20세기 후반의 세계경제 질서는 자유무역으로 대표될 수 있다. 자유무역의 흐름 속에서 인류는 역사적으로 유례를 찾기 어려운 수준의 경제적 번영을 누릴 수 있었고 특히 우리나라는 수출에 기반한 초고속 경제성장을 달성할 수 있었다. 21세기의 세계경제 질서는 어떻게 바라볼 수 있을까. 21세기에는 개인정보를 포함해 그 중요성이 계속해서 강조되고 있는 데이터 및 디지털 통상과 관련된 논의가 중요하다. 이 영역에서의 논의가 장차 어떻게 진행될지에 관해 예단하기는 어렵지만 현재의 상황을 간단히 요약한다면 커다란 과도기 내지 모색의 시기인 것으로 볼 수 있다. 개인정보와 관련해 종종 언급되는 해외의 주요 법제로 유럽연합(EU)의 일반개인정보보호법(GDPR)을 들 수 있는데 이 법을 통해 현재의 상황이 어떤지 상징적으로 파악하는 것이 가능하다. 이 법은 제1조 조항을 통해 개인정보 보호의 중요성 및 개인정보의 자유로운 흐름을 강조한다. 핵심 조항을 통해 개인정보 보호의 중요성을 천명하는 동시에 그에 못지않게 개인정보의 자유로운 흐름 또한 중요하다고 강조하는 것이다. 하지만 이와 같은 개인정보의 자유로운 흐름은 유럽연합 역내에 국한된다. 유럽연합 역외로 개인정보가 이전되는 데는 여러 가지의 제약이 있다. 다만 이런 제약에는 몇 가지 예외가 있다. 그중 하나는 유럽연합 이외의 개별 국가의 개인정보 보호 수준에 관해 평가해 적정한 수준의 보호가 제공되는 것으로 평가되는 국가에 대해서는 유럽연합 역내에서 개인정보가 이전되는 것과 마찬가지로 개인정보의 이전을 제한 없이 허용하는 것이다. 다행히 우리나라는 적정성 평가를 받아 유럽연합의 개인정보가 자유롭게 이전될 수 있는 나라에 해당한다. 이와 같은 유럽연합의 법제에 대해서는 다양한 평가들이 존재한다. 먼저 개인정보 보호가 중요해지는 시대의 흐름을 반영해 일정 수준 이상의 보호를 제공하는 나라들 사이에서는 자유롭게 개인정보가 이전될 수 있도록 하는 제도를 마련하는 것이 바람직하다고 보는 긍정적 평가가 있다. 그런 한편으로 유럽연합 법제의 관점에 비추어 볼 때 적정한 것으로 평가되는 나라들 사이에서만 개인정보의 자유로운 흐름을 허용하는 방식에 대한 비판적 시각도 있다. 개인정보의 흐름에 제한을 두는 가장 직접적인 방법은 ‘데이터 현지화’를 의무화하는 것이다. 데이터의 처리나 저장이 특정 국가의 경계 내에서 이루어지도록 강제하는 방식이 이에 해당한다. 폭넓게 개인정보 전반에 대해 현지화를 의무화하는 경우도 있고 일부 유형의 정보를 특정해 현지화를 요구하는 경우도 있다. 또한 묵시적 또는 간접적 방식으로 현지화를 요구하는 경우도 있다. 예를 들어 공공조달 계약에 있어 현지 데이터 보관시설을 필수적으로 요구하는 방식을 들 수 있다. 구체적인 방식이 어떠하건 데이터 현지화는 데이터의 자유로운 흐름에는 제약으로 작동한다. 현실은 어떤가. 명시적이고 직접적으로 데이터 현지화의 요건을 두는 것은 그리 흔치 않은 반면 많은 나라에서 다양한 형태로 개인정보의 국경 간 흐름에 일정한 제한을 두고 있는 것이 현실이다. 그리고 이에 대해 글로벌 규범이라고 할 만한 논의의 흐름은 아직까지 또렷하게 나타나고 있지 않은 상황이다. 최근 논의되는 디지털 통상조약에 데이터의 국경 간 흐름에 관해 규율하는 내용이 흔히 포함되긴 하지만 대체로 개략적인 원칙을 선언하는 수준에 머무르고 있다. 개별 기업을 평가해 국제 수준의 인증을 제공하는 방식도 논의되고는 있지만 아직 활발하게 적용되고 있지는 못하다. 그런 점에서 현재의 상황을 과도기 내지 모색의 시기라 볼 수 있다. 변화의 시기에 걸맞은 섬세하고도 민첩한 대응이 필요한 때다. 고학수 개인정보보호위원회 위원장

美 틱톡 퇴출에… 中, 와츠앱 삭제 EU, 개인 데이터 보호 규칙 시행日, 네이버에 라인 지분 매각 압박“韓, 데이터 협정 체결 등 日과 협상을” 성공적인 한일 간 합작 사례로 꼽혀 온 라인야후가 출범 3년 만에 파트너십 해체 수순을 밟게 된 배경에는 데이터 주권을 강화하는 전 세계적인 흐름과도 관련이 있다. 지난해 라인야후에서 개인정보 유출 사건이 발생하자 일본도 데이터 주권을 빌미 삼아 라인야후의 일본기업화에 나선 것으로 보인다. 한일 양국이 힘을 합쳐도 글로벌 플랫폼 하나 만드는 게 어려운 현실에서 라인의 잠재력마저 데이터 주권에 치이는 형국이다. 13일 정보기술(IT) 업계에 따르면 라인야후는 네이버의 기술, 소프트뱅크의 자본이 결합한 한일 협력 모델로 글로벌 플랫폼으로 발전할 수 있는 가능성을 보여 줬지만 민감한 개인정보 처리 문제에 발목이 잡혔다. 일본 내 라인 이용자 9700만명을 기반으로 결제, 금융 플랫폼으로 확장하면서 라인야후 생태계가 만들어지고 있었지만 자국의 데이터를 보호해야 하는 일본 정부는 한일 합작 형태의 라인야후가 지속가능하지 않다고 판단한 것으로 풀이된다. 한일 양국이 협력을 통해 만들어 내는 시너지보다 데이터 주권이 더 중요하다고 보고 ‘행정지도’라는 형식을 빌려 무리수를 둔 것이다.각국이 치열한 경쟁을 벌이고 있는 인공지능(AI) 기술을 발전시키려면 방대한 데이터를 수집해야 한다. 데이터 주권은 이 과정에서의 통제권을 자국 정부와 기업이 가져야 한다는 자국 데이터 보호주의를 촉발했다. 외국 기업이 자국 데이터를 소유하게 된다면 경제적 관점에서뿐만 아니라 국가 안보 차원에서도 위협이 될 수 있다는 우려에서다. 실제 미국, 중국, 유럽연합(EU)을 비롯한 전 세계에서는 자국 데이터 보호주의가 확산되는 추세다. 조 바이든 미국 대통령은 지난달 이른바 ‘틱톡금지법’이라 불리는 중국 플랫폼 틱톡의 미국 내 사업권 매각을 강제하는 법안에 공식 서명했다. 이에 따라 틱톡은 1년 내 미국 기업에 운영권을 매각해야만 미국에서 서비스할 수 있게 됐다. 틱톡의 모회사인 바이트댄스는 지난 7일 미 워싱턴DC 법원에 소송을 제기하며 반발했다. 반면 중국도 국가 안보를 내세우면서 미국 기업인 애플을 향해 미 소셜미디어(SNS) 앱인 와츠앱과 스레드 앱을 중국 내 앱스토어에서 삭제하라고 요구했다. 중국은 2017년부터 시행한 네트워크 안전법을 통해 주요 데이터의 국외 반출을 금지해 왔다. 2021년 9월에는 기존 법에서 다루지 않았던 데이터를 대상으로 한 포괄적인 규제를 시작했다. 자국민의 개인정보를 다루는 기업은 중국 내에 데이터 서버를 두게 했다. EU는 미국 플랫폼인 아마존, 메타, 애플 등 빅테크 기업의 반경쟁 행위를 규제하는 디지털 시장법을 제정하는 한편 2018년부터 EU 각 회원국에서 시행된 개인정보보호법(GDPR)을 통해 EU 시민의 데이터를 활용하는 경우 지켜야 할 각종 규제를 시행하고 있는 상태다. 신민수 한양대 경영학과 교수는 “이 사안은 디지털 국경 통제로 볼 수 있다”면서 “이번 기회에 유럽 GDPR과 유사한 동아시아판 데이터 보호에 관한 협정을 만들어 그 국가들 사이에선 데이터가 국경을 넘는 걸 허락해 주는 식으로 접근하는 것도 방법”이라고 말했다. 이어 “미래 AI 시대에 대비하려면 데이터가 많이 필요하고, (AI 개발이) 대륙 간 경쟁 구도로 가고 있기 때문에 일본에 이런 큰 그림을 제시해 명분을 주면 협의에 응할 수 있을 것”이라고 제언했다.

유전체 분석업체인 테라젠바이오에 따르면 중국의 유전체 스타트업 관계자들이 2017년까지만 하더라도 서울로 찾아와 분석기법을 배우려고 했다. 그런데 요즘은 분석법을 개발했는지 이런 모습은 사라졌다고 한다. 오히려 한국인을 상대로 무료 마케팅을 펴다 정부로부터 시정 요구를 받을 정도로 시장공략에 적극적이다. 데이터가 많을수록 건강 및 의료 사업 확장에 도움이 된다고 본 것이다. 데이터를 둘러싼 글로벌 전쟁이 한창이다. 지난 4월 미 상원은 중국의 바이트댄스가 만든 동영상 플랫폼 ‘틱톡’ 매각을 골자로 한 이른바 ‘틱톡 금지법’을 통과시켰다. 중국 정부가 1억 7000만명에 달하는 미국 틱톡 이용자들의 개인정보에 접근해 선거, 전쟁 등 미국의 안보를 위협할 여론조작을 할 수 있다는 우려 때문이다. 조 바이든 대통령이 이 법안에 서명한 만큼 바이트댄스는 틱톡을 9개월 내로 팔아야 한다. 틱톡은 강제 매각이나 이용 금지는 표현의 자유를 침해하는 위헌이라며 소송으로 맞서 결과가 주목되고 있다. 지난해 5월에는 아일랜드가 페이스북 모기업인 메타에서 자국민들의 데이터를 미국으로 전송해 개인정보 보호법을 위반했다며 12억 유로(약 1조 7000억원)의 벌금을 부과했다. 이는 유럽연합에서 개인정보 보호규정(GDPR) 위반을 이유로 부과된 벌금 중 최대 액수다. 최근 일본 정부는 라인의 51만건의 개인정보 유출을 이유로 라인야후의 네이버 지분 정리를 압박 중이다. 라인야후는 일본인 9600만명이 이용하는 메신저인 라인의 운영사다. 네이버는 라인야후의 지주회사 지분을 소프트뱅크와 함께 보유 중인데 소트프뱅크가 총무청의 행정지도에 따라 네이버에 지주사의 주식 매각을 요청했다는 것이다. 라인 경영권이 소프트뱅크로 넘어가면 네이버는 일본뿐 아니라 태국, 인도네시아 등 이용자 2억명의 아시아 시장을 잃게 된다. 이런 일들은 모두 빅테크 플랫폼 기업들이 국경을 넘나들며 데이터를 수집하면서 생긴 일이다. 세계화 시대 국경이라는 물리적 공간을 토대로 한 인적, 물적 교류에 대한 규제 철폐 기류가 디지털 정보화 시대에서는 인터넷 공간에서도 장벽을 세우는 탈세계화 흐름으로 바뀌고 있는 셈이다. 미국이 틱톡 강제 매각을 밀어붙이는 것이나 일본의 네이버 지분 정리 압박은 그 동기는 다르나 자국 보호주의에서 비롯된 일이라는 점에서 본질은 같다. 우리는 어떤가. 개인정보 보호나 플랫폼 지원에 대한 고민은 부족해 보인다. 알리, 테무, 쉬인 등 중국의 저가 이커머스 플랫폼의 국내 회원이 무려 1400만명이나 된다. 내 정보를 중국 정부가 볼 수 있다는 걸 안다면 이렇게 많은 이용자들이 나왔을까 하는 의문이 든다. 중국의 국가정보법 7조는 중국의 모든 조직과 공민은 중국의 정보활동을 지지, 협조, 호응해야 한다고 돼 있다. 해외 플랫폼 이용 시 개인정보 유출 우려에 대한 정부의 안내 부족이 아쉽다. 개인정보보호위원회에서 개인정보 유출 차단을 강화할 방안을 내기 바란다. 네이버 같은 국내 플랫폼의 해외 활동에 대한 외국 정부의 간섭에 대해서도 적극적인 지원이 필요하다. 디지털 헬스케어 산업이든 이커머스 산업이든 플랫폼 산업은 데이터 확보가 기본이다. 많은 데이터를 확보할수록 규모의 경제와 네트워크 효과를 누릴 수 있다. 구글이나 페이스북이 한국 정부로부터 1000억원대 과징금을 물고서도 사업을 계속 하는 건 그 이상의 경제적 효과가 있기 때문이다. 데이터가 개인과 기업은 물론 국가 안보의 핵심 자원인 시대다. 국내외 플랫폼 간 데이터 전쟁은 앞으로 더 거세질 것이다. 과학기술정보통신부, 개보위 등 관련 부처는 개인정보 보호와 데이터 경쟁에 나선 국내 기업의 데이터 활용 간 균형점을 찾기 바란다. 박현갑 논설위원

