유럽 시민의 데이터를 활용하려면 유럽이 만든 규정을 지켜야 한다. 그런데 앞으로 나타날 기술들은 어마어마한 양의 데이터를 양분 삼아 무르익는 것들이다. 유럽 데이터 빼놓고 연구를 한다는 게 성립이 되지 않는다. 그래서 앞으로 데이터를 가지고 연구를 하려면 유럽의 규정들을 주의 깊게 살펴야 한다.

[보안뉴스 문정후 기자] 지금은 그렇지 않지만 조만간 구글 애널리틱스(Google Analytics)의 웹사이트 추적 행위는 불법으로 규정될 것으로 보인다. 지난 1월 오스트리아의 한 법원은 구글의 데이터 분석 서비스가 유럽연합의 GDPR 규정을 위반하고 있다고 판결을 내렸다. 유럽연합의 영토 내에서 미국에 있는 구글 서버로 데이터를 옮길 때 충분한 보호 장치를 마련하지 않고 있다는 게 그 이유다.


그런데 이게 구글만의 문제일까? 구글 애널리틱스의 데이터 전송과 보호 방식만 조금만 바꾸면 아무 일 없던 것처럼 다시 서비스 될 수 있는 걸까? 인공지능 및 바이오테크 분야에 종사하고 있는 사람이라면 이 일이 남의 일로 느껴지지 않을 것이다. 특히 유럽이 아닌 다른 지역에서 활동하는 사람들이라면 말이다.

다른 무엇보다 이 판결은 전 세계 테크 기업들의 앞날을 불안하게 만든다. 테크 기업이라고 하면 대량의 데이터를 이리 저리 전송하고 활용할 수 있어야 한다. 그래서 미국 기업들의 경우 그 동안 GDPR을 준수하겠다면서 유럽연합과 미국 간에 합의된 개인정보 전송 프레임워크인 프라이버시 쉴드(Privacy Shield)만 믿고 데이터를 전송하고 활용해 왔다. 그런데 오스트리아 법원이 그 프라이버시 쉴드만으로는 불충분하다고 결정을 해버린 것이다. 그러니 앞으로 어떻게 해야 하나, 불안하지 않을 수 없다.

좀 더 큰 그림을 보자. 최근 수년 동안 유럽연합의 움직임은 한결 같았다. 유럽 시민들의 프라이버시를 온라인에서나 오프라인에서나 철저히 비밀에 부쳐 보호하겠다는 것이다. ‘잊힐 권리’라는 것을 가장 공격적으로 적용하고 있는 곳이 유럽이라는 것만 봐도 알 수 있다.

시민들을 보호하겠다는 취지에야 누가 뭐라고 하겠는가. 다만 그런 기조로 움직이다 보니 데이터가 꽁꽁 묶이게 되고, 인공지능처럼 대량의 정보가 항시 필요한 분야는 꽤나 답답한 상황에 봉착하게 되었다. 머신러닝이나 인공지능은 어마어마한 양의 데이터를 주입해야 쓸만한 결과물을 내는데, 대량의 데이터가 묶여 있으니 연구에 많은 차질이 빚어지게 된 것이다.

그렇다고 인공지능의 무궁한 발전을 위해 개인 프라이버시를 침해할 수도 없다. 그래서 이 분야의 업체들은 유럽연합의 프라이버시 관련 움직임에 더 많은 관심을 기울일 수밖에 없었다. 또한 자신들의 업무 행위가 합법의 경계선을 넘나드는 건 아닌지도 예민하게 검토해야만 했다.

