전체메뉴

[애플경제 전윤미 기자] 25일 메타는 “영국과 유럽에서 광고주나 사용자들로부터 획득한 데이터를 EU 바깥으로 유출하거나, 임의로 사용하지 않을 것”이라고 공식적으로 밝혔다. 앞서 EU로부터 약 13억달러의 벌금 폭탄을 맞은지 일주일 만에 백기를 든 것이다.

이날로 발효된지 만 5년째인 유럽의 GDPR(General Data Protection Regulation, 일반 데이터 보호 규정)은 이처럼 AI와 디지털 기술에 대한 초국가적 규제의 틀로 위력을 발휘하고 있다. 한국의 ‘구글방지법’ 제정에도 불구하고, 구글 등 빅테크들은 꼼수와 편법을 통해 이를 사실상 무시하는 태도와는 대조적이다.

구로 디지털단지의 한 AI솔루션 개발업체 대표는 “GPPR이나 영국의 ‘반트러스트’법 등으로 적어도 AI와 디지털기술 규제에 있어선 유럽이 미국을 포함한 세계를 리드하고 있는 셈”이라며 “이는 미국의 디지털패권에 대한 유럽의 영향력 증대로 볼 수 있고, 디지털 세계의 UN 헌장과도 같은 역할을 상상할 수 있다”고 개인적 의견을 밝히기도 했다.

메타, “광고주 ․ 사용자 데이터 임의 사용 금지” 다짐

25일 블룸버그통신이나 테크크런치 등 외신에 따르면 메타는 유럽의 반독점 규제에 ‘순응’하는 노력의 일환으로, 앞으로 페이스북 마켓플레이스를 활성화하기 위해 광고 데이터를 사용하는 관행을 없애기도 했다. 이같은 자사의 방침을 유럽위원회와 영국 독점 규제당국에 통보한 것으로 알려졌다.

이는 특히 지난해 10월 미국의 공정거래위원회격인 ‘CMA’의 강제적인 매각 명령에 따라 애초 4억 달러에 구입했던 GIF 플랫폼 ‘지피’(Gipy)를 3년 만에 5,300만 달러에 매각했다고 발표한 것과 같은 시기에 나온 것이어서 눈길을 끈다. CMA는 또한 최근 마이크로소프트사의 액티비전 인수도 막는 등 빅테크의 문어발식 경영에 재갈을 물리고 있다.

이같은 흐름은 특히 미국을 비롯한 다른 세계 여러나라의 ‘데이터 개인 정보 보호법’에 영향을 크게 미칠 것으로 전망된다. 앞서 국내 AI솔루션 업체 대표도 “어떤 형태로든 국내 입법이나 규제 제도에도 영향을 크게 끼칠 것”이라며 조심스레 예상하기도 했다.

“유럽 관련 EU영역 외 플랫폼․웹도 지침 준수해야”

본래 유럽의 GDPR은 AI나 빅데이터 거래 등으로 발생하는 개인 정보 권리에 초점을 맞춘 것이다. 개인이 데이터 브로커를 포함해 특정 기업이 개인을 식별할 수 있는 정보(PII)를 통제하거나 관리할 수 있게 했다.

특히 이는 유럽 연합 영역 외에도 적용된다. EU 내부의 PII 트래픽과 연결된 EU 외부의 플랫폼 및 웹 사이트도 해당 지침을 준수해야 한다. 그러면서 매우 엄격한 PII 처리 규정을 두고 있다.

우선은 기업은 PII정보 처리에 앞서 사용자로부터 명확하고 명확한 동의를 얻어야 한다. 또 페이지에서 사용자가 동의하고, 각 쿠키 범주에 대한 동의를 취소할 수 있는 이해하기 쉬운 방법으로 쿠키 및 기타 추적 기술을 지정해야 한다, 각 사용자의 동의를 안전하고 기밀로 문서화할 수 있으며 정기적으로 갱신 동의를 요청할 수도 있다.

그럼에도 현지 전문가들은 GDPR을 높이 평가하면서도 한편으로는 “아직도 부족한 점이 많다”고 지적하기도 한다.

최근 핀란드 헬싱키에서 열린 국제사이버보안 행사인 ‘스피어(Sphere)23’ 행사에서 많은 전문가들이 GDPR의 개선점을 여러모로 지적한 것도 그 때문이다.

