Citizen Lab Summer Institute 2015 참가 후기

글 | 김가연(오픈넷 변호사)

* 일시: 2015. 6. 24(수) – 26(금), 3일간

* 장소: 캐나다 토론토대학교 뭉크스쿨(Munk School of Global Affairs)

* 참석자: 박경신(고려대학교 로스쿨 교수, 오픈넷 이사), 김가연(오픈넷 변호사), 손지원(한국인터넷투명성보고, 연구원)

* Agenda 보기

Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.

오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.

CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).

첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.

<CLSI 첫 날 1세션 패널들의 모습>

먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.

둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.

그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.

연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.

<CLSI 마지막 날 Wrap-up Session>

그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.

오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.

무심코 쓴 폰트가 100만 원? ‘폰트 저작권’ 삥뜯기 원천봉쇄법

글 | 오픈넷

로펌에서 전화가 오고, 내용증명이 오고, 금방이라도 나를 고소할 것 같다. 내가 그렇게 큰 죄(?)를 지었나? 나조차 의문이지만, 말만 들어도 귀찮은 소송에 휘말리기 싫고, 형사사건으로 고소당할 수도 있다는 말에는 더는 사정을 살필 여유도 싸울 의지도 사라진다. 그래서 억울하지만, 눈물을 머금고 로펌이 제안한 합의에 응한다. 합의 조건은 현금 지급이나 폰트 패키지 구매.

무심코 사용한 폰트가 100만 원? 

무슨 소리냐고? 요즘 더 기승을 부리는 폰트 저작권을 빌미로 한 로펌 삥뜯기에 관한 이야기다. 웹사이트, 홍보 전단, 간판 등에 사용한 폰트(font, 글꼴. 이하 폰트 또는 글꼴)가 저작권을 위반했다며 법무법인에서 폰트 사용자를 압박하고, 합의금을 물게 하거나 울며 겨자 먹기로 폰트 패키지를 사들이게 하는 사례가 몇 년째 이어지고 있다.

법을 잘 모르는 보통 사람은 대개 소송이나 고소를 피하려고 수십에서 수백만 원의 합의금을 내거나 폰트 패키지를 구매하는 것으로 어느 날 갑자기 당한 이 ‘당혹스런’ 사건을 마무리 짓곤 한다(통상 합의금은 100만 원이다). 하지만 문제는 이렇게 ‘삥뜯긴’ 사용자들 가운데 상당수가 정작 저작권을 위반하지도 않았다는 점이다. 저작권법을 위반하지도 않고, 돈만 뜯긴 셈이다.

100만 원이 뉘 집 개 이름도 아니고…

이에 대한 비판은 미뤄두고, 일단 이런 귀찮고, 황당한 사태를 피하기 위해 다음 세 가지를 하나씩 설명하고, 살펴보고자 한다.

1. 폰트 파일의 저작권 개념 
2. 폰트 사용권 계약에서 주의할 점
3. 폰트 저작권 문제 원천봉쇄법: 필요 없거나 말썽이 될만한 폰트 제거 방법(또는 글꼴 목록에 나타나지 않도록 숨기는 방법)

1. 폰트 저작권? 폰트 자체(X) 폰트 파일(O)

웹사이트, 문서 등 저작물에 폰트를 사용한 행위가 저작권 침해라는 경고받는 경우가 많다. 결론부터 말하자면, 정품 소프트웨어에 포함되거나 제작사 홈페이지를 통해 적법하게 내려받은 폰트를 사용한 경우는 저작권 침해가 아니다. 저작권법의 보호 대상은 글자의 모양 자체가 아닌 개별적 폰트 ‘파일’이기 때문이다.

참고로 2013년 3월 문화체육관광부와 한국저작권위원회에서 공개한 “폰트 파일에 대한 저작권 바로 알기”에서 이에 관한 자세한 내용을 확인할 수 있다.

• 문화체육관광부 – 폰트 파일에 대한 저작권 바로 알기

폰트 자체에는 저작권을 인정하지 않지만, 폰트 ‘파일’에는 저작권이 인정된다. 그래서불법 복제된 소프트웨어를 사용하거나 확인되지 않은 출처로 폰트 파일을 입수하는 경우 저작권 침해가 될 수 있다. 특히 개인 블로그나 인터넷 카페 등을 통해 무단으로 재배포되는 폰트 파일을 내려받지 않도록 주의해야 한다.

2. 폰트 사용권 계약에서 주의할 점 

저작권과 별개로 라이선스, 즉 사용권 계약에도 주의해야 한다. 문제가 되는 유형은 크게 두 가지다.

• 번들 글꼴: 다른 정품 소프트웨어(A)를 설치할 때 딸려오는 번들 글꼴을 다른 소프트웨어(B)에서 사용하는 경우. 예) 한컴오피스의 윤고딕을 포토샵에서 사용.
• 사용권 범위를 제한한 무료 글꼴: ‘무료 글꼴’이라는 말만 보고 내려받은 글꼴에 비상업적 용도로만 쓸 수 있게 하는 등의 사용권 제약이 걸려 있는 경우. 이때는 약관에 정해진 사용권 범위를 넘어서 사용할 때, 대개는 ‘비상업 용도’로 정해진 범위를 넘어서 상업적 용도로 사용할 때 문젯거리가 될 수 있다.

번들 글꼴: 한컴오피스(X) – MS오피스(Δ) – 포토샵(O) 

윈도우, 맥, 리눅스 등의 운영체제는 각기 폰트 파일들을 저장하는 폴더 또는 디렉토리가 있다. 각종 오피스 또는 그래픽 편집 프로그램을 설치하면서 이 위치에 번들 글꼴이 저장되는 경우가 있는데, 이것을 다른 프로그램에서 사용할 때 라이선스 위반이 문제 된다. 예를 들어 한컴오피스와 함께 설치된 윤고딕을 포토샵에서 사용해서 문제가 되는 사례 등이다.

어떤 프로그램에 어떤 글꼴이 딸려오는지 일일이 알기 어려우므로 낭패를 보기 쉽다. 가장 많이 쓰이는 한컴오피스, MS 오피스, 포토샵의 번들 글꼴 라이선스에 대한 블로터의 조사 결과를 인용한다.

일반적인 답부터 드리죠. 글꼴 파일을 쓰기로 한 범위를 넘어섰다면 계약 위반으로 인해 민사상 손해배상 책임이 생길 수 있습니다. 각 회사에 물어보니 한컴은 “안 된다”고 잘라 말했습니다.한국MS는 “딱히 문제 삼지 않을 것”이라고 했고, 어도비는 “맘껏 써도 된다”고 답했습니다.

출처: 블로터 – (-.-)a ‘아래아한글’과 함께 깔리는 글꼴, 마음대로 써도 되나요?

따라서 한컴오피스 사용자는 번들 글꼴을 다른 프로그램에서 사용하지 않도록 조심해야 한다. 다행히 2014 버전부터는 번들 글꼴을 별도 위치에 저장해서 다른 프로그램의 폰트 목록에 표시되지 않게 하는 개인 글꼴 컬랙션 기능을 적용했지만, 한컴오피스 2010 또는 이전 버전의 번들 글꼴은 공용 폴더에 저장된다.

한컴오피스 2010에 포함된 글꼴 파일들의 이름과 저작권자 정보는 다음에서 확인할 수 있다.

• 한글과컴퓨터 – 한컴오피스 글꼴&클립아트 저작권 안내

한컴오피스 2014를 포함한 전체 글꼴 저작권 정보는 다음에서 확인할 수 있다.

• 한글과컴퓨터 – 한글과컴퓨터 오피스 제공 글꼴

만약 한컴오피스 2010 또는 이전 버전이 설치된 컴퓨터에서 포토샵 등을 자주 사용하는 경우, 문제 소지가 있는 글꼴 파일들을 공용 폴더에서 제거해 버리는 것이 속 편할 수도 있다. (이에 대해선 아래 3. 항목에서 설명한다.)

폰트 회사의 무료 글꼴 설치 프로그램

폰트 회사가 자사 글꼴을 쉽게 설치할 수 있도록 전용 프로그램을 배포하는 사례가 늘고 있다. 다양한 무료 글꼴을 쉽게 찾아보고 내려받을 수 있다는 장점이 있지만, 회사 로고나 영화, 애플리케이션 또는 기타 상업적 사용을 금지한 경우가 많아 사용권 조항을 꼼꼼히 읽어봐야 한다.

아시아폰트 ‘폰트통’ (삭제 권장): 폰트통을 통해 제공되는 글꼴은 모두 비상업용으로만 사용할 수 있다. 폰트통으로 설치한 폰트 파일은 공용 폰트 폴더에 저장되고, 프로그램을 삭제한 뒤에도 남아있다.

