정보보호의 중요성과 정보보안의 필요성이 날이 갈수록 증대된다. /사진=이미지투데이

디지털 전환으로 대표되는 IT의 급류가 전 산업 분야를 휩쓸고 있다. 클라우드·빅데이터·인공지능(AI)·사물인터넷(IoT) 등 기술이 이런 흐름을 빨라지게 한다. 이 기술들은 모두 ‘데이터’를 근간으로 한다. 데이터가 21세기 원유로 불리는 이유다.

개인정보보호, 21세기의 화두

데이터의 가치가 올라갈수록 보호와 보안의 필요성도 더욱 커진다. 특히 개인정보는 가장 민감한 데이터 중 하나다. 개인정보보호법에서는 개인정보를 ‘살아 있는 개인에 관한 정보’로 규정한다. 성명·주민등록번호·영상 등을 통해 개인을 알아볼 수 있는 정보는 물론이고 다른 정보와 결합 시 특정할 수 있는 정보도 포함된다.

유럽연합(EU)의 일반개인정보보호법(GDPR)은 정보보호 분야에서 이정표를 세운 제도로 평가받는다. 유럽에서 사업장을 운영하거나 유럽 내 시민 등 정보 주체 대상으로 재화나 서비스를 제공하는 경우에 적용된다. 모바일·인터넷 서비스와 게임 등 국경을 넘나드는 사업의 경우 GDPR에 대한 이해가 요구돼 2018년 시행 전후로 국내 기업들도 대비에 많은 노력을 기울였다.


EU GDPR은 위반 시 부과되는 과징금 규모로도 유명세를 떨쳤다. 심각한 위반 시 최대 전 세계 연간 매출의 4% 또는 2000만유로(약 267억원) 중 액수가 더 큰 쪽이 부과된다. 첫 대상은 미국 구글이었다. 프랑스 정보보호 주관기관인 정보자유국가위원회(CNIL)는 2019년 초 구글에 GDPR을 근거로 5000만유로(약 668억원) 과징금을 부과했다. 다만 GDPR의 이런 조치는 미국 기업 IT 서비스에 의존도가 높은 유럽시장의 특성상 견제와 자국 산업 보호 목적도 있는 것으로 해석됐다.

지난해 2월 벨기에 브뤼셀 EU 집행위원회 본부를 방문한 마크 저커버그 페이스북 CEO /사진=로이터

개인정보보호 관련 규제를 강화하는 것은 유럽뿐만이 아니다. 2019년 미국 연방거래위원회(FTC)는 2016년 페이스북이 캠브리지애널리티카에 개인정보를 유출한 사건에 대해 과징금 50억달러(약 5조6000억원)를 부과했다. 수천명의 데이터를 수집해 도널드 트럼프 전 미국 대통령의 당선을 도운 것으로 알려진 스캔들이다.

자국민 정보를 보호하라… ‘데이터 보호주의’의 부상

데이터 확보 경쟁이 점차 치열해지면서 세계 주요국들은 자국민 데이터 보호에도 관심을 쏟는다. 데이터 해외 반출을 막는 ‘데이터 보호주의’에 이르기도 한다.

대표적인 것이 ‘사이버보안법’이라 불리는 중국의 ‘네트워크안전법’이다. 2017년 시행된 이 법은 네트워크 보안 등급에 따라 보호 의무를 부과하며 최상위 등급으로 지정되면 다양한 규제가 따른다. 중국에서 수집한 데이터는 중국 내에 저장돼야 하며 중국 정부 지정 네트워크와 서비스를 이용해야 한다. 중국 정부가 이행 여부를 지속 점검할 수도 있다. 전 세계를 호령하는 미국의 IT 서비스가 중국에서 힘을 못 쓰는 이유 중 하나다.


지난달에는 라인이 일본에서 고개를 숙였다. 중국 업체에 개발 업무를 위탁하면서 일부 개인정보에 대한 접근 권한을 준 것으로 알려져 논란에 휩싸였다. 라인 메신저 이용 시 주고받는 사진과 동영상 및 결제정보 등이 한국 서버에 보관되는 것까지 일본 언론에서 문제로 삼으면서 공공분야를 중심으로 라인 이용을 배제하는 움직임도 일어났다. 이에 라인은 한국에 보관해온 데이터를 오는 9월까지 모두 일본 내로 이전하기로 했다.

