4월 7일, 인도 동부 도시 콜카타 지역에 거주하는 마케팅 전문가 라넨드라 오즈하(Ranendra Ojha)는 최신 슈퍼 앱 '타타뉴(Tata Neu)'를 설치하여 사용하고자 했다. 여러 슈퍼 앱은 여러 기업이 다양한 서비스를 제공하는 다목적 모바일 애플리케이션이다. 그러나 오즈하가 자기 연락처를 이용해 타타뉴 설치 후 가입하자마자 타타뉴가 이미 과거의 주소 3곳과 이름 정보를 보유한 사실에 탄식했다. 오즈하는 이전까지 타타뉴 앱과 개인 정보를 공유한 적이 없다.
타타뉴가 가입 전부터 이미 개인 정보를 보유하게 된 사실을 더 자세히 조사하자 오즈하는 평소 자주 사용하던 식료품 앱 빅 배스킷(Big Basket)에서 타타뉴가 개인 정보를 수집한 사실을 알게 되었다. 빅배스킷과 마찬가지로 타타뉴는 창립 155년이 된 타타 그룹(Tata Group)이 소유한 앱이다. 인도 최대 재벌 기업이자 대표적인 기업인 타타 그룹은 소금부터 소프트웨어까지 모든 것을 판매하며, 최근 여러 기업을 인수하면서 소비자 기기 시장에 진출했다.
오즈하는 "솔직히 말하자면, 타타 그룹이 계열사의 특정 앱에서 고객의 개인 정보를 상세한 부분까지 수집하고 새로 설치한 타타뉴 앱에 사용한다는 점이 충격적이었다. 사실상 타타 그룹 모든 계열사와 당사자 동의 없이 개인 정보를 공유해왔다는 의미이다"라고 말했다.
인도 남부 방갈로르에 거주하는 또 다른 사용자도 연락처와 일회용 패스워드를 사용해 타타뉴 앱에 가입하자마자 이전에 거주하던 자택 주소를 포함한 여러 주소와 생년월일 정보가 이미 등록된 사실을 확인하면서 충격받았다. 해당 사용자는 아내가 타타뉴에 가입했을 때도 어떠한 용도로도 사용한 적이 없는 이전 직장 주소가 등록된 사실에 당혹감을 감추지 못했다. 기업의 반발을 우려해 익명을 요청한 나렌(Naren)은 "개인적으로 타타 그룹을 매우 좋아하며, 타타 브랜드를 신뢰한다. 그러나 사용자 경험이라는 명목으로 불투명한 개인 정보 공유 관행과 같은 교묘한 행동을 한다는 사실을 알게 되자 타타 그룹에 대한 신뢰도가 사라졌다"라고 말했다.
타타뉴는 2022년 4월 초 출시돼, 지금까지 220만 회가 넘는 다운로드 횟수를 기록했다. 타타뉴는 전자상거래와 금융 서비스, 항공편 예약, 식료품, 의약품, 호텔까지 모든 업계에 걸쳐 타타 그룹의 서비스를 한번에 제공한다. 그러나 신규 앱에 사용자 개인 정보를 사전 등록한 사실은 타타 그룹이 온, 오프라인 계열사 전체에 걸쳐 고객 데이터를 보관하고는 프로필을 생성했다는 의미이다. 프라이버시 옹호 세력은 분명한 사용자 동의 없이 정보를 사용한 사실과 인도에는 종합적인 데이터 보호법이 없다는 사실을 지적하며, 타타 그룹의 관행이 문제가 된다고 말한다.
[사진=Unsplash]
현재 가치 기준 시가총액 3,000억 달러가 넘는 타타 그룹은 광범위한 부문에 걸쳐 진출했다. 하지만 비교적 최근까지만 하더라도 소비자 기술 부문은 타타 그룹이 발을 들이지 않은 영역이었다. 따라서 수년 전, 아마존과 월마트 계열사인 플립카트(Flipkart) 등 테크 업계 대기업과의 경쟁을 위해 알리바바 계열 온라인 식료품 기업 빅 배스킷, 의약품 배송 스타트업 1mg 등 다수 스타트업 인수와 함께 건강 및 피트니스 스타트업 컬트핏(Cult.Fit) 투자 등과 같은 전략을 펼치면서 디지털 프로필을 생성하기 시작했다.
타타 그룹이 인수한 스타트업의 일부 고객은 개정된 사용 약관 안내 메일을 받았다. 그러나 필자를 포함해 타타 그룹이 인수한 스타트업 고객이 아니었던 이들은 어떠한 공지도 받지 못했다. 타타 그룹 계열사의 대다수 앱이 제공한 이전 프라이버시 정책이 고객 데이터를 모기업이나 인수가 성사되는 외부 기업과 공유할 수 있다는 모호한 표현을 명시했다. 그러나 다수 전문가는 분명한 사용자 동의 부재에 오랫동안 프라이버시 옹호론자로 활동한 니킬 파화(Nikhil Pahwa)가 설명한 바와 같이 타타 그룹이 인수한 스타트업에서 데이터를 수집하는 관행이 더해져 타타 그룹 측의 윤리적 실패가 발생했다고 지적한다.
