“디지털 세상, 정보 주체는 사용자”… 유럽 제일의 ‘GDPR 모범생’

 
찜찜하다. 그래도 동의하지 않을 수 없다. 안 그러면 일이 진행되지 않기 때문이다. 인터넷 송금이나 구매, 계약 등 온라인으로 뭔가 중요한 일을 하려 하면 어김없이 만나게 되는 문구 얘기다. 개인정보 수집 및 이용 동의, 개인정보 제3자 제공 동의, 개인정보 취급위탁 동의…. 따져 보면 하나같이 엄청난 잠재적 효력을 담은 조건들이다. 일단 클릭하고 넘어가지만 살짝 불안한 느낌은 어쩔 수 없다. ‘내 신상 정보를 이렇게 다 넘겨줘도 되나?’ ‘웹사이트를 빠져나간 후 정보는 어떻게 되지?’ ‘온라인을 떠돌다 이상한 사람들 손에 들어가는 건 아닐까?’

4억 인터넷 인구 이목 집중시킨 ‘세기의 재판’

온라인 업무 처리에 능한 사람, 즉 적극적 인터넷 사용자라면 누구라도 이런 질문을 떠올리며 맘 불편했던 적 있을 것이다. 온라인 통계 포털 스타티스타(Statista)에 따르면 2018년 6월 현재 적극적 인터넷 사용자 수는 전 세계적으로 4억 명 이상으로 추산된다. 다시 말해 최소한 4억 명은 그런 유(類)의 불안을 경험했을 수 있단 얘기다.

그 많은 인구가 관심을 보일 만한 재판이 지난달 29일<이하 현지 시각> 독일의 유서 깊은 도시 본(Bonn)에서 열렸다. 원고는 세계 각국을 대상으로 IP 주소 배급을 관할하는 비영리 기구 ‘아이캔(ICANN)[1]’, 피고는 본 소재 도메인 등록 대행 업체이면서 아이캔 서비스를 이용 중인 고객이기도 한 ‘에팍(EPAG)’이었다. 분쟁의 단초를 제공한 건 최근 유럽연합(EU)을 중심으로 전 세계를 긴장시키고 있는 소위 GDPR 문제였다.

GDPR은 ‘일반 데이터 보호 규정(General Data Protection Regulation)’의 약자다. 2년 전 EU 의회에서 통과돼 지난달 25일부터 시행된 이 규정은 한마디로 ‘인터넷 사용자 보호’에 방점이 찍혀있다. GDPR이 적용되면 인터넷에서 누군가의 신상에 대한 정보가 이용될 때, 그 정보를 제공하는 사용자 입장에서 어떤 정보가 어떤 방식으로 왜 사용되는지 설명을 요청할 수 있다. 맘에 들지 않는 정보의 수정이나 일정 목적에 쓰인 정보의 삭제를 요구하는 것도 가능하다. 그뿐 아니다. 한 업체에 제공했던 정보를 다른 업체로 옮겨달라고 할 수도, 정보가 원치 않는 방식으로 형성되거나 처리될 경우 그 과정 자체를 거부할 수도 있다.

일반 데이터 보호 규정은 대단히 포괄적인 동시에 엄격하다. 적용 대상은 EU 거주 시민의 개인정보를 처리하는 모든 정보 통제·처리·보호책임자 등. EU 국가에 사업장을 보유한 업체는 물론, 사업장을 갖고 있지 않더라도 EU 거주 시민에게 온라인 서비스를 제공하거나 시민들의 행동을 모니터링하는 기업이라면 예외 없이 지켜야 한다. 만일 이를 위반하고 개인 정보를 침해할 경우, 그 업체가 세계 전체에서 발생시킨 매출액의 4%와 2000만 유로(약 255억8000만 원) 중 더 높은 금액이 과징금으로 부과된다.

“필요한 정보만 최소한으로 수집하는 게 옳다”

지난달 29일 있었던 아이캔-에팍 재판은 바로 이 GDPR 적용 여부를 둘러싼 분쟁으로 인해 열린 첫 소송의 장이었다. ‘원고 아이캔’은 GDPR 적용으로 심기가 불편해지는 입장에 있었고 ‘피고 에팍’은 “GDPR을 준수하지 않을 도리가 없는 만큼 지금까지의 관행은 바뀌어야 한다”고 판단했다. GDPR 시행 닷새 만에 열린 이 재판은 GDPR이 실제 상황에선 어느 정도 수준으로 적용될지 가늠하게 해주는, ‘시범 케이스’ 같은 성격을 띠고 있었다. 진행은 일사천리였고 판결은 재판 이튿날인 30일 나왔다.

