[주말판] 26년 만에 개정된 ACM 윤리강령, 무슨 내용 담겼나?

신기술이 사회 영향력 넓혀가는 때, 기술 다루는 전문가들의 역할 재조명
기술적 능력과 윤리적 능력 모두 갖추는 것이 중요해지는 때

[보안뉴스 문가용 기자] 신기술이 앞다투어 등장하는 때, 컴퓨터 관련 기술을 보유한 자들이 가진 사회적 책임에 대해 다시 검토해야 한다는 목소리가 나왔다. 바로 미국의 컴퓨터학회인 ACM에서다. 이들은 “컴퓨터 기술이 사회 전반에 영향력을 발휘하고 있어, 이제 기술자들이 다른 책임감을 가져야 하는 때”라고 하며 92년에 마지막으로 수정된 윤리강령을 26년만에 새롭게 업데이트 했다. 이에 본지에서는 강령의 거의 모든 내용을 번역해 요약, 수록했다. 제목만으로도 충분히 설명이 되는 부분, 상식으로 대체가 되는 부분 등을 제외한 나머지 분량이다. 의미를 훼손하지 않는 선에서 딱딱한 원문을 조금 읽기 좋게 손을 보기도 했다.

[이미지 = iclickart]

서문
컴퓨터 분야 전문가들의 행동은 세상을 변화시킨다. 책임 있게 행동하려면 컴퓨터 분야 전문가로서 자신이 하는 일이 어떤 영향을 미치는지 좀 더 넓게 보고 생각할 수 있어야 한다. 그러면서 항상 공익적인 결과를 지지해야 한다. 여기 ACM 행동강령 및 전문가의 태도(ACM Code of Ethics and Professional Conduct, 이하 강령)는 컴퓨터 전문가들이 가져야 할 양심을 표현하고 있다.

강령은 모든 컴퓨터 전문가들이 윤리적으로 행동할 수 있도록 촉구 및 안내하도록 만들어졌다. 여기서 모든 컴퓨터 전문가라 함은 현재 활동 중인 사람들은 물론 앞으로 이 분야로 진출할 예비 전문가들도 포함하며 강사, 학생, 영향력이 강한 사람 등 컴퓨터 관련 기술을 사용하여 넓은 범위에서 영향력을 행사하는 모든 사람들을 말한다.

또한 강령은 위반 행위가 발생했을 때 개선을 위한 기초 자료가 되기도 한다. 이 강령은 공익을 항상 우선시 한다는 개념을 바탕으로 하여, 책임과 원칙들이 무엇인지 나열하고 있다. 각 원칙은 지침과 같이 제공되며, 지침은 컴퓨터 전문가들이 원칙을 적용하는 데 있어 이해를 돕기 위한 설명들이다.

1조는 강령의 기초가 되는 근본적인 윤리 원칙을 개괄하고 있으며, 2조는 전문가의 책임에 대해 더 생각해볼 부분들을 추가적으로 짚는 데 할애됐다. 3조는 리더십 역할을 맡은 개인들을 위한 가이드를 제공하고 있다. ACM 회원이라면 이번 윤리 강령을 모두 준수하기 위해 애써야 하는데, 강령 준수와 관련된 원칙들은 4조에 기술되어 있다.

이번 강령은 기본적인 윤리 원칙들이 컴퓨터 전문 분야에 어떤 식으로 적용되는지를 다루고 있다. 강령은 윤리적 문제를 해결해주는 알고리즘이 아니며, 윤리적인 결정을 내릴 수 있는 기본 바탕으로서의 역할을 가지고 있다. 어떤 문제에 대해 고민할 때, 한 가지 원칙만 적용되는 경우는 거의 없으며, 동시에 여러 가지 원칙들을 고려해야 한다. 또한 사안에 따라 같은 원칙이라도 다른 타당성을 갖게 된다.

1조 : 보편적 윤리 원칙
1.1 모든 사람들이 컴퓨터 기술과 관련이 있음을 알고 사회와 인류의 행복에 이바지 한다
이 항목은 모든 사람의 삶의 질에 관한 것으로 개인으로서나 집단으로서 컴퓨터 전문가들이 자신들의 기술과 전문성을 사회와 그 구성원, 그리고 주변 환경에 이로울 수 있도록 활용해야 한다고 선포하고 있다. 인간의 기본적인 인권과 자율을 촉진시키는 것도 여기에 포함된다. 컴퓨터 전문가들이 이뤄야 할 목표는 컴퓨터 기술로 인한 피해를 최소화하는 것으로, 여기서 말하는 피해란 건강, 안전, 신체의 안전, 프라이버시 모두에 대한 위협을 말한다. 여러 단체의 이해관계가 얽힐 땐, 가장 불리한 위치에 있는 자의 필요에 더 높은 관심과 우선순위를 부여한다.

