공개하지 않고 해당 특정 정보가 나한태 있다라는걸 증명하는 기술이다 정도입니다. 이런 특징을 잘 살려서 개인정보에도 이걸 사용할 수 있게 만든다면 재밌을거라 생각했고 CWZK(Confusion-weighted zero-knowledge proof)를 만드는 Button systems 라는 프로젝트를 시작하는데까지 이어졌습니다.
Button systems Project
이 프로젝트는 개인정보 문제를 구조적으로 해결하고자 만들어진 프로젝트입니다. 지금 단계에서는 영지식증명과 차등 사생활이라는 개념을 혼합해서 CWZK 라는 구조를 개발하여 개인정보 문제를 해결하고자 하고 있습니다. (거창해보이지만 팀은 저 혼자입니다...ㅠㅠ)
여기서 새로 나온 단어인 차등 사생활은 아래와 같은 개념입니다.
이런식으로 가짜 개인정보를 진짜와 섞어서 유출되어도 문제가 없도록 하는 기술입니다. 저는 이 기술을 실제 개인정보와 유사한 데이터를 섞도록 처리하고 이를 영지식증명으로 개인임을 증명해서 앱을 사용하면서 자신을 완전히 감추며 자신이 원하는 개인정보 혜택을 그대로 누릴 수 있습니다. 심지어 익명 서비스에서도 개인 맞춤화된 서비스를 이용할 수 있습니다. 또한 자신의 개인정보 자체를 서버에 저장하지 않고 개인이 소유한 디바이스에 저장하는 방식으로 진행되어서 원할때마다 개인정보 제공을 중단할 수 있고 자신의 개인정보가 어디서 사용되는지도 실시간으로 알 수 있습니다.
자세한 기술적 설명은 기술문서를 확인해주세요!
마무리
첫 글이라서 중구난방이지만 이 공간을 만들게 된 계기인 제 개인 프로젝트로 운을 띄어 보았습니다. 앞으로도 제가 생각하기에 흥미롭게 무언가를 설명하고 인사이트를 얻을 수 있는 글들을 써내려가고자 하며, Button systems 프로젝트도 꾸준히 진행하고자 합니다. :)
댓글 2개
의견을 남겨주세요
jinnie
너무 재미있는 프로젝트입니다!! 저도 최근 이 개인정보를 어떻게 해결할 수 있을까 고민하고 있었는데 너무 생각하지 못한 방식이라 더 재밌었어요!!!
strangelet
안녕하세요 재밌게 읽어주셨다니 정말 기쁘네요! 감사합니다! ㅎㅎ
의견을 남겨주세요