[영화로 세상을 보다 5월 셋째 주] 동의는 했지만 통제는 없었다

영화는 데이터가 사라지지 않고 쌓이는 장면에서 시작한다. 누군가의 취향, 클릭, 친구 관계, 설문 응답, 위치 기록. 하나씩 보면 사소하지만 묶이면 사람을 예측하고 움직이는 도구가 된다. 카림 아메르와 제한 누자임의 다큐멘터리 The Great Hack은 그 축적의 과정을 따라간다. 케임브리지 애널리티카라는 회사가 수천만 명의 페이스북 데이터를 그러모아 정치 광고의 표적으로 삼은 사건이 출발점이다.

영화의 태도는 음모론이 아니다. 오히려 평범함을 응시한다. 누구도 자신이 무엇에 동의했는지 정확히 모르고, 플랫폼은 너무 많이 안다. 데이터 권리를 되찾으려는 한 교수의 소송, 내부를 폭로하는 직원의 증언이 교차하며 영화가 세우는 질문은 단순하다. 이 데이터의 주인은 누구인가.

The Great Hack (2019), 카림 아메르·제한 누자임 감독. 데이터가 흐르는 도시 속 개인을 비추며 데이터 권리와 감시의 불투명성을 시각화한 장면. ⓒ Netflix / Noujaim Films

2026년 5월 한국의 장면은 영화와 형태가 다르지만 구조는 닮았다. 무대는 글로벌 플랫폼과 데이터 브로커가 아니라 개인정보 보호 제도이고, 주체는 실리콘밸리가 아니라 정부 부처다. 그러나 핵심은 같다. 데이터가 새어 나간 뒤에야 책임을 묻는 체계로는, 데이터가 수집되고 결합되는 속도를 따라잡기 어렵다.

개인정보보호위원회는 5월 12일 대통령 주재 국무회의에 '예방 중심 개인정보 관리체계 전환 계획'을 보고했다. 핵심은 처벌의 방향 전환이다. 반복적이거나 중대한 개인정보보호법 위반에는 매출액의 최대 10%까지 과징금을 부과한다. 같은 계획에는 387개 주요 공공시스템과 약 1,700개 고위험 시스템을 직접·정기적으로 점검하겠다는 방침도 담겼다.

5월 18일에는 과징금 산정 기준을 강화하는 시행령·고시 개정안이 5월 19일부터 시행된다고 밝혔다. 앞으로는 직전 사업연도 매출액과 직전 3개 사업연도 연평균 매출액 중 더 큰 금액을 기준으로 삼고, 매우 중대한 위반행위에는 감경 적용을 배제할 수 있는 근거를 둔다. 사고가 난 뒤의 셈을 더 무겁게 만드는 장치다.

The Great Hack의 렌즈로 보면 이 숫자 너머가 읽힌다. 영화의 질문이 "데이터의 주인은 누구인가"라면, 한국의 새 제도는 그 질문을 기업 회계의 언어로 옮긴다. 데이터가 돈이 된다면, 데이터 보호의 실패도 돈으로 계산되어야 한다는 뜻이다.

매출액 10%와 산정 기준 강화는 공포 문구가 아니라 인센티브 구조의 변화로 읽어야 한다. 그동안 적지 않은 기업에 보안 투자는 미뤄도 되는 비용이었고, 유출은 사후에 수습하면 되는 사고였다. 과징금 상한을 매출에 연동하면, 보안을 미루는 것보다 사고를 예방하는 편이 싸다는 계산이 만들어진다. 영화가 보여준 데이터 권력의 비대칭을 제도가 비용의 언어로 다시 쓰는 셈이다.

런던 웨스트민스터 궁전 옆 CCTV, 2014년. 동의와 감시, 개인정보 수집의 일상성을 상징하는 장면. 한국 사건 현장 사진은 아니다. ⓒ MFleischhacker / Wikimedia Commons (CC BY-SA 4.0)

영화가 다룬 케임브리지 애널리티카 사건은 미국 대선과 브렉시트라는 정치 무대에서 벌어졌지만, 한국의 이번 제도는 선거가 아니라 데이터 책임 구조의 문제다. 영화를 빌리는 이유도 거기에 있다. 어느 사회든 동의는 클릭 한 번으로 끝나지만, 그 뒤 데이터가 어디로 흘러가는지는 개인이 통제하기 어렵다. 그 통제의 공백을 누가 메울 것인가가 공통의 질문이다.

관찰해야 할 지점은 제도의 실효성이다. 매출 연동 과징금이 실제로 부과되는 절차, 387개 공공시스템과 약 1,700개 고위험 시스템 점검이 형식적 체크리스트에 그치지 않는지, 강화된 산정 기준이 기업의 사전 투자를 실제로 끌어내는지가 앞으로의 평가 기준이다. 제도가 그 구조를 바꾸지 못하면 10%라는 숫자는 선언으로 남는다.

영화의 마지막은 다시 동의 화면으로 돌아온다. 우리는 앞으로도 모든 약관을 끝까지 읽기 어렵다. 인간의 주의력에는 한계가 있고, 데이터의 흐름은 점점 빨라진다. 그러나 읽지 못했다는 이유만으로 모든 책임을 이용자에게 돌릴 수는 없다.

5월 셋째 주에 The Great Hack을 다시 꺼내 보는 이유가 여기에 있다. 클릭은 분명 이용자의 선택이다. 하지만 그 선택을 안전하게 만들 의무는 데이터를 모으는 쪽에 있다. 개인정보보호위원회의 이번 개편이 '동의'의 의미를 다시 쓰는 출발점이 될지, 아니면 또 하나의 길어진 약관으로 남을지는 시행 이후의 운영에 달렸다.