인공지능(AI)의 성장 속도가 놀라울 정도다. 생성형 AI인 챗GPT가 등장한 후 경쟁 업체들은 유사한 서비스를 서둘러 출시했다. 불과 1년여 만에 AI 서비스는 업무, 교육 등에서 널리 활용된다. 기업들은 AI 관련 연구에 몰두하고 있고, 국가들은 연구개발(R&D) 예산을 활용해 다양한 지원 정책을 시행하고 있다. 반면 AI의 급속한 발달에 우려도 크다. 기술 진보 속도가 너무 빠르고, 기업 간 경쟁이 격화되면서 자칫 통제할 수 없는 수준으로 발전할 수 있다는 것이다. 의도적으로 AI 분야의 발전 속도를 늦춰야 한다는 지적까지 나왔다. 저명한 과학자들조차 AI 기술의 너무 빠른 발전에 놀라 6개월 정도 기술 발전 노력을 정지할 것을 제안했다. 작년 말 주요 7개국(G7)은 AI 개발 관련 국제 지침과 행동 규범에 합의했다. 이달 초 유엔총회는 AI의 안전한 사용을 위해 국제적 합의를 시급히 마련해야 한다는 결의안을 채택했다. 유럽연합(EU)은 구속력을 갖춘 AI법을 가장 먼저 발표했다. 지난달 13일 유럽의회는 AI법 최종안을 가결했다. AI 활용 분야를 네 단계 위험 등급으로 구분해 차등 규제하는 방식이다. 가장 고위험 분야로 의료, 교육, 공공서비스, 선거, 핵심 인프라, 자율주행 등이 선정됐다. 이 분야에서는 반드시 사람이 AI를 감독하고 위험관리 시스템을 구축해야 한다. 위반 시에는 강력한 과징금이 부과된다. EU의 AI법에 맞춰 많은 국가들이 유사한 규제를 마련 중이다. 적절한 시점에 맞춰 규제가 나왔다는 평가도 있지만 반발도 있다. 과도한 규제이며 관료주의적 접근 방식이라는 것이다. 비판은 주로 관련 기술을 개발하는 산업계에서 나온다. 이 법이 혁신보다는 안전을 중시하는 유럽의 성향에서 비롯됐다는 지적도 있다. 미국에 비해 유럽은 예방 원칙에 근거해 위험을 회피하는 모습을 보인다. AI법을 서둘러 발표한 것은 ‘디지털 주권’을 확보하려는 노력의 일환이다. 유럽의 정보통신 산업이 미국과 아시아에 비해 뒤처지고 있다는 것은 잘 알려진 사실이다. 그래서 강력한 규제를 제안하고, 이를 선점함으로써 디지털 분야에서 자율적 역량을 확보하려는 것이다. EU는 유럽을 넘어 전 세계로 자신의 규제를 확산시킬 수 있는 영향력을 갖고 있다. EU의 규제가 27개 회원국은 물론 주변 국가에도 적용되는 경우가 많아서다. 이를 ‘브뤼셀 효과’라고 부른다. EU의 모든 규제가 행정기관이 위치한 벨기에 브뤼셀에서 만들어지기 때문이다. 일단 유럽을 대상으로 영업활동을 하는 경우에는 EU 규제를 따를 수밖에 없다. 2018년 발효된 EU의 개인정보보호법(GDPR)이 대표적인 사례로 한국의 개인정보보호법도 유럽의 법을 참조해 만들어졌다. EU의 AI 규제는 전 세계에 영향을 미칠 것이다. 곧 등장할 다른 국가의 규제에도 적잖은 영향을 끼칠 것으로 보인다. 기술혁신을 규제가 따라잡지 못한다면 오남용의 부작용이 자명하다. 반면에 규제가 혁신을 가로막는 상황도 발생할 수 있다. ‘규제’와 ‘기술혁신’이라는 두 가지 목표를 어떻게 달성할 수 있을지 유럽을 주목해 볼 일이다. 강유덕 한국외대 LT학부 교수

작년 7월 미국 뉴스 사이트인 더 필라는 한 가톨릭 사제가 게이 데이트앱을 사용하고 있다고 보도했고, 사제는 직책에서 사임했다. 가톨릭 사제의 성적 지향이 드러난 것은 추적광고 시스템에서 유출된 개인정보 파편들 때문이었다. 게이 데이트앱은 보유하고 있던 이용자의 ‘익명화된’ 위치 데이터, 모바일 광고 아이디를 광고 네트워크를 통해 판매했다. 가톨릭 신부에 대한 데이터가 모바일 광고 아이디를 통해 축적됐고, 식별 가능한 정보가 돼 뉴스 사이트로 흘러 들어간 것이다. 이 과정에서 문제된 것은 실시간 경매 시스템(Open RTB)이었다. 이용자는 추적광고 시스템 가운데 하나로 알려진 이 시스템을 전혀 알지 못할 뿐만 아니라 자신의 동의 없이 개인정보 파편들이 외부로 유출되지 않는다고 착각하기 쉽다. 그러나 사업자들이 보유하고 있던 개인정보의 파편들은 실시간 경매 시스템에서 쉽게 외부로 유출되고, 광고 아이디를 통해 축적될 수 있었다. 민감한 정보까지 말이다. 대니얼 시트론 교수는 ‘프라이버시를 위한 투쟁’(The Fight for Privacy)에서 현행 시스템을 통해 앞서 본 민감한 성적 지향 이외에 “성적 트라우마, 중독, 흡연 습관, 정신적 문제, 섭식장애, 유전질환, 의학적 질병, 성병, 섹스토이 사용 여부, 성적 취향, 결혼, 이혼, 임신 및 식습관까지도 이용자가 만나 본 적도, 사용해 본 적도 없는 제3자가 수집하거나 보유하고 있다”고 지적한 바 있다. 아일랜드 시민자유위원회는 이러한 실시간 경매 시스템에서 유출된 개인정보들이 쌓여 에이즈 등의 병력과 관련된 아일랜드인 1300명을 추적할 수 있고, ‘흑인의 생명도 소중하다’(Black Lives Matters) 시위에서 영장 없는 휴대폰 추적도 가능했다고 밝혔다. 벨기에 개인정보보호위원회는 유럽연합 회원국 27개 개인정보 감독기구와의 협의를 거쳐 수년간의 검토 끝에 실시간 경매 시스템의 유럽연합 일반개인정보보호법(GDPR) 위반을 올 2월 22일 확인했다. 즉 ①이용자 동의가 없었고 ②이용자가 처리되는 개인정보 범위와 그 내용에 대해 잘 이해할 수 없었으며 ③개인정보 보호 중심 설계 원칙을 위반하고 ④개인정보 보호 영향평가도 이행하지 않았다는 것이다. 우리나라의 경우 개인정보보호위원회가 올해 구글과 메타에 추적광고와 관련해 총 1000억원에 이르는 과징금을 부과한 적이 있지만 여전히 중요한 법적 쟁점에 대해서는 명쾌하지 않다. 민감정보 추론에 대한 금지 여부, 쿠키·광고 식별자의 개인정보성 여부 등은 물론 행태정보 수집의 적법 근거가 무엇인지에 대해서도 분명한 답을 내놓지 못한다. 대부분의 이용자들에게 추적광고의 위험성 자체가 충분히 알려지지도 않았다. 선택권, 사후거부권이 보장되는지도 불명확하다. 이용자에게 실시간 경매 시스템 아래서 어떤 일이 일어나는지 알려 주어야 하는 것은 시급한 일이다. 그리고 이 시스템에 대해 사전에 선택하고, 또 언제든지 거부할 수 있는 권한도 쉽게 보장돼야 한다.

유엔총회는 1990년 개인정보 처리자로부터의 공정성과 독립성을 보장받아야 하는 개인정보 감독기구의 원칙을 정했다. 유럽연합 역시 1995년 ‘개인정보보호지침’에서 완전히 독립적인 개인정보 보호 감독기구를 설치하도록 의무화했다. 개인정보 보호 감독기구의 ‘완전한 독립성’(with complete independence)의 의미는 이후 유럽연합 일반개인정보보호법(GDPR)에서 발전돼 규정됐다. 유럽사법재판소는 “독립적인 개인정보 보호 감독기관의 설치가 개인정보 처리와 관련해 개인 보호의 필수 요소”라고 전제한 뒤 ‘완전한 독립성’의 의미를 구체화한 바 있다. 재판소는 일관되게 개인정보 보호 감독기관들이 외부 영향에서 자유롭게 임무를 수행할 수 있는 독립성을 향유해야 하고, 직접적이든 간접적이든 결정에 영향을 미칠 수 있는 외부로부터 자유로워야 한다고 강조했다. 이때 독립성의 보장은 개인정보 감독기관 자체와 그 직원들에게 특별한 지위를 보장해 주기 위한 것이 아니라 그 결정에 의해 영향을 받는 개인과 기관의 보호를 강화하기 위해 규정된 것이라고 판단해 왔다. 2012년 오스트리아 정보보호위원회에 대한 판단에서는 “보호위원회의 임원이 정부 감독에 복종해야 하는 공무원이라는 점”, 또는 “연방 총리가 보호위원회의 모든 직무에 대해 무조건적인 정보권을 가진다는 점” 때문에 독립적이지 않다고 판단했다. 2020년에도 독일 개인정보 보호 감독기관이 “국가 감시에 복종하도록 규정한 점”을 문제삼았다. 우리나라는 2020년 1월 9일 개정된 ‘개인정보보호법’에서 과거보다 독립적인 개인정보 보호 감독기구, 즉 현재의 개인정보보호위원회의 설치를 정했다. 이에 따라 개인정보보호법에서는 과거보다 한 걸음 나아가 개인정보보호위원회를 중앙행정기관으로 규정하면서도 국무총리의 행정감독권 대상이 되지 않도록 독립적인 기능성을 입법화했다. 하지만 과거 여러 독립적인 위원회들이 막 입법화됐던 예에서 보듯이 신생 위원회의 독립성은 입법만으로는 실현이 쉽지 않다. 이를 위해서는 초대 위원장과 초대 위원들의 리더십과 의지, 그리고 의미 있는 역할들이 뒷받침돼야 한다. 윤종인 초대 위원장의 개인정보보호위원회는 오랜 세월 숙원 사업이었던 유럽연합과의 적정성 결정 채택을 비롯해 구글·페이스북 등 글로벌 사업자에 대해 엄중하면서도 굵직한 정책적 판단을 했다. 시민의 권리와 인권보장에 대해서도 분쟁 절차 활성화 등을 통해 거침없는 리더십을 발휘해 왔다. 편견 없이 서로 다른 의견을 가진 사회 이해관계자 간 의견과 생각을 섞으며 대화를 증진하려는 노력을 하고 소통을 해 온 점도 놀라웠다. 신생 위원회의 위상을 충실하게 일궈 놓은 점은 초대 위원회의 전문성과 이를 실현하려는 리더십이 큰 역할을 했다. 최근 윤 위원장이 아직 임기가 남아 있음에도 사임 의사를 밝혔다고 해 아쉬운 마음이 크다. 지금까지 닦아 온 방향과 역할들이 더 발전하길 희망해 본다.

