독일 사회운동가 마티아스 막스(Matthias Marx)가 자신의 얼굴 탈취를 주장했다. 막스의 얼굴은 창백한 피부색에 넓고, 헝클어진 금발 머리를 한 모습이다. 지금까지 세 기업이 막스의 동의 없이 막스의 얼굴 특징 정보를 구축하면서 수익화했다. 막스의 얼굴은 전 세계 인구 수십억 명과 마찬가지로 당사자 동의 없이 검색 조건이 되었다.
2020년, 막스는 인터넷에서 불특정 다수의 인물 수십억 명의 사진을 마구 수집해 대규모 얼굴 데이터베이스를 생성한 안면 인식 소프트웨어 기업 클리어뷰AI(Clearview AI)에 대한 소식을 접했다. 법률 집행 기관을 포함한 클리어뷰 고객은 사진 한 장을 게재하기만 해도 클리어뷰AI의 안면 인식 기술을 이용해 얼굴 특징이 같은 또 다른 사진을 온라인에서 몰래 찾을 수 있다.
막스는 클리어뷰AI의 데이터베이스에 자신의 얼굴 사진도 포함됐는지 알고자 클리어뷰AI에 이메일로 문의했다. 한 달 뒤 클리어뷰AI는 스크린샷 두 장을 첨부한 채로 막스의 문의 메일에 회신했다. 스크린샷 사진 모두 10여 년은 된 듯했으나 막스가 파란색 티셔츠를 착용한 채로 구글 엔지니어 대회에 참석했던 날의 앳된 모습을 담았다. 이후 막스가 자신의 사진이 존재한다는 사실을 알게 되었다. 그러나 클리어뷰AI와는 달리 사진 공유 저장소 알라미(Alamy)에 자신의 허락 없이 사진을 판매한 사진작가의 정보를 알지 못했다.
막스는 클리어뷰의 공개 사실이 경각심을 일깨워준 계기라고 말했다. 막스는 “더는 타인이 개인 데이터를 사용하는 것을 통제할 수 없는 수준이 되었다”라고 말했다. 이에, 막스는 클리어뷰AI가 자신의 동의 없이 얼굴, 즉 생체 데이터를 사용한 점에서 유럽연합의 프라이버시법인 개인정보보호 규정(GDPR) 위반이 명백하다고 판단했다. 2020년 2월, 막스는 함부르크의 지역 프라이버시 규제 당국에 항의서를 제출했다. 유럽에서 클리어뷰AI를 상대로 처음 항의서를 제출한 사례였다. 하지만 지금까지 사건 해결 여부를 알 수 없다. 함부르크 규제 당국 대변인은 와이어드에 막스의 사건이 종료됐다고 전했다. 그러나 막스는 어떠한 결과도 안내받지 못했다고 말했다. IT 보안 기업 시큐리티 리서치 랩스(Security Research Labs) 보안 연구원인 막스는 “클리어뷰AI를 상대로 항의서를 제출한 지 2년 반 가까이 지났다. 그런데도 지금까지 사건 처리 결과를 전혀 알 수 없었다. 안면 데이터 무단 사용 관련 사건을 처음 다루었다고 해도 사건 처리 속도가 너무 느리다”라고 말했다.
유럽 전역의 시민 수백만 명의 얼굴이 클리어뷰AI와 같은 기업이 운영하는 검색 결과에 등장한다. 유럽은 세계에서 가장 엄격한 프라이버시 법률을 갖추었다고 자부한다. 하지만 함부르크 당국을 포함한 유럽 규제 당국은 여전히 클리어뷰AI를 상대로 법률을 집행하는 데 난항을 겪고 있다. 막스의 항의서 제출 후 유럽 전역의 다른 시민과 프라이버시 단체도 똑같이 항의서를 제출했다. 2022년 10월, 프랑스 데이터 보호 당국은 유럽 규제 기관 중 세 번째로 클리어뷰AI에 유럽 프라이버시 법률 위반으로 벌금 2,000만 유로(1,900만 달러)를 부과했다. 그러나 클리어뷰AI는 지금까지 유럽연합 시민의 얼굴을 자사 플랫폼에서 삭제하지 않았다. 이탈리아와 그리스 규제 당국이 프랑스 규제 당국과 비슷한 규모로 부과한 벌금도 내지 않았다. (프랑스 규제 당국은 프라이버시 법률 때문에 클리어뷰AI의 벌금 납부 관련 상세 정보를 공개하지 할 수 없다고 밝혔다.) 그러나 유럽 규제 당국은 클리어뷰AI가 처벌에 주의를 기울이도록 하는 데 애먹고 있는 가운데, 문제가 우후죽순으로 등장하고 있다. 클리어뷰AI가 더는 불특정 다수의 얼굴로 수익화하지 않기 때문이다.
막스는 다른 프라이버시 운동가와 마찬가지로 사실상 클리어뷰AI가 유럽 시민 얼굴을 영구적으로 제거하도록 할 수 없다고 생각한다. 또, 인터넷에서 불특정 다수의 얼굴을 계속 마구 수집하는 클리어뷰AI의 기술이 재차 자신의 얼굴을 찾아 특정 범주에 따라 분류할 수도 있다. 클리어뷰AI는 데이터베이스 내 유럽 시민의 얼굴 영구 삭제 가능성과 관련된 와이어드의 문의에 답변하지 않았다.
