"유럽에는 다음달부터 AI 스피커를 못 판다면서요?"

<최형욱의 IT 차이나·유럽>

  • 최형욱 주한핀란드 무역대표부 수석상무관 기자
  • 입력 : 2018.04.24 17:17:20   수정 : 2018.08.14 16:35:23
  • 프린트
  • 이메일
  • 페이스북
  • 트위터
  • 카카오스토리
  • 공유
얼마전 발생한 페이스북의 개인 정보 유출 사고로 미국이 뜨겁게 달아오르고 있다. 사실 페이스북이나 구글과 같은 거대 플랫폼 회사들의 개인 정보 보호와 관련한 이슈는 어제 오늘 일이 아니지만 이번에는 정치적 상황과 맞물려 증폭되는 양상이다. 우리나라 역시 네이버나 카카오를 비롯해 개인 정보 사용 동의를 요청하는 플랫폼 서비스 업체들이 넘쳐나고 있다.

사실 대부분의 사람들은 자신의 개인 정보 사용에 동의를 하면서도 길고 복잡한 내용을 꼼꼼히 읽고 동의를 고민하는 경우는 거의 없다. 그저 형식적인 확인과 동의 절차를 통해 나도 모르는 사이에 나의 기본적인 개인 정보 뿐만 아니라 내가 봤던 웹 페이지나 나의 친구 목록, 주소록, 사진, 위치, 대화에서 많이 사용하는 단어들, 그리고 사적으로 나눈 음성 대화까지 상상을 초월하는 범위의 정보가 사용된다. 여기서 발생하는 더 큰 문제는 개인 정보와 관련한 사용에서 문제가 생겨도 이미 개인들은 정보 사용에 동의를 했고 이를 바탕으로 플랫폼 서비스 사업자들이 이용하고 있기 때문에 그 책임이 개인에게로 다시 전가된다는 것이다. 참 아이러니하게도 자신의 개인 정보를 정작 나도 모르게 이용되면서 문제가 생겼을 때 책임 역시 개인이 스스로 져야 한다는 것이다.

분명한 것은 우리나라에도 강력한 수준의 개인 정보 보호법이 있지만 정작 개인에 대한 보호는 거의 이뤄지지 않고 있다는 것이다. 그리고 이렇게 개인 정보 보호에 대한 관심이 커져가고 있는 이 때에 또 하나의 강력한 개인 정보 보호법이 이제 곧 유럽에서 시행되려고 하고 있다. 과연 유럽의 개인 정보 보호법은 유럽인들의 개인 정보를 지킬 수 있을까?

다음달 실행 앞둔 GDPR, 정보보호법의 총체

지금 유럽은 GDPR의 시행을 앞두고 연관된 기업들의 모든 관심을 한 몸에 받고 있다. 아니 좀 더 정확히 얘기하자면 유럽과 비즈니스를 하고 있는 기업이라면 5월 25일 시행을 앞두고 있는 GDPR을 대비하기 위해 테스크 포스팀을 꾸리는 등 분주하게 움직이고 있다.

일단 GDPR에 대해 간략히 설명하면 General Data Protection Regulation의 약자로 유럽의 일반 정보 보호 법을 의미한다. 1995년부터 시행돼 유지됐던 정보보호법인 DPD(Data Protection Directive)의 경우 EU가입 국가의 입법 지침을 위한 가이드 라인 수준 정도였다면 이번에 시행되는 GDPR은 레귤레이션이라는 단어처럼 법적 강제력을 갖는 법안으로 시행 즉시 모든 EU 회원국들에 직접 적용된다. 이렇게 강제력이 있는 법을 위반한 기업은 벌금으로 최대 2000만유로 (한화 약 264억원)나 글로벌을 포함한 기업의 전체 매출 중 4%에 해당하는 금액 가운데 더 큰 금액을 벌금으로 내야한다. 기업을 하는 입장에선 말 그대로 폭탄인 것이다.