따라서 개인용 컴퓨터에서 비상업적 용도로만 쓰는 경우가 아니라면, 프로그램을 통해서 삭제하는 것이 좋다. ‘제거’ 탭에서 글꼴별로 혹은 전부 제거가 가능하다.

산돌 ‘구름다리’: 구름다리는 폰트 파일을 공용 폴더에 설치하지 않고 프로그램이 실행되는 동안에만 폰트를 사용할 수 있게 하는 등 저작권과 라이선스 문제에 관해 고심한 흔적이 보인다. 폰트 사용 여부는 체크 한 번으로 설정할 수 있지만, 많은 프로그램이 시작 시에만 폰트 정보를 불러오므로 폰트를 추가하거나 제거한 뒤에는 해당 프로그램을 다시 실행해야 한다.

3. 원천봉쇄법: 문제 파일 삭제·숨기기

아래 방법을 이용해 사용하지 않거나 라이선스 위반 소지가 있는 폰트 파일들을 삭제하거나 숨길 수 있다.

윈도우 사용자: 윈도우 7과 윈도우 8

제어판 → 모양 및 개인 설정 → 글꼴을 선택해 들어간다.

글꼴 선택 후 도구 모음에서 ‘숨기기’ 또는 ‘삭제’를 클릭한다. 참고로 콘트롤(Ctrl) 키를 함께 누르면 동시에 여러 개를 선택할 수 있다.

숨긴 글꼴은 흐리게 표시되고 다른 프로그램의 글꼴 목록에 나타나지 않게 된다. ‘표시’를 누르면 다시 사용할 수 있다.

마이크로소프트 오피스 지원 웹사이트의 사용하지 않는 언어 및 글꼴 제거를 참고해도 된다.

맥 사용자: OS X

맥 OS는 10.3 버전부터 제공되는 서체 관리자를 이용할 수 있다. (참고: 애플 – Mac 기본 사항: 서체 관리자)

Finder → 응용 프로그램에서 ‘서체 관리자’(Font Book)를 실행한다.

글꼴 선택 후 체크 버튼을 클릭한다. 참고로 커맨드(Cmd) 키를 함께 누르면 동시에 여러 개를 선택할 수 있다.

숨긴 글꼴은 흐리게 표시되고 다른 프로그램의 글꼴 목록에 나타나지 않게 된다. 활성화 버튼을 클릭하면 다시 사용할 수 있다.

공존과 상생 그리고 평화를 위하여

우리는 폰트 저작권 문제를 어떻게 바라봐야 할까? 한편에서는 법무법인의 무분별한 합의금 장사를 비판한다. 다른 한편에서는 폰트, 특히 한글 폰트 개발에 들어가는 막대한 노력과 비용 때문에라도 저작권과 사용권 계약을 엄격히 지켜야 한다고 목소리를 높인다.

두 의견은 서로 대립하는 것처럼 보인다. 하지만 두 입장은 서로 보완하고, 그래서 공존해야 하는 의견이다. 사용자는 폰트 개발에 들어간 디자이너(회사)의 노고를 당연히 인정해야 하고, 또 회사도 사용자를 잠재적인 범죄자가 아니라 현재 혹은 미래의 귀한 고객으로 존중해야 마땅하다. 그래서 서로 상생할 수 있다.

분명한 사실은 무차별적인 폰트 저작권 ‘삥뜯기’는 저작권 문제를 풀 바람직한 해법이 전혀 아니라는 사실이다. 그리고 사용자 입장에서는 처음부터 분쟁에 휘말리지 않는 편이 가장 좋다. 이 글이 가정과 직장의 평화를 지키는 데 조금이나마 도움이 되기를 기대한다.

<박지환 오픈넷 변호사 일문일답>

• 2015년 10월 12일
• 인터뷰어: 박지환 오픈넷 변호사
• 인터뷰어: 민노씨

– 2년 반쯤 전에 문광부에서 “폰트 파일에 대한 저작권 바로 알기”(2013년 3월)까지 배포했는데, 아직도 폰트 저작권 ‘삥뜯기’ 행태는 근절되지 않았나?

오히려 문제가 심해지고 있는 형편이다. 최근에는 대학생이 학교 내 사용한 폰트 라이선스가 문제된 일이 있었다. 심지어 총장을 고소했다. 일반인을 상대로 예를 들면, 비영리로 설정한 폰트 파일을 음식점 메뉴 등에 사용했다고 문제(손해배상)라고 주장하고, 귀찮은 소송을 하지 않으려면 합의금을 내거나 패키지를 사라고 유도 혹은 강요하는 행태가 이어지고 있다.

– 로펌이 내용증명을 보내 ‘공포감’을 조성하는 수법(?)은 어떻게 보나. 

사실 내용증명은 우체국을 통해 개인(발송인)이 주장하는 바를 타인(수취인)에게 전달하는 것에 불과하다. 따라서 실질은 이메일과 별로 다를 바 없다. 내용증명의 법적 성격은 일반 우편에 우체국이 발송 사실에 관해 공적으로 증명하는 기능만 더해진 것이다.

내용증명이란?

“내용증명”이란 등기 취급을 전제로 우체국창구 또는 정보통신망을 통하여 발송인이 수취인에게 어떤 내용의 문서를 언제 발송하였다는 사실을 우체국이 증명하는 특수취급제도를 말합니다.
– “우편법” 제15조 제3항 및 “우편법 시행규칙” 제25조 제1항 제4호 가목

– 내용증명이 발휘하는 심리적 압박감은 있긴 한 것 같다.

고소 이야기가 나오고, 손해가 얼마다 이야기가 딱딱하고 낯선 법률용어와 함께 나오면 법률 비전공자는 충분히 심리적인 압박을 느낄 수 있을 것 같다. 하지만 내용증명은 저작권 침해를 주장하는 일방의 주장이 적혀 있는 문서에 불과하다.
저작권이나 소송 등의 법률 지식이 없으면 마치 공적인 문서로 착각할 수 있는데, 전혀 그렇지 않다. 같은 사인(私人) 사이의 문서다. 무턱대고 겁먹기보다는 우선 침착하게 저작권 침해 여부를 꼼꼼히 살펴봐야 한다.

– 최근 실무에서 가장 문제가 되는 유형은.

무료로 배포하는 폰트 프로그램인 경우에 ‘비영리’를 단서 조건으로 단 경우가 많다. 그런 프로그램을 ‘영리적’으로 사용하는 것이 저작권 침해인지는 아직 확실한 법적인 판단을 받았다고 보기 어렵다.
다만, 이와 유사한 케이스로 ‘오픈캡쳐’ 사건이 있다. 최근 판례(서울고등법원 2014나19631 판결. 2014년 11월 20일)인데 아주 중요한 판결이다. 이른바 ‘클릭온 방식’으로 사용허락계약이 체결된 경우가 문제된 사건이다. 법원은 프로그램 사용에 관해서는 라이선스 정책 위반(채무불이행)이 문제될 수 있을지언정 설치(복제) 과정에서는 저작권 침해 소지가 없다는 취지로 판시했다.

– 저작권 침해 소지는 없지만, 채무불이행이 문제될 수 있다? 좀 더 쉽게 설명 부탁.

간단히 말해 저작권 침해는 형사 사건이 가능하다. 즉, 저작권 침해는 피해자의 형사 고소가 가능하기 때문에 형사 사건으로 갈 수 있다. 반면 채무불이행은 기본적으로 사인(私人)간의 계약상 문제고, 그 손해만 되돌려주면 된다. 따라서 국가기관(검찰)이 직접 법원에 처벌해달라고 요청(기소)하는 형사 사건과는 상당한 차이가 있다.

– 끝으로 독자에게 하고 싶은 말이 있다면? 

폰트 프로그램을 만들 때 많은 노력이 들어가는 것도 맞고, 저작권을 보호해야 할 필요가 있는 것도 맞다. 하지만 저작권 침해 여부가 불분명한 사안에까지 무차별적으로 고소하는 행태는 ‘저작권 합의금 장사’로 비판받아 마땅하다. 바람직한 저작권 문화 정착을 위해서도 이런 ‘삥뜯기’ 행태는 바람직하지 않다.

오픈넷이 일명 ‘저작권 합의금 장사 방지법’ 입안에 적극적으로 참여한 취지도 이런 이유에서다. 저작권 합의금 장사 방지법(2013년 박혜자 의원 발의)은 현재 국회 교문위 대안으로 법제사법위원회에 계류 중이다.

• 오픈넷 – 합의금 수단으로 전락한 저작권, 저작권법 개정운동에 동참해 주세요. 

