"데이터 보안은 복잡해서는 안 됩니다."
Google은 2019년 뮌헨에 Google 안전 공학 센터(GSEC)를 개소한 이래 인터넷 환경에서의 데이터 개인정보보호와 데이터 보안에 집중해 왔습니다. 센터장인 빌란트 홀펠더 박사가 GSEC의 최신 개발 현황과 업무 방식, 뮌헨 센터의 디지털 혁신 메카로서의 위상에 대해 이야기합니다.
홀펠더 박사님, Google 안전 공학 센터(GSEC)는 2019년 뮌헨에 설립되었는데요. 이 센터에서는 무슨 일을 하나요?
GSEC는 개인정보보호 및 보안 엔지니어링을 위한 Google의 글로벌 허브입니다. 이곳에서는 인터넷 보안 강화를 위해 새로운 제품을 개발하고, 사용자의 니즈를 파악하며, 지식을 공유하고, 파트너와 협력하죠.
데이터 개인정보보호와 보안은 독일에서 매우 중요한 문제인데요, 이곳에 Google 안전 공학 센터를 설립하는 데 지역 전통이 얼마나 중요한 역할을 했나요?
지역 전통은 센터 설립에 매우 중요하게 작용했습니다. 저희가 데이터 개인정보보호 및 보안을 담당하는 개발팀을 유럽의 심장부에 배치한 것은 우연이 아닙니다. 독일은 오래전부터 온라인 개인정보보호와 보안에 관한 유럽인들의 생각을 반영해 왔습니다. 따라서 처음 뮌헨에 Google 공학 센터를 개소할 때 다른 팀들도 이곳에 자리를 잡았습니다. 뮌헨에서 여러 팀을 10년 동안 성장시킨 후에는 범위를 더 넓혀 다양한 배경의 사용자 및 핵심 이해관계자들과 소통하면서 의견을 수렴하고자 했습니다. 뮌헨에 GSEC를 설립한 것은 이러한 사안을 상당히 집중적으로 다루고 있었기 때문입니다. 저희는 모든 Google 제품이 유럽 연합의 개인정보보호법(GDPR)을 준수하도록 했고, 이러한 지식과 인식은 다른 국가로도 확산되고 있습니다. 실제로 데이터 개인정보보호와 보안이 전 세계에서 더욱 주목받고 있습니다.
GSEC는 40여 개국에서 온 직원들이 근무하는 다국적 공간이라고 들었습니다.
여기서는 전 세계의 제품을 다루기 때문에 다양한 관점을 가져야 합니다. 연구자들이 사용자의 시각을 최대한 대표할 때 가능한 일이죠. 하지만 원하는 수준에 이르려면 아직 멀었습니다. 저희는 장기적인 목표로 성별뿐 아니라 여러 측면에서 다양성을 갖춘 팀을 꾸리기 위해 노력하고 있습니다. 이러한 노력의 일환으로 컴퓨터 공학을 전공하는 여학생에게 장학금을 수여하고, 지역 대학과 함께하는 멘토링 프로그램을 통해 여학생들을 지원하고 있습니다.
GSEC의 평상시 모습은 어떤가요?
200여 명의 개인정보보호 엔지니어가 날마다 Google 계정, Chrome 브라우저와 같은 Google 제품과 관련된 연구를 수행하고 있습니다. 또한 관심 있는 사람들을 대상으로 보안 교육을 포함한 워크숍과 개인정보 차등 보호 Codelab과 같은 이벤트도 개최합니다. 사용 환경이 급변하고 있기 때문에 이러한 행사가 특히 중요하다고 생각하며, 인터넷 보안을 주제로 더 많은 정보를 제공하고자 합니다.
박사님이 하시는 일 중에서 인터넷 사용자가 평소 경험할 만한 것이 있을까요?