1.2 피해를 막는다
여기서 말하는 ‘피해’란 부정적인 결과를 말하는데, 특히 그 결과가 중대하고 공정하지 않을 때를 뜻한다. 정당하지 않은 물리적이거나 정신적인 부상, 정당하지 않은 정보의 파괴나 공개, 재산, 명성, 환경에 대한 정당하지 않은 손상 등이 피해의 예이지만, 여기에 국한되지 않는다.

피해는 맡은 바 임무를 수행하고자 노력하는 과정 중에 발생할 수도 있다. 실수로 인해, 혹은 의도치 않게 피해를 발생시킨 경우, 책임을 져야 하는 자들은 피해를 되돌리거나 최대한 복구시키기 위해 반드시 노력해야 한다. 피해를 막는다는 건, 어떠한 결정이 미칠 수 있는 영향들을 전부 고려하는 것부터 시작한다. 만약 의도 하에 피해가 발생한다면, 그 피해가 윤리적으로 정당해야만 한다. 실수로 인한 피해든 의도적인 피해든, 피해 자체는 최소화해야 한다.

컴퓨터 전문가들에게는 의무사항이 하나 더 있다. 바로 피해로 이어질 수 있는 시스템 리스크의 징조가 보이면 그 즉시 알리는 것이다. 결정권자가 보고된 내용에 대해 아무런 조치를 취하지 않는다면 보고한 내용을 고발해야 한다. 알림을 위한 알림이 아니라, 피해를 최소화하기 위한 것이어야 한다. 하지만 보고와 고발 자체 역시 피해를 일으킬 수 있으니 전체 상황을 면밀히 파악하는 것이 중요하다.

1.3 정직하고, 신뢰를 쌓아야한다
컴퓨터 전문가들은 적절한 시스템의 역량과 한계, 발생할 수 있는 문제에 대해 투명하고 완전하게 공개해야 한다. 일부러 거짓 주장을 하거나 오해를 불러일으키게끔 한다거나, 데이터를 조작하거나 위조하고, 뇌물을 주거나 받는 행위는 강령을 위반하는 것이다. 또한 컴퓨터 전문가들은 자신들의 학위나 자격 관련 정보도 거짓 제공해서는 안 되고, 자기가 속한 조직의 정책이나 규정을 왜곡되게 표현해서도 안 된다. 해당 조직으로부터 권한을 부여받지 않는 이상 조직을 대변해서도 안 된다.

1.4 공정하고 차별하지 않기 위한 행동을 취해야 한다
공평함, 용인, 타인에 대한 존중, 정의와 관련된 조항이다. 아무리 조심스럽고 꼼꼼하게 결정한 사안이라고 하더라도 누군가의 정당한 불만이 제기된다면, 그 결정을 다시 검토하고 되돌릴 수 있어야 한다. 새로운 기술의 도입과 활용은 기존에 없었던 차별을 야기할 수 있다. 그러므로 컴퓨터 전문가들은 새로운 뭔가를 결정하고 시도할 때 사후에도 관심을 갖고 여러 가지 현상을 지켜봐야 한다.

1.5 새로운 생각, 발명, 창조적 작업물, 컴퓨터 기술로 산물을 생산하는 데 필요한 일들을 존중한다
새로운 아이디어를 떠올리고, 기존에 없던 물건이나 서비스를 만들고, 창조적인 일을 하고, 컴퓨터와 관련된 기술을 발휘한다는 건, 사회적인 가치를 생산한다. 그리고 그 가치가 긍정적일 때, 이바지한 사람에게는 정당한 대가가 돌아가야 한다. 컴퓨터 전문가들은 이런 긍정적인 결과를 창출해낸 사람에게 정당한 대가를 돌려줄 수 있어야 한다. 저작권, 영업기밀, 특허, 라이선스 등을 앞장서서 지키는 모습을 보여야 한다. 컴퓨터 분야에서는 오픈소스라는 게 있어 이 부분이 애매해질 수 있는데 상업용과 개인용을 철저히 구분해야 한다. 또한 공공 자원으로 공유된 작업물에 대한 개인의 소유권을 주장해서도 안 된다.