막스는 “만약, 인터넷의 다른 곳에서 내 얼굴이 또다시 등장한다면, 클리어뷰AI가 내 얼굴을 새로이 수집하고 자사 데이터베이스에 저장할 것이다. 클리어뷰AI의 알고리즘은 불특정 다수 시민 얼굴을 수집하는 행위를 중단하지 않을 것이다”라고 말했다. 클리어뷰AI는 2022년, 투자자를 향해 자사 데이터베이스에 인물 사진 총 1억 장을 확보하려 한다고 밝혔다. 전 세계 인구 70억 명 중 한 명당 사진 약 14장이 클리어뷰AI 데이터베이스에 등록됐다는 의미이다.
클리어뷰AI CEO 호안 톤 탓(Hoan Ton-That)은 인터넷에서 얼굴을 검색한 뒤 데이터베이스에 보관할 봇을 보내는 클리어뷰AI의 작업 방식으로는 유럽연합 시민 얼굴을 플랫폼에 등장하도록 할 수 없다고 주장한다. 톤 탓은 “단순히 인터넷에 공개된 사진만으로 클리어뷰AI가 확인하는 인물의 얼굴이 유럽연합 시민의 얼굴인지 알 수 없다. 따라서 유럽연합 시민의 데이터를 삭제할 수 없다”라며, 동종 업계의 다른 서비스와 비교했다. 이어, 그는 “클리어뷰AI는 구글, 빙, 덕덕고 등 검색엔진과 같이 인터넷에서 공개적으로 접할 수 있는 인물 사진만 사용한다”라고 강조했다.
[사진=Freepik]
하지만 프라이버시 운동가는 이름 검색과 안면 검색 간 차이점이 중요하다고 주장한다. 프라이버시 인터내셔널(Privacy International) 소속 변호사 루시 오디버트(Lucie Audibert)는 “이름은 고유한 식별 정보가 아니다. 얼굴은 머리에 가방을 들고 집까지 걸어가지 않는 이상 공개적으로 숨길 수 있는 정보가 아니다”라고 말했다.
유럽 전역에서 안면 검색 엔진이 유럽연합 시민 얼굴 데이터 처리 중단을 막으려는 규제 당국의 명령을 노골적으로 위반한 채로 계속 운영하는 상황에 분노가 커지는 추세이다. 톤 탓은 클리어뷰AI가 GDPR 규정 적용 대상이 아니라고 주장한다. 클리어뷰AI는 유럽에 고객사나 지사가 없기 때문이다. 바로 규제 당국과 논쟁을 벌이는 부분이기도 하다. 유럽연합 규제 당국의 더 엄격한 법률 집행을 원한다고 밝힌 오디버트는 “문제를 일으킨 미국 기업의 규정 준수 협력 의사가 없다면, 유럽 규제 당국이 미국 법률에 규정을 집행하기 어렵다. 클리어뷰AI의 사례는 GDPR의 권력이 제한적임을 보여주는 사례이다”라고 한탄했다. 오디버트는 유럽연합의 새로운 테크 법률이 신속하게 시행돼, 클리어뷰AI와 유럽의 갈등에 영향력을 행사하기를 바란다.
클리어뷰AI 사건은 다른 기업에도 유럽 내 안면 검색 엔진 서비스를 제공하는 행위가 불법임을 알릴 것으로 예상됐다. 막스의 사건에서 막스를 지지한 프라이버시 단체 NOYB 소속 변호사 펠릭스 미코라쉬(Felix Mikolasch)는 “사건 하나가 발생하면, 당국이 첫 번째 사건을 추후 다룰 사건의 선례로 보기 쉽다”라고 언급했다. 그러나 클리어뷰AI의 문제는 달랐다. 오디버트는 “클리어뷰AI의 안면 검색 엔진 사건에는 법률 집행이 진행되지 않았다. 클리어뷰AI를 비롯한 여러 기업이 당사자 동의 없이 얼굴 데이터를 이용한 검색 엔진 제공을 중단한 점을 확신할 수 없었다. 얼마든지 법률을 피해 갈 수 있기 때문이다”라고 말했다.
2020년 이후 막스는 자신의 얼굴이 온라인에 널리 유포된 것을 발견했다. 또 다른 안면 인식 플랫폼 프라임아이스(Pimeyes)에서 얼굴을 검색했을 때, 클리어뷰AI의 플랫폼보다 더 많은 검색 결과를 제공했다. 역설적이게도 막스가 검색한 자신의 얼굴 중 하나는 프라이버시 관련 사항을 이야기하는 것을 볼 수 있었다. 또 다른 검색 결과는 2014년, 막스가 난민에게 무료 와이파이를 지급했을 당시 소식을 보도한 지역 신문에서 촬영한 사진을 보여주었다. 막스는 심지어 어느 한 정당이 주관하는 이벤트 관련 검색 결과에서도 자신의 사진을 볼 수 있었다. 바로 막스가 자전거 도로 등 지역 문제를 논의했던 곳에서 촬영된 사진이었다.