디지털 대전환 시대를 맞아 세계 각국은 데이터와 인공지능(AI) 기술패권을 차지하기 위해 치열하게 경쟁하고 있다. 그 중심에는 주요 2개국(G2)인 미국과 중국의 디지털 패권 전쟁이 있다. 미중은 자국에 유리한 데이터 규범 정립, AI 기술과 산업 육성에 열을 올리고 있다. 미국은 데이터에 대한 자유로운 국경 간 이동을 주장하면서 미국·멕시코·캐나다 무역협정, 미국·일본 디지털무역협정을 맺었으며 최근 탈퇴했던 포괄적·점진적환태평양경제동반자협정 재가입도 추진하고 있다. 이에 반해 중국은 빠른 속도로 자국 데이터 보호를 위한 법규를 제정하고 있다. 2017년 6월 1일 발효된 네트워크안전법에 이어 지난해 9월 데이터보안법, 11월 개인정보보호법을 제정, 시행했다. 유럽연합(EU)은 G2를 견제하기 위해 일반개인정보보호법(GDPR)에 이어 또다시 AI 규제 입법안을 제안하고 있다. 이런 데이터·AI 정책이나 규제를 담당하는 부서는 나라별로 상당한 차이가 있다. 데이터 규제 관련해서는 미국이 경쟁 당국인 연방거래위원회가 담당하고 있는 데 반해 EU 등은 독립적인 규제기관을 두고 있다. 영국의 정보보호청, 독일의 연방정보보호청, 일본의 개인정보보호위원회가 그 사례이다. 데이터 정책에 관해서는 미국은 대통령실 소속의 관리예산처가 연방데이터정책위원회를 설립해 연방 데이터 정책을 조정하고 있으며, 영국은 디지털·문화·미디어·스포츠부가 주무부서이다.AI 정책의 경우 미국은 국가인공지능전략법에 따라 백악관 과학기술정책실 내 국가인공지능주도전략실이 설치돼 있다. EU의 경우에는 집행위원회가 2018년 인공지능 윤리 대응을 위한 ‘인공지능 고위 전문가 그룹’을 출범시켰다. 한국의 데이터 정책은 공공데이터는 행정안전부, 민간데이터는 과학기술정보통신부로 분리돼 있고, 데이터 규제와 관련해 독립규제기관으로 개인정보보호위원회가 있다. AI 정책과 규제는 과학기술정보통신부가 대표부처 역할을 하고 있지만 방송통신위원회, 개인정보보호위원회, 금융위원회가 별도의 규제 가이드를 발표하는 등 여러 부처가 관여하고 있다. 한편 데이터 관련 정책 조정을 위해 4차산업혁명위원회 데이터특위가 운영되고 있다. 오는 4월 시행되는 데이터기본법에 따라 설치되는 총리 소속 국가데이터정책위원회가 데이터 정책에 관한 컨트롤타워 역할을 할 것으로 기대된다. AI 정책의 경우에는 지능정보화기본법에 따르면 과기정통부가 종합계획을 수립하도록 돼 있는데, 이 계획은 총리 소속 정보통신전략위원회의 심의를 받도록 돼 있다. 결론적으로 데이터 정책은 국가데이터정책위원회, AI 정책은 정보통신전략위원회가 컨트롤타워 역할을 하게 된다. 다만 이런 자문 성격의 위원회가 실질적인 역할을 할 수 있을 것인지, 통합조정력이 부재한 상황에서 여러 부처가 하는 것이 타당한지 의문이다. 차기 정부에서는 대통령실에 디지털정책수석과 대통령을 의장으로 하는 ‘디지털대전환추진위원회’를 신설해 데이터, AI 정책을 포함한 디지털 정책 전반의 조정력과 실행력을 높이는 방안을 검토할 필요가 있다.

2020년 1월 9일 ‘데이터 3법’이 통과된 이후 의료데이터의 활용은 중요한 이슈였다. 수익성이 높은 서비스에서 활용되기 쉬운 데이터였기 때문이다. 금융위원회(금융위)는 이 과정에서 이미 개인의료정보까지도 개인의 신용을 판단할 때 필요한 정보라며 자신의 ‘신용정보법’의 관할하에서 논의해 왔고, 적극적으로 그 범위를 넓혀 왔다. 　금융위는 그간 민간보험사들의 이익과 편의를 위해 건강보험심사평가원(심평원), 국민건강보험공단에서 보유하고 있는 개인의료정보들을 ‘공공데이터’라는 이름으로 활용하는 방법을 폭넓게 검토해 왔다. 그러나 일반적인 데이터도 아닌 민감한 개인의료정보를 ‘공공데이터’로 접근해 누구나 쉽게 이용할 수 있도록 허용하는 것은 옳지 않다. ‘공공데이터법’에서는 “누구든지 공공데이터를 편리하게 이용할 수 있도록 노력하여야 하며 이용권의 보편적 확대를 위하여 필요한 조치를 취하여야 한다”고 하거나 “공공데이터에 관한 국민의 접근과 이용에 있어서 평등의 원칙을 보장하여야 한다”고 그 원칙을 정하고 있다. 공공데이터법의 취지가 누구든지 쉽게 공공데이터에 접근할 수 있도록 함에 있음을 고려할 때, 개인의 의료정보는 공공데이터법상의 적용 대상으로 해석하기 어렵다. 무리한 해석이다. 가명처리된 개인정보 역시 개인정보의 일종이므로, 공공데이터로 접근해서는 안 된다. 　금융위는 7월 14일 “보험업권의 건강·생활 플랫폼 구축을 통해 디지털 헬스케어 서비스를 활성화하겠다”며 보험사들이 개인의료정보를 개인의 동의 없이 활용해 보험상품으로 개발하는 것을 공공데이터 정책이라고 발표했다. 금융위는 보험업권 공공데이터 활용 추진 계획으로 ‘가명처리’한 개인의료정보를 활용해 민간보험상품을 개발하겠다는 계획임을 분명히 했다. 　또한 금융위는 민간 의료보험 상품 개발을 과학적 연구목적이라며 가명처리 시 활용 가능한 정보라고 설명한다. 그러나 민간의료보험사들의 실손보험 문제는 어제오늘의 일이 아니라는 점에서 이를 널리 허용해야만 했는지 의문이 들 수밖에 없다. 실손보험 가입자 유치 과정에서 무분별한 광고경쟁, 끼워팔기, 과다수당 등의 판매방식은 소비자 기만적이었다. 이 과정에서 보험가입자가 형사입건되는 어처구니없는 일들이 종종 벌어지는 중에, 공공의료보험의 보장성 확대로 민간보험사가 반사이익을 누리는 현상도 증대했다. 민간보험사들은 이에 대해서 투명성과 객관성을 담보하지 않고 있다. 게다가 공공의료보험에 미치는 부정적인 영향들까지 고려할 때, 이러한 민간 의료보험 상품개발이 국민에게 어떤 이익이 돌아갈지도 불분명하다. 그러니 민간실손보험 설계의 투명성 보장과 보건의료정책과의 관계 설정이 선행돼야 할 일이다. 개인의료정보를 공공데이터라는 이름으로 보험사에 제공하는 정책은 공공의료정책의 측면에서도 시급하지 않으며 오히려 독이 될 수 있다. 　유럽개인정보보호법(GDPR)이나 한국의 개인정보보호법에서 개인들의 동의 없이도 가명처리해 개인정보를 과학적 연구에 허용한 것은, 과학적 연구라는 공공 가치를 고려한 것이다. 그럼에도 불구하고 금융위가 보험가입자들과의 관계에서 투명성과 신뢰성조차도 해결되지 않은 민간보험사의 상품개발을 독려하기 위해 개인의료정보를 넘기는 것은 얼마나 공공적 가치가 있는 것인가. 문재인 케어와의 관계에서 실손보험의 확대와 불투명성은 지금까지도 계속적으로 사회적 논란을 불러일으켜 왔지 않은가. 　지금이라도 금융위는 보험회사의 소비자 적대적 행위를 규제하고, 투명성과 신뢰성을 위한 업무에 매진해야 한다. 이 외에 개인의료정보 활용에 대한 윤리적 검토와 거버넌스를 보건복지부와 개인정보보호위원회로 넘겨야 한다.

아마존이 유럽연합(EU)에서 7억 4600만 유로(약 1조 200억원)의 과징금을 부과받았다. 일반개인정보보호법(GDPR) 위반 혐의로 아마존 유럽 본사가 있는 룩셈부르크의 정보보호국가위원회(CNPD)가 부과한 것인데, GDPR 위반 과징금 중 최대 규모라고 블룸버그가 지난달 31일(현지시간) 전했다. GDPR은 위반 기업에 전 세계 매출액의 4%를 과징금으로 부과할 수 있게 한 강한 규제로, 아마존 이전까지 프랑스 규제 당국이 구글에 부과한 5000만 유로(약 684억원)가 GDPR 관련 최대 과징금이다. 룩셈부르크 CNPD는 아마존이 개인정보 처리와 관련해 EU가 2018년 5월부터 적용하고 있는 GDPR을 준수하지 못했다고 밝혔다. 구체적으로 온라인 사용 패턴에 따라 광고를 추천하는 아마존의 타깃 광고 서비스가 사용자의 충분한 동의 절차 없이 운영되고 있다고 했다. 2018년 이 문제를 최초로 지적, 아마존을 고발했던 프랑스의 프라이버시권 보호 시민단체인 라캬드라튀르뒤넷은 이번 결정에 대해 “빅테크 기업의 약탈적 시스템 심장부에 타격을 가한 역사적 벌금”이라고 논평했다. 아마존은 강하게 반발했다. 아마존 대변인은 GDPR 규정을 위반하지 않았다고 주장하며 “우리 고객 정보의 보안과 신뢰를 유지하는 것을 최우선 사항으로 삼았으며, 고객 정보의 제3자 노출도 없었다”고 했다. 이어 “우리가 고객에게 관련 광고를 보여 주는 것을 GDPR 위반으로 본 이번 결정은 유럽 프라이버시 법에 대한 주관적이고 검증되지 않은 해석에 따른 것”이라면서 “설령 그러한 해석에 따르더라도 제안된 과징금은 너무 과도하다”고 덧붙였다.

유럽에서 사업을 하는 우리나라 기업들은 개인정보 보호를 제대로 한다는 것을 유럽 당국에 입증하기 위해 법률 검토와 현지 실사, 기타 행정절차까지 개별 기업 차원에서 해야 한다. 기간도 길면 1년이 걸리고 비용도 1억∼2억원이 들어가기 때문에 규모가 작은 중소기업은 아예 유럽 진출을 포기하는 사례도 있었다. 하지만 앞으로는 별도 절차 없이 유럽 시민들의 카드 결제 정보나 배송을 위한 주소 정보 등 다양한 개인정보를 사용하는 것이 가능해진다. 우리나라 개인정보 법체계가 유럽연합(EU)과 동등한 수준으로 인정받았기 때문이다. 윤종인 개인정보보호위원장은 30일 디디에 렝데르 EU 법무담당 집행위원과 공동으로 우리나라가 EU 일반개인정보보호법(GDPR) 적정성 평가에서 초기결정 단계를 통과했다고 발표했다. 양측이 2017년 논의를 시작한 지 4년여 만이다. 적정성 평가는 EU가 GDPR을 기준으로 역외 국가의 개인정보보호 수준을 평가하는 제도다. 특정 국가의 개인정보보호 조치가 EU와 동등한 수준임을 인정하는 적정성 결정을 내리면 해당국 기업은 EU 회원국처럼 자유롭게 EU 시민의 개인정보를 자국으로 이전해 처리하는 것이 가능해진다. 반면 적정성 결정을 받지 못하면 개별 기업마다 EU가 요구하는 개인정보보호 조치를 하겠다는 표준계약을 각각 체결해야 한다. 양측은 이날 공동발표문을 통해 “개인정보보호 분야에서 한국과 EU 사이에 높은 수준의 동등성, 특히 최근 시행된 한국의 개정 개인정보보호법에 따라 개인정보위의 권한이 강화돼 그러한 동등성이 한층 더 향상됐음을 확인했다”고 밝혔다. 발표문은 이어 “개인정보 교류상의 보호를 보장하는 동등성을 구축함으로써 적정성 확인은 EU로부터 한국으로의 자유롭고 안전한 정보의 흐름을 가능하게 할 것”이라며 “또한 한·EU 자유무역협정(FTA)을 보완해 EU와 한국 간 협력을 강화할 것”이라고 덧붙였다. EU 집행위원회가 적정성을 확인하고 초기결정을 채택하면서 이제 남은 절차는 EU 정보보호이사회 의견 수렴과 EU 집행위원회 최종 의결만 남겨 놓게 됐다. 개인정보위는 적정성 결정 단계의 80∼90% 비중을 차지하는 초기결정이 마무리된 만큼 이르면 상반기, 늦어도 하반기 중에는 적정성 최종결정이 이뤄질 것으로 내다봤다. 윤 위원장은 브리핑에서 “이번 적정성 초기결정으로 한국의 위상이 높아지고 이를 기반으로 한국 기업들이 데이터 경제 시대의 주역으로 성장할 수 있는 기반을 마련했다”고 말했다. 강국진 기자 betulo@seoul.co.kr

