정부, 연내 인증 받으려 ‘IT 외교’에 사활… 10월 EU집행위 방한 때가 분수령
“대한민국의 대통령은 언제 오는 겁니까?”
2017년 6월 방송통신위원회 관계자들이 벨기에 브뤼셀에 있는 유럽연합(EU) 집행위원회를 찾았다. 2018년 5월부터 본격 발효될 예정인 EU의 ‘개인정보보호규정’(GDPR) 문제를 논의하기 위한 차원이었다. 자리에 앉자마자 집행위 관계자는 불쑥 대통령부터 찾았다. 문재인 대통령이 취임한 지 불과 한 달밖에 안됐을 때다. 사정을 모를 리 없는 EU 측이 대통령부터 만나자고 하는 것은 그만큼 사안을 심각하게 보고 있다는 뜻이었다. 더욱이 당시엔 방통위원장 자리도 공석이었다. 방통위 관계자들은 이 같은 사정을 설명하고 집행위에 “최대한 빨리 추진하겠다”며 양해를 구하느라 진땀을 흘려야 했다.
GDPR은 EU판 ‘개인정보보호법’이다. 통신기술의 발달로 국가 간 장벽이 없어지면서 개인정보의 국외 이전 문제는 무역 이슈만큼이나 민감한 문제가 됐다. EU의 입장은 단호하다. EU에 속하지 않은 국가가 EU 국민들의 개인정보를 국외로 가져가려면 GDPR의 규제에 따르라는 얘기다. 규제를 면하기 가장 좋은 길은 국가 차원에서 ‘GDPR 인증(적정성 평가)’을 받는 길뿐이다. 정부도 연내 인증을 받기 위해 사활을 걸고 뛰는 중이다.
구글, 페이스북은 즉각 고발당해
EU 집행위가 문 대통령 얘길 꺼낸 데는 이유가 있었다. EU의 GDPR이 선포된 건 2016년 5월이다. 2년간의 유예기간을 거쳐 2018년 5월 발효 예정이었고, 집행위는 규정 발효에 앞서 전세계 주요 정보기술(IT) 선도국가들에 공문을 보냈다. GDPR 본격 시행 전 국가 차원에서 인증을 받으라는 내용이었다. 일종의 선전포고였다. 아시아권에서는 한국과 일본에 제일 먼저 공문이 날아들었다. 2017년 1월의 일이다.
GDPR 규제의 장벽이 있는 한 유럽에서 제대로 된 사업을 하기는 힘든 게 사실이다. 유럽 검색시장과 사회관계망서비스(SNS)를 각각 장악하고 있는 구글과 페이스북은 올해 GDPR이 발효된 당일 유럽의 시민단체로부터 즉각 고발당했다. 두 업체가 GDPR을 지키지 않고 사업을 하고 있다는 이유에서다. 이들 업체가 GDPR을 심각하게 위반한 것으로 집행위가 판단할 경우 최대 전세계 매출액의 4%에 달하는 막대한 과징금을 부과받게 된다. IT업계의 한 관계자는 “국내의 경우 대기업들은 나름 준비를 해와 문제가 없지만 중소기업이나 규제 관련성이 큰 IT업계의 경우 GDPR로 인해 향후 유럽 시장 진출이나 역내 사업 유지에 어려움을 크게 겪을 수 있다”고 밝혔다.
일본은 발빠르게 움직였다. 방통위가 집행위를 찾기 직전 일본의 아베 신조 총리가 집행위를 찾아와 GDPR 인증에 협조를 구하고 갔다. 인증은 20명의 집행위 소속 위원들에게 달려 있다. 아베 총리는 위원들을 만나 ‘눈도장’도 찍었다. 일본의 태도를 본 집행위가 한국에 문 대통령 얘길 꺼낸 건 어찌보면 당연한 것일 수도 있다.
정부가 손을 아예 놓고 있었던 건 아니다. 2015년 12월에 이미 GDPR 인증을 받아보려고 시도했다. 행정자치부 산하 개인정보보호위원회를 필두로 국내 개인정보보호법을 인증 대상으로 내밀었지만 거부당했다. GDPR에서는 개인정보 보호를 총괄하는 기구의 독립성을 중요하게 보는데, 정부의 개인정보보호위원회가 독립적이지 못하다는 이유에서다.