내용증명을 받은 분들도 무조건 합의에 응하기보다는 저작권 침해 여부를 꼼꼼히 살펴보고, 이왕이면 일반 민사로 처리하는 것이 좋다. 과도한 합의금 요구는 법원에서도 인정되지 않을 가능성이 크다. 그러니 더욱 꼼꼼하게 사안을 검토해야 한다.

법률 검토를 위해 저작권위원회나 법률구조공단에 조력을 요청하는 것도 방법이다. 그리고 오픈넷 법률상담 창구(메일 주소 [email protected])도 많이 이용해주시기 바란다.

* 위 글은 슬로우뉴스에도 게재하고 있습니다. (2015. 10. 13.)

윈도우10 업데이트 대란과 인터넷 새마을운동

액티브엑스(Active X) 갈라파고스를 초래한 정부의 공인인증서 정책

글 | 박지환(오픈넷 변호사)

2015년에 업데이트된 마이크로소프트사의 최신 운영체제인 윈도우 10이 기본 웹브라우저를 액티브엑스(Active X)가 지원되지 않은 엣지(Edge)로 변경하면서 한국의 웹사이트들은 비상이 걸렸다. 정부와 은행의 웹사이트는 가급적 윈도우 10 업데이트를 하지 말라고 안내하였고, 모처럼 찾아온 윈도우 무료 업데이트 기회에 많은 국내 이용자들은 고민에 빠질 수밖에 없었다. 구글의 크롬(Chrome) 역시 지난 9월부터 NPAPI 플러그인 설치가 불가능해지면서 원도우 10 대란에 이어 이른바 9월 크롬대란이 예고되기도 하였다.

특명 : 액티브엑스를 잡아라?

박근혜 대통령은 2015년 각종 대란이 발생하기 훨씬 이전인 2014년 3월에 이미 이른바 ‘천송이 코트 사건’에서 외국인이 국내 웹사이트에서 결제를 손쉽게 할 수 없다는 점을 지적했다.

“한국 드라마를 본 수많은 중국 시청자가 의상, 패션잡화 등을 사기 위해 한국 쇼핑몰에 접속했지만, 결제하기 위해 요구하는 공인인증서 때문에 결국 구매에 실패했다고 한다. 우리나라에서만 요구하는 공인인증서가 국내 쇼핑몰의 해외 진출에 걸림돌이 되고 있다.”

이후 정부는 모든 문제의 주범이 마치 액티브엑스인 양 호들갑을 떨었다. 액티브엑스를 없애는 것만이 지상의 목표가 되었던 것이다. 액티브엑스만 사라지면 모든 문제가 해결될 것처럼 보였고, 그 결과 exe 방식의 프로그램 설치라는 땜질 처방으로 이어졌다. 하지만 이 모든 노력이 대란을 막기엔 역부족이었다.

대란의 씨앗 : 정부의 공인인증서 보급 및 사용강제 정책

그렇다면 무엇이 각종 플러그인 대란을 초래한 것인가?

10여년 전 당시 주무 부처인 정보통신부는 전자금융거래의 본인확인을 위해 PKI(공개키기반구조)기술을 사용하도록 하면 인터넷 뱅킹 분야에서 국제적으로 앞서나갈 수 있다고 판단하였다. 참신하고 획기적인 아이디어였다. 이에 당국은 기술중립성이나 웹브라우저 이용환경 등은 고려하지 않은 채로 공인인증서 전국민 보급운동을 펼쳤고, 전자금융거래 법령을 통해 사실상 모든 전자금융거래에 공인인증서 사용이 강제되기에 이르렀다. 대란의 씨앗이었다.

액티브엑스가 아니라 기술중립성 위반이 문제다.

그러나 정부의 이 같은 공인인증서 정책은 기술중립성을 위반한 것이었고, 액티브엑스 대란의 진짜 원인은 여기에서 찾아야 한다.

기술중립성(technology neutrality)이란 기술과 관련된 정책에서 특정 기술을 유리하게 취급하거나 특정 기술 사용의무를 부과하지 말아야 한다는 원칙이다. 달리 말하면 기술중립성 원칙은 시장 참여자에게 가장 적합한 기술의 선택권을 부여해야 한다는 것이다.

대표적으로 EU framework directive 2002/21에 아래와 같이 정의되어 있다
“… making regulation technologically neutral, that is to say that it neither imposes nor discriminates in favor of the use of a particular type of technology … “

만약 정부가 특정 기술을 사용하도록 강제하면 기술의 발전 속도에 맞추어 계속 근거 법령을 수정해야 한다. 그러나법령이 빠르게 변하는 기술의 발전 속도를 따라가지 못하면 낙후된 기술이 계속 사용될 수밖에 없다. 또한특정 기술 이외에는 어떠한 혁신적인 기술도 시장 진입이 불가능해지기 때문에시장 경쟁을 통한 기술 혁신은 원칙적으로 불가능해진다.

10여년 전 웹브라우저는 자체 기능이 매우 미약했고, 하드디스크에 암호화키를 저장하는 방식으로 공인인증서를 구현하기 위해서는 별도의 플러그인이 필요했다. 그 역할을 수행했던 것이 불행하게도 마이크로소프트사의 액티브엑스(Active X)였다.

그러나 막대한 기회비용을 이유로 액티브엑스 방식의 공인인증서는 많은 문제점에도 불구하고 다른 방식으로 대체되기 어려웠다. 정부 정책의 경로의존성(path dependency) 때문에 공인인증서 사용 의무 규정 역시 유연하게 바뀌기 어려웠다. 공인인증서 외에 다른 인증기술은 오랫동안 시장에 선보이지도 못하였음은 물론이다. ‘공인’이라는 단어가 주는 믿음직함에 다른 인증기술을 고려할 필요가 있었을지도 의문이다.

2014년 전자금융거래법 개정으로 숨통

요컨대 정부가 공인인증서 보급 및 사용강제 정책을 통해 기술중립성을 위반한 것이 대란의 진짜 원인이다. 정부가 특정 기술을 사용하도록 홍보 및 강제하고 그 기술이 액티브엑스 등 플러그인으로 구현되면서 한국의 인터넷 이용환경은 급속도로 플러그인에 종속되어 버렸다. 앞서가려는 정부의 과욕이 세상에 어디에도 없는 인터넷 갈라파고스를 만들어낸 것이다.

다행히도 사단법인 오픈넷은 근본적인 문제점을 해결하기 위해 기술중립성 원칙에 기초한 전자금융거래법과 전자서명법 개정안을 국회에 제안하였고, 그 중 전자금융거래법이 지난 2014년 9월 30일 극적으로 개정되어 올해부터 시행되고 있다. 이에 금융당국은 기술중립성 원칙에 맞게 공인인증서 사용 의무조항을 단계적으로 철폐하였고, 인증기술에 대한 사후 감독원칙을 천명하기에 이르렀다. 지긋지긋한 액티브엑스 문제의 근본적 원인이 드디어 해결된 것이다.

개정 전자금융거래법 제21조 제3항
금융위원회는 제2항의 기준을 정함에 있어서 특정 기술 또는 서비스의 사용을 강제하여서는 아니되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.

다만 전자금융거래 이외의 많은 영역은 여전히 전자서명법 상 공인인증서가 규율하고 있고, 공인인증서가 이용되는 본인확인 규제들이 수없이 상존해 있다. 정부 웹사이트 역시 공인인증서에 과도하게 의존하고 있다. 따라서 오픈넷이 제안한대로 전자서명법이 전면 개정되거나 공인인증서 기술이 모두 웹 표준 방식으로 개편되지 않는 이상 당분간 답답한 인터넷 이용환경은 계속될 것이다.

인터넷 새마을운동? 정부는 기술 시장에 인위적으로 개입하지 말아야

정부가 기술 시장에 직접 개입하는 것은 과거 새마을 운동을 인터넷 분야에서 구현하는 것과 다름 아니다. 거창하게 기술중립성 원칙을 들먹이지 않더라도, 민간의 기술 발전 속도가 정부의 기술 이해 속도에 비해 월등히 빠른 부문에서는 더 이상 새마을 운동 방식은 유효하지 않다. 정부 주도로 호기롭게 도입되었던 샵메일의 처참한 이용 실적이 이를 방증한다.

인터넷을 통해 혁신적 기술이 꽃피게 하고 인터넷 갈라파고스에서 벗어나기 위해서는 기술중립성 원칙에 따라 정부가 기술 시장에 인위적으로 관여하는 관행에서 벗어나야 한다. 앞서 언급했던 금융위원회의 전향적인 태도 변화는 주목할 만하다. 2015년 액티브엑스 대란은 결국 정부의 과욕에서 비롯되었음을 잊어서는 안 된다.

* 위 글은 씨넷코리아에 기고했습니다. (2015.10.21.)