1.6 프라이버시를 존중한다
현대의 컴퓨터 전문가들에게 있어 이 부분은 굉장히 중요하다. 왜냐하면 각종 기술의 발전으로 지금 가장 위협받고 있는 것이 바로 프라이버시이기 때문이다. 요즘의 기술로 우린 개인의 정보를 빠르게 수집하고, 모니터링하고, 교환할 수 있게 되었다. 이러한 데이터의 흐름에 영향을 받는 당사자도 모르게 일들이 일어날 수 있다. 그러므로 컴퓨터 전문가들은 개인정보가 어떻게 수집되고 활용되는지 이해하고, 정당한 권리를 가진 자들에게 설명해줄 수 있어야 한다.

또한 개인정보를 사용하는 데 있어서도 법의 테두리를 벗어나서는 안 된다. 자신이나 조직이 수집하고 활용하는 정보가 식별 가능하게 변할 수 있는 건 아닌지, 유통 과정 중 어디선가 새고 있는 건 아닌지, 항상 신경 써서 살펴야 하고 데이터의 변질이나 불법적인 접근, 실수로 인한 유출의 가능성도 최대한의 노력으로 줄여야 한다. 개인정보 수집 및 활용에 대해서는 투명하게 공개해 해당되는 개개인들이 그 과정을 전부 이해할 수 있도록 돕는 것도 컴퓨터 전문가들의 책임이다.

1.7 기밀을 지킨다
컴퓨터 전문가들은 영업비밀과 같은 기밀을 자주 다루게 되는 사람들이다. 자기 수중에 있는 기밀이 어떤 불법적인 행위나 규정 위반, 강령 위반 등을 증명할 수 있는 자료가 아니라면 컴퓨터 전문가들은 전부 비밀을 지켜야 한다. 고발을 하는 경우에도, 관련 기관의 담당 책임자에게만 정보를 공개해야 한다.

2조 : 전문가의 책임
2.1 전문 분야의 작업을 할 때 과정과 결과물의 수준을 높이기 위해 최선을 다해야 한다
컴퓨터 전문가들이라면 스스로나 같이 일하는 동료들이 높은 수준의 결과를 내도록 독려하고 지원해야 한다. 또한 그 결과물에 이르는 과정 동안 직접 혹은 간접적으로 영향을 받게 되는 고용주, 고용인, 동료, 고객, 사용자 등 모든 사람들의 품위를 지켜줄 수 있어야 한다. 관련자들과의 소통은 항상 투명해야 하며, 결과물의 수준이 낮아서 생길 수 있는 피해에 대해서도 항상 인지하고 있어야 한다.

2.2 전문성의 수준과 전문가로서의 태도 및 윤리를 높게 유지한다
컴퓨터 전문가 자신 혹은 그 팀의 전문성에 따라 결과물의 수준은 달라질 수밖에 없다. 전문성이란 기술적인 지식은 물론 그 기술을 사회적인 맥락에서 객관적으로 평가할 수 있는 시야까지 아우르는 말이다. 또한 전문가라고 하면 대화의 기술과 반추적인 분석, 윤리적인 문제에 충돌했을 때 그것을 인지하고 올바른 방향을 택할 능력도 갖추고 있어야 한다. 기술적인 발전은 꾸준히 진행되어야 하는 것이고, 누가 시키지 않아도 독립적으로 추구할 수 있어야 한다.

2.3 지금 업무와 관련이 있는 규정과 법을 이해하고 준수해야 한다
규정 혹은 법이란 작게는 근무 지역이나 산업의 표준부터 크게는 국가 혹은 국제적인 법까지를 다 아우른다. 또한 조직에서 정한 사규와 정책, 절차도 여기에 포함된다. 이것들을 지킬 때 보편적인 윤리가 침해되지 않는 이상, 컴퓨터 전문가들은 이러한 틀 속에서 전문성을 발휘할 수 있어야 한다. 부적절한 도덕적 가치 위에 수립된 규정이나, 피해가 발생할 수밖에 없는 절차가 발견된다면, 곧바로 이를 부정하거나 위반하기 전에 주어진 틀 안에서 최대한 해결하도록 노력하는 것이 먼저다. 규정 등을 어겨야만 윤리적 가치를 지킬 수 있다면, 그에 상응하는 결과까지도 책임질 수 있어야 한다.

2.4 전문적인 견해를 받아들일 수 있고 제공할 수 있어야 한다
2.5 컴퓨터 시스템 및 그 영향력에 대한 빈틈없고 포괄적으로 평가할 수 있어야 한다
컴퓨터 전문가는 신뢰받는 위치에 있다. 그러므로 고용주나 고용인, 고객, 사용자, 일반 대중에게 객관적이고 투명한 평과 결과를 제공할 수 있어야 한다. 평가 과정 중에는 통찰력을 발휘하고, 빈틈이 없어야 하고, 객관성을 유지해야 한다. 또한 문제가 있을 때 대안이나 해결책을 책임감 있게 제시할 수도 있어야 한다. 머신 러닝 시스템에서 잠재적인 위험이 발견되었을 경우 특별한 관심을 가지고 살펴야 한다. 미래에 있을 위험을 예측하기 힘들다면 주기적인 재평가가 이뤄져야 하거나, 확실치 않은 건 도입을 미루거나 취소할 수도 있어야 한다.