시간이 별로 없었다. 개인정보보호위원회를 독립시키면 되지만, 이렇게 하려면 현재 개인정보보호법, 정보통신망법, 신용정보법 등 각지에 흩어진 개인정보 보호 관련 규정도 손봐야 하고 법 개정도 필요했다. 결국 차선으로 꺼낸 게 독립기구인 방통위가 정보통신망법을 가지고 일단 부분적으로나마 GDPR 인증을 받는 방법이었다.
2017년 11월 20일 이효성 방통위원장이 취임 첫 해외출장으로 EU 집행위를 찾았다. 장관급 인사가 방문하자 비로소 집행위 태도도 누그러졌다. 이 위원장과 집행위는 이날 회담을 갖고 개인정보 보호와 양측 간 정보 유통에 대한 상호협력 강화를 위한 방안을 논의하고 이를 위한 공동성명을 발표했다. 이 위원장은 벨기에 등을 방문해 GDPR 인증에 협조를 당부했다. EU 집행위에서 GDPR 문제를 총괄하는 베라 요로바 집행위원이 지난 5월 31일 방한한 것도 정부가 집행위에 공을 들인 결과다. 베라 요로바 집행위원은 방한 기간 중 국무총리, 외교부 장관, 법무부 장관, 과기정통부 장관 등을 두루 만나며 세를 과시했다.
연내 GDPR 인증을 추진 중인 정부에 최대 분수령은 10월로 예정된 EU 집행위의 GDPR 담당 상임위원들의 단체방한 일정이다. 이번에는 허욱 방통위 부위원장이 6월 22일 재차 EU 집행위를 찾아가 방한을 제안했다. 상임위원들은 국내 개인정보 보호실태에 대한 현장점검 및 정부, 기업, 시민단체 등을 잇달아 만난 뒤 인증 여부를 결정하게 된다.
“이참에 개인정보 보호체계 개선해야”
재계도 GDPR 인증에 기대를 걸고 있다. 네이버만 해도 유럽 시장 진출에 눈독을 들이는 중이다. 총수인 이해진 글로벌투자책임자(GIO)는 “유럽 시장에서 기회를 찾겠다”고 선언하고 현지에 머물며 사업 발굴에 나선 상태다. 네이버 관계자는 “아직 유럽에서 GDPR 이슈와 관련된 사업을 하고 있지는 않아 당장은 문제가 안된다”면서도 “정부가 GDPR 인증을 받게 되면 향후 사업을 진행할 때 여러 모로 도움이 될 것”이라고 밝혔다. IT업계에서는 넥슨, 카카오 등 유럽 시장 진출 가능성이 높은 주요 IT기업들도 GDPR 인증의 잠재적인 수혜기업으로 꼽고 있다.
경제정의실천시민연합과 진보네트워크센터 등 시민단체들은 정부 차원의 GDPR 대응을 긍정적으로 평가하면서도 이번 기회에 개인정보 보호와 관련된 제반 규정과 관리체계를 개선해야 한다고 지적하고 있다. 오픈넷 관계자는 “개인정보보호 관련 규제가 여러 법에 중복되고 유사한 조항들이 다수 존재해 혼란을 야기하고 있다”며 “무엇보다 독립적이고 적절한 권한을 가진 개인정보 감독기구의 부재는 큰 문제”라고 밝혔다. 매년 논란이 되고 있는 수사기관에 대한 무분별한 통신가입자 개인정보 제공 문제와 비식별 개인정보 데이터의 활용문제 등 개인정보 보호 관련 이슈들도 함께 논의해야 한다는 게 시민단체들의 입장이다.
GDPR 인증의 방법론에 있어서도 정부와는 입장차이를 보이고 있다. 정보통신망법을 통해 부분적으로 인증을 받을 경우 현재의 복잡한 개인정보 보호 관련 법체계가 그대로 고착화될 수 있다는 우려에서다. 이 때문에 부분 인증보다는 개인정보보호법제를 먼저 개선한 후 전체 적정성 평가를 추진하는 것이 바람직하다는 것이다.
방통위 관계자는 “EU의 GDPR 인증은 4년 단위로 진행되는데, 올해를 놓치면 다음 4년을 기다려야 한다”며 “반면 개인정보보호법제를 통합하고 개선하려면 법 개정이 불가피해 시간이 많이 걸려 연내 인증이 어려운 만큼 불가피하게 부분 인증에 나선 것”이라고 밝혔다. 이 관계자는 “장기적으로는 시민단체들의 지적하는 방향에 공감한다. 일단 연내 부분 인증을 받은 후 향후 전체 적정성 평가를 추진해 나가겠다”고 덧붙였다.
<송진식 기자 truejs@kyunghyang.com>