지난해 로스앤젤레스에서 배달 로봇을 훔치려던 두 남성은 아마도 자신들이 감시 역사의 전환점에 서 있다고는 생각지 못했을 것입니다. 그들은 그저 공짜 음식을 노렸을 뿐입니다. Serve Robotics의 로고를 단 무릎 높이의 바퀴 달린 쿨러 형태인 이 로봇은 도로 연석에 멈춰 서 있었고, 그들이 이를 낚아챘습니다. 그러나 이들이 미처 계산하지 못한 것은 로봇에 장착된 6개의 카메라가 그들의 얼굴과 옷차림, 도주 경로를 360도로 촬영해 즉시 클라우드 서버로 전송하고 있었다는 사실입니다. Serve Robotics는 몇 시간 만에 해당 영상을 LAPD(로스앤젤레스 경찰국)에 넘겼습니다. 영장도, 판사의 명령도 없었습니다. 오직 기업의 결정에 따른 것이었죠.
한 LAPD 형사는 이후 내부 이메일을 통해 "영상이 없었다면 범인을 식별할 방법이 없었을 것"이라며 해당 영상이 "매우 유용했다"고 인정했습니다. 용의자들은 중절도 혐의로 유죄 판결을 받았습니다. 한편 로봇은 다시 팟타이를 배달하는 본업으로 돌아갔고, 로봇의 센서는 조용히 모든 보행자를 잠재적인 데이터 포인트로 재분류했습니다.
이는 단순한 기술적 오류가 아닙니다. 이것이 바로 미래 치안의 모습이며, 벤처 자금으로 무장한 물류 산업의 흐름을 타고 이미 우리 앞에 도착해 있습니다. 지난 5년간 GDPR(유럽연합 일반 개인정보보호법)과 AI 법안(AI Act)을 다루느라 고군분투해 온 유럽의 규제 당국은 이제 더 어려운 질문에 직면하고 있습니다. 즉, 식당 배달 서비스가 '이동식 도청 장치'가 된다면 어떤 일이 벌어질 것인가 하는 점입니다.
기꺼이 자신의 기억을 내놓은 로봇
Uber의 실험 부서에서 분사한 Serve Robotics는 현재 로스앤젤레스에서 약 200대의 자율주행 배달 로봇을 운영하고 있으며, 향후 수천 대 규모로 확대할 계획입니다. 각 기기에는 카메라 배열, 초음파 센서, GPS 모듈이 탑재되어 있습니다. 이 회사의 개인정보 보호정책은 대부분의 기업이 그렇듯 '데이터 최소화'와 '익명화'라는 부드러운 표현으로 작성되어 있습니다. 하지만 LA 사건은 그 이면을 적나라하게 드러냈습니다.
용의자들이 로봇을 낚아챘을 때, 로봇의 내비게이션 카메라는 그들을 선명하게 포착했습니다. 회사는 영상을 검토한 뒤 범죄가 발생했다고 판단하고 LAPD에 먼저 연락을 취했습니다. 소환장도, 법원 명령도 없었습니다. 데이터는 용의자나 다른 사람들의 인지 없이 경찰에 제공되었습니다. 경찰에게는 선물이었겠지만, 같은 보도를 걷던 시민들에게는 규칙이 얼마나 철저히 무너졌는지를 보여주는 사례였습니다.
Serve Robotics만이 아닙니다. Coco나 Starship Technologies와 같은 경쟁사들도 매일 수천 시간 분량의 거리 영상을 기록합니다. 정책은 제각각입니다. 어떤 회사는 법 집행 기관의 요청에 저항하고, 어떤 회사는 협조합니다. 이러한 파편화된 상황은 초창기 Amazon의 Ring 도어벨 영상 공유 사태를 떠올리게 합니다. 당시 Amazon은 경찰에 영상을 공유하다가 대중의 거센 반발에 부딪혀 결국 정책을 철회한 바 있습니다. 하지만 도어벨은 고정된 장치입니다. 반면 배달 로봇은 동네, 공원, 보행자 구역을 활보하며 일상생활에 대한 놀라울 정도로 정밀한 기록을 구축합니다.