지금까지 수많은 개인 정보 보호법이 있었고 대다수 기업들은 각 국가의 법들을 준수했기 때문에 큰 문제가 없을 거라 생각할 수 있지만 GDPR는 그 적용 범위나 개인 정보 동의에 대한 절차, 그리고 개인이 자신의 정보에 대해 갖는 권리가 기존 법안과 사뭇 다르다. 일단 새로운 유럽의 정보 보호의 적용을 받게 될 대상은 당연히 EU내에 자회사나 분점을 포함한 사업장을 운영하는 사업주체다. 여기에 EU내에 사업장은 없지만 EU거주자에게 재화나 서비스를 제공하거나 EU거주자의 EU내 행동을 모니터링하는 모든 사업자도 해당된다. 한마디로 구글이나 페이스북 같은 미국의 플랫폼 기업들이 EU에서 지사 없이 서비스를 하더라도 해당 지역의 거주자가 이러한 서비스들에 가입해서 사용하고 그러한 서비스를 통해 EU 거주자의 행동들이 모니터링 된다면 이번 정보 보호법에 적용을 받게 되는 것이다.

여기에 더해 지금까지 우리가 알고 있던 개인 정보의 범위가 좀 더 광의의 의미로 확대됐다. 지금까지 일반적인 개인 정보 보호의 범위는 해당 개인을 식별할 수 있는 직접적인 정보에 한정됐다. 하지만 이번 GDPR의 범위는 개인을 식별할 수 있는 직간접적인 모든 정보를 포함한다. 쉽게 얘기하면 개인이 사용하는 인터넷 IP주소, 쿠키, 디바이스 ID와 같이 특정 개인을 역추적할 수 있는 신체적, 물리적, 문화적, 사회적, 정치적, 민족적, 생리적, 경제적, 유전적 식별 정보를 모두 포함한다. 한마디로 개인과 관련된 거의 모든 정보가 포함된다고 볼 수 있다. 특히 온라인과 모바일 서비스와 관련해 지금까지 포함되지 않았던 정보들 역시 모두 포함된다.

개인에게 잊혀질 권리를 부여하다

사실 앞서 설명한 두가지만으로도 지금까지의 개인 정보 보호법보다 훨씬 강력한 규정으로 볼 수 있다. 하지만 진짜는 따로 있다. 바로 개인의 잊혀질 권리에 대한 보장이다. 다시 말하면 개인에게 자신의 정보에 대한 수정 및 삭제를 요청할 수 있는 권리를 부여한 것이다. 물론 강제 규정이다. 더구나 최초로 개인에게 정보 수집의 동의를 받을 때부터 개인에게 개인 정보의 이용 기간과 뚜렷한 이용 목적, 수집되는 정보의 종류, 어떠한 업체들에 개인 정보가 제공되는지에 대한 설명, 정보를 어떻게 처리하는지에 대한 상세 내역, 정보 주체인 개인의 자신의 정보에 대한 접근 권한을 동의를 받는 최초 시기에 명료하고 정확하게 받아야 한다. 웹 서핑 중에 흔히 보는 “사용자 경험과 서비스 증진을 위해 쿠키를 사용하고 있고 사이트를 계속 이용할 경우 개인 정보 사용에 동의한 것으로 간주한다.”식의 동의는 앞으로 GDPR이 시행되면 불법이다.

이러한 동의는 정보의 최초 수집 때 뿐만 아니라 명시한 목적과 다른 목적으로 개인 정보를 사용할 때도 똑같은 방식으로 다시 받아야 한다. 사용 기간이 지났다면 자동으로 삭제를 하거나 사용 연장에 대한 재 동의를 반드시 받아야 한다. 개인은 언제든 자신의 개인 정보에 대해 삭제나 수정을 요청할 수 있으며 개인 정보를 이용하는 사업자는 이러한 정보 주체의 요청을 즉각적으로 시행해야 할 의무를 갖는다. 국내 상황을 보면 카카오나 네이버 같은 사업자에 개인 정보 삭제를 요청해도 개인의 의사와 무관하게 해당 회사의 데이터 베이스에 계속해서 남는 경우가 많다. 그리고 다양한 모바일이나 웹 서비스 업체에 개인 정보를 수정하거나 삭제를 요청해도 쉽게 처리되지 않는 경우를 많이 볼 수 있다. 하지만 GDPR이 적용된 상황이라면 해당 서비스 업체는 어마어마한 벌금과 함께 명확하고 실효성 있는 조치를 취해야만 한다.

GDPR에 대비하는 글로벌 IT기업들

사실 유럽과 비즈니스를 하는 대부분의 우리나라 기업들도 이번 GDPR의 시행에 영향을 받겠지만 우리의 머리 속에 가장 먼저 떠오르는 기업은 아무래도 실리콘 밸리의 글로벌 공룡 플랫폼 사업자들일 것이다. 이번에 미국에서 개인 정보 유출과 관련한 일련의 사건으로 홍역을 치루고 있는 페이스북은 작년부터 사내 TF를 구성하고 GDPR의 시행 규정에서 요구하고 있는 최고 정보 보호 책임자(DPO)를 지정하고 시행에 대비하고 있다.