상대 국가의 개인정보보호 수준에 따라 ‘데이터 통상’을 중단하기도 한다. 지난해 7월 유럽 사법재판소(CJEU)는 EU와 미국이 체결했던 데이터 전송 협약인 ‘프라이버시 실드’에 대해 무효 판결을 내렸다. 2016년 맺었던 이 협약은 유럽 시민의 개인정보를 상업적인 목적으로 미국으로 전송하는 경우를 다뤘다. 개인정보보호 수준이 충분하지 못해 침해가 우려된다는 이유로 무효가 되면서 유럽 지역에서 사업을 영위하는 구글과 페이스북 등 미국 5000여개 기업이 타격을 입었다.


공룡들끼리 왜 저래? 애플 vs 페이스북 신경전

최근에는 미국을 대표하는 빅테크인 애플과 페이스북 사이에서도 개인정보를 두고 갈등이 심화됐다. 애플이 지난해 말 개인정보보호 정책 강화를 천명하면서부터 두 회사의 사이가 벌어지기 시작했다. 조만간 iOS 14.5를 통해 업데이트될 예정인 ‘앱 추적 투명성’(ATT) 기능 때문이다.

지난해 10월 미국 캘리포니아 쿠퍼티노에 있는 애플파크에서 팀 쿡 애플 CEO가 아이폰12를 들고 포즈를 취하고 있다. /사진=로이터

‘앱 추적 투명성’ 기능은 앱 서비스가 다른 기업의 앱이나 웹사이트를 통해 사용자 데이터를 추적하려 하면 그 허용 여부를 사용자에게 먼저 승인받도록 한다. 기기마다 부여된 IDFA(광고용ID) 기반 추적을 차단·관리하는 게 핵심이다. 그동안 광고업계는 이를 기반으로 이용자 정보를 수집하고 맞춤형 광고를 제공해왔다. 앞으로 애플 스마트 기기에서 이 기능을 사용하면 자신이 사용할 앱 및 해당 앱에 부여할 개인정보 접근 승인 내용에 대해 충분한 정보를 기반으로 결정하고 관리할 수 있게 된다.

애플이 이번 정책을 공식 발표할 때부터 페이스북은 공개적으로 비난을 퍼부었다. 지난해 말 미국 주요 일간지에 전면 광고를 내고 “전 세계 중소사업자들을 위해 애플과 맞서 싸우겠다”고 나섰다. 모바일 앱을 통한 개인화된 광고가 불가능해지면 중소사업자들의 매출이 반토막 날 것이란 주장이다. 마찬가지로 광고 플랫폼이 주 수입원 중 하나인 페이스북도 큰 타격을 입을 전망이다. 최근 팀 쿡 애플 CEO(최고경영자)는 캐나다 토론토스타와 인터뷰에서 페이스북을 ‘관음증 환자’(Peeping Tom)에 빗대 비꼬았다.

더욱 민감해진 개인정보, 한국의 대처는?

지난달 29일 정부서울청사에서 윤종인 개인정보보호위원장이 한국 개인정보보호 법제가 EU GDPR과 동등한 수준으로 인정받은 것에 대해 브리핑하는 모습. /사진=뉴스1 DB

최근 개인정보보호위원회는 한국·EU 간 GDPR 관련 적성성 논의를 EU집행위 사법총국과 성공적으로 마무리했다. 논의를 시작한 지 4년여 만이다. 이로써 한국기업도 EU 회원국과 같이 EU 시민의 개인정보를 자유롭게 국내로 이전·처리할 수 있게 된다. 발표 직후 EU집행위는 의사결정 절차에 착수했으며 상반기나 늦어도 연내에는 이번 결정을 발효할 예정이다.

개인정보보호위원회 관계자는 “데이터를 자국 내 서버에 두거나 데이터 국외 이전을 막는 데이터 현지화(localization)를 꾀하는 국가들이 있지만 디지털 통상 시대에 발맞춰 자유로운 데이터 흐름의 필요성을 주장하는 국가들도 있다”며 “특수성이 있는 금융 분야를 제외하고는 자유로운 데이터 이전의 필요성이 대두되고 있으나 충분한 정보보호 수준을 갖추는 것을 전제로 하는 추세”라고 설명했다.

김재환 한국인터넷기업협회 정책국장은 “데이터는 자국 내 쌓아놓을수록 좋긴 하지만 이젠 특정 국가 안에서 데이터를 가둬놓는 폐쇄 정책은 불가능해지는 시대다. 그래서 EU도 적정성 검토를 하는 것”이라며 “개인정보뿐 아니라 서비스 이용 과정에서 생성되는 데이터도 IT 산업과 생태계의 기반이 된다. 플랫폼 규제 위주의 정책이 개선돼야 한국의 경쟁력도 올라갈 것”이라고 강조했다.