구독상품안내
페이스북이 최근 사용자 정보 유출 사태로 홍역을 치르고 있다. 약 8700만 명의 정보가 유출되면서 페이스북의 주가는 폭락했고, 창업자이자 최고경영자(CEO)인 마크 저커버그는 4월 미 의회에서 이틀 동안 열린 청문회에 참석해 거듭 사과하며 재발 방지를 약속했다.
청문회에서 관심을 모은 이슈 중 하나는 유럽연합(EU)이 5월 25일 발효할 예정인 ‘개인정보보호규칙(GDPR)’에 관한 저커버그의 의견이었다. GDPR은 매우 엄격하고 까다로운 개인정보보호법으로, 페이스북처럼 사용자 데이터를 활용하는 기업의 활동을 위축시킬 수 있다는 우려가 있다.
저커버그는 청문회에서 “GDPR에는 (사용자 입장에서) 중요하고 좋은 측면이 있다”며 “유럽에서뿐만 아니라 미국 등 전 세계 사용자들에게 GDPR이 요구하는 수준의 개인정보보호 서비스를 제공할 것”이라고 답했다.
하지만 청문회를 마친 뒤 저커버그가 청문회를 위해 법률 전문가들의 자문을 받아 준비한 노트 내용이 언론을 통해 노출됐다. 저커버그의 노트에는 “(페이스북이) GDPR이 요구하는 조치를 이미 하고 있다는 식의 이야기는 하지 말 것”이라고 적혀 있었다. 페이스북이 GDPR 발효에 대비해 아직 구체적인 대책을 갖고 있지는 않다는 뜻이다.
미국 정보기술(IT) 전문매체인 ‘와이어드’는 “의회 청문회 보다 GDPR이 페이스북에 훨씬 어려운 시험대가 될 것”으로 전망했다.
GDPR은 페이스북만의 문제가 아니다. 유럽 기업이나 소비자를 대상으로 하는 국내 기업들도 대책 마련이 시급하다. 법률 및 기술 전문가들은 동형암호와 같은 기술에 대한 관심이 ‘GDPR 시대’에 더욱 늘어날 것으로 전망한다.
GDPR 발효됐다면 페이스북 벌금 최대 1조7392억 원
GDPR은 2016년 유럽 의회에서 통과된 뒤 2년의 유예기간을 거쳐 5월 25일 발효되는 개인정보보호규칙이다. 박노형 고려대 법학전문대학원 교수는 “기존 유럽연합 개인정보보호 지침을 개정한 것”이라며 “유럽연합 회원국에 일괄적으로 적용되며, 지침보다 한 단계 더 강력한 규제인 규칙에 해당한다”고 설명했다. 지침은 국가별 상황에 따라 융통성 있게 적용할 수 있는 자유도가 있지만, 규칙은 자국법과 관계없이 반드시 지켜야 한다는 점에서 상위 개념이라고 할 수 있다.
만약 페이스북의 개인정보 유출 사태가 GDPR이 발효된 상태에서 발생했다면 페이스북은 상황에 따라 최대 16억2612만 달러(약 1조7407억 원)의 벌금을 내야 한다. GDPR을 위반하면 해당 기업에는 전 세계 매출의 4% 또는 2000만 유로(약 263억3160만 원) 중에서 더 높은 금액을 벌금으로 부과할 수 있기 때문이다. 페이스북의 2017년 연간 매출은 406억5300만 달러(약 43조5190억 원)였다.
GDPR의 주요 내용은 다음과 같이 요약할 수 있다. 사용자가 본인의 데이터 처리 관련 내용을 제공받을 권리, 본인의 데이터 열람 요청 권리, 정정을 요청할 권리, 삭제를 요청할 권리, 처리 제한을 요청할 권리, 데이터를 이동할 수 있는 권리, 처리 거부를 요청할 권리, 개인정보의 자동 프로파일링 및 활용에 대한 결정 권리 등이다.
GDPR은 기존 지침보다 정보 주체의 자기결정권이 강화된 법으로 평가받고 있다. 특히 기업이 개인정보를 침해한 경우 그 사실을 인지한 지 72시간 이내에 감독당국은 물론 해당 사용자에게 알리도록 하고 있다. 이 여덟 가지 가운데 처리 제한을 요청할 권리부터 개인정보 침해 사실을 사용자에게 알릴 의무 등 네 가지는 이전 지침에 없던 것을 새로 만들거나 더 명확하게 정리한 것이다.
삭제 요청 권리의 경우 국내에서도 한동안 사회적으로 이슈가 된 ‘잊힐 권리’에 해당한다. 사용자가 요청하면 기업은 소셜네트워크서비스(SNS) 등 개인의 온라인 활동 기록을 삭제해야 한다. 개인정보의 자동 프로파일링 및 활용에 대한 결정 권리는 마케팅의 일환으로 개인의 직업, 취미, 위치 등을 자동으로 수집해 활용하는 경우 사용자에게 고지하고, 사용자가 이를 허용하거나 거부할 수 있는 선택권을 주는 것이다.