디지털 미디어 포털 미디아나마(Medianama) 창립자인 파화는 "사용자 수가 매우 많은 모든 앱은 고객 데이터를 공유한다. 그러나 타타뉴는 기업 인수 후 모든 고객 데이터를 전체 서비스와 연결했다"라며, "타타 그룹이 부담해야 할 정보 보호 수준은 다르다. 타타 그룹 인수 전 앱이나 서비스를 사용하던 고객은 자연스레 기업 인수 시 자연스럽게 여러 앱에 남긴 데이터가 서로 연결될 일을 생각하지 않기 때문이다"라고 말했다.
타타 그룹 대변인은 와이어드의 문의에 기업 관행을 옹호하며, 타타 그룹은 사용자 프라이버시와 보안 관리에 헌신한다고 주장했다.
타타 그룹 대변인은 "고객 프라이버시 존중과 보호는 타타 디지털 사업의 중요한 부분이다. 타타 그룹은 고객 정보 유지 신뢰를 위해 각별히 주의한다. 타타 디지털은 정책에 명시된 내용과 기업 정신에 따라 적절한 데이터 규제를 준수하며, 앞으로도 계속 준수할 것이다"라고 말했다.
2021년, 인도를 최대 규모 시장으로 보유한 왓츠앱은 프라이버시 정책을 개정하여 사용자에게 모기업인 페이스북(메타)와의 데이터 공유 동의를 요청했다. 이는 왓츠앱 사용자의 집단 분노를 촉발했으며, 대다수 사용자가 (일시적이기는 하지만) 왓츠앱 사용을 중단하고, 시그널과 텔레그램 등 경쟁사 서비스로 대거 이동했다.
인도 반독점 기구인 인도 경쟁위원회(Competition Commission of India)는 즉시 장악력 남용이라는 근거로 단일한 프라이버시 정책 변경이라는 왓츠앱을 겨냥한 규제를 시행했다. 그러나 반독점 및 프라이버시 전문 변호사는 타타뉴와 같은 시장 신규 진출 기업에 장악력 남용 형태로 불공정 정책 약관을 주장하기 어렵다고 말한다. 지금까지 타타뉴의 시장 점유율이 비교적 적기 때문이다. 국책연구소인 공공 금융정책 연구소(National Institute of Public Finance and Policy) 테크 정책 연구원인 스므리티 파시라(Smriti Parsheera)는 "어느 곳이든 타타 그룹 계열사가 사업을 운영하는 시장에서 장악력을 확실히 차지했다면, 타타뉴와 어떠한 형태로든 강압적으로 고객 데이터를 공유한 기관에 경쟁법 위반 주장을 제기할 수 있다"라고 말했다.
타타 그룹의 데이터 공유 관행은 인도의 종합적인 데이터 보호법 부재와 상반된다. 인도 현행법 중 데이터 보호법과 가장 유사한 법률은 2021년 최종 작성된 데이터 보호 법안(Data Protection Bill)이다. 그러나 데이터 보호 법안은 통과되지 않았으며, 데이터 처리의 주요 근거 중 하나로 안내된 동의 사항에 의존한다. 즉, 기업이 각종 법률 용어 속에서 데이터 공유 관련 경고를 묻어두면서 서비스 사용 중단을 유일한 데이터 보호 수단으로 둘 수 있다는 의미이다.
파시라 연구원은 "새로운 법률 제정만으로 모든 문제를 해결할 수 없다. 그러나 신규 규제 기관이 대응할 수 있는 곳에서 책임 부담 틀을 생성하고, 소비자는 데이터 보호 해결책을 찾을 수 있다"라고 설명했다. 규제 기관은 사용자의 프라이버시 정책 이해도를 높이는 방향으로 활용할 수 있는 수단을 중심으로 규제를 마련할 수 있을 것이다.
오즈하는 인도 정부가 데이터 보호를 위한 법률 구조를 적용할 때까지 기다리지 않는다. 오즈하는 타타뉴를 설치한 날 바로 삭제했다. 그는 "타타뉴 앱이 매우 비효율적이면서 새로운 가치를 추가로 전달하지 못한다는 사실을 확인했다. 또한, 타타 그룹이 확실한 허락을 구하지 않고 개인정보를 사용하는 것이 불편했다"라고 말했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202205/3911_5200_492.jpg)
뉴스레터 신청