관리자 없는 데이터의 보고
법적 공백은 명백합니다. 미국에서는 1970년대 은행 기록 규정의 유산인 '제3자 원칙(third-party doctrine)'에 따라, 개인이 기업에 자발적으로 공유한 콘텐츠는 수정헌법 제4조의 보호를 받지 못한다고 봅니다. 로봇의 카메라가 공공도로를 촬영하고 그 영상이 운영업체의 소유이기 때문에, 운영업체만 동의하면 경찰은 영장 없이도 이를 확보할 수 있는 경우가 많습니다. 이는 모든 배달 로봇을 '사전 제작된 증거 보관함'으로 변모시킵니다.
유럽은 더 강력한 기본 보호 체계를 갖추고 있지만, 이는 고정식 CCTV를 염두에 둔 것이지 얼굴, 의상, 대화, 차량 번호판을 지속적으로 포착하는 이동식 플랫폼을 위한 것이 아닙니다. GDPR에 따르면 개인을 식별할 수 있는 모든 이미지는 개인정보입니다. 이를 법 집행 목적으로 처리하려면 동의, 법적 의무, 또는 개인의 권리를 우선하는 정당한 이익과 같은 구체적인 법적 근거가 필요합니다. 대부분의 EU 회원국에서 보행자의 이미지를 동의 없이 경찰에 넘기는 행위는 이러한 정당화 사유에 포함되지 않습니다.
베를린 소재 싱크탱크인 Privacy & Automation의 데이터 보호 전문 변호사 Anna-Lena Vogeler는 "기업이 단순히 경찰이 좋다는 이유만으로 '공유' 버튼을 클릭할 수는 없다"고 지적합니다. "배달 로봇은 증인이 아니라 데이터 컨트롤러입니다. 로봇은 카메라가 켜지는 순간부터 ePrivacy 지침과 GDPR을 준수해야 합니다. 여기에는 실시간 모자이크 처리, 데이터 보관 제한, 법원 명령 없는 자발적 요청 거부와 같은 기술적 조치가 포함됩니다."
현재까지 이러한 조치를 구현한 운영업체는 거의 없습니다. 대부분의 업체는 이를 일반 대중이 읽지 않는 서비스 약관 속에 숨겨둡니다. 유럽의 배달 로봇 시장은 아직 미국 시장의 일부분에 불과하지만(밀턴케인스나 탈린에서 Starship 로봇이 돌아다니거나 독일에서 DPD가 일부 로봇을 시범 운영 중), 방향성은 뚜렷합니다. 유럽연합 집행위원회(EC)는 자율주행 배달을 지속 가능한 도시 물류의 핵심 기둥으로 선정했으며, Horizon Europe 프로그램은 라스트 마일 자동화에 수백만 유로를 쏟아붓고 있습니다. 로봇 군단은 오고 있습니다. 문제는 유럽의 규제가 그들을 맞이할 준비가 되어 있느냐는 것입니다.
브뤼셀이 서툰 강도 사건에서 배울 점
유럽 개인정보보호이사회(EDPB)는 아직 모바일 자율 감시에 대한 지침을 내놓지 않았지만, LA 사건이 이 문제를 수면 위로 끌어올리고 있습니다. Apollo Thirteen이 입수한 2024년 초 회원국 데이터 보호 당국 간 내부 논의 문서에 따르면, 배달 로봇이 얼굴 인식을 수행하지 않더라도 AI 법안의 '생체 정보 분류' 범주에 따라 '고위험'으로 분류되어야 한다고 주장합니다. 이유는 간단합니다. 영상이 사후에 개인을 식별하는 데 사용될 수 있기 때문에, 기록하는 행위 그 자체가 고위험 처리 작업이라는 것입니다.
이러한 지정이 이루어지면 필수적인 데이터 보호 영향 평가, 인간의 감독, 엄격한 보관 제한, 법원 영장 없는 법 집행 기관과의 자동 공유 절대 금지 등 일련의 요구 사항이 뒤따르게 됩니다. 또한 운영업체들은 내비게이션에 필요한 최소한의 데이터만 수집하도록 카메라 시스템을 재설계해야 하며, 포렌식 아카이빙을 위한 데이터 수집은 금지될 것입니다.
업계는 벌써 반발하고 있습니다. European Robotics Forum의 로비 문서를 보면, 운영업체들은 자신들이 주차 센서처럼 장애물 회피에 필수적인 '환경 데이터'를 포착할 뿐이라고 주장합니다. 그들은 배달 로봇이 '감시 플랫폼'이 아닌 '운송 수단'으로 분류되기를 원합니다. 이 의미론적 싸움은 결코 사소하지 않습니다. 운송 수단으로 분류되면 AI 법안이 아닌 일반 안전 규정(General Safety Regulation)의 적용을 받게 되기 때문입니다. 이 논리에서 승리하면 개인정보 보호 의무는 대폭 완화됩니다.
