기업들은 데이터가 있어야 사업을 할 수 있다. 그런데 그 데이터라는 것이 점점 자유롭게 흐르지 못하게 되는 상황이 펼쳐지고 있다. 데이터 주권이라는 개념이 대두되고 있기 때문이다. 데이터를 자유롭게 흐르게 하면서도 안전하게 보호할 수 있을까?

[보안뉴스 문정후 기자] 디지털 시대가 시작된 이래로 기업들은 데이터를 물처럼 사용해 왔다. 생명의 유지를 위해 반드시 필요하며 누구나 가지고 있어야 하는 것이지만 무료이며 풍족하여 모두가 자유롭게 모으고 저장하고 처리하고 가지고 다닐 수 있는 그런 것으로서 말이다. 하지만 어느 새 그 수도꼭지가 잠겨버렸다. 데이터 보호 규정이라는 댐들이 곳곳에 설치가 되는 바람에 강물이 더 이상 예전 그곳으로 흐르지 않게 됐다. 기업들은 목마름에 허덕이기 시작했다.


기업들은 그 동안 데이터를 자유롭게 공유해 가면서 자신들의 사업 모델을 구축해 왔다. 수십년 간 진행되어 온 세계화의 흐름 역시 이런 데이터의 자유로운 흐름을 기반으로 하고 있었다. 하지만 프라이버시와 관련된 인식이 새롭게 자리를 잡고 규정들이 생겨나면서 이 흐름이 뚝 끊겼다. 데이터의 자유로운 흐름 대신 ‘데이터 주권’이라는 개념이 대두됐다. 이제 기업들은 데이터의 공유가 한껏 제한된 상황에서 같은 수준의 서비스를 계속해서 제공해야만 하는 입장에 처하게 됐다. 데이터를 공유하는 게 어려워졌지만 어려워지지 않은 것처럼 사업을 이어가야 한다는 것이다.

2023년 5월, 우리는 데이터 프라이버시를 보호하는 규정 중 가장 광범위하고 가장 높은 영향력을 선보인 규정인 GDPR의 5주년을 맞게 되었다. 그 5년 동안 세계 곳곳에서 GDPR과 유사한 법안들이 통과되고 시행됐는데, 그 수가 130개를 넘어선다. 그리고 더 많은 법안들이 통과를 기다리고 있거나 등장을 예고하고 있다.

캐나다에서는 ‘디지털 차터 구축 법안(Digital Charter Implementation Act)’이, 인도에서는 ‘디지털개인정보보호법안(Digital Personal Data Protection)’이, 미국 콜로라도 주에서는 ‘콜로라도 프라이버시 법안(Colorado Privacy Act)’이, 유타 주에서는 유타 소비자 프라이버시 법안(Utah Consumer Privacy Act)’이 올해 안에 시행된다. 소비자들에게는 더없이 기쁜 소식이겠으나 기업들은 벌써부터 골치가 아프다.

규정 준수의 어려움
데이터 공유가 아무리 자유로운 시대라고 하더라도 제한이 없지는 않았고, 기업들은 이를 잘 이해하고 있었다. 제일 먼저는 국경이라는 것이 있었고, 각 나라와 지역마다 상이한 규정들이 존재했었다. 공유가 가능한 유형의 데이터가 있는가 하면 그렇지 않은 데이터도 있었다. 이전부터도 고객 데이터를 따로 분리해 보관해 주는 멀티테넌트 애플리케이션들도 있었다. 그렇다면 무엇이 문제인가?

이제는 데이터가 물리적으로 어떤 장소와 위치에서 처리되고 저장되는지까지 신경을 써야 한다는 게 이전과의 가장 큰 차이다. 이것이 이른 바 데이터 주권(data sovereignty)로, 일상에서는 데이터 프라이버시라는 개념으로 통용된다. 소비자를 위하는 것 같지만 사실상 지정학적 개념으로 데이터의 소유권을 주장하는 것이다. 우리 나라의 데이터를 저 나라에 넘기기 싫어서 만들어진 이론이라는 것이다.

어찌됐든 기업들은 이런 국가들 간의 살벌한 신경전을 염두에 두고 사업을 이어나가야만 하는 상황이다. 서로 데이터를 빼앗기기 싫다며 눈을 부라리고 있는 국가들의 감시 아래 안전하고 합법적으로 정보를 습득하고 처리하고 저장하고 활용하는 방안을 마련하여 도입하는 게 모든 기업들이 지켜야 하는 생존의 법칙이 되었다.

국가들이 자국 국민들의 개인정보를 타국에 넘기기 싫어하는 건 당연한 일이다. 이런 규정을 시행하는 정부는 국민 개개인의 정보가 국가 안보에 있어 전략적 가치를 가지고 있다고 믿는 편이다. ‘우리 국민의 개인정보는 반드시 조심해서 다루시오’라는 강력한 메시지가 각 규정들에 숨어 있다. 그러니 기업들이 함부로 간과할 수 없고, 오히려 존중하는 것이 맞다. 특히 국경을 넘나들며 사업을 펼치는 대기업들의 경우라면 각 국가들의 이러한 스탠스를 잘 이해하고 그에 맞출 필요가 있다.

