기술이 발달하고 시장이 커지면서 국경이 없어진 글로벌 시장. 모바일 게임이든 인공지능 기술이든, 웨어러블 디바이스든 고객과의 소통과 빅데이터 기반 기술이 적용되면서 함께 중요도가 높아지는 것이 바로 데이터 주권이다. 신기술 발전과 개인정보권, 혹은 신기술 발전과 사회권 등이 맞물려서 사회의 주요 이슈가 되고 있다. 4차 산업혁명 진입을 앞두고 있는 이때, 데이터 주권에 대해 살펴보도록 한다.

(이미지 : https://oceanwp.org)

지난 2015년 유럽연합 최고재판소는 개인 데이터 정보 활용에 있어 의미 있는 판결을 내려 주목받았다. 유럽과 미국 간 맺었던 ‘세이프 하퍼(Safe Harbor, http://www.hani.co.kr/arti/opinion/column/713659.html)’ 협정을 무효라고 판결한 것이다. 유럽연합은 그동안 회원국 자국민의 데이터 외부유출을 금지해왔지만, 2000년 미국과 맺은 ‘세이브 하퍼’ 협정으로 미국에만 특혜, 즉 유럽연합 시민의 개인정보 전송을 허용했던 것인데, 이번 판결을 통해 이 협정에 제동을 건 셈이다.

세이브 하퍼 협정을 무효화한 대신, 새롭게 유럽 개인 정보보호관리법(General Data Protection Regulation, GDPR)이 발효되면서 올 2018년 5월 25일부터 유럽연합 회원국에 적용된다. 사용자 입장에서 보면 개인정보보호의 강화로 소비자 권리가 강화되는 측면으로 볼 수 있지만, 유럽연합에 진출해 있는 외국기업 입장에서는 앞으로 소비자 정보를 활용할 때 새로운 시스템과 프로세스로 인해 제약을 받게 된다. 어쩌면, 쿠키처럼 단순한 개인정보를 활용하는 데 있어서도 어마어마한 벌금을 물게 될 수도 있다.

GDPR의 가장 큰 특징은 바로 개인 정보, 즉 개인 데이터의 정의를 큰 폭으로 확대했다는 데서 찾아볼 수 있다. 외신에 따르면 GDPR은 개인 IP 주소는 물론 쿠키와 경제 및 문화, 건강 등 다양한 정보에 해당하는 데이터도 사용자를 식별할 수 있다면 정보로 간주한다. 데이터 수집 동의 등의 기본원칙을 따르지 않거나 부정적인 방법으로 개인 데이터를 다른 국가로 전송하면 막대한 벌금을 물게 된다. 과거에 한 번 위반한 경력이 있을 경우 벌금액은 더블스코어가 된다. 그리고 이러한 추세는 전 세계적으로 번질 가능성이 높다. 사실상 모든 고객 정보가 데이터로 간주되며 세계 시장 진출을 겨냥하는 IT 기업의 경우, 글로벌 표준을 반드시 체크해야 한다. 이젠 데이터 주권이 새로운 시류를 타고 있는 것이다.

(이미지 : Rawpixel / shutterstock.com)

특히 4차 산업혁명 시대에는 인공지능과 사물인터넷, 클라우드 컴퓨팅 등 기술 발달에 따른 개인 데이터 활용 사례가 급증하고, 국경이 따로 없기 때문에 정보의 유통과 처리과정에서 개인정보의 해외사용 측면에서 많은 문제가 발생할 것으로 보는 것도 무리는 아니다.

우리나라도 정보통신망법에서 개인정보의 국외 이전에 대해 ‘정보주체의 동의’ 요건만을 요구하고 있다. 형식상 자기결정권을 보장하는 것처럼 보이지만, 그 행간을 보면 개인정보는 개인이 알아서 판단하고, 사후에 발생한 문제에 대해서는 개인 스스로 대응해야 한다는 한계를 안고 있다.

앞에서 언급했던 모든 데이터 주권에 대한 사항은 빅데이터 주권과도 연결되어 있어 민감한 문제다. 정보전문가들은 국내 개인정보보호 측면을 우선 강화하고, 해외로 개인정보가 유출되는 단계를 강화해야 한다고 강조한다.

사실, 앞서 GDPR이 발효된 이유도 PRISM 사건이 있었기 때문이다. PRISM은 美 국가안보국(NSA)의 빅데이터 감시 프로그램이다. 美 정보는 자국의 애플과 페이스북 등 인터넷 기업에게 직접 서버 접속권한을 요청해 자국에 위치한 서버를 통해 데이터를 수집했다. 이는 2013년에 前 국가안보국 직원 에드워드 스노든의 폭로로 세상에 알려졌다. 국가에 의한 개인 정보 무단 활용이 문제가 되면서 개인 데이터 주권에 대한 경각심이 높아진 것이다.

구글은 이러한 문제를 제일 먼저 인식하고 GDPR 준수를 위해 솔루션을 개발해 주목을 받고 있다. 구글은 SAP와 데이터 보호 솔루션(Data Custodian)을 공동으로 개발했다. 이 솔루션은 클라우드 사용자가 자신의 데이터가 어떻게 보관되고 유통되는지를 확인할 수 있다.

구글 데이터 커스터디안(이미지 : SAP News Center)

국내기업으로는 카카오 ‘멜론’을 주목할 필요가 있다. 멜론은 로그인 보안정책을 더욱 강화해 GDPR 대응은 물론 개인정보 강화를 위해 로그인 보안 절차를 개선했다. 사용자가 평소에 사용하지 않는 디바이스(스마트폰과 태블릿PC)나 IP, 혹은 브라우저로 접속했을 경우 이를 별도로 알려주는 ‘로그인 알림’과 일회용 인증번호 서비스를 제공한다.

이러한 모든 문제점과 정책의 핵심은 곧 개인정보보호와 데이터 활용 간의 균형을 맞추고, 사용자의 기본권을 존중해야 한다는 메시지를 담고 있다. 또한 이러한 기조의 확산을 통해 자국민의 데이터 주권을 보다 강화하는 동시에 자국의 디지털 산업을 활성화하고자 하는 세계적인 흐름에 부합하는 데 있다. 애플의 경우 중국의 법인 ‘네트워크안전법’에 맞춰 올 2018년 4월부터 자사 iCloud의 중국 내 데이터를 중국 국영기업이 직접 관리하도록 했다.

이제는 개인과 국가의 데이터 주권을 지킬 수 있는 실질적인 방안에 대한 고민이 필요할 때이며, 그 테두리 안에서 데이터의 자유로운 활용을 보장할 수 있도록 가이드라인을 마련해야 한다. 우리나라도 정부개헌안에 ‘정보기본권’이 포함되는 등 여러 각도로 개인 데이터 주권에 대한 관심이 높아지고 있는 추세다. 데이터 주권, 글로벌 시대 반드시 챙겨야 할 필요충분조건이다.

 

 

Leave A Reply