예를 들어 Google 제품을 사용하는 경우 더 나은 검색결과를 제공하기 위한 맞춤설정에 어떤 종류의 정보가 사용되는지 궁금하실 겁니다. Google 계정으로 사용자 정보와 개인정보보호, 보안을 관리하면 여러 제품에서 Google을 더욱 효과적으로 활용할 수 있습니다. 활동 제어, 광고 설정과 같은 제어 기능을 사용하면 어떤 데이터로 사용 환경을 맞춤설정할지 직접 결정할 수 있기 때문에 Google의 모든 제품이 내게 맞춰 더욱 효과적으로 작동하게 됩니다. 이러한 목적으로 개인정보보호 진단을 개발했는데, 이 진단을 이용하면 Google 계정에서 개인정보보호 환경설정을 빠르게 지정할 수 있습니다. Chrome과 Android용으로 개발된 비밀번호 관리자는 내가 사용하는 모든 웹사이트와 앱의 비밀번호를 자동으로 생성하고 저장해 주고요. 또한 비밀번호 진단을 통해 비밀번호에 보안 문제가 있는지 분석할 수도 있습니다. 감지된 정보 유출로부터 비밀번호가 도용되었는지 확인할 수 있으며, 비밀번호 변경 방법에 관한 안내도 제공됩니다. 이러한 비밀번호 보호 도구와 관련된 GSEC의 업적에 특히 자부심을 느끼고 있습니다.
이유를 설명해 주실 수 있나요?
비밀번호 관리자는 피싱 웹사이트의 공격으로부터 안전하며, 이를 사용하면 비밀번호를 직접 기억할 필요 없이 웹사이트마다 안전한 비밀번호를 새로 만들 수 있습니다. 따라서 해커가 비밀번호를 예측할 수 없게 되고, 여러 사이트에서 동일한 비밀번호를 사용하지 않아도 됩니다.
동일한 비밀번호를 사용하면 안 되나요?
예를 들어 한 웹사이트에서 아내에게 선물할 꽃을 주문할 때 서두르다가 그만 다른 곳에서 사용하는 고객 계정의 비밀번호를 꽃 배달 사이트에 입력했다고 합시다. 해커가 꽃 배달 사이트 서버에 접근해서 이 비밀번호를 손에 넣는다면 동일한 비밀번호로 제 이메일 계정 또는 Google 계정에도 액세스할 수 있는지 금세 알아내겠죠. 더 나아가 제가 사용하는 다른 계정의 비밀번호를 새로 설정할 수도 있습니다. 비밀번호 관리자는 사이트마다 다른 고유하고 안전한 비밀번호를 자동으로 생성하여 온라인에서 안전을 지켜줍니다.
“여기서는 전 세계의 제품을 다루기 때문에 다양한 관점을 가져야 합니다.”
빌란트 홀펠더, Google 엔지니어링 부문 부사장 겸 센터장
더욱 안전한 사용을 위한 방법이 있을까요?
예, Google 계정이 있다면 2단계 인증도 사용할 수 있습니다. 2단계 인증을 사용하면 새로운 기기에서 계정에 로그인할 때마다 휴대전화로 전송되는 코드를 입력해야 합니다. 만약 다른 나라에 있는 해커가 내 비밀번호를 해킹하더라도 계정에 액세스하려면 2단계 인증을 거쳐야 합니다. 저도 이 기능을 사용합니다. 저는 온라인 계정에 중요한 정보를 많이 저장해둔 터라 추가 보호 장치 없이는 마음 편히 잠을 잘 수가 없거든요.
GSEC에서는 이런 종류의 새로운 제품을 어떤 방식으로 개발하나요?
예를 들어 저희는 '사용자 환경 연구소(User Experience Research Lab)'로 사람들을 초대하거나 온라인 인터뷰를 진행하여 이들의 인터넷 사용 방식과 검색 방식을 알아봅니다. 개인정보보호 환경설정과 관련하여 충분한 정보를 바탕으로 한 결정을 내리려면 보통 어떤 도구와 지원이 필요한지 이를 통해 파악할 수 있습니다. 가령 저희는 "Chrome 브라우저를 다른 가족 구성원과 함께 어떻게 사용하고 계신지 말씀해 주시겠어요?"라고 묻고 실제로 제품을 사용해 보라고 합니다. 이렇게 해서 사람들이 어떻게 대응하는지 평가할 수 있죠. 이러한 평가 정보는 저희가 올바른 위치에 정보를 표시하고 있는지, 인터페이스와 버튼은 유용한지를 파악하는 데 도움이 되므로 매우 중요합니다. 이런 과정을 통해 사용자의 필요에 부합하는 제품을 제공할 수 있습니다. 보안 전문가가 아니더라도 안심하고 웹을 이용할 수 있어야 한다는 것이 저희의 철학입니다.
지금은 제3자 쿠키 지원 중단을 준비하고 계신다고 들었습니다. 쿠키란 무엇인가요?