물론 얼마전 마크 주커버그의 인터뷰를 보면 GDPR의 적용을 받는 EU거주민을 제외한 나머지 국가의 개인들에게는 GDPR을 동일하게 적용할 계획이 없다고 밝혔다. 그만큼 개인의 정보를 활용하여 비즈니스를 하는 플랫폼 사업자 입장에선 지금까지 보다 훨씬 많은 제약들과 함께 정보 관리 비용 등이 추가로 들기 때문이다.

우리 나라의 경우를 보면 이미 많은 기업들이 GDPR에 대해 인지하고 있지만 아직까지 심각하게 받아들이지 않는 분위기다. 하지만 최근 GDPR과 관련해 인공지능 스피커나 스마트 TV와 같이 소비자들의 행동이나 음성 패턴, 그리고 개인의 다양한 정보를 인지하고 이를 활용하는 인공 지능이 과연 이러한 GDPR에 저촉되지 않는지에 대한 논쟁이 끊이지 않고 있다.

GDPR이 규정하고 있는 내용을 보면 정보 제공자인 개인에게 알려야 할 내용 중 인공 지능처럼 자동화된 정보의 처리 과정을 통해 재가공된 결과가 있을 경우 그 존재의 여부와 해당 결과가 나오게 된 논리와 관련한 정보, 그리고 정보 주체에 설명을 할 정보 처리의 의미를 포함해야 한다고 명시하고 있다. 즉, 인공 지능 등 스마트 디바이스를 통해 얻은 개인의 데이터를 다시금 머신 러닝을 통해 자동으로 재가공하여 사용할 경우 이러한 개인 정보의 사용에 대해 인공지능이 정보의 주체에 이를 어떻게 설명할 지가 이슈가 되고 있는 것이다. 결국 정보를 가공하는 인간의 개입이 없이 인공 지능과 머신 러닝을 통해 자동적으로 만들어지는 재가공물에 대해서도 이를 개인에게 설명해줘야 하는 의무를 갖게되는 것이다.

261644 기사의 1번째 이미지
사진설명XAI 개념도 [사진 출처: DARPA, XAI 백서]
▶ 여기를 누르시면 크게 보실 수 있습니다
그리고 이러한 문제를 해결하기 위한 하나의 대안으로 미국 DARPA에서 2016년부터 연구중인 XAI(Explainable AI)라 불리는 ‘설명할 수 있는’ 인공지능이 최근 각광을 받고 있다.

개인 정보 보호의 강화에서 정보 소유권 이전으로

5월 25일 시행되는 GDPR은 기존 개인 정보 보호법을 좀 더 강화하는 법안이다. 아직까지는 법의 취지처럼 개인은 정보의 제공자이고 이를 활용하는 주체는 서비스 플랫폼 사업자와 같은 기업이 될 것이다. 물론 기존보다는 삭제와 수정 등 잊혀질 수 있는 권리 등이 강화되지만 정보의 제공자인 개인이 자신의 모든 정보에 대한 권한 및 소유권을 갖고 이를 관리하지는 못하고 있다. 즉, 개인은 정보를 제공했지만 지금의 비즈니스 형태로 보면 개인은 정보 활용에 있어서 중심이 아니라 주변인의 모습이다.

261644 기사의 2번째 이미지
사진설명개인 정보 활용의 기존 모델 1 [사진 출처 : 주한핀란드 무역대표부]
261644 기사의 3번째 이미지
사진설명개인 정보 활용의 기존 모델 2 [사진 출처 : 주한핀란드 무역대표부]


261644 기사의 0번째 이미지
사진설명MyData 모델 [ 사진 출처 : 주한핀란드 무역대표부]
그러나 최근 이러한 정보의 주체인 개인에게 소유권을 되돌려 주자는 개념인 ‘MyData’가 북유럽을 중심으로 대두되고 있다. GDPR의 다음 단계로 유럽 내에서 MyData가 시행되는 날도 멀지 않아 보인다. 다음에는 북유럽을 중심으로 진행 중인 MyData에 대한 개념과 장점, 사례를 살펴볼 것이다.

[최형욱 주한핀란드 무역대표부 수석상무관]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]