이는 인공지능을 연구하는 단체가 유럽에 있든 다른 대륙에 있든 똑같이 적용되는 얘기다. 새롭게 만든 인공지능 애플리케이션을 훈련시키기 위해 대량의 데이터가 필요할 때 모든 기업들은 제일 먼저 그 대량의 데이터가 어디서부터 만들어졌고, 어느 경로를 거쳐 왔는지부터 검토해야 한다. 데이터의 양을 늘려야만 하는가? 그렇다면 데이터를 제공하는 모든 협력사나 파트너들이 어디서 그 데이터를 수집하는지를 꼼꼼하게 확인해야 한다. 즉 데이터를 가지고 뭐라도 하려면 일단 철저한 확인과 계획부터 수립해야 한다는 뜻이다. 예전처럼 닥치는 대로 데이터를 수집하고 연구에 활용했다가는 불법 딱지가 붙고 어마어마한 벌금형에 처하게 되니까 말이다.

인터넷에도 엄연히 국경이라는 개념이 존재한다. 하지만 그 국경의 구속력은 미미하다. GDPR을 보라. 국경이 아니라 대륙도 넘나들며 영향력을 과시한다. 오스트리아 법원이 미국 기업에 불법 판결을 내리고 특정 서비스의 개선을 요구한 것도 국경이라는 것이 사이버 공간에서는 얼마나 미약한 개념인지를 드러낸다. 그런데 이건 시작에 불과하다. 유럽연합은 인공지능과 관련된 새로운 규정을 마련하고 있는데, 그 속도가 얼마나 빠른지 조만간 초안이 공개될 예정이다. 그리고 이 역시 국경을 초월한 영향력을 가질 가능성이 높다.

현재까지 알려진 바 이 새로운 인공지능 규정 역시 무시무시한 수준의 요구사항들을 설정하고 기업들에 준수를 요구할 예정이라고 한다. 일부 인공지능 사용 사례는 아예 금지될 전망이기도 하다. 인간 감독을 포함해 여러 번의 점검 장치도 마련될 것이라고 하며, 얼굴인식처럼 악용과 남용의 소지가 큰 것은 더 철저하고 치열한 검토 과정을 지나야만 활용 허가가 떨어질 것으로 예상된다.

당연히 업계 반발은 크다. 혁신과 발전을 크게 저해할 것이라고 전문가들은 목소리를 높이고 있다. 하지만 유럽 시민의 프라이버시를 보호하는 게 최우선 과제라고 유럽연합이 여기고 있는 한, 빡빡한 인공지능 규제는 도입될 것이며, 이는 유럽 대륙을 너머 다른 지역에도 적잖은 영향을 미칠 것이다. 하지만 그렇게 했을 때 얻는 것이 있다. 빡빡한 평가와 감독 아래 태어난 인공지능 기술이므로 사용자/소비자의 신뢰를 얻는다는 측면에서는 꽤나 유리한 고지에 설 수 있다는 것이다.

만약 당신이 인공지능이나 바이오테크 분야에 종사하고 있다면 지금 해야 할 일은 명확하다. GDPR이나 새 유럽연합의 인공지능 규정을 비판하는 것? 아니다. 법이라는 장치의 필요성을 철학적으로 검토하는 것? 역시 아니다. 어차피 올 것은 온다. 오스트리아 법원의 판결 내용과, 새로 수립될 인공지능 규정에 대한 정보를 최대한 모으고 학습하여 미리 대비하는 것이 가장 현명한 행동이다. 새로운 규정의 영향력을 인정하고 받아들인다는 건, 여태까지 유지해왔던 개발 프로세스 자체를 바꿔야 한다는 뜻이 되니까.

기억해야 할 건 이러한 규정들 때문에 인공지능 분야가 발전을 못하게 되지는 않을 거라는 것이다. 싫든 좋든 새 규정이 우리에게 도래하는 것과 마찬가지로, 인공지능의 발전 역시 예정된 미래다. 다만 그 속도와 과정이 우리의 기대와 조금 다를 수 있다는 게 차이라면 차이다. 미래가 사라진 게 아니라, 발전의 양상이 바뀐 것뿐이다. 게다가 그 방향성이 옳지 않은 것도 아니다.

글 : 팀 길리엄즈(Tim Guilliams), CEO, Healx
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>