스마트보안관은 사라졌지만 감시는 계속된다

글 | 오픈넷

방통위가 청소년들을 유해정보에서 구해내겠다며 청소년들의 스마트폰에 배포한 스마트보안관이라는 모바일 앱이 있다. 방통위는 2013년부터 무려 이 앱을 위해 약 30억 원의 예산을 들였고 이통3사와 한국무선인터넷산업연합회(이하 MOIBA)가 함께 개발을 했다.

스마트보안관을 실행시키면 이 앱이 계속 스마트폰에 상주해있으면서 이용자, 즉 청소년이 스마트폰을 통해 하는 모든 행동이 모두 모니터링 되는 방식으로 작동한다. 주요 기능은 아래와 같다.

• 청소년에게 유해하다고 판단된 정보에 접근하는 것을 원천적으로 차단한다.
• 부모에게 청소년 자녀의 스마트폰 일평균 이용시간, 주 이용시간대, 주 이용정보 카테고리 등의 정보를 제공한다.
• 부모가 청소년 자녀의 스마트폰 이용을 통제한다. (시간별, 앱별 등)
• 스마트폰에 설치된 스마트보안관을 청소년이 임의로 삭제할 수 없게 한다.

주요 기능만 봐도 애정이 과한 부모 세대가 청소년 세대를 스토킹하고 일거수 일투족을 감시하는 등 적극적으로 사생활 침해를 하는 느낌이 든다. 놀랍게도 방통위가 2015년 4월 16일부터 시행한 “전기통신사업법 시행령” 일부 개정령에 의하면 청소년에 판매하는 스마트폰에는 유해매체물을 차단할 수 있는 앱을 반드시 설치해야 했다. 이 법률상 의무를 충족할 수 있는 여러 앱이 있지만 방통위는 자신들이 개발한 스마트보안관 설치를 은근히 장려했고 이에 따라 아래와 같이 수십만명의 청소년의 스마트폰에 깔리게 되었다.

심각한 보안 문제, 7개월 만에 서비스 중단

결론부터 말하면 2015년 11월 1일 방통위는 스마트보안관 앱·서비스를 중단한다고 발표했다. 실제로 스마트보안관 앱은 구글 플레이 스토어에서 삭제됐다. 방통위가 스마트보안관 서비스를 중단한 건 의무 사용을 강요한 이 서비스에 심각한 보안 문제를 끝내 해결하지 못했기 때문이라는 의견이 있다.

스마트보안관의 심각한 보안 결함을 발견한 것은 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩이다. 시티즌랩은 2015년 9월 20일 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱”이라는 보고서를 공개했다. (참고: 관련 오픈넷 보도자료)

이 보고서에는 스마트보안관의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과가 담겨있다. 감사는 보안감사 전문 회사인 큐어53(Cure53)과 함께 진행이 됐는데, 연구진은 스마트보안관_[1]을 이용하는 청소년과 부모의 프라이버시와 보안을 위헙하는 26건의 취약점이 있다고 밝혔다. 이 보안 취약점들을 이용하면 스마트보안관 계정을 무력화시키는 것은 물론이고 데이터 변조, 개인정보 절도 등 다양한 공격에 당할 수 있다는 것이다.

보고서에서 밝힌 문제점들을 요약하면 다음과 같다.

• 인증 문제: 정상적인 확인절차나 암호 없이도 계정의 등록과 관리가 가능한 문제점 존재
• 인프라 문제: 서버는 구식 프로그램을 이용하고 있고, 보안조치와 암호화가 업계 표준으로 구현되지 않음. 무작위 대입 공격에 대한 대책 없음
• 법적·정책적 함의: 스마트보안관의 설계 수준이 취약해서 MOIBA의 스마트보안관 약관과 개인정보정책에 맞지 않음. 또한 스마트보안관의 기능은 전기통신사업법령의 내용을 넘어서 프라이버시를 침해함

시티즌랩은 9월 20일 보고서를 공개하기 전 MOIBA에 이 내용을 공유하고 문제를 수정하도록 45일을 기다렸고 일부 취약점을 보완했다고 답변을 했으나 전체 취약점을 해결했는지 답변이 없어 보고서를 공개했다고 한다.

시티즌랩은 그후 MOIBA가 관련 개선을 하였는지 확인하기 위해 2015년 11월 1일 2차 감사를 한 결과를 발표했다. (참고: 관련 오픈넷 보도자료) 2차 감사는 1차 감사 때보다 보완이 됐다고 주장하는 최신 버전을 대상으로 했는데_[2] 일부 수정·보완이 이루어졌지만, 여전히 아래와 같은 심각한 문제점들이 남아있다고 했다.

• 공격자가 청소년의 휴대폰 번호를 알고 있다면 청소년의 생년월일, 휴대폰에 설치된 모든 앱의 목록, 모든 차단 규칙을 취득할 수 있다.
• 공격자는 여전히 청소년의 휴대폰의 차단 규칙이나 설정을 마음대로 변경할 수 있기 때문에 청소년이 휴대폰을 사용하지 못하도록 잠글 수 있다.
• 공격자는 여전히 스마트보안관 부모용의 비밀번호와 청소년의 계정과 연계된 부모의 휴대폰 번호를 찾아낼 수 있다.

이에 시티즌랩은 스마트보안관을 앱스토어에서 즉시 내리고, 이용자들은 사용을 즉시 중단할 것을 권고했다. 즉, 방통위는 시티즌랩이 중단 권고를 한 당일 바로 서비스를 중단한 것이다.

조선닷컴 기사에 따르면 방통위는 스마트보안관 중단 조치에 관해 “지난달 모든 이통사가 음란물 차단 앱을 무료로 보급하기 시작했기 때문에 플레이스토어에서 삭제했을 뿐”이라며 “문제와 관계없이 예정된 일정에 따른 조치”라고 밝혔다.

여기서 말한 이통사의 차단 앱이란 SK텔레콤의 “T청소년유해차단”, KT의 “올레 자녀폰 안심”, LG유플러스의 “U+ 자녀폰지킴이” 등을 말하는데, 이것들은 여전히 플레이 스토어에서 다운로드를 받아 실행할 수 있다.

계속되는 프라이버시 무시·자녀 감시들

따라서 문제는 여전히 남아있다. 정부가 아니더라도 이통사를 비롯한 여러 회사들이 유사한 기능의 앱을 계속해서 배포하고 서비스하고 있다. 이런 위험한 앱들이 시중에 나와 있는 가장 근본적인 이유는 일명 “청소년 스마트폰 감시법”이 이런 앱들의 설치를 강제하고 있기 때문이다.

개정된 전기통신사업법에는 이통사가 청소년과 계약을 할 경우 청소년 유해매체물과 음란정보를 차단할 수 있는 수단을 제공해야 한다고 되어 있고, 세부 방법·절차는 시행령에서 정하도록 되어 있다.

법에 이렇게 명시되어 있는 경우 정부가 아니더라도 누군가 반드시 청소년에게 유해정보를 차단하기 위한 서비스를 만들어야 한다. 기본적으로 이를 위해서는 많은 정보에 접근을 하고 모든 정보를 들여다봐야 하는데, 그 과정에서 청소년은 부모와 협상할 기회도 없이 부모의 상시감시 아래 놓이게 되는 프라이버시 침해가 발생하는 것은 자명하다.

또 법은 차단서비스만 제공하라고 했지만 차단서비스가 상시 작동하고 있는지 확인하기 위해서는 스마트폰 기기 전체에 대한 상시감시가 필요하고 이를 구현하기 위해서는 스마트보안관처럼 수십 억의 돈을 들여도 이용자들을 오히려 각종 보안 위협에 노출될 가능성도 여전하다.

또한 이 시행령은 이통사가 유해정보 차단 앱이 설치되었는지 확인할 수 있는 방법에 대해 명시하지 않고 있다. 그리고, 이통사를 통해 구입하지 않고, 스마트폰을 직접 구매하는 이용자나 외국산 스마트폰을 이용하는 이용자의 경우는 확인조차 할 수 없는 한계점도 명확하다.

심지어 성인인 부모조차 이러한 발상과 서비스를 거부할 방법이 없다는 것도 문제다. 앱의 품질이 나빠 이용을 거부하거나 자녀의 프라이버시를 지켜주기 위해 설치를 하지 않을 수도 있는데, 시행령은 부모가 당연히 동의할 것이라고 전제하고 있다. 이 앱은 부모가 원치 않아도 자녀의 폰에 설치되어 부모와 자녀를 감시자와 피감시자의 관계로 몰아넣어 스마트폰 이용에 관해 교육적인 대화를 할 수 있는 기회를 박탈한다.

