카카오톡이 음성통화가 가능한 보이스톡 서비스를 시작하면서 망중립성 논란이 뜨겁다. 또한 KT는 P2P 트래픽 차단 입장을 밝혔다. 통신사가 무선인터넷전화(mVoIP)나 P2P를 차단하는 것은 공정경쟁과 이용자 이익을 침해하는 행위로서 비판이 제기되고 있지만, 이와 함께 주목해야 할 점은 통신사의 트래픽 관리가 이용자의 통신비밀, 프라이버시 침해를 야기할 수 있다는 점이다.
지난 2011년 10월, 유럽 데이터 보호 감독관(the European Data Protection Supervisor)은 ‘망중립성, 트래픽 관리, 프라이버시와 개인 데이터 보호에 대한 의견서’에서 이러한 우려를 심도 있게 다뤘다. 한편 국내에서도 지난해 11월, 경실련과 진보넷은 통신사들의 mVoIP 차단에 대해 방통위와 공정위에 고발하는 한편, 트래픽 차단 과정에서 이용되는 소위 심층패킷분석(Deep Packet Inspection, DPI) 기술이 이용자의 프라이버시를 침해한다며 인권위에 진정한 바 있다.
트래픽 관리가 프라이버시 침해 문제를 야기하는 이유는 DPI 기술이 네트워크를 통해 흐르는 데이터의 내용 분석에 기반하고 있기 때문이다. 데이터는 패킷이라는 작은 조각으로 쪼개져 전송되는데, 이 패킷은 발신자와 수신자의 주소가 포함된 헤더와 콘텐츠 데이터 부분으로 구분된다. 편지지(내용물)를 담고 있는 편지봉투를 생각하면 된다. 일반 편지와 같이 송신자에서 수신자로 패킷이 전달되기 위해서는 편지봉투에 적힌 주소만 필요할 뿐 봉투를 열어 편지지를 볼 필요는 없다.
그러나 기술이 발전하면서 패킷 데이터(편지지 내용물) 분석에 근거한 트래픽 관리 기법인 DPI 기술이 여러 용도로 활용되고 있다.
DPI 기술은 패킷의 내용물까지 분석할 수 있다는 점에서 잠재적으로 프라이버시 침해의 위험성을 가지고 있다. 물론 DPI 기술이 이용된다고 무조건 프라이버시 침해인 것은 아니다. DPI 기술은 바이러스나 스팸 혹은 DDOS 공격 차단 등 네트워크의 안정성을 위해 이용될 수도 있고, 트래픽 혼잡을 방지하거나 QoS 서비스를 위해 활용되기도 한다. 포르노그라피 등 불법 콘텐츠의 차단이나 수사기관에 의한 감청 목적으로 이용될 수도 있다. (이러한 ‘패킷감청’ 역시 위헌 논란이 제기되고 있지만) KT는 DPI 기술을 활용한 타겟 광고 시범 서비스를 시행한 바도 있다.
통신사측은 데이터의 내용 자체가 아니라 ‘유형’만 보기 때문에 프라이버시 침해가 아니라고 주장한다. 즉, 데이터가 mVoIP인지, P2P인지 등 유형만 확인한다는 것이다. 그러나 특정 이용자의 트래픽 유형을 확인하는 것 역시 내용물 분석에 비해 침해 정도의 차이가 있을지는 몰라도 프라이버시 침해가 아닌 것은 아니다. 심지어 송수신자의 인터넷 주소를 분석하는 것도 네트워크 서비스에 필요한 정도를 넘어선다면 프라이버시 침해라고 할 수 있다. DPI 기술을 떠나 통신사가 내가 어떠한 앱을 사용하고 있는지 파악할 수 있다는 것 자체가 상식적으로 프라이버시 침해가 아니고 무엇인가.
관련기사
통신사가 mVoIP이나 P2P 서비스를 차단하는 것은 네트워크의 안정성을 위한 것도, 특정 시점의 망 혼잡을 관리하기 위한 것도 아니다. 법원의 허가를 받은 감청도 물론 아니다. 통신사는 약관을 통해 이용자의 동의를 얻었다고 주장할지 모르겠다. 그러나 유럽 데이터 보호 감독관이 의견서에서 지적한 바와 같이 이 동의는 자유롭고, 특정돼야 하며, 충분한 정보에 근거한 것이어야 한다. 데이터 감시를 피하기 위해 높은 요금제를 선택할 수밖에 없다면 자유로운 동의가 아니라고 지적하고 있다. 이는 ‘전기통신에 대하여 당사자의 동의 없이 전자장치·기계장치 등을 사용하여 통신의 음향·문언·부호·영상을 청취·공독하여 그 내용을 지득 또는 채록하거나 전기통신의 송·수신을 방해하는 것’, 즉 감청으로 국내 통신비밀보호법 위반으로 볼 수 있다.
전술했다시피, DPI 기술은 프라이버시 침해의 위험을 내포하고 있기 때문에 엄격하게 제한돼야 한다. 현재 방통위에서 트래픽 관리를 위한 가이드라인을 만들고 있다고 한다. 이 가이드라인은 이용자의 프라이버시 침해 우려를 불식시킬 수 있는 내용을 담아야 한다. 즉, 통신사가 (물론 정부도 포함하여) 자의적으로 이용자의 통신 내용 자체뿐만 아니라, 통신의 방법, 상대방, 통신의 주기 등을 들여다 볼 수 없도록 엄격하게 통제해야 할 것이다.