아이캔은 전 세계 도메인명을 총괄하는 비영리조직으로 다양한 관련 서비스를 제공하고 있다. 그중 하나인 후이즈(WHOIS)는 인터넷 IP 주소 보유자의 기본 정보가 담긴 데이터베이스를 기반으로 서비스 이용자가 특정 IP 주소 보유자의 정보에 대해 질문하면 답해주는 프로토콜이다. 그러기 위해 후이즈 이용 업체는 IP 주소를 등록하는 사용자에게 이름∙주소∙전화번호∙이메일주소 등을 받아낸다. IP 등록업체 대표뿐 아니라 관리(administration)·기술(technology) 책임자 연락처까지 등록해야 한다.

약간의 불안감을 느끼면서 ‘이런 정보까지 제공해야 하나?’ 의문을 품는 사용자, 당연히 있었을 것이다. 하지만 GDPR 개념이 정립되기 전까진 아이캔이나 에팍처럼 서비스 제공 업체가 필요하다고 판단하기만 하면 원하는 만큼 정보를 수집해갈 수 있었다. GDPR은 그렇게 당연시됐던 행동 중 상당 부분을 금지하는 법인 셈이다.

에팍은 아이캔의 후이즈 시스템을 사용해온 고객이며 GDPR을 가장 앞장서서 실천하고 있는 독일이 주된 시장이다. 이 때문에 GDPR이 시행되자마자 “도메인 관리∙기술 책임자의 신상 정보까지 요구하는 건 못하겠다”고 선언했다. “(GDPR를 위반하면) 엄청난 벌금을 물 게 뻔하다”는 게 그들의 논리였다. 그러자 에팍을 통해 도메인 이용자의 신상정보를 수집하던 아이캔은 “에팍의 행동은 명백한 계약 위반이며 아이캔이 보유한 정보를 훼손시키는 행동”이라고 발끈하며 에팍을 독일 본지방법원에 고소했다. 양 측 주장은 말 그대로 팽팽하게 맞섰다.

[2] 캐나다 기반 도메인 등록대행업체. 에팍EPG은 투카우즈의 독일 지사와 같은 성격의 기업이다

독일 법원의 판결은 단호했다. “GDPR이 발효된 이상 ‘향후 고객 관련 정보 중 꼭 필요한 것만 최소한으로 수집하겠다’는 에팍의 입장은 정당하며, 계약 위반이라고 볼 수 없다”는 게 핵심 메시지였다. GDPR이 본격적으로 시행되면서 ‘그렇게 엄격한 법이 실제 상황에서 과연 지켜질까?’ 예의주시하던 온라인 서비스 제공 기업들은 이 판결을 접하며 마음을 단단히 먹어야 했다.

‘제조업 강국’답게 제조·IT 통합 분야서 두각

IT 산업 관련 사안을 담당하는 국제연합(UN) 산하 기구 인터내셔널텔레커뮤니케이션유니온(ITU)은 매년 세계 각국의 IT 산업 현황을 조사, 정리해 보고서를 펴낸다. 평가 기준은 ITU가 자체적으로 개발한 지표 IDI(ICT Development Index, 정보통신기술 발전 지표). 최근 출간된 2017년 보고서<아래 표 참조>에도 어김없이 IDI를 기준으로 한 국가별 IT 현황이 수록됐는데 아이슬란드가 1위, 한국이 2위에 올라있다(한국은 지난해 같은 보고서에서 1위였지만 1년 만에 순위가 한 칸 밀렸다).

위 표에 따르면 독일의 IDI 순위는 12위. 지난해 13위에서 한 계단 올라섰다. 유럽 내 순위로 치면 9위다. 1위인 아이슬란드는 물론, 스위스‧덴마크‧영국에도 밀린다. 물론 ITU 조사 대상국이 176개란 점에 비춰보면 12위는 최상위권에 속한다. 미국(16위)보다 높으며 일본(10위)에 비해선 약간 처지는 수준이다.

하지만 독일 IT 산업은 웬만한 국가들이 따라 잡기 어려운 강점을 갖고 있다. 우선 전통적으로 제조업 강국인 만큼 IT 기술을 제조업에 통합시키는 데 탁월한 역량을 보인다. 예를 들어 2016년 현재 유럽의 세계 반도체 생산 점유율은 11%인데, 이 반도체가 자동차 제조 공정에 통합되는 경우에 관한 한 3분의 2 이상이 독일의 기술과 제품을 활용한다.