쿠키의 역사는 인터넷과 함께 시작됐습니다. 쿠키는 웹사이트 제공업체가 컴퓨터에 로컬로 정보를 저장하기 위해 사용하는 작은 파일입니다. 쿠키는 지금도 인터넷에서 중요한 역할을 하고 있는데, 예를 들어 자사 쿠키는 온라인 계정을 로그인 상태로 유지하거나 전자상거래 웹사이트에서 장바구니를 관리하는 데 사용됩니다. 관련성 있는 광고가 표시되도록 하는 제3자 쿠키도 있고요. 제3자 쿠키는 온라인에서 특정 제품을 검색한 사실도 기록할 수 있습니다. 한 사이트에서 백팩을 검색하면 쿠키에 등록되고 이로 인해 다른 사이트에서도 유사한 백팩 광고가 표시되는 겁니다.
쿠키를 사용하는 이유는 무엇인가요?
인터넷은 거의 대부분이 무료인 개방형 플랫폼입니다. 웹사이트에서는 주로 광고를 통해 콘텐츠 제공 자금을 확보하며, 광고의 관련성이 높을수록 사용자와 공급업체에 유용합니다.
제3자 쿠키로 온라인에서 사용자의 이동을 추적할 수 있다고 알고 있습니다. 향후 이러한 추적을 차단할 방법을 연구하고 계신다고요?
예, 앞으로는 광고주가 쿠키를 통해 사용자를 식별할 수 없도록 현재 '프라이버시 샌드박스'를 개발 중입니다. 제3자 쿠키가 사용자의 기대에 부합하지 못한다는 인식이 온라인 커뮤니티 전반에 퍼져 있습니다. 사용자는 투명성, 선택 권한, 데이터 사용 방식에 대한 직접 제어 등 개인정보보호와 관련하여 더 많은 것을 요구하고 있습니다. 이러한 니즈를 충족하려면 웹 생태계가 진화해야만 하죠. 크로스 사이트 추적에 종지부를 찍으려면 제3자 쿠키뿐 아니라 브라우저의 디지털 지문 수집과 같은 위장 기법을 웹에서 완전히 퇴출시켜야 합니다. 하지만 지난 30여 년간 다수의 주요 웹 기능이 이러한 기법에 의존하게 된 것도 사실입니다. 게시자가 비즈니스를 성장시키고 웹을 지속 가능하게 유지하는 기능, 어디에서나 콘텐츠에 액세스할 수 있는 기능, 개인 기기에서 최상의 사용 경험을 제공하는 기능, 봇 및 사기꾼과 실제 사용자를 구분하는 기능 등 중요한 기능이 웹에서 사라지게 하고 싶지는 않습니다. 프라이버시 샌드박스 오픈소스 이니셔티브의 목표는 웹에서 개인정보 보호와 보안을 강화하는 동시에 게시자도 지원하는 것입니다.
Google에서는 이 문제를 어떻게 해결하나요?
프라이버시 샌드박스 이니셔티브의 일환으로 웹 커뮤니티와 협력하여 새로운 기술을 개발하고 있습니다. 사용자의 정보를 안전하게 보호하고 디지털 지문 수집과 같은 침해 위험성이 있는 추적 기법을 차단하는 동시에 사이트에는 유용한 광고와 비즈니스 자금 확보 방법을 제공하는 기술이죠. 올해 초에는 규제 기관, 개인정보보호 지지자, 개발자의 의견을 토대로 FLoC(동질 집단 제휴 학습)를 대체할 관심 기반 광고를 위해 Topics API라는 새로운 프라이버시 샌드박스 제안을 미리 공개했습니다. 광고주는 이 API를 통해 사용자가 방문한 웹사이트에서 '스포츠'와 같은 관심분야를 추론하고, 이를 기반으로 관련성 있는 광고를 사용자에게 표시할 수 있습니다. 사용자의 개인정보가 최대한 보호되는 방식으로요. 과거에는 쿠키를 사용해서 사용자를 식별했지만 Topics의 기본 개념은 다릅니다. Topics에는 사용자 개인의 방문 기록이 브라우저 또는 기기를 벗어나지 않아야 하고 광고주를 비롯한 다른 사람과 공유되어서는 안 된다는 생각이 깔려 있어요. 즉, 광고주는 웹 전반에서 사용자를 추적할 필요 없이 관련성 있는 광고와 콘텐츠를 계속해서 게시할 수 있습니다.
