강화되는 데이터 국지화, 데이터 안보의 적절한 답인가? | 나라경제

KDI 경제교육·정보센터

Economic Information and Education Center

발행물

특집

강화되는 데이터 국지화, 데이터 안보의 적절한 답인가?

김현경 서울과학기술대 IT정책전문대학원 교수 2024년 07월호

특집 김현경.pdf

그간 민간 영역의 데이터 안보는 글로벌 경쟁 관계에 있는 기업 간 영업비밀 등 기업의 핵심 전략 보호 차원에서 다뤄져 왔다. 그러나 AI와 데이터를 기반으로 한 글로벌 플랫폼 기업이 국제경제에서 차지하는 비중과 영향력이 높아지면서 최근에는 민간 기업이 보유하고 있는 데이터 역시 국가안보 차원으로 논의되는 추세다. 특히 개인정보는 자국민의 프라이버시권·개인정보자기결정권이라는 헌법상 기본권의 원천이 되므로 자국민의 기본권 보호 차원에서 개인정보의 국외 이전에 대한 경각심이 고조되고 있다. 무엇보다도 데이터는 지난 10년간 전 세계적으로 중요한 경제적 자산으로 부상했다. 각 국가가 자국 내에서 데이터 활용의 기회를 확대해 국익을 극대화하고자 자국에 적합한 데이터 규범을 시행하는 것은 지당한 일이다. 우리나라 역시 무분별한 해외 벤치마킹이 아니라 우리 데이터 생태계에 대한 면밀한 분석을 전제로 한 합리적 규범의 마련이 필요하다.

최근 미국 등 비유럽 국가, 유럽 역내에서
데이터 국지화하는 솔루션 개발로 대응
개인정보 국외 이전을 규율하는 유형은 국가의 개입 정도에 따라 사적 자치의 원칙을 우선시하는 ‘자유이전형 모델’, 데이터 이전 자체는 허용하되 국가가 정한 기준에 부합하는 경우에만 허용하는 ‘상호적정성 모델’, 원칙적으로 국경 밖 데이터 이전을 허용하지 않되 지극히 예외적인 경우에만 허용하는 ‘국가통제 모델’로 나눠볼 수 있다.

우선, 미국은 자유이전형 모델로 자국민의 개인정보 국외 이전을 제한하기보다는 오히려 국외 정보에 대한 정부의 접근을 허용해 국가안보 차원에서 개인정보 규율을 강화하고자 한다. 미국 정부는 마이크로소프트(MS)의 이메일 계정이 마약 밀매에 이용된다는 이유로 관련 자료를 열람하고자 했으나 법원은 해당 데이터가 아일랜드에 보관돼 있어 “아일랜드 정부 사법공조 조약에 의거 해당 자료를 제출하도록 요청하는 것과는 별개로 「전자통신 개인정보 보호법(ECPA)」에 따라 영장을 발부할 권한이 없다”라고 판결했다. 이러한 과정을 겪으면서 미국 의회는 합법적인 해외정보 활용을 위한 「해외정보이용 합법화법(CLOUD Act)」을 통과시켰다. 해당 법에 의하면 미국 정부는 미국의 통신서비스 제공자들이 보유 또는 관리하는 통신 내용, 트래픽 데이터, 가입자 정보 등에 대해 실제 데이터가 저장된 위치에 관계없이 정보제공을 요청할 수 있다. 즉 미국은 개인정보의 국외 이전을 자유롭게 허용하되 역외데이터 접근에 대한 법적 근거를 마련함으로써 데이터경제의 부흥과 국가안보 간 균형을 추구하고자 했다.

둘째, EU는 상호적정성 모델이다. 2018년 5월 시행된 EU 「일반개인정보보호법(GDPR)」에 따라 유럽 시민 개인정보의 제3국 이전은 국가 차원의 적정성 결정을 획득한 경우, 표준데이터 보호조항 또는 구속력 있는 기업 규칙 등 적절한 안전조치가 인정된 경우, 정보 주체가 위험을 고지받은 후 국외 이전에 대해 ‘명시적으로 동의’한 경우로 제한된다. 즉 유럽은 개인정보의 자유로운 국외 이전을 허용하기보다는 EU가 개인정보 보호 수준이 적정하다고 인정한 국가로의 이전만 원칙적으로 허용한 것이다. 유럽과의 교역을 고려해 일본과 우리나라의 「개인정보 보호법」 등이 이 같은 모델을 규범으로 채택했다.