이 같은 특징은 4차 산업혁명 시대가 본격적으로 펼쳐지는 오늘날 특히 빛을 발할 수 있다. 4차 산업혁명을 주도하는 산업 대부분이 정보통신기술을 통합, 재편하는 구조를 띠기 때문이다. 실제로 사물인터넷 시대를 맞아 거의 모든 물건이 IT 기반으로 새롭게 태어나고 있다. 그러려면 IT 기술 발달은 필수다. 하지만 그와 동시에 제조업 측면에서도 다양한 아이템이 그런 흐름에 맞춰 설계, 생산될 수 있어야 한다. 바로 그 지점에 독일 IT 산업의 경쟁력이 자리하고 있다.

디지털 주권 강조로 4차 산업혁명 선도 ‘잰걸음’

2011년 독일 정부는 자국 내 주요 기업과 협력해 ‘인더스트리 4.0(Industrie 4.0)’이란 정책 기반을 발표했다. 여기서 중점적으로 추진되는 분야는 △스마트 서비스 △디지털 혁신 △개방형 플랫폼 △디지털 주권 등 네 가지다. 앞의 세 가지는 모두 IT 산업의 기술적 진전과 관련돼 있지만 네 번째 항목인 디지털 주권은 다소 생뚱맞다고 여겨질 수 있다. 하지만 바로 이 디지털 주권이야말로 GDPR에 대한 독일의 입장을 가늠해볼 수 있는 ‘힌트’다.

▲ 독일 경제 주간지 비르츠샤프트보허(Wirtschaftwoche)가 2014년 10월 게재한 ‘인더스트리 4.0’ 관련 독일 정부 투자 기사에 수록된 사진. “인더스트리 4.0란 개념 이면엔 하나의 가치를 창조하는 데 관련된 모든 영역의 네트워킹이 숨겨졌다”란 설명이 달려있다

보통 ‘주권(sovereignty)’이라고 하면 국가가 갖는 권력 같은 거라고 생각하기 쉽다. 그런데 사전에 나와있는 이 단어의 첫 번째 뜻은 ‘최고의 힘 혹은 권위를 갖는 상태’다. 즉 ‘국가냐 개인이냐’ 하는 구별보다 ‘어떤 일에 대해 주체적으로, 가장 강력한 결정권을 갖는다’는 의미가 보다 강조되는 것이다.

‘디지털 주권’이란 표현도 마찬가지다. 그 말 속엔 ‘모든 정보와 의사 결정 과정이 온라인 상에서 처리되는 디지털 세상에선 정보의 주체인 사용자가 가장 큰 힘과 권위를 가져야 한다’는 전제가 깔려있다. 따라서 디지털 주권이 실행되려면 사용자 정보가 최우선적으로 보호돼야 한다. 정보 사용 단계에서도 사용자가 주체적으로 자신의 파트너를 선택할 수 있어야 한다.

독일이 “4차 산업혁명 시대를 선도하겠다”는 의지를 보이며 사용자의 디지털 주권 의식을 강조한 건 최근 IT 트렌드 분석 과정에서 비중 있게 등장하는 ‘사용자 참여 증대’ 경향과 무관하지 않다. 실제로 모바일 기반 하드웨어·소프트웨어 시장 발달에 따라 인터넷 사용자 규모가 급증하고 생활 밀착형 인터넷 사용 문화가 확산하면서 ‘사용자 경험을 중시하고 그들을 온라인 공간에 참여시키는’ 일이 온라인 마케팅의 최대 변수로 떠오르고 있다.

디지털 주권을 향한 독일의 의지는 EU가 내놓은 GDPR의 이행 과정에서 선명하게 드러난다. 독일은 약 5년의 준비 기간과 2년간의 유예 과정을 거쳐 발효된 이 법규의 제정 과정에 앞장서왔을 뿐 아니라 올 1월 관련 국내법 정비도 끝냈다. 명실상부하게 ‘유럽 국가 중 제일가는 GDPR 모범생’이라 할 만하다. 결국 ‘아이캔 대(對) 에팍’ 재판은 이런 환경 변화에 심기가 불편해진 (아이캔으로 대표되는) IT 기업이 정면으로 던진 도전장이라고 할 수 있다. 그리고 그 결과는 앞서 살펴본 것처럼 ‘독일의 즉각적 반격’이었다. 그럼 이제부터의 판세는 어떻게 움직여갈까? 전 세계 인터넷 관련 기업과 사용자가 예의주시하는 대목이다.

[1] (The) Internet Corporation for Assigned Names and Numbers. 1998년 설립됐으며 미국 로스앤젤레스에 본사를 두고 있다