아이덴터티(identity)라는 단어를 영어사전에서 뜻을 찾아보면 동일성, 신원, 독자성의 의미를 갖고있다고 나온다. 솔직히 우리말로 바꾸어도 그 뜻이 심오하고 다양하게 쓰인다는 것을 알 수 있다. 이글에서는 온라인 세계에서 아이덴터티와 관련된 문제가 어디에서 발생하는지, 문제가 얼마나 복잡한지, 그리고 이와 관련된 여러가지 해결책(?)에 대한 모색과 논의가 어떤 것들이 있는지 거칠게나마 살펴보도록 한다.
우리는 이미 온라인 세계와 오프라인 세계의 경계가 허물어지고 과거에는 오프라인에서만 가능했던 일들과 관계들이 온라인에서 가능해지는 것을 경험하고 있다. 이제 온라인 세계는 단지 자신의 생각과 지식을 글로써 올려놓는 곳이 아니다. 온라인 쇼핑몰을 통해 전자상거래를 하고, 전자정부 서비스를 이용하여 민원 처리를 하기도 하고, 온라인 게임을 통해 여가 시간을 보내고, 싸이월드나 페이스북 같은 서비스를 이용해 사회적 관계망을 관리하고, 인터넷 뱅킹이나 주식거래로 돈을 관리하고, 위키피디아에서 공동으로 지식을 모으고, 또는 개인 블로그를 통해 자신의 전문 분야에 속하는 지식과 견해를 공표하기도 한다. 자신이 얼마나 많은 시간을 온라인 세계에서 보내는가 생각해본다면 경계가 무너지고 있는 것이 얼마나 급격하게 그리고 광범위하게 일어나고 있는지 쉽게 알 수 있다.
정보의 집합으로서의 아이덴터티
앞서 열거한 여러 가지 온라인 업무 (transaction)를 하기 위해서는 그러한 활동을 할 수 있는 권한을 부여하는 ‘승인 (authorization)’ 과정이 있어야 하고 승인을 하기 위해서는 그 사이트에 그 사용자가 그러한 권한을 가진 주체가 맞는지를 확인하는 ‘인증 (authentication)’ 과정을 거쳐야 한다. 순서로 보면 인증이 이루어지고 나야 권한을 부여하는 승인이 이루어지는 것이라 생각할 수 있다. 예를 들어 내가 가입한 온라인 카페에 가서 로그인 아이디와 암호를 입력하는 것은 인증을 위한 과정이다. 암호를 알고 있는 사람은 나뿐이라는 가정에서 암호는 내가 그 로그인 아이디를 쓰는 사람이라는 것을 인증하는 수단이 된다. 그리고 나면 카페의 사용자 등급에 따라 나는 글을 쓸 수 있는지 없는지 다른 사람이 쓴 글을 관리할 권한이 있는지 등이 부여되는 승인의 과정이 해당 사이트의 내부적으로 이루어진다. 대단히 간단한 구조다. 이것은 간단한 예고 만약 인터넷 뱅킹을 한다면 인증과 승인하는 과정은 훨씬 복잡해진다. 공인인증서나 비밀번호 카드가 필요할 수도 있다.
내가 온라인 세계에서 하고자 하는 업무에 따라서 필요한 승인의 절차와 그 때 제공해야할 나와 관련된 정보(이름이나 신용카드 정보와 같이 오프라인 세계와 연결이 가능한 정보일 수도 있고 아니면 이메일주소와 같이 온라인 세계에서만 의미 있는 정보일 수도 있다.)도 달라진다. 완전하게 온라인 세계에서만 통용되는 또는 온라인 세계에서도 영역이 달라지면 전혀 의미를 갖지 않는 그런 익명성의 공간으로 온라인 세계를 이해할 수 없다.
지금까지 이야기된 것들은 사실 온라인 세계에서 내 아이덴터티와 관련해서 아주 일부분에 지나지 않는다. 내가 어떤 사이트에 가입하고 특정한 서비를 이용하기 위해서 명시적으로 제공하는 나와 관련된 정보만을 이야기한 것에 불과하다. 이름(가명 또는 실명), 이메일 주소, 신용카드 정보, 공인인증서 등과 같은 것들이다.
그렇다면 이러한 정보 정도가 내가 알게 모르게 온라인 세계에 제공하는 나의 아이덴터티의 일부로서의 정보의 전부일까? 온라인 세계에서 처리하는 업무가 많아 지고 그 종류가 다양해지는 만큼 기본적으로 제공해야 할 내 오프라인에서의 실체에 대한 정보도 늘어난다. 예를 들어 세금, 의료 보험, 대출 등과 같은 업무를 온라인에서 처리하기 위해서는 더욱 많은 정보를 내가 명시적으로 제공해야 한다.