감시와 통제로 교육? 발상 자체가 문제

정부는 프라이버시를 포함한 기본권을 침범할 소지가 높더라도 청소년의 모든 스마트폰 이용 내역을 감시하는 법안을 마련하고, 수십억 원의 예산을 들여 보안성이 매우 떨어지는 앱을 직접 개발해 배포했다. 불행 중 다행으로 지금은 직접 앱을 배포하는 것은 포기했지만, “청소년 스마트폰 감시법” 때문에 여전히 이런 강제 모니터링 앱을 설치해야 하는 수많은 청소년들이 존재한다.

정부는 여전히 청소년의 문자메시지, 채팅 메시지, 검색어 등을 감시하는 서비스를 운영 중이다.

정부는 통제와 감시로 문제가 해결된다는 생각을 버려야 한다. 시민들은 학교와 가정에서 교육해야 할 영역을 국가가 법으로 학교·부모의 감시를 강제하거나 이를 위해 개인용 통신기기에 특정 소프트웨어의 장착을 요구하는 것의 위험성에 대해 다시 한번 심각하게 생각해 봐야 할 때다.

————————————————–

[1] 안드로이드용 스마트보안관 최신버전(1.7.5 이하)

[2] 안드로이드용 스마트보안관 1.7.7

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 11. 16.)

KT의 다음카카오팩은 망중립성을 해치는 서비스일까

글 | 오픈넷

2015년 8월 5일 KT가 다음카카오(현 카카오)와 함께 유료 부가서비스 “다음카카오팩”과 “다음카카오 데이터쿠폰”을 출시했다.^[1] 이용 요금 3,300원으로 카카오톡, 카카오TV, 카카오페이지, 다음, 다음 웹툰, 다음tv팟을 데이터용량 3GB 내에서 자유롭게 이용할 수 있다.^[2]

“다음카카오팩”과 “다음카카오 데이터쿠폰”은 KT의 다른 데이터 충전 부가서비스에 비해 월등히 싸다. “LTE 데이터충전”으로 3GB 이용권을 구입하려면 34,100원으로 약 10배 정도는 더 비싸다. 물론 “LTE 데이터충전”으로는 모든 인터넷 서비스를 이용할 수 있고 “다음카카오팩”으로는 위에서 언급한 서비스만 이용할 수 있다.

이쯤되면 떠오르는 단어가 있는데, 바로 “망중립성”이다. 다음카카오팩은 인터넷의 모든 데이터를 동등하게 대해야 한다는 망중립성을 어긴 것일까? 미래창조과학부(이하 미래부)는 이를 두고 ‘망중립성 가이드라인 위반 소지가 크다’며 KT에 다음카카오팩에 대한 소명을 요구했다. 아예 위반한 것도 아니고 위반 소지가 크다고 한 건 무슨 뜻일까. 심지어 서비스를 중단시키거나 중단을 권고하지도 않았다.

한국의 망중립성

망중립성이란 ‘모든 망사업자와 정부는 인터넷의 모든 데이터를 동일하게 취급해야 하며 사용자나 내용, 전송방식 등에 어떠한 차별도 하지 않아야 한다’는 개념이며 비차별, 상호접속, 접근성의 세 가지 원칙을 갖는다.

한국의 방통위는 2011년 12월 26일 미국과 유럽 등과 비교해도 뒤지지 않는 망중립성 가이드라인을 발표한 바 있다. 요약하면 다음과 같다.

• 이용자 권리를 명시적으로 선언:무해하고 적법한 기기나 서비스를 이용할 권리와 트래픽 관리에 관한 정보를 제공받을 권리가 이용자에게 있음을 분명히 선언.
• 투명성: 트래픽 관리 내용을 투명하게 공개해야 할 의무를 망사업자에게 부과
• 합리적 트래픽 관리: 차별적 대우를 금지하되 합리적 트래픽 관리는 일정한 경우에 허용됨을 규정
• 관리형 서비스 인정: 그러나 기본형 서비스의 품질이 적정 수준으로 유지되는 한도에서 관리형 서비스가 허용됨을 명시

물론 방통위는 KT가 삼성의 스마트TV 서비스를 일방적으로 차단할 때도 아무런 제재를 하지 않거나 지금껏 통신사들이 무선인터넷전화 서비스를 제한하는 것 역시 허용하는 등 자신들이 세운 가이드라인을 정확하게 이해하는 것 같지는 않아 보인다. 하지만 가이드라인은 나쁘지 않다.

사례1: 카카오택시 기업 회원의 데이터 무료 서비스

2015년 5월 13일 다음카카오(현 카카오)는 KT에 가입한 카카오택시 기사 회원이 카카오택시 기사용 앱을 이용할 때 드는 데이터 사용료를 무료로 하는 서비스를 내놓았다.^[3] 이를 “카카오택시 데이터 무료” 서비스라고 칭하자.

특정 이용자에게 특정 서비스를 무료로 이용할 수 있게 하는 “카카오택시 데이터 무료” 서비스는 망중립성을 위반한 걸까? 방통위나 미래부는 이 서비스에 대해 어떤 언급도 하지 않았고 제재도 가하지 않았다. 왜 그럴까? 먼저 기억할 것이 있다.

망중립성 가이드라인은 망사업자에 대한 규제다.

그렇다면 이 서비스는 망중립성 위반이 아니다. 카카오는 망사업자가 아니기 때문이다. 만약 다른 법규나 규정을 적용한다면 “공정거래법”이 적당할 것이다. (물론 망사업자도 공정거래법의 적용을 받는다.)

콘텐츠 사업자가 자신의 서비스를 촉진하기 위해 자신의 서비스 이용에 필요한 망사용료를 쿠폰으로 발행하는 것은 망중립성 문제가 아니라 공정거래법의 문제다. 즉, 카카오의 콘텐츠 사업자로서의 시장지배력이나 진입장벽 등을 따져서 판단을 하면 된다.

따라서 미래부가 카카오택시 데이터 무료 서비스를 망중립성 위반이 아니라고 본 것은 좋은 판단이라 여겨진다. 공정거래법 위반 여부는 별도로 파악을 해야겠지만, 예측컨데 시장상황을 판단할 경우 역시 문제가 되지 않을 것으로 본다.

사례2: 이통사의 무선인터넷전화 서비스 차별

반면 KT나 SK텔레콤 등의 망사업자가 자신의 서비스를 우대하는 것은 어떨까? 여기서 “우대한다”에는 크게 두 가지가 있다.

1. 물리적으로 우대한다. (예: 속도를 조절한다. 접근을 차단·허용한다.)
2. 가격으로 우대한다. (예: 자신의 서비스만 싸게 제공한다.)

일단 1번의 경우처럼 특정 콘텐츠의 접근 속도를 빠르게 하거나 다른 콘텐츠의 접근을 막거나 느리게 하는 것은 100% 망중립성 위반이다. 현재 한국에서 벌어지고 있는 것처럼 ‘이용자가 자신이 계약해서 확보한 데이터로 무선인터넷전화 서비스를 이용할 때 용량 제한이 있는 경우’가 대표적인 예다. 예전 요금제를 쓰는 이용자가 겪는 차별은 더 크다.

그렇다면 2번처럼 망사업자가 자신의 서비스를 가격으로 우대하는 것은 어떨까? 망중립성이 반대하는 차별이 ‘물리적 차별’만을 뜻한다는 견해와 ‘가격적 차별’도 뜻한다는 견해가 전 세계적으로 맞서고 있다. 물론 전자의 견해가 다수 의견이 되더라도 위에서 언급한 것처럼 한국에서는 시장상황에 따라 공정거래법 위반이 될 가능성이 높다.

사례3: KT 카카오팩과 특정 서비스의 트래픽 우대

그렇다면 망사업자가 자신의 서비스가 아니라 (계열사가 아닌) 제휴사의 서비스를 견제적 계약을 통해 우대해주기 위해 망사용료를 면제해주는 것은 어떨까? KT의 다음카카오팩을 여기에 맞춰보기 전에 고려해야 할 지점이 있다.

첫째, 만약 KT 다음카카오팩이 망사업자 주도의 서비스라고 본다면 이는 물리적 차별이 아니라 가격 차별이다. 다음카카오팩을 이용한다고 더 빠른 속도로 카카오 서비스를 이용하는 것도 아니고, 네이버나 구글 등 다른 서비스를 이용 못 하는 것도 아니기 때문이다. 그렇다면 이는 현재 논란과 토론이 진행 중인 부분이다.

둘째, 만약 다음카카오팩을 KT가 아니라 카카오가 주도하는 것이라면 망중립성 위반과는 관계 없다고 볼 수 있다. 서비스 사업자가 자신의 서비스를 촉진하기 위해 망사용료에 해당하는 쿠폰을 이용자에게 저렴한 가격으로 발행하는 것으로 볼 수도 있다.

