국내 플랫폼을 통해 수집되는 국가와 개인의 데이터가 국가안보의 영역이 됐다. ‘외국의 적이 통제하는 앱으로부터 미국인을 보호하는 법’이라는 이름으로 미국 의회에서 만들어진, 이른바 ‘틱톡금지법’이 지난 4월 조 바이든 미국 대통령의 서명으로 발효됐다. 중국은 그보다 앞서 방화벽을 통해 자국민들을 타국 정보로부터 분리해 왔다. 인터넷 세상이 진영에 따라 나뉘고 있다. 이른바 ‘스플린터넷’(splinternet; 나누다라는 뜻의 ‘splint’와 인터넷의 합성어로 파편화된 인터넷 세상을 의미)의 시대다.
이어 일본에서 국민 메신저로 통하는 라인(LINE)의 확장세가 커지자 일본 정부가 네이버에 지분 매각을 요구한 것은.스플린터넷의 새로운 양상을 보여주고 있다. 우방국 간에도 인터넷 장벽이 높아진 것이다. 앞으로 데이터 주권(data sovereignty) 문제가 훨씬 복잡한 양상으로 전개될 것이라는 신호탄으로 해석된다.
데이터 안보의 상징이 된 ‘틱톡금지법’
국가나 개인이 자기 데이터의 소유 범위와 사용 방법에 대해 결정할 수 있는 권한이 데이터 주권이다. 2018년 EU의 「일반개인정보보호법(GDPR)」을 필두로 미국의 「캘리포니아 소비자 개인정보보호법(CCPA)」, 중국의 「사이버보안법」 등 각국이 정보 주체의 권리 강화와 자국 데이터 보호를 위한 법을 만들면서 데이터 주권 개념이 본격적으로 대두됐다.
데이터 안보가 법적 영역에 편입된 이후 ‘틱톡금지법’은 데이터 주권.차원에서 특정 법안이 하나의 플랫폼 회사를 겨냥한 첫 사례다. 2016년 틱톡이 미국에서 사업을 시작한 뒤 빠르게 확산하자 미국인의 보안에 미치는 영향에 대한 우려가 꾸준히 제기돼 왔다. 이후 한 기업을 겨냥한 규제에 대한 찬반 여론이 교차하다가 오는 11월 미국 대선을 배경으로 초당적 지지를 얻었다.
미국 내 보안전문가들은 정치권의 틱톡에 대한 우려가 상당 부분 근거가 있다고 평가한다. 보안전문가인 안톤 다부라 존스홉킨스대 정보보안연구소 상무는 “중국 정부는 지식재산권 절도의 역사가 길고, 기밀정보를 찾거나 파괴적 공격을 하는 범주를 훨씬 넘어선다”라며 “그들은 틱톡을 통해 수집한 수백만 개의 기록을 빠르게 분류해 낼 수 있다”고 말했다.
하지만 틱톡의 데이터 주권 침해에 대한 우려의 근거가 부족하다는 지적도 여전하다. 제임스 앤드루 루이스 워싱턴 국제전략문제연구소(CSIS) 전략기술프로그램 국장은 틱톡 앱을 설치하고 업데이트하면서 틱톡 사용자들이 중국의 악성 소프트웨어를 자발적으로 설치하게 되는 것은 실체가 있는 위험이라면서도 “중국이 미국인들의 데이터를 10년간 수집해 오고 있지만 이것으로부터 이익을 얻었다는 증거는 없다”고 꼬집었다.
CSIS 내 같은 프로그램의 캐슬린 친 로트만 연구원은 ‘틱톡금지법’은 구조적 위험을 해결하기보다는 훨씬 좁은 접근 방식을 선택한 것”이라고 말한다. 즉 ‘틱톡금지법’은 여러 플랫폼에서 일어나는 안보 위협에 대비하기 위한 포괄적 법안이라기보다 중국계인 틱톡 한 회사만 겨냥한 훨씬 좁은 형태의 규제라는 얘기다.
자유주의 진영의 다른 국가에서도 비슷한 조치가 잇따르고 있다. 유럽의회는 틱톡 앱 사용을 금지하기로 했으며, 덴마크 의회도 모든 의원과 직원들에게 업무용 기기에 설치된 틱톡 앱을 삭제할 것을 강력 권고하는 내용의 이메일을 보냈다. 캐나다, 영국, 호주, 뉴질랜드, 일본 등에서도 틱톡과 관련된 규제가 논의 중이다.