그렇다면 이런 명시적으로 내가 제공하는 정보만이 있을까? 전자상거래 사이트에서 내가 판매자라면 나에 대한 구매자들의 평가도 내 아이덴터티의 일부가 된다. 당연히 내가 이제까지 팔아온 상품에 대한 이력도 아이덴터티 정보다. 내 블로그에 등록된 다른 블로거의 링크들이나 내 개인 페이지에 등록된 일촌 페이지 등도 나의 아이덴터티 정보다. 나와 관련된 사람들이나 물건들을 통해서 나의 아이덴터티가 일부 들어난다. 또 내가 검색엔진을 이용하거나 포털 사이트를 이용하면서 남기는 검색질의어나 페이지 이동에 관련된 정보는 대부분의 비즈니스 사이트에서는 자신들의 영업을 위해 개인 또는 집단에 대한 프로파일(profile) 형태로 만들어진다. 내가 어떤 물건, 어떤 종류의 사회 이슈, 어떤 집단에 관심이 있는지를 프로파일을 통해 파악하게 된다.
신뢰성과 사생활의 문제
온라인 세계에서 아이덴터티의 문제는 크게 신뢰성과 사생활의 문제로 나누어 살펴볼 수 있다. 내 가 온라인에서 어떤 업무를 하는데 있어서 이러한 업무를 처리하기 위해 맺는 관계에 대해서 신뢰할 수 있는지 판단하기 위해서는 나 자신뿐만이 아니라 나와 관계 맺고 상호작용을 하는 상대의 아이덴터티에 대한 정보가 어느 수준 이상이 필요해진다. 그리고 그러한 정보가 정확한 것인지 확인해줄 방법 또한 필요해진다. 동시에 이렇게 제공되고 보관되는 아이덴터티에 관한 정보가 나의 사생활을 침해하지 않도록 정보를 제어할 수단 또한 필요해진다.
신뢰성의 문제를 온라인 쇼핑몰의 경우를 통해 살펴보자. 물건을 사기 위해서 온라인 쇼핑몰에 가서 나는 나에 대한 어떤 정보를 판매자에게 제공하고 나는 판매자로부터 판매자에 대한 어떤 정보를 얻어서 돈을 주고 물건을 살 것을 결정하는가? 왜 우리는 내가 돈을 지불하면 판매자가 판매한다고 사이트에 올린 물건을 정확히 받을 수 있다고 믿을까? 불안해하면서도 우리는 값싸다는 장점과 물건을 사기위해 매장을 찾을 필요가 없다는 점 때문에 온라인으로 물건을 산다. 아마도 대부분의 사람들이 물건을 구매할 때 정말로 판매자를 믿을 수 있는가를 판단하기 위해서 다른 구매자들의 판매자에 대한 평가나 물건에 대한 평가를 볼 것이다. 우리는 이러한 평가를 판매자가 자신이 공개하는 자신에 대한 정보보다 더 중요한 정보로 판단한다. 판매자가 자신에 대해서 자신이 누구라고 믿을 수 있다고 ‘주장’하는 것보다 다른 이들이 그 판매자에 대해서 평가한 것을 더 ‘객관적’이라고 보는 것은 합리적인 판단이다. 이러한 ‘명성 시스템(reputation system)’은 온라인 세계에서의 아이덴터티를 구성하는데 중요하고도 일반화된 방법이다. 하지만 이 명성 시스템에서도 문제는 역시 존재한다. 이미 많은 온라인 쇼핑몰에서 판매자가 여러개의 아이디를 만들어 구매자로 위장하여 좋은 평가를 올려서 구매자를 속이는 경우도 있고, 초기에는 진짜 물건을 정확하게 발송하여 좋은 평가를 받은 다음 이를 이용해서 물건을 파는 척하고는 돈을 챙겨 달아나기도 하고, 아니면 해당하는 아이디를 버리고 새로운 아이디를 만들기도 한다.