망중립성 원칙 vs. 서비스 촉진

지금까지의 상황은 이렇다.

• 미래부는 KT의 다음카카오팩 서비스가 망중립성 가이드라인의 위반 소지가 크다고 판단했다.
• 하지만 미래부는 다음카카오팩 서비스를 중단시키지는 않았고, KT 우선 소명을 요구했다.
• 미래부는 KT에 다음카카오팩 외에 네이버팩 등 다른 서비스를 저렴하게 이용할 수 있는 상품을 출시할 것을 권고했지만 KT는 아직 응답이 없다.
• 미래부는 다른 통신사에게 이와 비슷한 서비스의 출시를 보류하도록 했다.

서비스 사업자 입장에서 자신의 서비스를 더 많이 이용할 수 있도록 최대한의 노력을 다 하는 것은 당연한 일이다. 하지만, 이것이 망사업자와 함께 진행된다면 자칫 망중립성을 헤치는 구도가 만들어질 수도 있다. 이통사가 다양한 업체들의 여러 프로모션을 최대한 지원해준다 하더라도 신규 서비스나 작은 서비스들이 상대적인 차별을 받을 수도 있다.

이데일리 기사에 따르면 미래부는 통신사가 특정 콘텐츠기업과 제휴해 특정 콘텐츠·서비스 이용시 데이터 요금을 내지 않는 “제로 레이팅(Zero-Rating)”은 문제가 없는 것으로 본다고 한다. 통신사가 주도하거나 혜택을 주는 디지털 음원 서비스가 대표적이다. (예: 멜론, 지니, 엠넷 등)

하지만 팀 버너스-리는 이 “제로 레이팅”이 망중립성의 위험이 될 것이라고 판단한다. 유럽 연합 사이트에 올라온 팀 버너스-리의 글을 인용해 본다.

‘웹의 아버지’ 팀 버너스-리(2014년 모습, 출처: Paul Clarke, CC SA)

물론 망중립성은 (특정 서비스를) 막거나 (대역폭을) 조절하는 것뿐 아니라 인터넷 업체가 다른 서비스보다 특정 서비스를 지지하는 것 같은 ‘긍정적인 차별’을 막는 것이기도 하다. 만약 우리가 이를 명시적으로 불법이라 하지 않는다면, 우리는 엄청난 힘을 통신사와 온라인 서비스 오퍼레이터에게 넘겨주게 될 것이다. 사실 그들은 시장에서의 승자와 패자를 결정하고 자신의 사이트와 서비스, 플랫폼을 좋아하게 만들도록 하는 게이트 키퍼가 될 수 있다.

이것은 경쟁을 밀어내고 혁신적인 새로운 서비스가 빛을 보기도 전에 파괴할 것이다. 새로운 스타트업이나 새로운 서비스 제공자가 고객들을 모으기도 전에 경쟁자에게 허락을 구하거나 돈을 내야 한다고 생각해보라. 마치 뇌물 수수나 시장을 악용하는 것처럼 들릴 것이다. 하지만 이것이야 말로 우리가 망중립성과 멀어질 때 예상할 수 있는 시나리오다.

Of course, it is not just about blocking and throttling. It is also about stopping ‘positive discrimination’, such as when one internet operator favours one particular service over another. If we don’t explicitly outlaw this, we hand immense power to telcos and online service operators. In effect, they can become gatekeepers – able to handpick winners and the losers in the market and to favour their own sites, services and platforms over those of others.

This would crowd out competition and snuff out innovative new services before they even see the light of day. Imagine if a new start-up or service provider had to ask permission from or pay a fee to a competitor before they could attract customers? This sounds a lot like bribery or market abuse – but it is exactly the type of scenario we would see if we depart from net neutrality.

출처: 유럽 위원회 – Net neutrality is critical for Europe’s future

미래부의 이번 결정은 신중한 결정을 내리기 위한 단계로 보기 부족하지 않아 보인다. 어느쪽으로 결정하든 망중립성을 해치지 않는 쪽으로 진행하길 바란다.

—————————————–

[1] 두 서비스는 기본적으로 같은 혜택을 주는 상품이며 전자는 월정액, 후자는 일회성 상품이다.

[2] 보이스톡, 페이스톡, 카카오게임, 카카오뮤직은 제외

[3] 단, 지도 화면을 확대·축소하거나, 김기사 앱으로 길안내를 받는 경우 발생하는 데이터는 제외했다.

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 12. 2.)

KT의 다음카카오팩은 망중립성을 해치는 서비스일까

글 | 오픈넷

2015년 8월 5일 KT가 다음카카오(현 카카오)와 함께 유료 부가서비스 “다음카카오팩”과 “다음카카오 데이터쿠폰”을 출시했다.^[1] 이용 요금 3,300원으로 카카오톡, 카카오TV, 카카오페이지, 다음, 다음 웹툰, 다음tv팟을 데이터용량 3GB 내에서 자유롭게 이용할 수 있다.^[2]

“다음카카오팩”과 “다음카카오 데이터쿠폰”은 KT의 다른 데이터 충전 부가서비스에 비해 월등히 싸다. “LTE 데이터충전”으로 3GB 이용권을 구입하려면 34,100원으로 약 10배 정도는 더 비싸다. 물론 “LTE 데이터충전”으로는 모든 인터넷 서비스를 이용할 수 있고 “다음카카오팩”으로는 위에서 언급한 서비스만 이용할 수 있다.

이쯤되면 떠오르는 단어가 있는데, 바로 “망중립성”이다. 다음카카오팩은 인터넷의 모든 데이터를 동등하게 대해야 한다는 망중립성을 어긴 것일까? 미래창조과학부(이하 미래부)는 이를 두고 ‘망중립성 가이드라인 위반 소지가 크다’며 KT에 다음카카오팩에 대한 소명을 요구했다. 아예 위반한 것도 아니고 위반 소지가 크다고 한 건 무슨 뜻일까. 심지어 서비스를 중단시키거나 중단을 권고하지도 않았다.

한국의 망중립성

망중립성이란 ‘모든 망사업자와 정부는 인터넷의 모든 데이터를 동일하게 취급해야 하며 사용자나 내용, 전송방식 등에 어떠한 차별도 하지 않아야 한다’는 개념이며 비차별, 상호접속, 접근성의 세 가지 원칙을 갖는다.

한국의 방통위는 2011년 12월 26일 미국과 유럽 등과 비교해도 뒤지지 않는 망중립성 가이드라인을 발표한 바 있다. 요약하면 다음과 같다.

• 이용자 권리를 명시적으로 선언:무해하고 적법한 기기나 서비스를 이용할 권리와 트래픽 관리에 관한 정보를 제공받을 권리가 이용자에게 있음을 분명히 선언.
• 투명성: 트래픽 관리 내용을 투명하게 공개해야 할 의무를 망사업자에게 부과
• 합리적 트래픽 관리: 차별적 대우를 금지하되 합리적 트래픽 관리는 일정한 경우에 허용됨을 규정
• 관리형 서비스 인정: 그러나 기본형 서비스의 품질이 적정 수준으로 유지되는 한도에서 관리형 서비스가 허용됨을 명시

물론 방통위는 KT가 삼성의 스마트TV 서비스를 일방적으로 차단할 때도 아무런 제재를 하지 않거나 지금껏 통신사들이 무선인터넷전화 서비스를 제한하는 것 역시 허용하는 등 자신들이 세운 가이드라인을 정확하게 이해하는 것 같지는 않아 보인다. 하지만 가이드라인은 나쁘지 않다.

사례1: 카카오택시 기업 회원의 데이터 무료 서비스

2015년 5월 13일 다음카카오(현 카카오)는 KT에 가입한 카카오택시 기사 회원이 카카오택시 기사용 앱을 이용할 때 드는 데이터 사용료를 무료로 하는 서비스를 내놓았다.^[3] 이를 “카카오택시 데이터 무료” 서비스라고 칭하자.

특정 이용자에게 특정 서비스를 무료로 이용할 수 있게 하는 “카카오택시 데이터 무료” 서비스는 망중립성을 위반한 걸까? 방통위나 미래부는 이 서비스에 대해 어떤 언급도 하지 않았고 제재도 가하지 않았다. 왜 그럴까? 먼저 기억할 것이 있다.

망중립성 가이드라인은 망사업자에 대한 규제다.

그렇다면 이 서비스는 망중립성 위반이 아니다. 카카오는 망사업자가 아니기 때문이다. 만약 다른 법규나 규정을 적용한다면 “공정거래법”이 적당할 것이다. (물론 망사업자도 공정거래법의 적용을 받는다.)

