경제적 파급효과, 데이터 협력 필요성, 실효성 등에 비추어 볼 때 다각도 검토 필요
[보안뉴스= 김현경 서울과학기술대학교 IT정책전문대학원 교수, 개인정보보호법학회 회장] AWS, MS, 구글 등 미국 클라우드 기업이 미국을 포함, 전 세계 클라우드 시장을 선점하고 있으며, 국내도 AWS가 60.2%, MS가 24%로 양사가 80%이상 차지하고 있다. 뿐만 아니라 내국인의 80%가 구글유튜브를 사용하며, 알리·테무 등 중국 쇼핑몰 이용 역시 일상이다.
[이미지=gettyimagesbank]
이러한 해외서비스 이용과정에서 개인정보를 비롯한 데이터 국외 이전은 필연적이다. 우리 시민의 개인정보는 글로벌 플랫폼을 통해 미국, 중국 등 다양한 국가로 이전되고 있다. 그만큼 외국 정부가 국가안보 등을 이유로 내국인 개인정보에 접근할 수 있는 가능성도 높다. 따라서 데이터 안보를 생각하면 이러한 국외 이전을 막아야 할 것 같다.
그러나 디지털 경제의 핵심자원인 데이터의 이동을 제약하는 것은 자칫 국가경제에 치명적일 수 있다. 오히려 양질의 거대 데이터 확보를 통해 혁신적 글로벌 디지털 서비스를 개발, 확산하여 디지털 경제의 부흥을 도모하는 것이 우리에게 더 중요한 과제일 것이다.
이러한 상황에서 최근 EU 국가들은 기업들에게 ‘외국 정부가 유럽 데이터에 접근할 수 있는 이론상의 위험이 존재한다면 어떠한 데이터 이전 혹은 처리도 허용될 수 없다’는 ‘위험 제로(zero risk)’ 접근방식을 발전시키고 있다. 여기에는 자국민 데이터는 국경을 넘어가서는 안 된다는 강력한 데이터 국지화가 포함된다. 우리나라도 지난 21대 국회에서 강력한 서버 혹은 데이터 국지화를 규정하는 법안이 국회에서 논의된 바 있다.
그러나 유럽에서 개인정보를 처리하는 기업에게 요구하는 ‘위험제로’ 요건의 충족은 달성할 수 없는 것을 추구하고 있는 것으로 보인다. 우선 미국의 인적 관할의 확장 때문이다. 유럽의 데이터 컨트롤러 등은 종종 미국과 같은 외국의 인적 관할권의 적용을 받는다. 미국 기업뿐만 아니라 미국에 진출해 있거나 미국에 연고를 둔 거의 모든 유럽 데이터 기업들은 미국의 인적 관할 하에 있을 수 있다. 즉 미국 이외의 회사가 미국 시장을 대상으로 해외에서 디지털 서비스를 제공하는 경우 미국 당국은 이를 ’미국 내‘로 간주할 수 있다.
SAP, OVH, 3DS Outscale 등 유럽 클라우드 서비스 제공자(CSP)는 대부분 미국에 진출해 있으므로 미국 CSP와 마찬가지로 미국 법률의 적용을 받을 가능성이 높다. 따라서 이미 미국 법원은 미국의 인적 관할에 따라 유럽 CSP에게 유럽에 저장되어 있는 데이터를 제공하거나 지연일마다 10만 달러의 벌금을 지불하라는 등의 금지 명령을 내릴 수 있다.
유럽 CSP가 이를 따르지 않을 경우 미국 내 자산을 압류하거나 미국 시장에서 배제될 수 있으며, 심지어 소속 직원에 대한 형사 소송의 위험까지 감수하게 될 수 있다. 미국 시장과 그 시장에서 얻는 모든 경제적 이익을 포기할 의사가 없다면 미국 법의 적용을 받는 대부분 기업은 규정 준수를 거부하기 어려울 것이다. 적어도 당분간은 이러한 문제에 대해 ‘위험 제로’는 불가할 것이다.