온라인 쇼핑몰의 사기 사건들과는 다른 분야에서도 신뢰성의 문제는 다양하게 발생하고 있다. 최근에 촛불집회와 관련해서 대학강사가 자신이 전경이라고 말하고 시위 진압 업무를 거부한다고 글을 올렸던 적이 있다. 대단히 민감한 정치적 사안에서 우리는 온라인에 올라온 글을 작성하는 사람들의 아이덴터티를 어떻게 믿고 이를 판단의 근거로 삼아야 하는가의 문제가 있다. 민주주의에 관련해서도 온라인의 아이덴터티의 신뢰성은 중요하다. 온라인 상에서 가상으로 특정한 계층에게 매력적으로 보일 가공의 아이덴터티를 만들어 이를 바탕으로 사기를 치는 사람 또한 많다. 문제가 생기면 이런 사람들은 온라인의 다른 사이트로 옮겨가거나 또는 같은 사이트에서 쉽게 새로운 아이디를 만들고 새로운 가공의 인물을 창조하면서 사기 행각을 이어갈 수 있다. 위키피디아에서 자신을 전문가로 위장하고 엄청난 양의 항목을 만들었던 사건에서 우리는 소위 말하는 인터넷을 통한 “집단 지성”이라는 것에서 신뢰성의 문제가 역시 존재함을 알 수 있다.
우리는 온라인에서 이곳 저곳에서 나의 아이덴터티와 관련된 정보를 다양하게 남기고 살아가고 있다. 온라인에서 실명을 쓰느냐 아니면 가명을 쓰느냐의 문제를 넘어서서 나는 내 존재와 나에 대해서 여러 가지 정보를 남긴다. 내 스스로 사생활을 지키기 위해 가능하면 가명을 쓰고 내 물리적인 존재와 관련된 정보는 남기지 않고, 사이트 가입 때마다 다른 가명을 쓴다고 해서 해결 가능하지 않은 문제가 너무나 많다. 다시 여러 예를 들어가면서 우리가 온라인 세계에서 사생활과 관련해서 겪는 문제를 따져보자.
취업을 하려고 할때, 해당하는 기업의 인사담당자는 내가 제출한 이력서와 자기소개서만을 보고 나를 판단할 것이라고 생각한다면 오해다. 나는 내가 쓰는 사이트는 다 가명으로 되어있으니 안심을 해도 돼라고 생각하고 있다면 다시 생각해보아야 한다. 인사담당자는 아마도 검색 엔진에 당신의 이름으로 검색을 해볼 것이다. 검색 결과에 우연히도 내 친구 중에 하나가 내 실명과 내 블로그나 개인 홈페이지를 링크를 해두었다면 인사담당자는 쉽게 내가 어떤 것에 관심이 있고 어떤 생각을 가지고 있고 어떤 사람들과 관계를 맺고 있는지 알 수 있다. 외국의 사례의 경우에 기업이 자신의 회사에서 일하는 직원의 블로그의 글이 기업의 입장과 위배된다고 해서 해고를 한 경우도 있다.
이메일 주소는 명함에, 내 홈페이지에, 또는 내가 속한 공동체 사이트에 연락을 위해 쉽게 적어둔다. 이메일 주소만 알아도 그 사람에 대한 정보를 얻기란 너무나 쉽다. 내가 생각하는 익명성이라는 것이 얼마나 허술한지 쉽게 알 수 있다. 악성 스패머들은 또한 이렇게 쉽게 수집할 수 있는 이메일 주소를 이용해서 스팸을 수십만통씩 내 이름으로 보낼 수도 있다. 덕분에 나는 하루 아침에 악성 스패머가 될 수도 있다. 내가 조그만 공동체 사이트의 운영자라면 웹서버에 남는 로그를 통해 IP 주소를 바탕으로 어떤 사용자가 대충 어디에 살거나 일하는지 알 수 있다. 해당 사용자가 게시물 등에 자신에 관한 몇 가지 정보를 제공하고 있다면 심한 경우는 그 사람의 이름과 소속 단체 등은 쉽게 유추가 가능하다. 예를 들어 해당 사용자가 게시물에 특정한 단체를 자주 언급하거나 졸업한 학교 등을 적어두었다면 이런 정보와 IP 주소를 결합해서 판단하면 그에 해당하는 사람의 폭은 대단히 좁아진다.