GDPR은 지난 5년 간 AI나 빅데이터 등에 의한 PII 정보 처리의 규준을 제시하는 규범으로 자리잡아왔다. 그러다가 지난 주 메타에 대한 13억 달러의 벌금을 물리고, “미국에서 유럽 연합 사용자 데이터 처리를 중단하라”는 명령을 내리는 조치까지 이어졌다. 그 결과 메타는 물론, 앞서 아마존이나 마이크로소프트 등도 사실상 백기를 든 상황이어서, 범세계적인 ‘디지털 규제 헌장’으로 승격되고 있다.

미국은 비록 일부 주에서 관련 규제법을 제정하긴 했다. 그러나 연방정부나 연방의회 차원에선 아직도 논의가 진행 중인 만큼, 속도가 더딘 편이다. 그렇다보니 GDPR이 세계적 규범으로 자리잡으며, 위력을 발휘하고 있는 것이다.

“미 디지털패권에 대한 유럽의 자존심” 표현도

이에 “디지털 패권을 장악한 미국에 대한 유럽의 자존심 대결”이란 표현까지 나오고 있다. 실제로 기술매체 테크크런치가 인용한 글로벌 보안업체 위드시큐어(WithSecure)의 사이버 보안 고문인 폴 브루치아니는 “(디지털 시대에서) 유럽 위원회는 여러 모로 비판을 받지만, GDPR은 (유럽이) 고개를 들고 ‘우리가 이 분야에서 세계를 이끌고 있다’라고 말할 수 있는 유일한 것”이라며 “규제의 이정표로 말하자면, 그것은 에베레스트를 (맨 먼저)오르는 것과 같다”고 비유하기도 했다.

또 다른 보안회사인 해큐이티(Hackuity)의 전략 부사장인 실베인 코르테즈는 “그러나 시작은 순조롭지만, 아직 충분하지는 않다”고 블룸버그 통신에 밝혔다.

그는 “마치 ‘시험’을 준비하듯 하기보단, 모든 기업들이 사이버 문화를 지속적으로 개선하는 계기가 되어야 할 것”이라며 “마치 연간 또는 분기별 감사를 달성하기 위한 노력처럼 규제를 위한 규제로 받아들이지 말아야 할 것”이라고 당부하기도 했다. 그러면서 “최소 (규제) 요건에 만족하지 말고, 그 이상의 이성적 규제를 하면서, ‘체크박스’ 사고방식에서 벗어날 것”을 기업들에게 주문했다.

GDPR의 영향력은 실제로 미국에도 큰 영향을 미치고 있다. 미국에는 연방 차원의 국가 데이터 개인 정보 보호법이 아직 제정되지 못하고 있다. 그러나 지금까지 8개 주에서 개인 정보 거래에 대한 권한을 소비자에게 부여하는 포괄적인 ‘개인 정보 보호법’이나, 한층 제한적이거나 데이터 관련 법을 이미 제정한 바 있다.

대표적으로 캘리포니아의 소비자 개인 정보 보호법이 2020년 1월부터 시행되고 있으며, 네바다 주의 개인 정보보호 및 개인정보보호법, 버지니아의 소비자정보보호법 등도 올해부터 시행되고 있다. 이 밖에 테네시주의 정보보호법을 비롯, 메인 주, 콜로라도 주, 유타 주, 아이오와 주, 인디애나 주, 코네티컷 주도 포괄적이거나 맞춤형 개인정보 보호법을 시행하고 있다. 이 외에 몬태나, 텍사스, 플로리다 주 등도 유사한 법률이 주지사의 최종 서명만을 남겨놓고 있다.

전문가들은 “미국의 이러한 움직임은 모두 GDPR에 기인한다”는데 동의한다. 보안업체인 IDSA의 한 임원은 “GDPR이라는 바위가 연못에 떨어지면서 주변에 엄청난 물결과 파문을 계속 일으키고 있다”고 블룸버그 통신에 밝혔다.

그러면서 “GDPR이 채택된 지 7년, 시행이 시작된 지 5년이 지난 지금까지 그로 인한 규제 성과는 엄청나다. 모든 기업들과 데이터 거래자들은 상인과 공급업체는 이에 그들이 어떤 의무를 필히 준수해야 하는지를 잘 알고 있다”고 평가했다.