최근 국가인권위원회가 금융위원회에 대해 ‘주문내역 정보’를 마이데이터(MyData) 사업자들의 수집·제공 범위에서 빼도록 권고하기로 했다는 보도를 접했다. 마이데이터는 본인신용정보관리업을 말하는데 올 초 신용정보법이 개정되면서 도입됐고 시행을 눈앞에 두고 있다. 마이데이터 사업자들은 개인의 동의를 받아 수집한 정보를 바탕으로 개인의 정보관리를 돕는 한편 금융상품 추천이나 자문을 한다. 사실 인권위의 방침이 나오기 훨씬 전부터 ‘주문내역 정보’를 두고 사생활 침해 문제가 논란이 된 바 있다. 마이데이터 산업에는 주로 금융회사나 전자상거래 업체들이 진출할 것으로 예상되는데 전자상거래 주문 내역이 공유되는 경우 개인의 일거수일투족이 노출된다는 우려가 제기됐다. 요즘에는 단순한 물품 구매뿐 아니라 콘텐츠, 여행, 숙박, 선물 등 온갖 것들이 전자상거래의 대상이다. 어떤 책을 읽고, 어느 곳을 여행하고, 옷 사이즈는 얼마인지 등이 모이면 사생활이 그대로 노출될 수 있다. 이러한 논란이 지속되자 금융위원회는 관련 업계 등과의 논의를 거쳐 주문내역 정보를 범주화한 형태로 공유하는 방안을 제시했다. ‘270㎝ 사이즈의 A브랜드 운동화’ 같은 구체적인 정보 대신 ‘신발’로 범주화해 제공하는 것이다. 그런데 이렇게 범주화한 정보도 여전히 사생활 노출 우려가 있으니 아예 통째로 삭제하라는 게 인권위 의견이라고 한다. 반면 금융위는 이 권고를 수용하지 않을 것으로 보인다. 개인데이터 이동권이라는 권리가 더 크게 보장된다는 점을 자세히 설명한다는 방침이라는 언론 보도가 있다. 이러한 국가기관 간의 첨예한 의견 대립을 해소하기 위해서는 개인정보의 ‘주인’인 소비자 의견을 중심에 두고 판단해야 한다. 사실 그동안 어떤 정보를 어떤 방식으로 공유할지 논의하는 과정에서 소비자 의견이 충분히 반영됐는지 의문이다. 주문내역 정보를 제공하느냐 마느냐 여부나, 어느 수준으로 범주화하느냐에 대해서도 각 개인이 결정하도록 맡기는 게 옳다고 본다. 이제라도 개인정보의 ‘주인’인 소비자 개인을 중심으로 생각할 필요가 있다. 원래 마이데이터는 자신의 정보를 기꺼이 제공할 의사가 있는 개인들을 대상으로 하는 사업이다. 혹시 사생활이 노출될 우려가 있지만 정보 제공에 대해 지불되는 금전적 또는 비금전적 대가를 더 원하는 사람도 많을 것이다. 한 개인에 대한 정보는 전자상거래 업체나 금융회사, 공공기관 등 온갖 곳에 저장돼 있는데 이들을 통합 관리해 주는 것이 마이데이터 사업이다. 여러 정보를 결합하면 가치가 커지는 것이 상식이다. 여러 사람의 통합된 데이터를 모아 산업적으로 활용하면 부가가치는 훨씬 더 커지게 된다. 그 일부를 정보 주체에게 제공하는 한편 데이터 관련 산업도 활성화하는 것이 마이데이터업 도입의 취지다. 물론 정보를 수집할 때 동의를 받는다고 만능 해결책은 아니다. 요즘 정보 제공 동의를 해 달라는 곳이 너무 많아 제대로 읽지도 않고 동의해 주는 일이 흔하지 않은가. 그렇다면 인권위에서 동의제도를 보다 실질적으로 만드는 방향으로 권고하는 게 맞다. 특정 정보를 마이데이터 수집범위에서 빼는 것은 정답이 아니다. 더욱이 유럽 등 마이데이터 산업이 먼저 도입된 해외 사례를 보면 정보 수집·제공 범위가 매우 넓다. 유럽연합(EU)의 GDPR(General Data Protection Regulationㆍ개인정보보호규정)에서는 개인정보 전반에 걸쳐 데이터 이동권을 부여하고 있다. 인권위의 판단대로라면 GDPR의 데이터 이동권 가운데 일부는 옳고 일부는 틀리다는 것이다. 한국은 개인정보보호법에서 정보이동권이나 마이데이터 제도를 도입하지 않고 신용정보법에서 먼저 도입했다. 그 바람에 신용정보냐, 아니냐 여부가 논란이 되기도 했지만 개인정보 전반에 걸쳐 마이데이터업이 도입되면 이 문제는 바로 해소될 수 있다. 마침 개인정보보호위원회는 개인정보보호법을 다시 개정해 개인정보이동권을 신설하고 금융부문을 넘어 전 산업 분야로 마이데이터업을 확산시키는 방안을 검토하고 있다. 이러한 방향의 개정은 개인의 정보 통제권을 더욱 강화할 것이라는 것이 개인정보보호위원회 보도자료에 나와 있는 결론이다.

1945년 12월 18일. 불과 4개월여 뒤 세상을 떠났던 존 메이너드 케인스는 영국 상원에서 마지막 공식 연설을 했다. 그는 당시 미국 주도로 형성되고 있던 다자주의 체계가 적대적 대립을 완화하고 상호 이익과 존중을 가져온다는 장점을 열거하면서 의회가 이런 움직임에 적극 동참해 줄 것을 간곡히 호소했다. 75년이 지난 지금, 우리는 그동안 다자주의 경제체제가 어떻게 발전해 왔고, 위기를 겪고 형해화돼 왔는지를 목격해 왔다. 1970년대부터 흔들리기 시작한 서구 중심의 다자경제체제는 1980년대 미국과 영국을 중심으로 시작된 세계화의 바람을 타고 우루과이라운드 타결을 도출했다. 1990년대 들어와서는 공산권의 몰락 이후 구 공산권 국가들을 대거 편입시켜 1995년 세계무역기구(WTO)가 출범하게 되는데, 이것으로 명실상부한 다자경제체제가 마침내 완성됐다. 그러나 우리가 흔히 간과하는 사실이 있다. 다자주의가 잘 작동해 왔다고 생각하는 전후 40여년이 사실은 다수의 공산권 국가들이 참여하지 않은 반쪽짜리 복수국 간 협정에 불과했으며, 다자경제체제 아래에서 진행된 여러 차례의 무역자유화 협상은 관세장벽의 철폐라는 큰 성과를 냈음에도 불구하고 비관세장벽에 관해서는 좀처럼 성과를 내지 못했다. 역설적이게도 명실공히 거의 모든 국가들이 참여하는 다자주의가 확립된 1990년대 중반 이후 WTO 중심의 다자체제는 부분적 성과에도 불과하고 가장 핵심적인 ‘도하 어젠다’를 합의하지 못하고 표류해 왔다. 게다가 우리는 지금 보호무역주의의 도래, 미국과 중국 간 거친 경쟁을 목도하고 있으며 앞으로도 이러한 추세는 계속 강화될 것이라는 우울한 전망을 받아 들고 있다. 이제 조 바이든 미국 행정부가 동맹을 중심으로 다자체제를 복원한다는데, 우리는 어떻게 대응해야 할까. 미국이 트럼프 시대와는 달리 WTO를 통해 산업보조금, 국영기업, 지식재산권 및 노동과 환경 이슈를 풀어 나가겠다는 것은 반가운 일이지만, 이는 시간이 많이 걸리고 인내를 요하는 지난한 경로이다. 미국이 인내심과 관심을 잃지 않기를 바란다. 우리는 한편으로는 이러한 WTO의 개혁이 우리의 통상정책 방향과 큰 차원에서 일치한다는 것을 깊이 인식하고 다른 한편으로는 우리 내부적으로 WTO 개혁방향에서 걸림돌이 되는 국내 규제가 어떤 것이 있는지 살펴보고 필요하다면 전향적인 개정을 고려해 볼 일이다. 디지털 무역과 관련해서는 양자, 다자, 복수국 간 협정을 모두 동원해 디지털 무역규범을 확립하는 데 적극 참여해야 한다. 특히 디지털 무역규범이 다자차원에서 확립되는 데 힘을 쏟아 규범 제정에 영향을 미치고 규제 조화를 위한 노력을 기울여야 한다. 한미 자유무역협정(FTA) 등 우리나라의 FTA에서 디지털 분야에 관한 규정은 ‘미일 디지털동반자협정’은 말할 것도 없고 ‘미국·멕시코·캐나다무역협정’(USMCA)이나 ‘포괄적 점진적 환태평양동반자협정’(CPTPP)에 비해 훨씬 낙후돼 있다. 특히 데이터 지역화에 관한 입장, 개인정보의 보호와 활용 간에 적절한 균형을 찾는 문제는 우리가 머지않아 결정을 해야 하는 문제로 떠오르고 있다. 이와 관련해 유럽연합(EU)이 확정한 개인정보보호규정(GDPR)을 하나의 모범 사례로 적극 검토해야 한다. 환경 관련 이슈는 파리협정과 더불어 우리가 참여하지 않은 다수의 양자 및 지역 FTA에서 이미 합의된 규정들이 있다. 이를 고려해야 하며 기존에 합의된 규범이 우리의 환경정책과 얼마나 부합하고 있는지 검토해야 한다. 친환경 상품에 대한 전면 무관세는 과거 정보통신기술(ICT) 상품에 대한 무관세와 같은 획기적인 국제적 합의의 대상이라고 할 것이다. 기후변화 및 환경과 관련해서는 한중일 협력이 특히 중요하다. 공기오염의 국제 간 이동뿐 아니라 폐플라스틱 처리, 해상 및 육상 운송의 친환경화, 동북아 소재 원전 영향 공동평가, 탄소 배출 억제와 관련되는 천연가스 활용 협력, 신재생에너지의 국제 간 이동 등 지리적으로 인접 국가라서 더욱 중요해지는 친환경 협력의 의제는 너무나도 많이 있다. 다시 케인스로 돌아가 보자. 그는 상원에서의 마지막 연설에서 초강대국 미국이 현대사에서 처음으로 관세를 낮추는 방향으로 가고 있기 때문에 이 기회를 잘 활용해야 한다고 덧붙였다. 디지털·환경 분야는 미국과 중국 모두 관심을 갖고 추구하고 있는 분야이다. 이 기회를 잘 활용해야 한다.