포탈과 같은 상업적 서비스의 경우에는 내 이용 기록 등을 프로파일하는 과정에서 엄청나게 많은 나에 대한 정보를 축적하게 된다. 내가 자주 가는 카페나 블로그, 내가 자주 검색하는 단어, 내가 접속하는데 자주 사용하는 IP 주소, 내가 그 포탈을 가기 전에 자주 들리는 사이트의 주소, 내가 “찜해 놓은” 물건·책·여행지, 내가 온라인으로 즐겨찾기로 추가해 놓은 사이트 목록과 같은 것들이 쉽게 생각해볼 수 있는 것이다. 하지만 포털이 수집 가능한 나에 대한 정보의 목록은 훨씬 더 길어질 것이다. 나 이외의 누군가가 이러한 포탈의 정보의 접근할 수만 있다면 나라는 사람에 대해서 내 사랑하는 가족이나 애인보다 어쩌면 더 은밀한 또는 나와 관계 맺고 살아가는 어떤 한 사람보다 더 많이 알고 있다고 할수도 있지 않을까 싶다.
해결은 어디서부터?
앞에서 거칠게 열거해본 신뢰성과 사생활에 관련한 문제들만으로도 문제가 얼마나 복잡한지 쉽게 알 수 있다. 어떤 이들은 이런 상황을 두고 인터넷에서는 어떤 것도 믿지 말고 사생활이 보호 받는 것은 불가능하니 그만 포기하라고 말하기도 한다. 아마도 아이덴터티의 문제를 해결할 수 없다면 인터넷 공간은 지금까지와 같은 발전을 더 이상 기대할 수 없게 될지도 모른다. 그것은 사이버 공간을 통한 더욱 다양해진 소통과 관계 맺기라는 희망을 더 이상 갖기 어려운 공간이 될 위험도 있다. 하지만 아직은 많은 이들은 인터넷에서 신뢰성의 보장이나 사생활의 보호를 포기할 무엇으로 판단하고 있지는 않다.
Gnu 사생활 지킴이
Tor와 같이 IP 주소를 익명화하는 시스템도 이러한 사생활 보호를 위한 하나의 수단으로서 탄생했다. 이와 유사한 시스템으로는 이메일을 익명화하거나 검색을 익명화하는 시스템들도 이미 존재한다. 또한 온라인 상에서의 데이터 이동이나 데이터베이스의 보관에 있어서 암호화하는 기술도 일종의 사생활 보호 도구로서 이용되고 있다. 다양한 개별 사이트에서 멋대로 이루어지고 있는 아이덴터티 관리를 사용자가 제어가능한 형태로 통합하여 관리하는 ‘연합 아이덴터티(federated identity)’시스템이 개발되고 도입되기도 하고 있다.
유럽연합의 경우는 ‘Future of Identity in the Information Society (FIDIS)’라는 연구 프로젝트를 통해 “아이덴터티의 아이덴터티(Identity of Identity)”, “아이덴터티와 아이덴터티 관리 시스템의 상호호환성 (Interoperability of Identities and Identity Management Systems)”, “프로파일링 (profiling)”, “아이덴터티 시스템의 수사와 관련한 의미 (Forensic Implications of Identification Systems)”, “사생활과 아이덴터티의 법률·사회적 내용 (Privacy and the legal-social content of Identity)”, “이동성과 아이덴터티 (Mobility and Identity)”의 7가지 영역을 주요 대상으로 연구를 진행하고 있다.
현존하는 어떤 기술이나 정책 한 두가지로 아이덴터티와 관련한 문제를 해결하기에는 부족하다고 보는 것이 현 상황에 대한 적절한 판단일 것이다. 하지만, 나는 문제가 어디에 존재하는지에 대해서 이미 많은 온라인 세계의 시민들은 깨닫고 있다는 것에서 이미 문제 해결의 실마리는 존재한다고 생각한다. 이미 다양한 측면에서의 해결책을 제시하고 있는 개인과 집단이 존재하는 것 또한 사실이다. 문제는 우리가 온라인 세계의 시민으로서 그렇다면 공통으로 겪고 있는 문제에 대해서 집단으로서 대응할 수 있는 능력과 의지가 있는가가 관건이다. 정부나 기업은 자신들의 필요에 의해서 자신들의 입맛에 맞는 아이덴터티 관리 시스템을 만들고 이를 이용하도록 강제 또는 권유하고 있다. 자신의 아이덴터티를 자신이 관리할 수 있어야 한다고 우리가 믿는다면 이를 만족하는 관리 시스템을 우리가 기획하고 제안할 수 있어야 한다. 누군가에 맡기기에는 아이덴터티에 관한 정보를 통해 얻을 수 있는 또는 잃을 수 있는 것이 각자의 입장에 따라서는 너무나 많다. 이런 상황에서 대리인은 자신의 이익을 극대화하는 방향으로 행동할 가능성이 너무나 크다.
2008-07-23