2.6 충분히 전문성을 발휘할 수 있는 분야에서만 행동한다
컴퓨터 전문가는 자신에게 주어진 일의 수행 가능성을 객관적으로 평가할 수 있어야 한다. 자기가 제대로 할 수 없는 분야이거나 자신이 전문성을 갖추지 못한 분야의 일이 들어올 경우, 이를 상사나 고객에게 투명하게 알려야 한다. 상사나 고객은 해당 업무를 다른 사람에게 맡길 수도 있고, 컴퓨터 전문가가 해당 분야의 능력을 키울 때까지 기다려 줄 수도 있다. 그들이 최대한 올바른 결정을 내릴 수 있도록 돕는 것이 컴퓨터 전문가의 책임이다.

2.7 컴퓨터 및 그와 관련된 주변 기술과 결과를 대중들이 이해할 수 있도록 도와야 한다
대중들이 컴퓨터 관련 기술들을 보다 더 잘 이해하고 인지할 수 있도록 돕고, 알리고, 권장해야 한다. 특히 컴퓨터 시스템의 영향력과 한계, 취약점, 기회를 쉽고 친절하고 알기 쉽게 알려줄 수 있어야 한다. 또한 잘못 전파되고 있는 컴퓨터 기술 관련 지식이 있으면 이를 바로잡는 것도 컴퓨터 전문가들의 책임이다.

2.8 컴퓨터 자원 및 통신 자원에 접근할 때는 허가를 받거나, 공익과 관련된 이유가 있어야 한다
컴퓨터 전문가들은 신뢰를 받기도 하고 기술적인 능력도 가지고 있어 여러 시스템과 데이터에 비교적 자유롭게 접근 가능하다. 그러므로 합법적인 허가를 받았거나, 접근하려는 시스템이나 데이터가 공익을 저해한다고 합리적으로 판단이 됐을 때만 그런 능력을 발휘해야 한다. 실수나 한계로 인해 공공적인 접근이 가능하다고 하더라도, 권한이 없거나 공익과 관련된 이유가 없다면 컴퓨터 전문가가 접근할 수 없다.

2.9 시스템을 설계하거나 도입할 땐 안전과 사용성 모두를 고려해야 한다
컴퓨터 전문가들은 시스템을 설계하거나 도입할 때, 그것이 원래 의도한 대로 기능을 발휘하도록 해야 하는 것은 물론 사고나 악의에 의한 남용, 조작, 마비 상황에 대해서도 미리 대비하고 최대한 차단해야 한다. 또한 새로운 시스템을 도입하면 없던 취약점들이 생겨나고 새로운 공격 가능성도 만들어진다. 그러므로 이를 위한 장치 및 정책을 마련하는 것도 컴퓨터 전문가들의 책임이다. 여기에는 모니터링, 패치, 취약점 보고 등이 포함된다. 침해 사건이 발생할 경우 관련자들에게 제 때, 명확하게 알리는 것도 잊어서는 안 된다. 동시에 피해자들이 취할 수 있는 최선의 대책도 마련해주어야 한다.

3조 : 전문적 리더십의 원칙
3.1 전문가로서 컴퓨터 관련 업무를 수행할 때 공익을 핵심 가치로 두어야 한다
사용자, 고객, 동료 등 컴퓨터 기술과 직접 혹은 간접적으로 관계를 맺고 있고, 그 영향 아래 있는 모든 사람들이 최우선적인 고려 대상이어야 한다. 그렇기에 연구, 요구 분석, 설계, 도입, 시험, 평가, 구축, 유지, 분리, 제거와 같은 행위를 할 때 공익과 사람을 먼저 생각해야 한다.

3.2 조직 구성원들이 가진 사회적 책임을 알리고, 받아들이게 하고, 평가해야 한다
기술과 관련된 일을 하는 조직들은 사회에 광범위한 영향력을 끼친다. 그러므로 이러한 조직을 이끄는 사람들은 사회적 책임을 받아들여야 한다. 먼저는 공공에 해가 되는 일들이 있는 점검, 파악 후 중단해야 하며, 기술의 영향력이 우리의 삶에 미치는 영향력에 대해 투명하게 알려야 한다. 또한 조직 안과 바깥의 다른 컴퓨터 전문가들에게도 사회적 책임이 있음을 알리고 준수할 것을 권장해야 한다.