하지만 엔지니어들은 그 차이를 잘 알고 있습니다. 자율주행차의 라이다(Lidar) 포인트 클라우드는 경찰이 용의자를 식별하는 데 도움을 주지 못하지만, 얼굴이 고정된 4K 영상 스트림은 가능합니다. Serve Robotics 로봇에 장착된 카메라는 단순히 교차로를 건너기 위한 것이 아니라 그 자체로 사업적 자산입니다. 수집된 영상은 교통 패턴, 보행자 밀도, 심지어 어떤 상점이 사람들의 눈길을 끄는지까지 보여줍니다. 이미 여러 운영업체가 익명화된 이동성 데이터를 도시 계획가나 보험사에 판매하는 실험을 진행했습니다. 운영상 필요성과 감시 자본주의 사이의 경계는 블록 단위로 흐릿해지고 있습니다.
이사회실의 불편한 침묵
공개적으로 논의되지 않는 또 다른 차원은 보험 산정 방식입니다. 로봇이 도난당하거나 파손되면 운영업체는 보험금을 청구합니다. 경찰이 자산을 회수하거나 용의자를 유죄 판결하도록 돕는 영상은 손실률을 직접적으로 낮춰줍니다. 이는 모든 배달 업체가 사실상의 보안 카메라 네트워크로 행동하도록 하는 조용한 재정적 동기가 됩니다. Amazon이 Ring 영상을 경찰에 공유하도록 유도한 것과 같은 논리입니다. 몇 분짜리 영상이 보험금 지급을 막아줄 수 있기 때문입니다.
이미 자율 시스템에 대한 보험료가 오르고 있는 유럽에서는 이러한 유혹이 더욱 강력할 것입니다. 하지만 유럽 규제 당국에는 미국이 갖지 못한 도구들이 있습니다. ePrivacy 지침은 카메라 피드에서 유추된 위치 정보를 포함한 위치 데이터가 핵심 서비스 외의 목적으로 처리되기 전에 익명화되거나 삭제되어야 한다고 명시하고 있습니다. 또한 곧 시행될 AI 책임 지침(AI Liability Directive)은 개인정보가 잘못 취급될 경우 개인이 소송을 제기하기 훨씬 쉽게 만들 것입니다. 자신의 정보가 고지 없이 기록되고 공유된 사실을 알게 된 보행자들이 집단 소송을 제기한다면 위험 모델은 하룻밤 사이에 재설정될 수 있습니다.
그때까지는 여전히 신뢰에 기반한 관행이 유지되겠지만, 이는 어떠한 근거도 되지 못합니다. Serve Robotics 대변인은 미국 언론에 "합법적인 수사를 지원할 때만" 영상을 공유한다고 밝혔습니다. 하지만 무엇이 합법인지는 누가 정의합니까? 경찰 형사의 직감? 이사회 결의에 따라 바뀔 수 있는 내부 기업 정책? 로봇은 배지를 달고 있지 않지만, 이제는 누군가를 경찰 조사실로 보낼 수 있습니다.
효율성을 명분으로 사생활 권리를 제쳐두려는 유럽의 태도는 이 분야에서 시험대에 오른 적이 없습니다. 쾰른에서 코펜하겐에 이르기까지 여러 도시가 자율주행 배달 시범 운영을 준비하는 지금, LA 사건은 경각심을 일깨워야 합니다. 하루에 세 번씩 집 앞을 지나가는 로봇은 단순한 편리함이 아니라 기업의 통제하에 있는 감시자입니다. 그것이 스파이가 될지 파수꾼이 될지는 전적으로 우리가 지금 만드는 법에 달려 있습니다. 하지만 유럽은 항상 기술이 완전히 확산된 후에야 규제를 확정하는 습관이 있습니다.
언젠가는 유럽의 법원이 로스앤젤레스의 보도에서 두 명의 기회주의적인 절도범이 의도치 않게 던진 질문에 답해야 할 것입니다. "배달 로봇은 정확히 누구를 위해 일하는가?" 그 대답에 따라 우리가 걷고 있는 이 거리가 실제로 누구의 것인지가 결정될지도 모릅니다.
Comments
No comments yet. Be the first!