페이스북 정보유출 사태는 GDPR의 기준에서 크게 세 가지 규칙을 위반했다고 주장할 수 있다. 사용자에게 본인의 데이터 처리 관련 내용을 제공할 의무를 이행하지 않았고, 개인정보의 자동 프로파일링 및 활용에 대한 사용자의 결정 권리를 인정하지 않았으며, 마지막으로 개인정보 침해가 발생한 경우 72시간 이내에 고지해야 한다는 규칙을 어겼다.
GDPR은 지리적으로 유럽 내에서만 적용되는 규칙이 아니다. EU 시민에 대한 정보와 유럽연합 내에서 처리되는 데이터까지 포괄적으로 적용된다. 페이스북의 경우 미국과 캐나다를 제외한 국가의 사용자 데이터를 아일랜드에 설치한 글로벌데이터처리시설에서 분석하는 만큼, GDPR이 발효되면 한국을 포함해 전 세계 거의 모든 페이스북 사용자가 GDPR에 따른 개인정보 보호 규칙 하에 놓인다. 고학수 서울대 법학전문대학원 교수는 “페이스북이 유럽에 있는 한국인 사용자의 개인정보를 유출하거나 남용할 경우 GDPR에 따른 규제를 받을 수 있다”고 말했다.
암호화되면 식별성 사라져 활용 가능
GDPR은 개인정보 보호 강화에만 치중한 규칙으로 보일 수 있다. 하지만 전문가들은 GDPR이 빅데이터 활용 등 궁극적으로는 디지털산업을 활성화시키기 위한 규칙이라고 설명한다. 박 교수는 “GDPR의 목적은 개인정보를 보호하면서 디지털 경제를 활성화시키려는 것”이라며 “GDPR 1조에도 법의 목적이 개인정보를 보호하면서 동시에 개인정보를 자유롭게 이동(활용)할 수 있게 하는 것이라고 적혀 있다”고 말했다.
이전에는 아예 없거나 약했던 규제가 새로 생기거나 강화 되면서 당장 기업 입장에서는 불편하게 느낄 수 있겠지만, 장기적으로는 개인정보의 침해 없이 빅데이터 분석 등 디지털 산업을 활성화 시키는 데 도움이 된다는 것이다.
박 교수는 “GPDR에서 기업이 개인정보를 활용할 때 요구하는 조건은 가명 처리와 암호화”라며 “동형암호처럼 암호화시킨 상태에서 정보를 분석하는 기술이 계속 발전해야 하는 상황”이라고 말했다.
암호화시킨 개인정보는 식별성이 제거된 만큼 법적으로 개인정보가 아니다. 기업 입장에서는 법의 테두리 안에서 개인정보를 분석하고 활용할 수 있는 자유도가 훨씬 커지는 셈이다.
학계에서도 동형암호가 GDPR에 대한 산업계의 대안이 될 수 있을 것으로 전망하고 있다. 비노드 바이쿤타나탄 미국 매사추세츠공대(MIT) 컴퓨터과학및인공지능연구소 교수는 과학동아와의 인터뷰에서 “GDPR이 발효되면 기업에게 동형암호 기술이 매우 유용할 것”이라며 “가령 아마존이 음성비서 ‘알렉사’로 소비자의 음성을 인식한 뒤 그 데이터를 그대로 구글 음성인식 서비스에 보내는 상황은, GDPR 하에서는 불가능한 반면 동형암호로 암호화한 상태에서는 가능하다”고 말했다.
논란의 여지도 있다. 고 교수는 “동형암호는 정보를 암호화시켜 안전하게 분석하는 기술이라고는 하지만, 질의(inquiry)에 기초한 방식은 일반적으로 여러 차례의 질의를 거친 뒤에도 익명성이 계속 확보될 것인지 등에 대한 추가적인 확인이 필요할 수 있다”며 “실제 도입에 앞서 이러한 맥락의 추가적인 연구가 필요할 것”이라고 말했다.
국내 개인정보보호법, 4개로 나뉘어
한국의 개인정보보호법은 기본적으로 EU의 GDPR과 유사한 측면이 많다. 2011년 제정된 개인정보보호법은 기본적으로 1995년 마련된 EU의 개인정보보호 지침에서 많은 부분을 참고해 만들었기 때문이다.
하지만 한국의 규제가 GDPR보다 더 강력하다고 볼 수 있는 측면도 있다. 개인정보 보호를 다루는 한국의 법은 네 개로 나뉘어 있는데, 개별 법에 GDPR보다 더 강력한 규칙이 일부 담겨있기 때문이다. 현재 개인정보 보호에 관한 법률은 크게 개인정보보호법과 신용정보법, 정보통신망법, 위치정보법 등 네 가지로 나뉘어 있다.
이들 법에는 GDPR처럼 사용자가 자신의 정보를 열람, 정정, 삭제, 처리 정지를 요구할 권리를 명시하고 있다. 게다가 각 법은 신용정보 등 초점을 맞춘 분야가 정해져 있기 때문에 분야별로는 GDPR보다 규제가 더 강력한 부분도 있다.
박 교수는 “기본적으로 한국의 법도 GDPR처럼 하나의 큰 규칙으로 통일할 필요가 있다”고 말했다. 고 교수는 “GDPR이 발효되고 나면 국내에도 여러 가지 형태로 직접적, 간접적 영향이 나타날 것”이라고 말했다.
▼관련기사를 계속 보시려면?