콘텐츠 사업자가 자신의 서비스를 촉진하기 위해 자신의 서비스 이용에 필요한 망사용료를 쿠폰으로 발행하는 것은 망중립성 문제가 아니라 공정거래법의 문제다. 즉, 카카오의 콘텐츠 사업자로서의 시장지배력이나 진입장벽 등을 따져서 판단을 하면 된다.

따라서 미래부가 카카오택시 데이터 무료 서비스를 망중립성 위반이 아니라고 본 것은 좋은 판단이라 여겨진다. 공정거래법 위반 여부는 별도로 파악을 해야겠지만, 예측컨데 시장상황을 판단할 경우 역시 문제가 되지 않을 것으로 본다.

사례2: 이통사의 무선인터넷전화 서비스 차별

반면 KT나 SK텔레콤 등의 망사업자가 자신의 서비스를 우대하는 것은 어떨까? 여기서 “우대한다”에는 크게 두 가지가 있다.

1. 물리적으로 우대한다. (예: 속도를 조절한다. 접근을 차단·허용한다.)
2. 가격으로 우대한다. (예: 자신의 서비스만 싸게 제공한다.)

일단 1번의 경우처럼 특정 콘텐츠의 접근 속도를 빠르게 하거나 다른 콘텐츠의 접근을 막거나 느리게 하는 것은 100% 망중립성 위반이다. 현재 한국에서 벌어지고 있는 것처럼 ‘이용자가 자신이 계약해서 확보한 데이터로 무선인터넷전화 서비스를 이용할 때 용량 제한이 있는 경우’가 대표적인 예다. 예전 요금제를 쓰는 이용자가 겪는 차별은 더 크다.

그렇다면 2번처럼 망사업자가 자신의 서비스를 가격으로 우대하는 것은 어떨까? 망중립성이 반대하는 차별이 ‘물리적 차별’만을 뜻한다는 견해와 ‘가격적 차별’도 뜻한다는 견해가 전 세계적으로 맞서고 있다. 물론 전자의 견해가 다수 의견이 되더라도 위에서 언급한 것처럼 한국에서는 시장상황에 따라 공정거래법 위반이 될 가능성이 높다.

사례3: KT 카카오팩과 특정 서비스의 트래픽 우대

그렇다면 망사업자가 자신의 서비스가 아니라 (계열사가 아닌) 제휴사의 서비스를 견제적 계약을 통해 우대해주기 위해 망사용료를 면제해주는 것은 어떨까? KT의 다음카카오팩을 여기에 맞춰보기 전에 고려해야 할 지점이 있다.

첫째, 만약 KT 다음카카오팩이 망사업자 주도의 서비스라고 본다면 이는 물리적 차별이 아니라 가격 차별이다. 다음카카오팩을 이용한다고 더 빠른 속도로 카카오 서비스를 이용하는 것도 아니고, 네이버나 구글 등 다른 서비스를 이용 못 하는 것도 아니기 때문이다. 그렇다면 이는 현재 논란과 토론이 진행 중인 부분이다.

둘째, 만약 다음카카오팩을 KT가 아니라 카카오가 주도하는 것이라면 망중립성 위반과는 관계 없다고 볼 수 있다. 서비스 사업자가 자신의 서비스를 촉진하기 위해 망사용료에 해당하는 쿠폰을 이용자에게 저렴한 가격으로 발행하는 것으로 볼 수도 있다.

망중립성 원칙 vs. 서비스 촉진

지금까지의 상황은 이렇다.

• 미래부는 KT의 다음카카오팩 서비스가 망중립성 가이드라인의 위반 소지가 크다고 판단했다.
• 하지만 미래부는 다음카카오팩 서비스를 중단시키지는 않았고, KT 우선 소명을 요구했다.
• 미래부는 KT에 다음카카오팩 외에 네이버팩 등 다른 서비스를 저렴하게 이용할 수 있는 상품을 출시할 것을 권고했지만 KT는 아직 응답이 없다.
• 미래부는 다른 통신사에게 이와 비슷한 서비스의 출시를 보류하도록 했다.

서비스 사업자 입장에서 자신의 서비스를 더 많이 이용할 수 있도록 최대한의 노력을 다 하는 것은 당연한 일이다. 하지만, 이것이 망사업자와 함께 진행된다면 자칫 망중립성을 헤치는 구도가 만들어질 수도 있다. 이통사가 다양한 업체들의 여러 프로모션을 최대한 지원해준다 하더라도 신규 서비스나 작은 서비스들이 상대적인 차별을 받을 수도 있다.

이데일리 기사에 따르면 미래부는 통신사가 특정 콘텐츠기업과 제휴해 특정 콘텐츠·서비스 이용시 데이터 요금을 내지 않는 “제로 레이팅(Zero-Rating)”은 문제가 없는 것으로 본다고 한다. 통신사가 주도하거나 혜택을 주는 디지털 음원 서비스가 대표적이다. (예: 멜론, 지니, 엠넷 등)

하지만 팀 버너스-리는 이 “제로 레이팅”이 망중립성의 위험이 될 것이라고 판단한다. 유럽 연합 사이트에 올라온 팀 버너스-리의 글을 인용해 본다.

‘웹의 아버지’ 팀 버너스-리(2014년 모습, 출처: Paul Clarke, CC SA)

물론 망중립성은 (특정 서비스를) 막거나 (대역폭을) 조절하는 것뿐 아니라 인터넷 업체가 다른 서비스보다 특정 서비스를 지지하는 것 같은 ‘긍정적인 차별’을 막는 것이기도 하다. 만약 우리가 이를 명시적으로 불법이라 하지 않는다면, 우리는 엄청난 힘을 통신사와 온라인 서비스 오퍼레이터에게 넘겨주게 될 것이다. 사실 그들은 시장에서의 승자와 패자를 결정하고 자신의 사이트와 서비스, 플랫폼을 좋아하게 만들도록 하는 게이트 키퍼가 될 수 있다.

이것은 경쟁을 밀어내고 혁신적인 새로운 서비스가 빛을 보기도 전에 파괴할 것이다. 새로운 스타트업이나 새로운 서비스 제공자가 고객들을 모으기도 전에 경쟁자에게 허락을 구하거나 돈을 내야 한다고 생각해보라. 마치 뇌물 수수나 시장을 악용하는 것처럼 들릴 것이다. 하지만 이것이야 말로 우리가 망중립성과 멀어질 때 예상할 수 있는 시나리오다.

Of course, it is not just about blocking and throttling. It is also about stopping ‘positive discrimination’, such as when one internet operator favours one particular service over another. If we don’t explicitly outlaw this, we hand immense power to telcos and online service operators. In effect, they can become gatekeepers – able to handpick winners and the losers in the market and to favour their own sites, services and platforms over those of others.

This would crowd out competition and snuff out innovative new services before they even see the light of day. Imagine if a new start-up or service provider had to ask permission from or pay a fee to a competitor before they could attract customers? This sounds a lot like bribery or market abuse – but it is exactly the type of scenario we would see if we depart from net neutrality.

출처: 유럽 위원회 – Net neutrality is critical for Europe’s future

미래부의 이번 결정은 신중한 결정을 내리기 위한 단계로 보기 부족하지 않아 보인다. 어느쪽으로 결정하든 망중립성을 해치지 않는 쪽으로 진행하길 바란다.

—————————————–

[1] 두 서비스는 기본적으로 같은 혜택을 주는 상품이며 전자는 월정액, 후자는 일회성 상품이다.

[2] 보이스톡, 페이스톡, 카카오게임, 카카오뮤직은 제외

[3] 단, 지도 화면을 확대·축소하거나, 김기사 앱으로 길안내를 받는 경우 발생하는 데이터는 제외했다.

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 12. 2.)

캐나다 토론토대학 시티즌랩 주최 워크샵 CLSI 참가 후기(한국인터넷투명성보고팀)

글 | 손지원 (변호사, 고려대 한국인터넷투명성보고팀 연구원)

오픈넷과 협력하는 고려대 한국인터넷투명성보고팀은 지난 6월 캐나다 토론토대학교 산하 시티즌랩에서 주최한 워크샵 프로그램인 Citizen Lab Summer Institute에 참가하였다. 본 워크샵에서는 캐나다, 미국, 영국, 홍콩, 대만, 한국, 콜롬비아, 등 각국의 인터넷 인권 관련 시민단체 및 학계 등의 다양한 분야의 전문가들이 모여 인터넷 인권 관련 이슈를 논의하였다.

이번 워크샵에서는 특히 통신 감시, 검열 현황에 대한 ‘투명성보고’ 연구를 집중적으로 다루는 패널 세션 및 그룹회의가 구성되어, 투명성보고의 최신 경향 및 투명성보고가 앞으로 나아가야 할 방향에 대하여 논의하였다.