우리 정부가 추진 중인 유럽연합(EU) 개인정보보호법(GDPR) 적정성 결정 승인이 올해 안에 마무리될 것으로 보인다. 김일재 개인정보보호위원회(개보위) 위원장 직무대행은 20일 서울신문과의 인터뷰에서 EU GDPR 적정성 결정 협상 과정을 소개하면서 “큰 쟁점은 마무리했고 실무적인 부분을 협의하는 단계”라면서 이같이 말했다. 그는 “드론(무인기)이나 자율주행차 등 기술 변화에 따라 개인정보를 둘러싼 현안은 폭발적으로 증가하게 될 것이고 정부 역할도 그만큼 중요해질 수밖에 없다”고 강조했다. 다음은 일문일답. -개보위 재출범이 한 달도 남지 않았다. “데이터3법 시행에 발맞춰 대통령 소속 위원회에서 8월 5일부터 국무총리 소속 장관급 중앙행정기관으로 새출발한다. 개인정보보호법령 해석과 평가, 법령·제도 개선 권고에서 정책 수립과 집행, 조사·처분 등 개인정보 보호업무를 총괄하는 것으로 확대된다. 시행령과 지침, 고시 등 후속 법령 정비작업이 한창이다. 정원 확대 문제를 관계부처와 협의 중이다. 공모를 통해 다른 부처 자원도 받고 있다. 면접을 진행 중인데 사무관 경쟁률이 20대1이다. 개인정보는 갈수록 중요성이 높은 분야라 우수한 인재들이 관심을 많이 보이는 것 같다.” -개보위 규모는 어느 정도로 예상하나. “현재로서는 ‘1처 4국 14과’ 내외가 될 것 같다. 150~160명 정도인데 장관급 중앙행정기관 중 가장 작은 규모라고 할 수 있다. 신기술과 관련한 개인정보 보호를 담당하는 부서가 새로 생긴다. 가령 드론이나 자율주행자동차 운행 과정에서 촬영한 영상을 둘러싼 개인정보 침해 문제가 발생할 수 있는데 현재까지 명쾌한 법규정을 갖추지 못한 실정이다. 드론은 국토교통부, 의료데이터는 보건복지부 등 관계부처 협의를 거쳐 하나씩 추가 법제화를 해야 한다. 그러자면 해외 사례 연구를 위한 부서도 강화해야 한다.” -EU 개인정보보호법 적정성 결정 문제로 개보위 출범을 환영하는 국내 기업이 적지 않다. “EU가 제정한 GDPR은 유럽 시민의 개인정보가 유럽 밖으로 이전되는 것을 원칙적으로 금지하되, 적정성 인증을 받은 국가에 대해서는 역외이전을 허용하도록 규정했다. 적정성 결정이 이뤄지면 개별 기업 차원의 별도 역외이전 절차가 없어져 기업들로서는 엄청난 비용 절감 효과를 거둘 수 있다. 개보위가 출범하면 EU에서 중시하는 개인정보보호기관의 독립성 문제가 해결되니 협상 속도가 붙을 수 있다. 현재 상호 간 큰 쟁점은 정리가 됐고 실무 부분을 협의하는 단계다. 올해 안에 EU 측 승인을 받기를 기대한다.” -개인정보는 여전히 보호와 활용 사이에서 논쟁이 진행 중이다. “개인정보의 보호와 활용은 별개가 아니다. 개인정보 활용기술뿐 아니라 보호기술도 무궁무진한 가능성을 갖고 있다. 코로나19 사례에서 보듯 일정 기간이 지난 확진환자 개인정보를 삭제하는 ‘보호’가 뒷받침돼야 투명한 개인정보 공개를 ‘활용’한 방역도 가능해진다. 현재 위원회가 6개 분과 60명 규모로 운영 중인 ‘개인정보보호 제도혁신자문단’을 100여명 규모의 ‘개인정보보호 제도혁신자문위원회’로 확대하려 한다. 이와 함께 개인정보 보호기술 개발과 전문인력 양성을 위한 산·학·연·관 협의회도 구성하려 한다.” 강국진 기자 betulo@seoul.co.kr

정부가 가명 처리된 개인 정보의 산업적 활용을 허용한 이른바 ‘데이터 3법’(개인정보보호법, 정보통신망법, 신용정보법)의 실행을 앞두고 하위법령 마련에 속도를 내기 시작했다. 데이터 3법은 기업이 신원을 식별할 수 없도록 가명 처리된 개인정보를 개인 동의 없이 산업적으로 활용할 수 있도록 한 법이다. 산업계에서는 데이터를 기반으로 한 신산업의 촉매가 될 것이라고 환영하고 있지만, 정보인권에 대한 보호 논의가 충분히 이뤄지지 못한 채 지난 9일 법률 개정이 이뤄져 시민단체 등은 우려를 표하고 있다. 이에 행정안전부, 방송통신위원회, 금융위원회는 21일 정부서울청사에서 합동브리핑을 열어 데이터 3법 후속 조치 계획을 발표했다. 새로 도입되는 ‘가명정보’의 활용범위, 데이터 결합 방법과 절차 등을 명확히 해 시행령과 시행규칙에 담기로 했다. 이르면 오는 7월 데이터 3법 시행 전까지 후속 입법을 서두르고자 시행령과 시행규칙은 2~3월 마련하고 3~4월 입법예고하기로 했다. 아울러 유럽진출 기업들의 부담을 덜도록 유럽연합(EU)의 일반개인정보보호법(GDPR) 적정성평가 절차도 법 시행에 맞춰 마무리하기로 했다. 이 법이 시행되면 개인정보 활용 환경이 급변하게 된다. 현재는 개인 동의를 받아야만 개인정보를 쓸 수 있지만 앞으로는 법이 정한 수집 목적에 부합하면 동의 없이도 가명정보를 통계 작성, 산업적 목적을 포함하는 과학적 연구, 공익적 기록 보존 등에 활용할 수 있다. 정부는 법 해설서를 개편해 가명정보 처리 목적의 구체적 예시를 제시할 계획이다. 예를 들어 A회사가 성인병과 운동량의 상관관계 연구에 쓸 목적으로 가명정보를 처리하는 것은 허용하고, 가명정보를 데이터 브로커 등이 판매하는 행위는 금지한다. 가명정보는 개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 방법으로 특정 개인을 알아볼 수 없도록 처리된 정보다. 가령 ‘32세 홍길동’이란 개인정보를 ‘43세 이팥쥐’로 바꿔 개인을 식별할 수 없도록 하는 식이다. 개인을 보호하려면 정보를 많이 가려야 하고, 기업이 정보를 유용하게 쓰도록 하려면 좀 더 완화된 형태의 가명화가 필요해 보호와 활용 사이의 딜레마가 발생한다. 윤종인 행안부 차관은 “일방적으로 개인정보 보호 위주로만 흐를 것이라는 판단은 예단”이라며 “보호를 더 잘함으로써 활용이 강화되는 쪽으로 효과가 나올 것”이라고 말했다. 개인정보 감독은 국무총리 소속 중앙행정기관으로 격상한 개인정보보호위원회로 일원화한다. 법안은 개인을 알아볼 목적으로 가명정보를 재식별하면 연 매출액의 3%까지 과징금을 부과해 기업이 가명정보를 오남용할 수 없도록 했다. 다만 의료정보는 워낙 민감한데다 추가 정보를 입력했을 때 재식별될 여지가 있어 정부는 특별법 제·개정도 고려하고 있다. 윤 차관은 “의료분야 특수성이 있기 때문에 특정의료정보는 가명 처리를 못하도록 하는 등 입법조치가 가능할 것”이라고 말했다. 이현정 기자 hjlee@seoul.co.kr

디지털 무역 생태계가 변화하면서 데이터는 상품과 서비스처럼 새로운 교역재로 자리잡고 있다. 이에 따라 주요 국가들은 데이터 활용과 보호에 대한 자국의 기준 수립에 박차를 가하고 있다. 특히 지난해 5월, 유럽연합(EU)은 개인정보보호법(CDPR)을 시행하여 데이터의 국가 간 이동 등 디지털 무역 정책 수립을 위한 롤모델이 되고 있다. 지난해 우리나라에서도 의원입법 형식으로 다수의 법률개정안들을 발의했다. 국내법의 역외적용, 글로벌 온라인 플랫폼사업자에 대한 국내대리인 요건, 개인정보 국외이전에 관한 상호주의 등이 주요 내용이다. 글로벌 온라인플랫폼사업자에게 로컬 서버[local server) 설치를 의무화하는 법률개정안도 발의됐으나 국회에 계류 되어 있다. 하루가 다르게 디지털경제가 진전되고 있는 만큼 우리나라도 무역친화적인 데이터 환경 조성이 시급한 실정이다. 이러한 가운데 한국국제통상학회(학회장 강인수 교수)는 지난달 31일 ‘디지털무역과 통상정책 과제’란 주제로 정책세미나를 개최하고 IT강국의 위상에 걸맞은 디지털정책 방향의 해법을 논의했다. 이날 토론회 참석자들은 “국제무역의 무게중심이 전통적인 오프라인 무역에서 인터넷과 데이터 기술을 활용하는 전자상거래로 빠르게 이전됐고 그 핵심이 데이터”라며 “디지털무역을 선도하기 위해선 데이터의 선순환을 담보할 수 있어야 한다.”고 주문했다. 이한영 중앙대 경제학부 교수는 “개인정보보호를 명분으로 작년 한 해 동안 국내 대리인 지정 의무화, 서버 현지화 법안 등이 추진됐는데 입법 의도가 불확실할 뿐만 아니라 국제 무역 규범에 합치하는 것으로 판정될 수 있을지에 대해서도 의구심이 든다”고 말했다. 방형준 한국노동연구원 부연구위원은 “수출의존도가 높은 우리나라의 입장에선 데이터 규제의 투명성을 증진시켜 불확실성을 제거하고 국제 규범에 부합하는 방향의 데이터 정책 수립과 규제 개선 검토가 필요하다”고 강조했다. 조성은 정보통신정책연구원도 “우리나라의 개인정보보호법은 데이터 활용을 제대로 못하게 하는 불합리한 법”이라며 “그러면서 상호주의를 주장하는 것은 그 자체로 문제가 될 수 있는 소지가 있다”고 지적했다. 심경보 한국개발연구원 박사는 “우리나라 법제와 규제가 조금 더 무역 친화적으로 나아가는 것이 경제 전반에 효용이 더 클 것”이라며 “현 법제가 최적화 되어 있지 않은 상태이고 기본부터 되돌아보고 정비해야 한다고 생각한다”고 주문했다. 박경신 고려대 법학전문대학원 교수는 국회에서 추진된 ‘서버 현지화 법안’ 관련, “서버 현지화 요구 조항은 중국 김치에 문제가 있으면 중국 김치회사 공장을 모두 한국에 세우라고 요구하는 격”이라며 “이런 규제가 오히려 사생활을 침해할 수 있다”고 비판했다. 한편 주요 국가의 기준을 벤치마킹하는 것에 대해서는 “유럽연합(EU)의 개인정보보호법(GDPR)이 선진화된 것이기는 하나 자칫 유럽연합(EU)의 모델을 따라가다가 다른 방식으로 정리될 경우, 상당히 혼돈에 빠질 부분이 있을 것”이라며 “정당한 목적이나 명분을 가졌다고 해서 섣불리 정당한 조치라고 결론내려서는 안된다”고 이재민 서울대학교 법학전문대학원 교수가 의견을 제시했다. IT 관련 전문가들의 이런 의견에 이종석 산업통상자원부 디지털경제통상과 과장은 “미국과 유럽 모두 서비스 개방여부와 관계없이 수평적이고 비차별대우를 하라고 요구하고 있다”며 “디지털 제품과 서비스는 제3의 새로운 영역이지만 점차 현실적인 압박으로 다가오는 것이 사실인데 이에 대해 우리나라는 복잡한 규제를 하고 있어 명확하게 답하기 어려운 상태”라고 답했다. 온라인뉴스부 iseoul@seoul.co.kr