국경 초월의 비용
데이터 주권이 국가로서 당연히 추구할 바를 하는 것처럼 보이는 개념이긴 하지만, 그래서 기업들도 여기에 따르는 게 마땅해 보이긴 하지만, 이 때문에 기업들의 정상적인 사업 행위에 더 많은 비용이 발생하게 되었다는 문제도 존재한다. 이윤을 추구하는 기업 입장에서는 가장 불편한 지점이 될 수도 있다. 데이터 주권과 관련된 규정을 준수하려면 여러 지역에 데이터를 다루는 데 필요한 모든 기술, 장비, 솔루션, 인력을 똑같이 마련해야 한다. 돈이 수십 배 들어간다. 그런데 이를 이행하지 않는다? 더 무서운 벌금이 기다리고 있다.

데이터 주권이 중요한 개념이 되다보니 데이터를 현지화 해야 하는데 이 절차도 대단히 복잡하고 비싸다. 규정 준수의 측면에서는 돈이 들어가도 투자라고 생각하면 그만인데, 사실 서드파티에게 민감한 데이터를 전송해 현지화를 진행한다는 것 자체가 찜찜하고, 실제 보안 문제로 이어질 수 있기 때문에 단순히 생각할 것이 아니다. 그러면 데이터를 한 번 더 처리해야 하고, 이 역시 높은 비용이 들어간다. 심지어 이 과정을 진출하는 국가들에서 다 반복해야 한다. 이 많은 돈을 넉넉히 낼 수 있는 기업은 그리 많지 않다.

데이터가 자유롭게 흐르던 시절로 돌아갈 수 있을까
데이터를 바라보는 시각은 사람마다 다르겠지만 기업에 있어서는 현대 글로벌 경제의 혈액과 같은 존재라고 할 수 있다. 기업은 이 데이터를 활용해 가치를 발생시키는 조직이고, 그러므로 기업들은 데이터를 풍족하게 들고 있어야 더 많은 일들을 벌일 수 있다. 이른 바 ‘국경 없는 데이터’가 보장되면 될수록 기업은 원활하게 가치를 생성하며 혁신을 할 수 있게 된다. 국경 내에 데이터를 가두는 데이터 주권이 강조되는 시대에 국경 없는 데이터를 추구해야 하니, 그 어려움이 만만치 않다.

그럼에도 기업들은 ‘주권 없는 데이터’와 ‘데이터 주권’이 공존할 만한 방법을 찾아내야 한다. 주권도 지키면서 자유롭게 데이터를 공유하고 공유 받을 수 있는 방법에 뭐가 있을까? 가장 유력하게 떠오르는 건 ‘토큰화’다.

데이터를 토큰화 함으로써 기업들은 데이터를 보호하면서 다양한 사용자와 기업들이 열람할 수 있도록 할 수 있다. 각종 데이터 주권 규정들을 무사히 통과할 수도 있다. 실제로 지난 4월 유럽연합에서는 익명화 처리가 된 개인정보를 누군가에게 전송했는데, 해당 정보를 받은 사람이 익명화 처리 기법을 합법적으로 풀어서 정보의 내용을 열람할 방법을 보유하고 있지 않다면 그 익명화 처리 된 개인정보는 개인정보로 볼 수 없다는 판결이 나오기도 했었다. 이 판결은 국경 너머로 정보를 자유롭게 주고 받기를 원하는 기업들에 희소식이었다. 규정을 어기지 않으면서도 정보의 흐름이 자유로웠던 때로 돌아갈 방법이 생겼기 때문이다.

물론 이 기술 하나만으로 모든 문제가 해결되는 건 아니다. 분명히 우리는 새로운 시대에 살아가고 있는 것이 맞고, 그러려면 시대의 흐름 자체에 순응하는 것이 현명하다. 즉 데이터 주권이 강조되는 지금의 기류를 이해하고 거스르지 않아야 한다는 것이다. 그러려면 기업들은 자체적으로 데이터 관련 정책과 업무 프로세스, 감사, 모니터링 등을 일원화 하여 중앙에서 수시로 점검 및 시정함으로써 데이터 주권 규정을 위반하고 있는 부분이 없는지 항상 살필 수 있어야 한다. 데이터를 대하는 근본 태도부터 바뀌어야 한다는 것이다. 그런 후에 토큰화나 익명화 같은 기술을 응용한 데이터 활용 방안을 마련해야 한다. 내부적인 변화 없이 토큰화만 구축한다고 해서 규정 문제가 없어지는 건 아니다.

‘국경 없는 데이터 활용’과 ‘데이터 주권’은 충분히 공존이 가능하다.

글 : 제시카 굴릭(Jessica Gulick), US Cyber Games Commissioner
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>