라떼군 이야기
"내 정보 지워줘" 20곳에 요청했더니... 12곳이 무시한 충격적인 현실 (GDPR의 민낯)
TL;DR 저자가 20개 서비스에 GDPR 데이터 삭제 요청을 보냈으나, 무려 12곳이 이를 무시하거나 과도한 신분증을 요구하며 실패했습니다. 이는 법적 규제에도 불구하고 실제 현장에서는 ‘잊혀질 권리’가 제대로 작동하지 않고 있음을 적나라하게 보여주는 실험 결과입니다.
GDPR(유럽 일반 개인정보 보호법)이 시행된 지 수년이 지났고, 우리는 매일 ‘쿠키 동의’ 팝업을 마주합니다. 그렇다면 실제로 우리가 ‘잊혀질 권리’를 행사하려 할 때 기업들은 얼마나 성실히 응답할까요? 이 글은 한 개발자가 직접 20개의 서비스에 데이터 삭제를 요청하며 겪은 과정을 기록한 것으로, 규제와 현실 사이의 거대한 괴리를 보여줍니다.
핵심 내용
저자는 20개의 서비스에 GDPR 삭제 요청을 보냈지만, 즉시 처리가 완료된 곳은 소수에 불과했습니다. 12개 기업은 요청을 완전히 무시하거나, 뉴스레터 구독 해제와 같은 간단한 요청에도 여권 사본 같은 과도한 신원 확인을 요구하는 등 ‘삭제를 어렵게 만드는’ 전략을 취했습니다. 심지어 일부는 삭제 요청을 처리하기 위해 오히려 더 많은 개인정보를 요구하는 역설적인 상황을 연출했습니다. 이는 기업들이 데이터 수집에는 열을 올리지만, 데이터 파기 프로세스는 전혀 갖추지 않았거나 고의적으로 방치하고 있음을 시사합니다.
기술적 인사이트
소프트웨어 엔지니어링 관점에서 ‘데이터 삭제’는 ‘데이터 생성’보다 훨씬 복잡한 기술적 과제입니다. 단순히 DELETE FROM users 쿼리 하나로 끝나는 것이 아니라, 백업 데이터, 로그, 서드파티 분석 도구, 분산된 마이크로서비스 전반에 걸친 데이터 정합성을 보장해야 하기 때문입니다. 많은 기업이 이를 자동화된 시스템(Self-serve)으로 구축하는 대신 비용 절감을 위해 수동 프로세스(CS 티켓)로 처리하려다 보니 요청이 누락되거나 지연되는 것입니다. 또한, ‘요청자 검증’이라는 보안 요구사항과 ‘데이터 최소화’라는 프라이버시 원칙 사이에서 기술적 균형점을 찾지 못해, 삭제를 위해 신분증을 요구하는 안티 패턴이 발생하고 있습니다.
시사점
이 사례는 개발자와 기획자에게 ‘Privacy by Design’이 단순한 슬로건이 아니어야 함을 경고합니다. 삭제 기능을 제품의 핵심 기능(Feature)이 아닌 법적 대응(Compliance)으로만 접근하면, 결국 사용자 신뢰 하락과 잠재적 법적 리스크로 이어집니다. 실무적으로는 계정 생성 시점부터 데이터의 수명 주기(Lifecycle)를 설계하고, 삭제 요청 시 과도한 정보를 요구하지 않도록 인증된 세션 내에서 원클릭 삭제가 가능한 자동화 시스템을 구축해야 합니다.
GDPR은 강력한 법이지만, 이를 집행하고 준수하는 현실은 여전히 허술합니다. 기업이 삭제 버튼을 숨기거나 과정을 복잡하게 만드는 ‘다크 패턴’을 유지하는 한, 진정한 의미의 데이터 주권은 요원해 보입니다. 우리는 서비스를 만들 때 ‘가입만큼 탈퇴도 쉬운가?‘라는 질문을 스스로에게 던져보아야 합니다.