김석환 KISA 원장이 말하는 빅데이터, 그리고 보안“세계는 지금 ‘데이터 전쟁’이 한창입니다. 19세기 유럽 열강이 식민지를 찾아 아프리카로, 아시아로 진출한 것 이상으로 치열합니다. 당시에는 자원을 확보하려고 식민지 전쟁을 벌였지만 지금은 데이터를 확보하려고 총성 없는 전쟁이 후끈합니다. 특히 주도권을 쥔 미국과 이에 맞서는 유럽의 공방이 총력전 형태입니다. 중국이나 인도는 자국 데이터를 보호하는 법도 만들었습니다. 하지만 우리 한국은 이른바 ‘개망신 3법’이 국회 문턱에 걸려 여전히 제자리걸음, 우물 안의 개구리식입니다. 데이터 전쟁에서 패하면 우리 미래는 ….” (※개망신법은 개인정보보호법, 정보통신망법, 신용정보보호법 3개 법안을 일컫는 말로 빅데이터 활성화와 관련된 법안이다.) 올해는 인터넷 개발 50년, 월드와이드웹 구축 30년 올해는 인터넷이 개발된 지 50년, 월드와이드웹(www)이 구축된 지 30년, 스마트폰이 국내에 들어온 지 10년이 된다. 정보통신기술(ICT)의 혁명적 변화를 누구보다 먼저 실감하는 김석환(61) 한국인터넷진흥원(KISA) 원장은 요즘 이런 연유로 고민이 많다. 4차산업혁명이 본격화되면서 데이터 전쟁이 세계적으로 벌어지고 있지만 우리 국민은커녕 정치권이 데이터의 중요성을 여태까지 인식하지 못하고 있기 때문이다. 김 원장은 만나는 사람마다 데이터 중요성을 강조하고 있다. 인터뷰를 신청하자 전남 나주로 내려와 달라기에 출장 품의 신청의 번거로움을 들었더니 김 원장이 직접 서울로 올라왔다. 지난 3일 서울 송파구 가락동 한국인터넷진흥원 서울청사에서 만났다. 김 원장은 문명 전환기의 역사와 적절한 사례와 비유를 섞어가면서 2시간가량 인터뷰를 이어갔다. “미국과 유럽, 데이터 전쟁 공방 치열유럽 反독점법에 GDPR로 데이터 보호中 네트워크안전법 마련, 인도도 추진” - 데이터 전쟁, 심한 엄살 아닌가. “미국의 데이터 기반 기업들, 즉 구글이나 페이스북, 애플 등은 세상 사람들이 그 중요성을 인식하기 이전에, 법이 생겨나기도 전에 벌써 데이터 시장을 독점하다시피 했습니다. 유럽에선 미국보다 늦게 데이터의 중요성을 알았던 겁니다. 유럽연합(EU)은 지난해 5월 개인정보 보호규정(GDPR)을 본격적으로 적용하고 있습니다. GDPR의 핵심 내용은 EU 거주자의 개인정보를 다루는 모든 기업이나 단체가 프라이버시 보호와 관련된 광범위한 규정들을 지키도록 하고, 심각한 위반 시 유럽이 아니라 전 세계 매출의 4%와 2000만유로(255억원 상당) 가운데 높은 쪽을 과징금으로 부과하는 겁니다. 유럽에 세계적 데이터 기반의 사업자가 있다면 이런 규제는 생겨나지 않았을 수도 있다고 생각합니다. 이 규제는 다분히 미국 기업인 구글, 페이스북 등이 타깃이라는 것을 알 수 있습니다. 실제로 지난 1월 프랑스는 구글에 GDPR 위반으로 5000만유로, 독일에서는 모두 41건에 벌금을 부과했습니다. 유럽은 전통적 독점 규제에다 GDPR까지 이중으로 보호막을 씌운 겁니다. 이 말은 ‘우리 데이터를 미국 기업이 함부로 가져가지 마라’, ‘유럽에서 세계적 IT(정보기술) 기업이 자랄 때까지 시간을 벌자’라는 내심이 담겼다고 봅니다. 자체 시장이 방대한 중국은 외국 특히 미국 기업이 들어오지 못하게 네트워크안전법을 만들었습니다. 그 결과 토종 기업 알리바바나 텐센트가 거대 데이터 플랫폼 기업이 성장할 수 있었습니다. 인도도 데이터를 뺏기지 않으려 법제화를 추진하고 있습니다.” - 데이터, 얼마나 중요하기에 전쟁이라고 하나. “4차 산업혁명시대의 데이터는 석유보다 더 값진 자원입니다. 석유는 한번 정제해서 쓰고 나면 다시는 사용할 수 없지만 데이터는 어떤 정보와 결합하느냐에 따라 새로운 가치가 창출됩니다. 새로운 가치를 창출한 데이터는 또 다른 부가가치를 만들어내는 선순환 구조를 가집니다. 문제는 빅데이터의 75%가 개인정보라는 데 있습니다만, 데이터를 플랫폼으로 삼은 회사의 가치는 시장에서 먼저 알고 있습니다. 지난해 상반기 글로벌 시가총액 상위 10개 기업 가운데 7개가 애플, 구글, 아마존, 페이스북, MS, 알리바바, 텐센트였습니다. 애플과 MS를 제외하고는 10년 전에는 이 리스트에 들지 못했던 기업들이라는 거죠. 또 다른 예를 들면, 지난해 4분기 중국 알리바바의 매출은 19조 5000억원으로 삼성전자의 3분의 1에 불과하지만 유럽브랜드연구소는 알리바바(14위)의 브랜드 가치를 삼성전자(19위)보다 높게 평가했죠. 그 이유인즉, 알리바바는 무려 5억명이라는 회원 데이터를 보유하고 활용한다는 것이 높게 평가받았던 겁니다.” “데이터 기업들, 시총 상위 기업 차지데이터 이용 맞춤형 서비스 본격 내놔獨유턴한 아디다스도 데이터 기업 변신”- 기업들이 데이터를 어떻게 활용하나. “엄청 다양하게 활용하고 있습니다. 페이스북이 지난해 올린 49조 7000억원의 매출 가운데 광고 매출이 49조원입니다. 물론 인스타그램이 포함돼 있지만, 페이스북의 광고는 우리가 보는 종편이나 지상파 TV만큼 강력하지 않습니다. 우리가 페이스북을 하다 보면 갑자기 뭔가 하나 쑥하고 올라옵니다. 안 보면 그냥 넘어가잖아요. 이 광고로 49조원 수익을 올렸는데, 여기엔 ‘이런 이용자는 이 정도의 광고에 대해서는 저항감을 느끼지 않으면서 반응을 보일 거야’ 하는 치밀한 계산이 숨어 있습니다. 그건 그 이용자가 눌렀던 좋아요, 썼던 댓글, 맺었던 친구 관계, 과거에 봤던 광고 등의 데이터를 분석한 겁니다. 또 미국의 유명 보험회사인 프로그레시브는 가입자의 동의를 받아서 스냅샷이란 ‘운행기록 자기진단 장치’를 자동차에 부착하는 겁니다. 이걸 통해서 가입자의 운전습관, 즉 신호와 규정속도 준수, 급제동과 같은 난폭운전을 분석해 교통사고 확률을 계산합니다. 그리고 모범 운전자에겐 최대 30%의 보험료를 깎아주는 겁니다. 가입자마다 다른 차별적인 마케팅, 개인별 마케팅이 적용된 겁니다.”- 데이터 활용을 4차 산업혁명과 연관해 설명하면. “아디다스가 동남아에 있던 공장을 2017년 독일로 다시 이전해가면서 만든 스마트팩토리를 예로 들 수 있겠습니다. 과거엔 고객이 진열된 매장에서 신발을 골랐다면 이젠 인터넷을 통해 개인이 마음대로 주문합니다. 고객이 인터넷을 통해 색상, 신발끈, 신발 밑창 등을 마음대로 골라 주문하면 3D프린터가 재질을 만들고 로봇이 신발을 제조하는 겁니다. 그리고 24시간 안에 고객에게 택배로 전달하는 겁니다. 개인별 맞춤형 신발이 가능합니다. 50만 켤레를 만드는데 동남아에선 600명의 인원이 필요했지만 독일 스마트공장에선 10명뿐입니다. 이 스마트 공장은 고객 개인의 데이터를 바탕으로 한 4차 산업혁명의 한 사례일 뿐입니다. 고객 정보가 쌓이면 아디아스 역시 데이터 기업이 될 수도 있겠습니다. 도시의 상하수도, 교통 등을 관제하는 스마트시티, 엄청나게 빠른 속도로 자기 위치를 파악하고, 판단하고 실행하는 스마트자동차 등이 대표적인 4차 산업혁명이라할 수 있습니다. 이런 데에는 인공지능이 돌아가게 하는 빅데이터가 있어야 가능한 겁니다.” “데이터 활용 개망신 3법, 작년 국회 제출심의조차 안돼 데이터 경제 활성화 답보”- 우리나라의 데이터 확보 준비는. “사실, 데이터 확보나 데이터 보호는 이를 언젠가는 활용하겠다는 전제가 깔려 있습니다. 잘 알다시피 유명 배우 안젤리나 졸리가 유방절제술을 했잖아요. 그녀가 유전자데이터 분석을 해보니 유방암에 걸릴 확률이 80% 이상으로 나온 겁니다. 그래서 유방암에 걸리지도 않았지만 예방 차원에서 미리 제거한 겁니다. 우리나라에서도 분명 이런 검사를 받고 싶어하는 사람이 있고, 이런 서비스를 상업화하겠다는 기업이 있었지만 의료정보법 위반이니 뭐니 하면서 제대로 못 하고 있습니다. 정부의 규제개혁 샌드박스 1호로 유전자 데이터분석을 2년간 시범실시할 수 있게 됐습니다만, 개인 데이터를 활용할 수 있는 법적 제도화가 필요합니다. 작년 10월 국회에 소위 개망신 3법이 제출된 상태이지만 아직 법안 심의가 제대로 진행되지 못 하고 있습니다. 문재인 대통령이 작년 8월 31일 한국을 ‘데이트 경제 강국’으로 만들겠다고 선언하면서 데이터 경제 활성화를 천명했습니다만 여전히 제자리걸음입니다.” - 데이터 활용 못지않게 보호 또한 중요하다. “네. 그렇습니다. 개인정보와 같은 데이터의 84%가 해킹으로 유출됩니다. 그런데 과거의 데이터 유출은 ‘신상이 털렸구나’, ‘사생활이 유출됐구나’ 하는 수준이었다면 지금은 현실 세계에서 물리적 피해를 당합니다. 실제로 세계 최대 알루미늄 제조사인 노르웨이의 노르스크 하이드로는 지난달 해킹 공격으로 공장 가동이 중단됐습니다. 갑작스러운 중단으로 철강 공장 특성상 고로부터 전 과정을 다시 세팅하면서 엄청난 피해가 발생했습니다. 향후 자율주행차에 대한 사이버 침해 공격은 탑승자의 생명을 위협할 겁니다. 스마트시티도 마찬가지고. 우리 인터넷진흥원은 국내 인터넷망의 95% 이상을 차지하는 민간망을 맡고 있습니다. 그런데 해외 해커가 민간망을 통해 행정망이나 국방망에 침입하고 있어 민간망 보호의 중요성이 갈수록 커지고 있습니다.” “해킹 피해 신상 털리는 수준서 신체적 위해로해커들, 민간망 노려… 국내망 95%가 민간망”- 사이버 침해, 얼마나 심각한가. “작년 3월 미국 조지아주 애틀랜타시가 사이버 침해로 5일간 시청 업무가 마비됐습니다. 랜섬웨어 공격을 받았습니다. 그런데 1년쯤 뒤 같은 조지아주의 잭슨카운티 역시 랜섬웨어 공격을 받았습니다. 이곳은 ‘인질과 타협하지 않는다.’라는 미국의 원칙을 어기고 40만달러를 주고 복구키를 받았습니다. 잭슨카운티는 40만달러가 싸다고 여긴 거죠. 5만달러 지급 요청을 거부한 애틀랜타시는 자체적으로 해결한다면서도 수일간 업무가 마비됐고, 시와 관련된 컴퓨터 등을 새로 세팅하는데 1700만달러가 들어간 겁니다. MS는 2017년 사이버 침해로 인한 한국의 직간접적 비용이 77조원으로 추산했습니다. 요즘은 사이버침해도 로봇(봇넷)을 이용한 자동화·지능화·지속적 공격이 특징입니다. 작년 CES 트렌드 리포트에 의하면 2년 뒤인 2021년까지 사이버 공격으로 인한 전 세계 피해규모는 약 6조달러로 전망했습니다. 이는 지진, 태풍 등 자연재해보다 피해가 더 클 수도 있다는 의미여서 경각심을 가져야 합니다. 2017년 우리가 수집한 사이버 침해 위협이 1.8억건, 작년 3.5억건인데 올해는 6억건에 이를 것으로 추산됩니다.” “한국 올해 사이버 침해 공격, 6억건 전망AI 통한 분석…자동화, 고도화 지능화로 대비IoT 전반에 걸친 보안은 융합보안단이 담당” - 우리나라의 사이버 침해 공격도 엄청나군요. “악성 코드로 한 중소기업의 회사 컴퓨터가 마비되었습니다. 일이 급해서 돈을 주고 복구키를 받으려고 연락하니 그쪽에서 ‘거기, 어디예요.’라고 되묻습니다. 워낙 많은 곳에 악성 코드를 뿌려두었으니, 그 해커도 어떤 회사가 걸려들었는지 모를 지경이라는 겁니다. 올해 6억건에 이르는 사이버 공격을 사람이 일일이 대응할 수 없습니다. 그들이 자동화·지능화함에 따라 우리도 그에 대비하고 있습니다. 인공지능을 통해서 특정한 패턴들을 분석하고, 새롭고 더 위협적인 공격을 찾아 집중적으로 모니터링하고 대응하는 형태입니다. 빠져나갈 구멍이 없도록 그물코를 좀 더 촘촘히 짠다는 의미로 ‘사이버보안 빅데이터센터’를 구축했습니다. 사이버 위협을 인공지능(AI)을 통한 분석으로 수비도 자동화, 고도화, 지능화하는 겁니다. 이렇게 생성된 데이터를 연구소와 대학, 산업계에 공유해 새로운 정보보호 제품이 개발되도록 할 계획입니다. 작년에 자동차검사 안내를 모바일로 고지하는 서비스를 했는데 이는 자동차 소유자 이름과 전화번호, 차량번호의 연계된 것입니다. 이런 서비스의 경우 편리하긴 하지만 정보보호의 필요성도 더욱 크고 중요합니다.” “랜섬웨어 공격받은 美애틀랜타 5만달러 지불 거부5일간 업무마비에 컴퓨터 세팅에 1700만달러 투입반면 잭슨카운티, 40만달러 주고 복구키 받아 해결”- 이건 신설한 융합보안단의 역할과 겹치지 않나. “사이버 보안은 4차산업으로 갈수록 중요성이 더욱 커질 겁니다. 융합보안단은 정부가 2022년까지 3만개의 스마트팩토리를 구축하겠다고 밝힌 것과 맞물려 있습니다. 우리 주변에는 약 110억여대의 사물인터넷(IoT) 기기가 이용되고 있으며, 2025년엔 약 1조개의 인터넷 연결이 가능한 기기가 보급될 것이라는 전망이 이미 나와 있습니다. 이런 연유로 침해의 대상 즉, 보호의 대상이 PC나 서버, 스마트폰을 넘어 IoT 기기 전반이 될 겁니다. 이는 보안 대상이 사회 전반에 걸쳐 있다는 의미겠지요. 현재의 침해 대응과 산업진흥으로 분산된 업무를 융합해 전사 차원에서 달려들자는 겁니다. 우리만 할 것이 아니라 다른 부처와 협력 문제, 법제도 정비 및 정책 개발의 문제 등등이 남아 있습니다. 이런 부분은 과학기술정보통신부와 논의하고 있습니다.” “韓보안 가장 취약한 곳…지역 중소기업사이버 침해 98%가 이곳 통해 이뤄져지역에 사이버 안전망 구축 시급한 문제” - 한국의 사이버 보안 수준, 얼마나 높나. “우리나라가 정보통신기술의 강국이지만 사이버 보안은 다른 문제입니다. 한 국가, 한 기업, 한 조직의 사이버 보안 수준은 가장 취약한 곳의 수준과 같다고 봐야 합니다. 가장 취약한 곳을 통해서 침해, 해킹이 이뤄지니깐요. 한국사회 전체로 봤을 때 가장 취약한 곳은 지역의 중소기업입니다. 사이버 침해 피해의 98%는 중소기업이 당합니다. 그런데 일부 중소기업은 자신들이 해킹당했는지, 안 당했는지조차도 모릅니다. 그런 능력도, 의지도, 인력도, 열의도 없습니다. 몇 년 전 농협 전산망이나 국방부가 당한 공격도 협력업체의 직원의 USB나 보안취약점을 통한 것이였지요. 지역 중소기업 사이버 보안에 대해 행정안전부 중앙부처는 지자체가 할 일이라고 미뤄버리고, 지자체는 가시적 효과가 없으니 우선순위에 한참 밀리고…. 우리가 지역에 사이버안전망을 구축하려 합니다.” “2017년 한국 해킹 직간접 피해 77조원 추산2021년 전세계 사이버 공격 피해 6조달러지진·태풍 등 자연재해보다 피해 더 클 수도”- 지난해 자동차 검사, 모바일 고지를 했던데 성과는. “교통안전공단은 저희와 함께 작년 3월에 자동차검사를 받으라고 알리는 것을 여태까지는 종이로 우편 고지하다 휴대폰에 문자를 보내는 모바일 고지를 시범실시했습니다. 일부 운전자는 오랫동안 집을 비워 우편물을 받아 볼 수 없기에 시범적으로 200만 운전자를 대상으로 모바일 고지를 했습니다. 그 결과 과태료를 내지 않았던 사람이 그 이전의 평균보다 2만 8000명이 적었던 겁니다. 즉 그만큼 많은 사람이 제때 검사를 받았다는 의미죠. 과태료 수입이 86억원 줄었다고 합니다. 즉 이용자의 편익은 늘고, 사회적 비용은 감소한 거죠. 종이 소비가 줄었으니 환경보호에도 이바지한 겁니다. 올해는 주택금융공사와 국민연금관리공단 등과 협업해서 모바일고지를 활성화하고, 병원과 약국과는 전자처방전 시범사업을 할까 합니다. 이것 역시 규제개혁 샌드박스에 포함되어 있습니다. 우리나라에서 종이로 발행되는 처방전이 연간 얼마나 되는지 아세요? 무려 5억장에 이릅니다. 병원도 전산화되어 있고, 약국에 가서 QR코드만 갖다대면 의사의 처방내용을 바로 알 수 있습니다. 이런 자료들이 모여 나중엔 빅데이터가 되는 거지요.” “가상화폐 일확천금 차단 정책 잘한 일해외직구·중고차 매매 블록체인 올릴 예정”- 블록체인을 이용한 서비스 준비는. “블록체인이 우리나라에서 그 응용기술이 아니라 가상화폐, 가상통화가 전부인 것처럼 잘못 인식돼 안타깝습니다. 정부가 일확천금을 노리는 가상화폐, 음습한 구석이 있는 이것에 대해 적절한 시기에 잘 대응했다고 봅니다. 해커들이 ‘돈을 암호화폐로 보내라.’라고 하잖아요. 우리나라에서 작년에 한 해외직구 건수가 1900만건쯤 됐니다. 이게 해마다 30~40%씩 건수가 늘어납니다만 금액은 전체 수입금액에 비해서는 크지 않습니다. 그래서 세관 직원을 늘려서 해외직구를 직접 처리하는 것에는 한계가 있습니다. 이걸 관세청이 블록체인 플랫폼을 만들어 여기에 올리는 것이죠. 그러면 주문 상품이 어디에서 왔고, 어디에 있는지를 한눈에 알 수 있습니다. 블록체인의 가장 큰 장점인 이력추적이 가능합니다. 통관 처리기일도 현재 5일에서 2일 정도로 줄일 수 있을 것으로 봅니다. 하반기부터는 서비스가 시작될 것으로 보고 있습니다. 올해 새로운 블록체인 시범사업으로 중고차 매매를 블록체인 플랫폼에 올리려는 것인데 그러면 주행거리라든지 사고 이력 논란이 사라질 것으로 기대합니다. 각종 자선단체의 기부금 관리도 블록체인에 태울까 합니다. 그러면 중간 관리자 비용이 줄고, 내가 낸 기부금이 어디에 어떻게 쓰이는지 투명성이 한층 강화될 것입니다.” “4차 산업혁명서 실업, 사회적 문제로봇세, 기본소득 지급 고민할 시기개별 이익 위해 데이터 경제 막을 수 있나기술 변화가 촉박한 새로운 문명 인식해야”- 아디다스 독일 스마트공장에서 보듯 4차 산업혁명은 실업이 큰 문제다. “600명이 하던 일은 10명이 거뜬히 처리하니 파생되는 새로운 일자리를 찾지 못하는 사람들에겐 실업이 큰 문제입니다. 실업의 문제와 관련해 MS 창업자 빌 게이츠가 주장하는 로봇세 신설, 기본소득 지급 등을 고민해 볼 수 있을 겁니다. 로봇 탓에 일자리가 줄어 소득이 줄어든다면 이 부분을 보전해줘야 하잖아요. 그래야 인간다운 존엄이 유지되고, 그 인간이 하는 각종 활동이 또 하나의 생산적 가치가 있는 자원인 데이터를 생산하기 때문인 거죠. 전자문서가 활성화되고, 이메일과 SNS, 문자메시지가 일상화된 지금 우편을 배달하는 사람을 우리 사회가 언제까지 보호할 수 있을까요. 사회적 갈등과 고민이 맞닿는 부분입니다. 또한 부산시와 서울대병원 그리고 우리 진흥원이 협업해서 독거노인들에게 심전도 스와치를 채우는 시범사업도 계획하고 있습니다. 그러면 이 노인분들이 일상생활을 할 때, 주무실 때, 갑자기 돌아가셨을 때의 신호가 다데이터로 전송됩니다. 서울대병원이 함께하고 있음에도 이 데이터는 119 출동 때 활용한다는 명분으로 전부 119센터에 모아놓기로 했습니다. 병원에 모아두면 원격의료 진료행위에 해당한다는 논란을 피하기 위함입니다. 개별 병원의 이익을 위해, 실업을 우려하는 우정사업본부 노조의 반대로 언제까지 막아둘 수 있느냐 입니다. 우리가 하지 않더라도 나중에 다른 나라의 기업이 이런 서비스로 진출하면 우리가 막을 수 있을까요. 영국의 적기법(赤旗法)과 같은 코메디가 이 땅에서도 일어나고 있습니다. 우리는 지금 기술의 변화가 촉발한 새로운 문명으로 들어가고 있다는 것을 인식해야 하지 않을까 합니다.” (※적기법이란 세계 최초로 자동차를 만든 영국에서 자동차 최고 속도를 시속 4마일로 규제하고, 붉은 깃발(적기)를 든 기수가 차보다 앞서 달려 길 안내를 하도록 한 규제를 말한다. 마차와 증기 철도업자를 보호하기 위해 만든 이 법안 때문에 영국의 자동차 산업은 다른 경쟁국보다 뒤쳐지게 됐다.) 이기철 선임기자 chuli@seoul.co.kr