3.3 직원과 자원을 관리해 일과 관련된 삶의 수준을 향상시켜야 한다
리더십의 역할을 맡은 컴퓨터 전문가들은 구성원들의 근무 여건을 향상시키는 데 집중해야 한다. 개인에게 필요한 자기계발, 물리적 안전, 심리적 안정, 인간으로서의 존엄성을 항상 고려해야 한다는 것이다. 인간과 컴퓨터 사이의 인체공학적 표준을 준수하는 것도 큰 도움이 된다.

3.4 강령의 원칙들을 알리고 적용하고, 강령의 내용이 반영된 정책과 절차를 지원하라
지도자 역할을 맡은 컴퓨터 전문가로서 강령과 일관된 정책을 만들고, 관련된 사람들에게 명료하게 이해시키는 것도 중요하다. 또한 그 정책을 지킬 수 있도록 돕고 북돋아야 한다. 정책을 위반했을 때 적절한 조치를 취하는 것도 필요하다. 강령의 내용을 왜곡하거나 잘못 받아들여지게 하고 혹은 심지어 위반할 수밖에 없게 만드는 정책을 기획하고 수립하는 건 윤리적으로 잘못된 일이다.

3.5 조직이나 그룹의 구성원들도 전문가로서 성장할 수 있도록 기회를 제공한다
3.6 시스템을 수정하거나 사용 중단할 땐 신중을 기하라
인터페이스를 바꾸거나 일부 기능을 삭제하거나 소프트웨어를 업데이트 하면 반드시 생산성에 영향을 받는 사람들이 생겨난다. 그러므로 리더십에 있는 컴퓨터 전문가들은 변화를 적용하기 전에 영향을 받는 모든 사람들을 고려해야 한다. 오래된 시스템이나 소프트웨어가 어디서 누구에 의해 어떤 방식으로 왜 사용되는지 철저하게 조사하고, 대안을 마련해줘야 한다. 또한 시스템 수정 혹은 변경, 중단 등의 변화가 실제로 발생하기 전에 사용자들에게 여러 번 고지하고 새로운 것에 대한 교육을 실시해야 한다.

3.7 사회 기반 시설로서 통합되는 시스템에 대해서는 특별한 주의를 기울여야 한다
아무리 간단한 컴퓨터 시스템이라고 하더라도 매일의 활동과 연관되어 있으면 크고 작은 영향을 미칠 수밖에 없다. 여기서 매일의 활동이란 상거래, 여행(이동), 정부, 의료, 교육 등을 포함한다. 이러한 일상 속 활동들과 관련된 시스템이나 서비스를 만드는 조직이라면, 그 사회적 영향력을 반드시 고려해야 한다. 또한 그 조직의 지도자들은 새로운 사회적 책임이 생긴다는 사실을 인지하고 있어야 한다.

인지 후에는 그 책임감 아래 시스템 및 서비스를 관리해야 하는데, 이는 공평한 시스템 접근을 위한 정책 마련을 필요로 한다. 특히 해당 시스템 및 서비스에 참여할 수 없던 사람들까지도 고려한 것이어야 한다. 이 서비스나 시스템을 도입하는 사용자가 많아지면 많아질수록 지도자가 갖게 되는 윤리적 책임감 역시 달라진다. 우리 고객과 사용자만이 아니라 사회 전체가 시스템과 서비스를 어떻게 활용하는지 면밀히 모니터링하는 것이 필요하다.

4조 : 강령 준수
4.1 강령에 나온 원칙들을 유지, 촉진, 준수해야 한다
컴퓨터 분야의 미래는 기술과 윤리의 탁월함에 따라 달라질 것이다. 그러므로 이 강령을 지킬뿐만 아니라 널리 전파하고 유지하며 촉진하는 것은 컴퓨터 기술이라는 분야 자체의 미래와 관련이 있는 행위다.

4.2 강령 위반이 적발되면 ACM 회원으로서 자격을 갖추지 못한 것과 같다
ACM의 회원이라면 강령을 지켜내는 게 맞는 방향이다. 또한 ACM 회원이든 아니든 같은 컴퓨터 분야 전문가에게 이러한 강령을 소개하고, 윤리적 가치를 지키도록 권장하는 것 역시 ACM 회원의 역할이다. 만약 ACM 회원 중 강령을 위반하는 것이 발견되면 ACM에 즉시 알릴 것을 권한다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)