그렇다면 ‘위험 제로’를 준수할 수 있는 대안은 다음과 같은 두 가지 뿐이다. 첫 번째 대안은 해외에 진출하지 않고, 특히 미국 내 활동이 전혀 없는(최소한의 연락처도 없는) ‘소규모’ CSP를 이용하는 것이다. 이러한 CSP는 미국 관할권에 속하지 않을 수 있다.
그러나 이러한 CSP는 유럽 데이터 컨트롤러가 클라우드로 이전하는 동기가 되는 제대로 된 클라우드 컴퓨팅 서비스를 제공하지 못할 수도 있다. 또한 상황에 따라 이러한 소규모 CSP는 사이버 보안, 시스템 견고성 및 악의적 공격으로부터 데이터 보호와 관련된 유럽의 엄격한 요구 사항을 충족하지 못할 수도 있다.
두 번째 대안은 클라우드 서비스를 전혀 사용하지 않고 모든 데이터를 유럽에 있는 자체 데이터 서버에 저장하는 것이다. 그러나 이러한 방안은 클라우드 컴퓨팅 사용에서 비롯되는 운영상의 이점을 고려할 때 대부분의 유럽 기업의 개발 목표와 양립할 수 없다. 클라우드를 통해서만 이용 가능한 기술의 발전으로 인해 자체 서버를 계속 운영하는 기업의 기회비용 손실이 기하급수적으로 증가하게 될 것이다.
또한 로컬 데이터 서버는 클라우드 솔루션보다 모든 종류의 사이버 범죄자들에게 훨씬 쉬운 표적이 되는 경우가 많다. 특히 적절한 사이버 보안 솔루션을 갖춘 대규모 데이터 서버를 구축하는 데 드는 비용은 유럽 데이터 관리자에게는 엄청난 부담이다. 따라서 이러한 솔루션은 사이버 보안 문제의 위험을 더욱 증가시킬 수 있다.
한편 많은 연구들은 ‘엄격한’ 데이터 국지화 조치가 사이버 보안에 치명적인 영향을 미칠 수 있다는 사실을 밝혀낸 바 있다. 일례로 ‘14개의 ISO 27002 통제 중 13개가 개인정보의 국지화로 인해 부정적인 영향을 받을 수 있다’고 밝힌 바 있다. 또한 데이터 국지화는 연간 약 2,000억 달러 규모의 글로벌 시장인 사이버 보안 서비스 제공을 광범위하게 제한하고. 특히, 국지화가 필요한 지역은 최강의 사이버 보안 서비스로부터 단절되어 공격자의 표적이 되기 쉽다.
결론적으로, 데이터가 저장된 CSP의 국적이나 오너쉽에 관계없이 외국 정부의 데이터 접근에 있어서 ‘위험제로’라는 것은 현실적으로 불가능하다. 이는 미국 등의 국가에 의한 보복 위험은 물론 유럽 고객의 첨단기술 접근에 막대한 차질을 초래할 뿐만 아니라 경제 및 생산성 손실도 초래할 수 있다. 그리고 미국에서 활동하고 있지 않는 유럽 CSP 등 몇몇 유럽의 데이터 프로세서들은 미국 등 외국의 인적 관할권에 속하는 것을 회피하더라도 오히려 해외 정보기관이 ‘직접접근’하거나 사이버 공격의 위험이 높아질 수 있다. 모든 데이터 처리에는 위험이 수반될 수밖에 없다.
따라서 데이터 국지화 규범을 포함한 유럽의 ‘위험제로 접근 방식’은 경제적 파급효과, 데이터 협력 필요성, 실효성 등에 비추어 볼 때 신중한 검토가 필요하다. 우리가 개인정보의 역외이전에 대한 유럽식 상호적정성 모델을 채택한 것은 국내 경제 상황에서 유럽시장의 비중을 무시할 수 없었기 때문이다. 즉 경제의 대외의존성이 상당한 우리 입장에서는 통상 국가별로 유연한 방식을 채택하면서 자국 이익을 고수할 수 있는 전략적 묘안을 찾아야 할 것이다.
[글_김현경 서울과학기술대학교 IT정책전문대학원 교수, 개인정보보호법학회 회장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>