세계 최대의 소셜네트워크서비스(SNS) 페이스북이 악성 게시물 규제에 ‘백기’를 들었다. 마크 저커버그 최고경영자(CEO)는 지난 30일(현지시간) “온라인 규제를 강화해야 한다”고 주장했다. 정부의 온라인 개입에 반대해온 페이스북의 기존 입장과는 사뭇 달라 주목된다. 저커버그는 이날 워싱턴포스트(WP)에 ‘인터넷은 새로운 규칙을 필요로 한다’는 제목의 칼럼에서 “개인의 사생활, 깨끗한 선거, 유해 콘텐츠, 데이터 이동 등 4가지 분야에 대한 정부의 규제가 필요하다”고 밝혔다. 그러면서 “해당 규제를 지키지 않은 기업에는 제재를 취해야 한다”고 강조했다. 잇단 정보유출 사고를 비롯해 미 대선 당시 러시아의 대선 개입 활동이 주로 페이스북을 무대로 이뤄졌다는 사실이 알려지는 등의 악재로 페이스북이 여론의 뭇매를 맞자 대응에 나선 것으로 해석된다. 저커버그 CEO는 “나는 정부와 규제 당국이 더욱 적극적인 역할을 할 필요가 있다고 생각한다”면서 “인터넷 규칙을 갱신함으로써 우리는 사람들이 자신을 표현할 수 있는 자유, 기업가들이 새로운 것을 만들 수 있는 자유를 지킬 수 있고, 광범위한 혐오로부터 우리 사회를 보호할 수 있다”고 말했다. 그는 또 깨끗한 선거를 위해서라도 온라인 규제와 관련한 법안 개정이 필요하다고 전했다. 저커버그 CEO는 이어 유럽연합(EU)의 일반개인정보보호법(GDPR)을 거론하며 “다른 나라도 이런 규제를 도입해야 한다”고 촉구했다. GDPR은 사용자 동의 없이 개인정보를 수집하거나 이용한 기업에게 거액의 과징금을 부과할 수 있도록 명문화하고 있다. 저커버그의 이 같은 주장은 페이스북을 비롯한 ‘인터넷 공룡’들이 오랫동안 정부의 개입에 반대해온 것과는 차이가 난다고 AFP통신은 지적했다. 저커버그는 2011년 5월 프랑스 도빌 주요8개국(G8) 정상회담에 앞서 열린 ‘e-G8 포럼’에서 외부의 규제를 반대하는 이유로 “인터넷에서 당신이 좋아하는 것만 분리해낼 수도 없고 당신이 싫어하는 것들을 통제할 수도 없다”고 주장한 바 있다. 블룸버그통신은 정부의 규제를 받아들이겠다는 저커버그의 이번 입장 표명으로 페이스북은 현재 처해있는 곤란한 상황들을 해소하거나 최소한 이를 해결할 시간을 벌 수 있을 것이라고 진단했다. 실제 페이스북은 2016년 미국 대선 당시 러시아의 대선 개입 활동이 주로 페이스북을 무대로 이뤄졌다는 사실이 알려지면서 비난을 받았다. 다른 나라에서도 선거 개입 통로로 악용되고 있다는 의심이 끊이지 않고 있다. 특히 최근엔 뉴질랜드 총격 테러범이 페이스북으로 범행을 생중계하면서 “페이스북이 방조한 것 아니냐”는 비난 여론이 거세다. 이를 의식한 듯 셰릴 샌드버그 페이스북 최고운영책임자(COO)도 이날 “온라인 생중계 규제 방안을 모색하겠다”고 약속하기도 했다. 김규환 선임기자 khkim@seoul.co.kr