마지막으로, 중국, 러시아 등은 개인정보의 국외 이전을 거의 금지하는 규범을 채택했다. 러시아는 자국민의 개인정보를 러시아 연방 영토 밖에 저장하는 것을 금지하는 「연방법」 조항을 마련했으며, 데이터베이스 운영자에게 데이터센터의 물리적 위치를 공개하도록 했다. 이를 위반하는 경우 연방 통신 감독기관의 블랙리스트에 기재되며 마약이나 아동성범죄 등과 유사하게 취급된다. 또한 「테러방지법」에 의하면 인터넷 이용자들 간의 정보 교환이나 유포를 매개·운용하는 개인 또는 법인은 음성, 서면, 이미지, 소리 등 정보의 종류를 불문하고 모든 정보를 러시아 영토에서 6개월간 저장해야 한다.

최근 유럽이 외국 정보·법 집행기관의 유럽 개인정보 접근 위험을 모두 제거하도록 요구하면서 미국 등 비유럽 국가의 많은 기업은 유럽에 데이터를 국지화하는 소위 ‘주권적’ 해결책(sovereign solutions)을 실행하고 있다. 즉 미국의 주요 클라우드 제공업체와 다른 외국 기업들은 유럽 역내에서 데이터를 국지화하는 ‘소버린 클라우드’ 솔루션을 제공하기 시작했다. MS의 ‘유럽 데이터 바운더리’, 아마존 웹 서비스(AWS)의 ‘디지털 주권’ 서약, 유럽 소버린 클라우드, 구글의 ‘디지털 주권’ 솔루션, 오라클의 ‘EU 소버린 클라우드’, 틱톡의 ‘프로젝트 클로버’ 등이 그것이다.

국지화된 데이터는 범죄 대상되기 쉬워···
탈중앙집중화와 종단 간 암호화 장려해야
그러나 국지화된 데이터, 즉 한 곳에 모여진 데이터는 ‘잭팟’을 노리는 범죄의 이상적인 대상이 될 수 있다. 또한 데이터 국지화는 클라우드서비스제공자(CSP)의 분산된 인터넷 인프라 활용을 막아 데이터를 조각내 분산 저장하는 샤딩(sharding)과, 코드를 읽기 어렵게 만들어 공격을 막는 난독화(obfuscation)를 어렵게 만든다. 데이터 처리 기법 중 하나인 샤딩은 전 세계의 서버에서 데이터베이스 테이블의 행을 개별적으로 보관하는 프로세스로, 데이터를 작동하기에는 충분하지만 개개인을 재식별하기에는 충분치 않은 각각의 파티션을 만든다. 개인정보 보호와 보안을 위한 가장 정확한 해결책은 모든 데이터가 한 장소에 집중돼 저장되지 않도록 탈중앙집중화하며, 종단 간 암호화(end-to-end encryption; 발신원이 데이터를 처음 입력하는 단계부터 정보를 암호화하고, 그 암호화 상태를 그대로 유지한 채 수신원에게 전달하는 방식)된 서비스의 생성과 사용을 장려하는 것이다. 데이터가 외부로 나가는 것을 차단하고 들어오는 데이터를 걸러내는 기능으로 무장한 데이터 국지화는 감시 및 검열을 위한 인프라를 제공함으로써 정부의 데이터 통제권만 결집·강화할 뿐이다.

모든 국가는 서로 고유한 법체계와 문화를 갖고 있으며 이를 형성해 온 정치적·사회적·경제적 배경이 각각 다르다. 따라서 전 세계적으로 통일된 데이터 규범을 만든다는 것은 현실적으로 거의 불가능한 일이다. 경제의 대외 의존성이 상당한 우리 입장에서는 통상 국가별로 유연한 방식을 채택하면서 자국 이익을 고수할 수 있는 전략적 묘안을 찾아야 할 것이다.

목록보기