프라임아이스는 불특정 다수의 얼굴을 데이터베이스에 저장하지 않는다는 점에서 엄밀히 말하자면 클리어뷰AI와 다르다. 하지만 다수 프라이버시 전문가의 설명에 따르면, 프라임아이스는 사용자가 사진을 게재할 때, 인터넷에서 얼굴을 검색한다. 게다가 클리어뷰AI보다 더 개방적이기도 하다. 누구나 사진을 무료로 검색할 수 있다. 그러나 사진을 발견한 링크를 보려면, 36달러부터 시작하는 월 구독료를 부담해야 한다.
지오지 고브로니즈(Giorgi Gobronidze) 프라임아이스 CEO 겸 교수도 클리어뷰AI와 달리 페이스북, 트위터, VKontakte(VK) 등 SNS에서 불특정 다수 인물의 사진을 마구 수집하지 않는다고 강조했다. 2021년 말, 프라임아이스를 인수한 고브로니즈는 “이론상 SNS에서 이미지 대규모 수집이 가능하다고 해서 실제 프라임아이스가 불특정 다수의 얼굴을 마구 수집한다는 뜻은 아니다”라고 주장했다. 이어, 그는 “다른 온라인 출처에서 자신의 얼굴 사진을 이용한다는 사실을 알지 못하는 이들이 셀 수 없을 정도로 많다. 사실, 누구나 기업이 자신의 사진을 동의 없이 사용한다는 사실을 알 권리가 있다”라고 말했다.
고브로니즈는 자신의 얼굴 사용 여부를 확인하고자 하는 이들을 위해 프라임아이스에서 간단하게 얼굴 이미지 삭제 요청을 할 수 있다고 안내했다. 그는 “사용자는 얼굴 사진 삭제 요청 양식을 제출하거나 한 번의 클릭만으로 특정 사진을 삭제하고 추가로 동의 없이 사용하는 일이 없도록 할 수 있다. 모두 무료 검색 결과 기능을 이용하여 처리할 수 있다”라고 설명했다. 프라임아이스 본사는 유럽연합 회원국이 아닌 벨리즈에 있다. 하지만 막스는 프라임아이스가 처음부터 자신의 사진을 마음대로 사용해서는 안 된다는 견해를 피력했다. 그는 “프라임아이스는 당사자의 분명한 동의가 있을 때만 생체 데이터를 사용할 수 있다”라고 말했다.
프라임아이스는 과거에도 논란이 된 적이 있었다. 2020년, 프라임아이스의 프라이버시 정책을 비판한 여러 기사 보도 이후 전 운영자였던 루카즈 코왈츠키(Łukasz Kowalczyk)와 데니스 타티나(Denis Tatina)는 프라임아이스 매각을 결정했다. 하지만 프라임아이스 매각 후 코왈츠키와 타티나 모두 업계에서 발자취를 감춘 것은 아니다. 폴란드 기업 기록을 보았을 때, 신생 안면 검색 엔진 기업 퍼블릭 미러(Public Mirror)를 운영 중인 것으로 확인됐다. 퍼블릭 미러는 공공 관계 업계를 전문으로 하는 안면 검색 엔진 서비스를 제공한다. 프라임아이스와 퍼블릭 미러 모두 막스의 얼굴을 검색 엔진에 사용했다.
2022년 3월, 막스는 퍼블릭 미러의 파일에 자신의 얼굴 이미지 4개가 포함된 사실을 확인했다. 다른 안면 검색 엔진과 마찬가지로 막스의 정보를 공개한 사진과 함께 그와 관련된 온라인 링크도 함께 제공한다. 퍼블릭 미러의 링크는 막스나 막스가 연설에 참여한 각종 컨퍼런스 관련 미디어 기사의 디렉토리 역할을 한다.
안면 검색 엔진 플랫폼 모두 심각할 정도로 개인 정보를 상세하게 공개한다. 막스는 “안면 검색 결과를 통해 출신 학교와 지지 정당 등과 같은 정보를 확인할 수 있다”라고 말했다. 막스는 안면 검색 엔진이 공개한 얼굴 이미지와 개인 정보 모두 안면 검색 엔진 업계가 SNS 프로필보다 훨씬 더 많은 정보를 공개한다는 사실을 확인했다.
2020년, 막스가 클리어뷰AI를 상대로 항의서를 제출했을 당시 원한 것은 클리어뷰AI가 자신의 얼굴 사진 수집을 중단하는 것만 원했다. 그러나 이제는 그보다 훨씬 더 많은 변화를 원한다. 이제, 막스는 규제 당국에 안면 검색 엔진 업계의 유럽 시민 사진 수집 금지를 강행할 것을 촉구한다. 막스의 요구와 같이 유럽 시민의 얼굴 이미지 수집 자체를 중단하려면, 규제 당국은 클리어뷰AI의 문제를 선례로 삼아야 한다. 그러나 실제 유럽 규제 당국이 대응에 나설지 의문이다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202211/4328_5734_1441.jpg)
뉴스레터 신청