틱톡 모회사 바이트댄스는 지난 5월 7일 워싱턴 DC 법원에 미국 내 사업권 강제매각과 관련한 소송을 공식 제기했다. 미국에 사업권을 넘길 바에야 막대한 손해를 감수하더라도 사업을 접겠다는 얘기도 들린다.
하지만 중국의 데이터 주권 보호조치는 사실 역사가 더 길다. 중국은 2017년부터 시행한 「네트워크 안전법」을 통해 주요 데이터의 국외 반출을 금지해 왔는데, 2021년 9월에는 기존 법에서 다루지 않은 데이터를 대상으로 더 포괄적인 규제를 시작했다. 이는 중국 내에서 사업을 하는 한국 기업에도 영향을 미쳤다. 또한 중국에서 지난 5월 「국가기밀보호법」 개정안이 발효되자 법안 적용 대상의 모호성 등을 둘러싸고 중국 내에서도 우려가 커지고 있다. 해당 법안은 사용자가 국가 기밀 등 민감한 정보를 게시할 경우 인터넷 기업이 조치를 취하도록 강제하고 있는데, 어떤 것이 구체적으로 ‘국가 기밀’에 해당하는지 분명치 않다는 지적이 나온다. 애플은 지난 4월부터 중국 인터넷 관리 당국인 국가사이버정보판공실의 명령에 따라 중국 앱스토어에서 SNS인 왓츠앱과 스레드 등을 삭제했는데 여기서도 중국 당국이 든 이유는 ‘국가안보’였다.
AI 시대에 더 중요해진 데이터 안보
한미일 3국 국가안보실은 지난 6월 5일 미국 샌디에이고에서 열린 ‘제4차 경제안보대화’에서 각국의 데이터 보안 이슈 및 대응 방향을 공유하기로 했다. 데이터 안보가 본격적으로 국가안보 협상 의제로 등장함과 동시에 자유주의 진영 내에서의 주요 협력 사항임을 보여주는 사례다.
하지만 내부를 들여다보면 데이터 주권과 관련된 갈등은 진영 간에서 진영 내 갈등으로 번지는 추세다. 일본 정부가 라인야후 지분율 조정을 압박하면서 불거진 갈등은 일단 네이버가 지분을 유지하면서 서서히 라인야후와의 관계를 분리하는 것으로 일단락되고 있다.
소식이 전해진 직후 한국에서 거센 반발이 일었던 이유는 이것을 기업에 대한 재산권 침해라고 받아들였을 뿐 아니라 우방국으로서 관계가 호조되고 있는 한일 사이에 이 같은 일이 벌어졌기 때문이다. 미국과 중국처럼 공개적으로 일본과 언쟁하기 어렵고, 자국 기업의 상황과 여론을 모른 척할 수 없는 한국 정부도 난감한 처지에 놓였다.
지난 5월 26일 한일 정상회담에서 기시다 후미오 일본 총리가 라인야후에 대한 일본 정부의 요구는 ‘보안 문제’라는 점을 명확히 했지만 이후 지분 매각 과정에서 국가주의적 논쟁은 여전할 것으로 보인다. 송태은 국립외교원 교수는 “데이터 주권과 관련한 분쟁과 이에 따르는 각국의 조치는 더욱 늘어날 것”이라고 전망했다.
생성형 AI가 향후 산업 생태계를 주도할 기술로 자리 잡은 가운데 이를 지탱하는 인프라로서 데이터센터를 통해 축적되는 데이터는 그 국가의 국민과 기업의 정보다. 이 점에서 자국 국민과 기업의 데이터를 보호하기 위한.각국 정부의 규정 재정비가 필요한 시점이다.
각국 정부의 AI 관련 자립 노력도 계속되고 있다. 일본 정부는 일본어 기반의 자체 AI 모델 개발을 지원하고, 일본 기업 소프트뱅크가 일본 전역에 AI 데이터센터를 구축하는 것을 돕고 있다. 인도 정부 역시 인력 개발과 자국 내 인프라 지원을 촉진하는 ‘주권 AI 이니셔티브’를 추진 중이다. 하지만 데이터 이동을 막는 인터넷 장벽을 세우는 데 드는 비용, 국가 간 규제 환경의 차이 등으로 데이터 안보를 지키려는 각국의 노력이 쉬운 과제는 아니다.