또한 FLEDGE 및 측정 API를 비롯한 다른 프라이버시 샌드박스 제안에도 진전이 있습니다. 그리고 계속해서 영국 경쟁시장청(CMA)과 협력하여 전체 생태계 어디서나 통하는 제안을 개발하고자 노력하고 있습니다.
최근 몇 년 동안 뮌헨은 디지털 스타트업과 다른 기술 기업에게 인기 있는 도시가 되었습니다. Google 뮌헨 센터장으로서 이와 관련해 어떤 경험을 하셨나요?
뮌헨에서는 놀라운 변화가 진행 중입니다. Apple, Amazon, Google이 모두 이곳에 투자하고 운영 범위를 넓혀가고 있을 뿐 아니라 데이터 분석 서비스를 제공하는 유니콘 기업인 Celonis와 같은 멋진 회사들도 뮌헨에 자리 잡고 있습니다. 특히 많은 B2B 기업들이 다른 곳보다 뮌헨을 찾고 있는데, 이는 이곳에 선도적인 여러 기술 기업이 위치하고 있기 때문입니다 또한 뮌헨 대학교, 뮌헨 공과대학교와 같이 지역 창업 센터를 운영하는 유수의 대학도 있습니다. 여기에 더해 바이에른주 정부에서 '첨단 기술 과제' 사업 계획을 통해 훌륭한 지원도 제공해 주고요. 가령 인공지능과 퀀텀 컴퓨팅에 대규모 투자가 진행되고 있어 저희에게는 상당한 호재입니다. 오래된 지역 전통, 엔지니어링 및 기술 관련 전문성과 더불어 견실한 경제 상황과 훌륭한 정치적 지원, 유수의 교육 기관, 높은 삶의 질이 모두 어우러져 뮌헨의 입지는 더욱 탄탄해지고 있습니다.
뮌헨에서는 새로운 Google 사무실 공사가 진행 중인데요. 코로나바이러스 팬데믹으로 계획이 변경되었나요?
팬데믹 이전에는 출근한 직원들이 회사 내의 여러 카페, 회의실, 식당 같은 곳에서 직접 만나 함께 제품을 개발하면서 대부분의 시간을 보냈습니다. 하지만 팬데믹 기간 동안 이러한 근무 방식이 크게 달라졌고, 지금은 지난 몇 년간 얻은 여러 가지 교훈을 새 Arnulfpost 프로젝트 계획에 반영하고 있습니다.
원격 근무로도 이전과 동일한 근무 분위기를 조성할 수 있을까요?
Google은 클라우드에서 태어나 클라우드에서 성장한 회사이고 우리는 모두 날마다 클라우드를 사용합니다. 그래서 직원들에게도 조찬 회의 또는 공개 화상 회의를 통해 온라인에서 소통할 것을 권하고 있습니다만, 그간 우리가 쌓아 온 사회적 자본이 영원히 계속되리라고 생각하지는 않습니다. 새로 채용한 직원 중 아직 사무실에 발도 딛지 못한 직원이 많습니다. 모든 관리자가 직원 개개인의 적응을 도와야 한다는 과제를 안고 있죠.
이러한 변화로 인해 뮌헨 GSEC의 업무 수행 방식이 앞으로 달라질까요?
새롭고 혁신적인 아이디어를 창출하는 데 필요한 뜻밖의 행운을 얻으려면 사람들이 직장에 출근해서 한자리에 모여야 한다고 생각하기 때문에, 100% 온라인 근무로 전환하지는 않을 겁니다. 그렇지만 모든 사람이 항상 정해진 근무 장소에 출근해야 하는지에 관해서는 자문해 보았습니다. 영업팀은 이미 유연 근무를 도입했고, 엔지니어들이 사용하는 다수의 개발자 도구가 클라우드로 이전되고 있습니다. 향후에는 유연 근무 인력과 고정적 출근 인력을 몇 명으로 유지할 것인지 팀별로 직접 결정할 수 있게 되겠죠. 현재로서는 신속한 책상 배정 도구와 새로운 공동작업 공간을 제공해서 여러 팀이 보다 역동적인 환경에서 함께 근무하되 개인별로 선호하는 근무 위치와 일정을 적용할 수 있도록 지원하는 새로운 근무 방식을 고민 중입니다.
사진: 시마 드가니
사이버 보안 강화
Google이 그 누구보다 많은 온라인 사용자를 안전하게 보호하는 방법을 알아보세요.
자세히 알아보기