가명정보 활용 핵심 개망신법 개정안 국회 표류개인정보보호위원회 중앙행정기관 격상일본은 최근 EU GDPR 통과…한국 기업 불리기업이 개인을 식별할 수 없도록 처리한 ‘가명정보’에 대해선 당사자의 동의가 없어도 활용할 수 있도록 한 이른바 ‘개망신법’ 개정안이 국회 계류 중이다. 여야의 국회 정상화 논의가 연일 불발되는 가운데 상반기 중 통과 여부도 ‘안갯속’이다. 개망신법은 개인정보 규제를 담은 ‘개’인정보보호법·정보통신‘망’법·‘신’용정보법을 아울러 이르는 말이다. 개망신법으로 기업들은 개인정보가 포함된 데이터를 함부로 활용할 수 없다. 정보통신기술(IT) 업계의 불만이 크다. 빅데이터 활용이 핵심인 4차 산업혁명에서 기업의 발목을 잡는 규제라는 것이다. 정부가 내놓은 해답은 가명정보 도입이다. 가명정보란 누군지 알 수 없도록 안전하게 처리한 정보다. 추가 정보와 결합하지 않으면 개인을 식별할 수 없다. 예컨대 ‘홍길동(25세·남성)’이라는 정보를 ‘임꺽정(20대)’로 바꾸는 것이다. 20대 임꺽정이라는 정보만으로는 25세 남성 홍길동을 특정하는 것은 불가능하다. 정보를 이렇게 처리했다면 기록보존, 과학적 연구, 통계작성 목적으로 정보주체의 동의 없이도 이를 활용하고 데이터 결합도 할 수 있게끔 한 것이다. 기업 내부 데이터는 자체적으로 결합할 수 있게 하되 기업 간 데이터 결합은 전문기관에서 수행토록 한다. 박근혜 정부 시절인 2016년 6월에도 정부는 이런 내용을 담은 ‘개인정보 비식별 처리 가이드라인’을 내놓은 바 있다. 하지만 이땐 익명정보와 가명정보를 제대로 구분하지 않아 정보를 무분별하게 이용할 수 있다는 비판이 제기됐다. 이번에 가명정보 개념을 정확히 도입하게 된 배경이다. 익명정보란 무슨 방법을 동원해도 개인을 알 수 없는 정보다. 이번 법 개정안엔 여러 부처로 분산된 개인정보 감독체계를 일원화하는 내용도 있다. 현재는 개인정보보호위원회(개보위), 행정안전부, 방송통신위원회, 금융위원회 등으로 나뉘어 있는 개인정보 감독체계를 개보위로 일원화하는 것이다. 개보위를 중앙행정기관으로 격상하고 개망신 3법을 통합 정비해 중복 규제를 해소한다는 내용도 담겼다. 정부는 법이 개정되면 데이터 분야 규제가 풀려 블록체인·인공지능(AI)·자율주행차 등 데이터 기반 신산업 육성에 도움이 될 것으로 기대했다. 예컨대 도로교통공단과 자동차회사, 통신사가 보유한 데이터를 안전하게 결합하면 자율주행차 기술 개발에 활용하는 것이다. 아울러 개망신법을 통합해 운영하면 기업의 준법 부담도 완화될 것으로 보인다. 개인정보보호 전담 감독기구가 생기면 유럽 개인정보보호법(EU GDPR) 적정성평가를 통과해 국내 기업의 해외 진출을 활성화할 수 있을 것으로 보인다. EU GDPR 적정성평가를 통과하면 별도 절차 없이 EU 소속 국가 시민들의 개인정보를 현지에 진출한 한국 기업 법인이 국내로 이전해 연구 개발 등에 활용할 수 있다. 일본은 지난달 23일 EU GDPR 적정성평가를 통과했다. 이에 대해 정부 고위 관계자는 “데이터 이전에 있어서 한국이 일본 기업보다 불리한 위치에 놓였다”면서 “늦어도 상반기 내엔 법이 통과되길 바란다”고 강조했다. 오경진 기자 oh3@seoul.co.kr

블록체인 전문 개발기업인 엑사랩(대표 이재현)이 ‘ISO 27001 정보보안 및 GDPR 인증’을 취득해 인증기관인 로이드인증원으로부터 인증서를 받았다고 19일 밝혔다.ISO 27001은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)에서 제정한 정보보호 경영시스템 인증으로 정보보호 분야에서 가장 권위 있는 국제표준이다.GDPR은 ‘유럽 일반 개인정보보호법’의 약자로 유럽연합(EU) 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 정보 주체의 개인정보보호 권리를 강화하고자 2018년 5월부터 시행되고 있다.엑사랩은 EMP(Every Media blockchain Platform)라는 미디어 플랫폼을 개발 중이다. EMP는 콘텐츠의 생산자와 사용자에게 활동 가치에 대한 정당한 보상을 주는 플랫폼이다.이재현 엑사랩 대표는 “글로벌 수준의 정보보안 시스템을 구축했으며 지속적인 개선을 통해 사용자들이 안전하게 이용할 수 있는 미디어 플랫폼을 개발할 것”이라고 밝혔다.온라인뉴스부 iseoul@seoul.co.kr

요즘 데이터 경제가 화두이다. 얼마 전에는 문재인 대통령이 규제혁신 행사에 참석하여 ‘데이터 강국’으로의 의지를 천명하기도 했다. 산업화 시대는 석유가 성장의 기반이었지만, 4차 산업혁명 시대에는 데이터가 ‘원유’라는 설명이다. 데이터는 이미 부가가치 창출의 주요 원천이며 앞으로 더욱 중요해질 것이라는 데는 대부분 동의한다.한국은 산업화 시대에 빠른 경제성장을 달성해 세계를 놀라게 했다. 사실 산업화의 중요한 기반인 석유가 한 방울도 나지 않았지만, 인력을 양성하고 기술을 개발하여 정유·석유화학공업에서 경쟁력을 키웠다. 석유로 움직이는 자동차는 대표적인 수출 품목이 되었으며 석유를 운반하는 유조선은 한국 조선사들이 최고로 잘 만들었다. 풍부한 석유를 가졌지만, 경제 발전이 더딘 나라들도 많으니 석유만이 산업화를 좌우하는 것이 아님을 알 수 있다. 미래 산업의 원유인 데이터와 관련해서도 비슷한 생각을 해볼 수 있다. 우리나라는 인구가 많지 않아 데이터 규모에 한계가 있다. 예전에 비해 경제 규모가 커졌지만, 우리나라보다 인구나 경제 규모 면에서 비교가 안 되게 큰 나라들이 많다. 데이터의 규모가 클수록 그 가치가 훨씬 더 커지기 때문에 국내 데이터만을 가지고 경쟁하기는 어렵다. 결국 데이터를 잘 다루는 기술을 개발하여 수출을 하든, 다른 나라의 데이터를 분석하든 해야 한다. 데이터의 범위가 국내를 넘어서게 되면 다른 나라의 데이터 보호 규제에 주의해야 한다. 정도와 범위는 달라도 거의 모든 나라에서 사생활 및 개인정보를 보호하고 있기 때문이다. 유럽연합은 최근 개인정보보호규제(GDPR)를 새로 만들어 빅데이터의 활용 가능성을 높였으나 각종 정보보호 장치도 강화했다. 전통적으로 유럽에 비해 정보 보호가 느슨하다고 알려진 미국에서도 최근 인터넷상에서의 개인행동 추적을 금지하는 두낫트랙(Do-Not-Track) 제도를 도입하고 있다. 아울러 정보의 수집과 유통을 관장하는 포괄적 법규의 제정 등 개인정보 보호를 강화하는 쪽으로 움직이고 있다. 미국 정부는 빅데이터 활성화를 적극적으로 지원하고 있으나 개인정보 보호의 강화도 병행하고 있음을 알 수 있다. 결국 우리나라 기업들이 데이터를 다루고 분석하는 과정에서 불가피하게 정보보호 규제를 맞닥뜨리게 된다. 규제나 제한 없이 데이터를 마음껏 이용할 수 있는 환경은 없다. 관건은 다양하고 강력한 정보보호 규제를 엄수하면서도 어떻게 데이터를 잘 처리하고 분석하여 높은 가치를 만들어 내느냐 하는 것이다. 데이터 경제의 활성화를 위해 되도록 규제를 없애자는 주장은 위험할 뿐 아니라 데이터 산업 육성에도 독이 될 수 있다. 예를 들어 우리나라가 세계 최고의 연구 수준을 보유하고 있다는 동형암호 기술을 생각해보자. 이 기술은 개인정보를 암호화한 상태에서 그대로 결합하여 암호를 풀지 않고 데이터를 분석한다. 개인정보 유출이나 사생활 침해의 문제를 근원적으로 해결해줄 수 있으나 아직까지 데이터 분석 속도가 느리다는 단점이 있다. 그런데 만일 정보보호 규제를 싹 없앤다면 동형암호 기술은 쓸모가 없게 된다. 개인들의 데이터를 그대로 결합해서 분석하면 되는데 뭐 하러 거추장스럽게 동형암호 처리를 한단 말인가. 또 동형암호 처리된 데이터의 분석 속도를 높이는 연구도 필요 없다. 아마 동형암호 데이터 분석기술의 상용화는 경쟁국 기업의 차지가 될 것이다. 우리 정부는 데이터 관련 규제를 혁신하여 데이터 활용을 대폭 확대하면서도 개인정보 보호 역시 소홀히 하지 않겠다는 입장이다. 이는 바람직한 방향이지만 하나 더 유념할 것이 있다. 정보보호 규제들이 다 똑같지는 않으며 궁극적으로 데이터 경제 활성화에 도움이 되는 것과 그렇지 않은 것들이 있다는 점이다. 예를 들어 개인정보 유출이 염려되어 데이터를 바로바로 삭제하도록 하면 데이터 경제의 도래는 요원할 것이다. 사생활 보호에 대한 국민의 요구 수준을 만족시키면서도 데이터 경제를 활성화하고 기술개발도 촉진하는 환경을 만들어야 한다. 이는 매우 어려운 과제이지만, 어차피 우리가 가야 할 길이다. 교통사고가 두렵고 고통스럽다고 자동차와 도로를 버릴 수는 없지 않겠는가.