카카오에서 개인정보보호실을 진두지휘하고 있는 김연지 카카오 최고개인정보보호책임자(CPO) 겸 부사장은 아주경제와 온라인 인터뷰를 통해 이같이 말했다.
그는 2001년 연세대 컴퓨터공학과를 졸업한 뒤 다음과 카카오 등에서 약 23년간 여성 개발자로 일했다. 2000년대 초 다음 한메일(hanmail) 시절인 이메일 서비스 초기부터 다음 카페·블로그 등 커뮤니티 서비스, 다음 클라우드 서비스 등 개발에도 핵심 역할을 했다. 현재는 카카오 개인정보보호실을 총괄하고 있다.
카카오는 앞서 지속적으로 개인정보 보호 관련 조직을 운영해왔다. 현재는 개인정보보호실 인력을 포함해 약 60명에 이르는 정보보호 전담 직원을 두고 있다. 개인정보보호실은 회사 자체의 '인공지능(AI) 알고리즘 윤리 헌장' 제정에 참여했으며, 아동 대상 '알기 쉬운 개인정보 처리방침'을 제작해 배포하기도 했다.
다음은 김 부사장과 일문일답한 내용.
-개인정보보호실은 어떤 조직인가. 어떤 일을 맡고 있나.
"카카오는 이용자의 개인정보와 프라이버시 보호를 최우선 가치로 추구하고 있다. 개인정보보호실은 이와 관련된 역할을 수행하는 조직이다. 특히 '이용자가 신뢰하는' 정책 수립과 운영이라는 미션 아래 국내 최고의 개인정보와 프라이버시 보호 전문가 조직을 지향하고 있다. 사용자와 기업이 지켜야 할 개인정보 보호 등 주요 데이터 관련 정책을 수립했다.
지난해에는 어린이 자문단 8명과 함께 개인정보 처리 방침을 이해하기 쉬운 버전으로 만들었다. 올해는 청소년과 중소기업, 내년에는 노인과 장애인층을 대상으로 한 프로젝트 추진도 고려하고 있다.
임직원 대상 교육도 정기적·비정기적으로 진행 중이다. 일반적으로 개인정보 보호 관련 교육은 기획자를 위한 교육이 주로 이뤄지고 있다. 하지만 카카오는 데이터를 다루는 개발자를 대상으로 한 개인정보 보호 교육에도 강점을 가지고 있다. 최근 데이터 분석 개발자를 대상으로 개발 실무에 적용 가능한 데이터 처리 정책에 대한 교육을 진행했다."
-메타버스에서 개인정보 침해와 유출·노출 사고가 발생할 우려가 커지고 있다. 이를 예방하기 위해 서비스 제공 업체와 사용자 등은 어떤 자세를 가져야 하는가.
"사용자는 인터넷상에서 제2, 제3의 캐릭터를 만든다. 이를 개인정보 보호 관점으로 어떻게 바라봐야 할지 논의돼야 한다. 가령 현 세대는 기존 세대보다 더 넓고 깊게 온라인 공간에서 생활하고 있다. 그들이 개인정보를 어떻게 인식하는지는 정책이나 기술을 넘어 철학적인 이슈로 볼 수도 있다. 법이나 규제에만 기대어 해결할 수 없는 부분이다.
서비스 제공 업체는 이용자 관점에서 정보보호를 판단하고, 이용자 눈높이에 맞춰 개인정보 보호 방침을 안내해야 한다. 사용자들 역시 적극적으로 궁금해하고, 생각해보고, 알아보려는 자세가 필요하다."
-카카오는 이용자의 개인정보 보호를 위해 어떤 노력을 기울이고 있나.
"카카오는 개인정보 보호를 최우선 가치로 두고 있다. 카카오톡이나 다음 메일 등 이용자들의 중요한 데이터가 오가는 서비스를 운영하기 때문이다. 신뢰가 보장돼야 이용자들이 서비스를 믿고 쓰지 않겠나. 카카오 개인정보 보호 조직뿐 아니라 서비스 조직의 직원들도 개인정보 보호에 대한 지식과 눈높이가 업계 최고라고 자부한다.
또한, 카카오는 프라이버시 보호원칙(Privacy by Design)을 기반으로 서비스·시스템·알고리즘을 개발한다. 프라이버시 보호원칙은 서비스 기획 단계부터 종료 이후 시점까지 서비스의 전 생애주기에 걸쳐 데이터 보호를 고려하는 것을 말한다.
개인정보보호실의 경우 지난 5월 자사의 알고리즘 윤리 헌장의 8번째 조항으로 '프라이버시 보호' 를 추가했다. 카카오는 2018년에 국내 기업 최초로 AI 알고리즘 윤리 헌장을 발표한 후 시대의 변화에 따라 조항을 추가하고 있다."
