[총성 없는 데이터전쟁] 일본 EU 호주 등 다각도 안전장치… 한국은 아직 걸음마 단계
미국과 중국을 필두로 전세계 주요 국가들은 최근 들어 자국에서 생성된 데이터를 주권의 범위에 넣기 위한 법률을 제정하고 있다. 4차 산업혁명과 그 이후를 위해서는 데이터를 잘 지키는 것이 무엇보다 중요하다는 사실을 인지하고 있기 때문이다. 이른바 ‘데이터 민족주의’가 거세지고 있는 것이다.
일본에서는 2010년대 초반부터 데이터 주권에 대한 논의가 활발했다. 2014년 세계 최대 사모펀드 콜버그크래비스로버츠(KKR)가 파나소닉의 헬스케어 사업을 인수하는 과정에서 일본 국민들의 의료 정보가 해외로 유출될 수 있다는 우려의 목소리가 터져 나왔다. 이후 2017년 5월 시행된 일본의 개정 개인정보보호법에는 해외에 있는 제3자에게 자국 내 정보 제공을 제한하는 내용이 포함됐다. 이 법에 따르면 일본과 동일한 수준으로 개인정보가 보호되고 있다고 인정되는 국가와 제3자에게만 정보주체의 동의 없이 개인 데이터 제공이 허용된다. 나머지 국가의 경우 일일이 본인의 동의를 얻지 않는 한 원천적으로 데이터 이전이 금지된다.
일본이 지난해 유럽연합(EU) 일반데이터보호규정(GDPR) ‘적정성 평가’를 통과하면서, 현재로서는 뉴질랜드, 이스라엘, 스위스 등 EU 집행위원회가 인정한 전세계 13개 국가 또는 지역만 해당 법에서 규정한 ‘일본과 동일한 정보보호 수준’을 만족하고 있다. 적정성 평가는 EU가 GDPR을 기준으로 상대국 개인정보 보호 수준을 평가하는 제도로, 이를 통과한 국가의 기업은 EU 시민의 개인정보를 보다 쉽게 상대국으로 이전할 수 있다. 우리나라도 적정성 평가 통과를 위해 지난해부터 노력하고 있으나 아직 인정받지 못한 상황이다.
호주는 정부 차원의 ‘실수’ 이후 데이터 보호 전략을 세우기 시작했다. 2016년 중국 컨소시엄이 영국의 데이터센터 운영업체 ‘글로벌 스위치’의 지분 50%를 사들이는 과정에서 호주 정부가 국방 분야 기밀 정보 일부를 이 곳에 저장하고 있었다는 사실이 드러난 것이다. ‘기밀 정보를 해외 기업의 손에 넘겼다’는 비난이 쏟아지자 호주 정부는 글로벌 스위치와의 계약이 끝나는 2020년 2억달러(약 2,300억원)를 들여 모든 정보를 호주 내 정부 소유 허브로 옮기기로 했다.
이어 호주 정부는 지난해 해외에 있는 자국민 데이터를 들여다 볼 수 있도록 규정한 법안을 통과시키기도 했다. 해외 기업이 해외에 보관한 데이터라도 호주 국민의 소유라면 호주 정부가 요청할 수 있는 근거를 만든 것이다. 이 밖에도 민감한 데이터의 경우 외국에서 접근할 수 없도록 호주신호정보국(ASD) 인증 클라우드에 저장해야 하며, 물리적으로 데이터를 저장할 때는 호주 국경 내에 존재하는 데이터센터를 이용해야 한다는 점이 새 법안에 명시됐다.
러시아와 베트남에서도 미ㆍ중 데이터 분쟁 이후 데이터 주권을 지키기 위한 법 제정이 활발히 진행되고 있다. 푸틴 러시아 대통령은 올해 5월 러시아에서 발생한 데이터를 해외로 반출할 때 정부 검열을 거치도록 강제하는 법안에 서명했다. 개인정보를 외국에 보관하는 것 자체가 불법은 아니지만, 러시아 국민의 개인정보는 현지에 설치된 데이터베이스(DB) 내에서 관리해야 하며, 데이터센터의 소재도 당국에 신고해야 한다. 베트남도 최근 중국ㆍ러시아와 유사한 형태의 사이버보안법을 제정했다.
그러나 우리나라에서는 아직 데이터 주권과 관련한 논의가 활발하지 않다. 국내 데이터를 보호하기 위한 법적ㆍ제도적 장치가 미비하다 보니 외국 기업들이 국내에서 데이터를 수집하고 반출하는 데 제재를 가할 수조차 없는 상황이다. 다만 정부가 지난해 ‘개인정보 자기결정권’ 등이 포함된 정보 기본권 개념을 정리하면서 데이터 주권 논의의 물꼬는 텄다. 국내 정보기술(IT) 기업들이 데이터 주권과 관련해 지속적으로 목소리를 내고 있는 것도 긍정적이다. IT업계 관계자는 “데이터 수집과 활용은 현재보다 자유롭게 풀어주되, 이 데이터들을 국내에서만 소비할 수 있도록 적절한 제재를 가하는 ‘맞춤형 규제’가 필요하다”고 말했다.
곽주현 기자 zooh@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0