-보안 수준과 업무 편의성은 반비례한다. 때문에 보안 솔루션 도입에 회의적인 업체들이 많은데.
"모든 일에는 트레이드 오프(무언가를 얻기 위해 다른 것의 희생이 수반되는 경우)가 있다. 법이 요구하는 수준의 보안은 당연히 지켜야 하고 그건 최소한의 기준이다. 이보다 더 강화된 보안 조치를 하고 싶다면 그건 회사의 판단이 필요한 부분이다.
장기적인 관점으로 봤을 때 솔루션 도입이 불이익이 될지 이익이 될지 잘 생각해봐야 한다는 거다. 근데 데이터 보호나 보안은 평소에 그 중요성을 인식하기 쉽지 않다. 사고가 한 번 크게 터지면 그때 후회하게 된다.
사고 후에 이용자의 신뢰감 상실, 사업 타격 등이 어느 정도일지 생각해야 한다. 보안 솔루션의 도입 취지, 리스크 최소화 여부를 꼼꼼히 먼저 따져 봐라. 이후 솔루션을 도입하기로 했다면, 직원들과 관련 정보 공유도 충분히 해야한다."
-서비스 개발시 해결하기 어려웠던 문제가 있나. 어떤 방식으로 해결했는지 궁금하다.
"프론트엔드 개발이 핵심이었던 웹 애플리케이션 서비스 팀의 팀장으로 발령 받았을 때의 일이다. 해당 팀은 매일매일 쏟아지는 고객 서비스(CS) 문의를 해결하는 데에 급급한 상황이었다. 어디서 발생한 오류(에러)인지 파악하는 것조차 어려웠다. 새 기능 추가 시에는 어떤 오류가 있을지 검증하기 어려워 서비스 신규 개발 속도가 더뎠다.
팀에 6개월 안에 에러 수를 0으로 만들겠다고 선언했다. 그러고 나니 문제를 바라보는 관점이 완전히 바뀌었다. 가장 많이 발생하는 에러부터 잡아야 하고, 그러려면 어떤 에러가 가장 많은지 파악해야 한다. 에러 수집은 필수였다. 브라우저 에러를 모두 서버에 기록하는 것부터 시작했다. 로깅-리포팅-디버깅 툴을 만들었고, 결국 넉달여 만에 에러를 5% 수준으로 줄였다. 해당 5% 수준의 에러들은 플러그인과 충돌한 일시적 에러였다. 외부에서 발생하는 에러라는 말로, 결국 에러를 0으로 만든 것과 다름 없었다.
어떤 상황이 와도 '괜찮은데? 나에게 도움이 되는 경험이네'라고 생각하고 긍정적으로 바라보는 성향이다. 내가 감당할 수 있는 일, 흥미롭게 접근할 만한 일로 시선을 바꾸면 그 일은 매력적으로 변한다. 매일 대규모 에러를 해결하던 일이 '6개월 에러 제로(zero) 프로젝트' 중 하나로 바뀌었다. 해결하면 엄청난 보상이 주어지는 흥미로운 일로 바뀐 셈이다."
-여성 개발자를 꿈꾸는 학생들에게 조언 한마디 부탁한다. 그들에게 필요한 역량은 무엇인가.
"개발자는 기계와 인간 간의 통역사 역할을 한다. 사람이 기계한테 요구하는 것을 프로그래밍 언어로 만들어 전달한다. 또 이와 관련해 비개발자와 얘기하면서 진행하는 경우도 많다. 소통을 잘하는 통역사가 돼야 유능한 개발자가 될 수 있다.
여성이라고 해서 미리 쫄지 마라. 대신 자신의 강점에 집중해라. 2007년 미국 루이빌 대학에서 진행한 '고정관념 위협의 영향(The effect of Stereotype Threat)' 주제의 실험이 있다. 초등학교 고학년 남녀 학생들을 두 그룹으로 나누어 수학 시험을 보게 했다. 한 그룹에는 '남녀간 시험 점수 차이가 없다', 다른 한 그룹에는 '남학생이 여학생보다 시험 점수가 높다'고 말하고 시험을 보게 했다. 전자는 여학생의 수학 점수가 약간 높았던 것에 반해, 후자는 남학생의 점수가 월등히 높았다. 선입견이 실제 행동과 결과에 영향을 줄 수 있다는 대표 사례다.
사회는 발전하고 있지만 아직도 여성들은 사회가 인식하는 '여성' 관념에 영향을 받을 수 밖에 없다. 한 발 물러나고 싶은 마음이 든다면, '내가 남성이라도 그럴까', 혹은 '이들이 모두 여성이라도 내가 물러날까?'라고 생각해보자. 스스로 자신감을 느끼고 나의 강점에 집중하길 바란다."