첫 날 ‘공공과 기업의 투명성’이라는 주제의 세션에서는, 캐나다 프라이버시 위원회(Privacy Commissioner of Canada)의 Chris Prince의 사회로, Teksavvy의 Bram Abramson, 홍콩 투명성보고의 Jennifer Zhang, Access에서 기업 투명성보고를 분석하는 Peter Micek, 그리고 한국 투명성보고서의 손지원 연구원이 패널로 참여하여, 각자의 경험을 바탕으로 각국의 투명성보고의 경향, 투명성보고를 촉진, 발전시키는 방법 및 한계 등에 대하여 의견을 발표하였다.

손지원 연구원은, 온라인 메신저 대량 감시 사태가 이슈화되자, 국내 네이버, 다음의 양대 사업자들이 경쟁적으로 투명성보고서를 발간하기에 이르른 한국의 최근 상황 및  한국 정부의 투명성 및 공개 수준에 대하여 설명하였다. 이를 바탕으로, 국가 단위의 투명성보고를 촉진하기 위하여는 입법으로 의무화하는 것이 가장 중요하고, 기업의 투명성보고를 촉진하기 위하여는 대중의 관심을 끌 수 있는 사안을 발굴하여 이슈화하는 것이 중요하다고 밝혔다. 또한 투명성보고의 궁극적 목적은 대중의 역감시를 가능하게 하고, 정부 및 기업이 과도하게 통신을 검열, 감시하는 관행을 억제시키는 것이기 때문에, 단순히 수치를 중립적으로 제공하기보다 대중의 관심을 끌 수 있는 개별 사안에 대한 이슈화 및 비평들의 역할도 필요하다는 의견을 제시하였다.

이어진 2일 간은 소규모 그룹회의를 통하여 워크샵 참여자들의 투명성보고의 발전 방향에 대한 구체적이고 심층적인 의견교환이 이루어졌다.

‘주요 투명성보고 데이터의 세팅 및 접근, 구조 (Structure of, and Access to, Primary Transparency Datasets)’를 주제로 이루어진 회의에서는, 최근 공개되고 있는 정부 및 기업의 데이터의 종류와 그 근거 규정, 그 한계와 보충되어야 할 항목들에 대한 논의가 이루어졌다.

특히, 접근 부분에 관해서는 투명성보고서를 공개하고 있는 경우에도, 정부와 기업 모두 데이터 혹은 투명성보고서를 쉽게 찾을 수 없도록 하고 있어, 적극적으로, 접근하기 쉬운 방법으로 제공되고 있는 것으로 보이지 않는다는 점이 지적되었다. 또한 기업 보고서의 경우, 텍스트나 표 시트가 아닌 이미지 등으로의 제공은 오히려 데이터를 활용, 분석하는 데에 있어 복사, 붙이기 등의 작업을 어렵게 한다는 문제점이 있으므로, 이를 용이하게 하는 방향으로 데이터가 공개되어야 한다는 의견도 있었다.

단순히 요청 건수, 제공 건수만 공개하는 것은 질적 평가를 불가능하게 한다는 것이 공통된 의견이었다. 따라서 1. 요청 형식 (공식/비공식, 긴급/일반, 영장유무), 2. 제공 사항 (통신내용/통신기록/신원정보), 3. 목적 및 근거 규정 (죄명 등), 4. 요청 기관명, 5. 관련 서비스 유형 (메일, 메신저, 동영상, 게임 등), 6. 사후 기소율, 유죄판결율 등과 같은 구체적 데이터 항목이 공개될 필요가 있다는 의견이 오갔다. 또한 특히 기업 보고서의 경우에는, 기업이 이용자의 권리를 잘 보장하고 있는지를 평가하여야 하므로,  제공 근거규정에 대하여 단순히 법률만을 인용할 것이 아니라, 각사의 정책에 따른  구체적인 검토, 제공 기준을 공개하고, 구글이 하고 있는 것과 같이 특히 문제될 수 있는 사안에서 제공을 거절 사례와 그 이유를 서술하는 방식의 항목이 필요하다는 의견이 있었다.

각 기업의 투명성보고서를 비교, 분석하는 작업을 하는 연구자들의 입장에서는, 나라별로 제도가 다르고, 또한 기업별로 공개 항목도 달라 연구에 상당한 고충이 따르고, 또한 더 나은 투명성보고 관행을 수립하기 위하여 투명성보고서의 표준화 작업이 필요하다는 데에 입을 모았다.

‘주요 데이터 수집 및 게시 방법론(Methods of Gathering and Presenting Primary Data)’을 주제로 한 회의에서는, 각 연구자들이 어떻게 데이터들을 수집하고, 종합하여 일반에게 게시하고 있는지, 효율적인 투명성보고를 위하여 중점을 두어야 할 것이 무엇인지를 논의하였다.

각 국가 내에서 이루어지는 감시, 검열 현황을 관리하는 중앙화된 시스템이 없는 경우에는, 개별 기관마다 따로 정보공개청구를 하여야 하고, 국가 전체적으로 이루어지는 현황을 파악할 수 없다는 한계가 있었고, 또한 이러한 관리와 공개를 의무화하는 근거규정이 없는 이상, 개별 기관들도 공개요청에 불응하는 경우가 많기 때문에, 입법으로 중앙화된 관리와 공개를 의무화하는 것이 가장 효율적인 정책 전략임이 시사되었다. 스노든 사태 이후, 각국 정부의 투명성보고 책임에 대하여 관심이 집중되고 있고, 앞으로 APEC, OECD 등 국제회의에서도 정부의 투명성보고가 주요한 이슈가 될 것이라는 예측도 있었다.

투명성보고서를 발간하는 기업이 늘어남에 따라, 더 나은 투명성보고 관행을 촉진하기 위하여, 각 기업의 투명성보고 수준을 평가하고 순위를 매기는 시민단체의 활동도 있었다. 이러한 활동은 각 사업자들이 모범적인 사례를 따르도록 유인할 수 있다는 면에서 고무적이라는 평가가 일반적이었다.

국가별 투명성보고서의 리스팅 작업과 투명성 수준에 대한 평가 작업에 대한 논의도 오갔다. 비록 공개되고 있다고 하더라도 언어와 제도가 달라서 분석에 어려움이 따를 것으로 예상되지만, 감시, 검열 현황을 공개하지 않고 있거나, 혹은 공개 수준이 낮은 국가들에게 다른 국가의 공개 사례를 근거로 제시하는 것만으로도 공개 요청에 있어 중요한 자료가 될 수 있으므로, 참여자들이 함께 이러한 작업에 힘쓰기로 하였다.

전체적으로 투명성보고 관련 논의에 있어서 연구자들이 가장 신경쓰는 부분은, 투명성보고서가 사회에 메세지를 던질 수 있는, 중요한 자료가 될 수 있는가였다. 이를 위해서는 더 구체적인 내용에 대한 투명성이 필요한데, 아직 정부도, 사업자도, 통신 감시, 검열 행태에 대하여 대중이 정확한 평가를 내릴 수 있을 정도의 데이터는 제공하지 않고 있다. 더 나은 투명성을 확보하기까지는 상당한 시간과 노력이 필요할 것으로 보이고, 투명성보고만으로 정부나 기업의 행태가 가시적으로 변화하지는 않겠지만, 포기할 수는 없는 영역인 것이다. 이번 워크샵은 이러한 장기적인 주제에 대하여 각국, 각계의 연구자들이 머리를 맞대고 발전방향을 모색하고 국제적인 모범 기준을 세우는 지속적인 연대활동의 중요성을 일깨워주는 소중한 시간이었다.

* 함께 읽기: Citizen Lab Summer Institute 2015 참가 후기(오픈넷/김가연 변호사)

법원 따라 엇갈린 판결?

작년 6월 음란 동영상을 파일공유 사이트에 올렸다가 저작권법 위반으로 기소된 40대 회사원에게 벌금 300만원을 확정한 대법원 판결(2011도10872 판결)이 있었다. 당시 메르스가 언론을 도배하다시피 하였지만 음란 동영상에 대한 뜨거운 관심을 반영하듯 이 판결을 소개하는 기사들이 잇따랐다(로이슈 기사, 법률신문 뉴스, 연합뉴스 기사). 대법원 판결로 이제 음란물의 저작권 보호 논쟁은 종지부를 찍는 것 같았다. 하지만 그 후 서울중앙지방법원과 수원지방법원(성남지원)은 음란물에 대한 저작권 주장을 기각했다(MBC 뉴스, 연합뉴스 기사). 이와 달리 부산지방법원은 동일한 음란물 제작사(일본 성인물 제작사 15개와 국내 업체인 ‘티씨알씨앤엠’)의 저작권 주장을 인정했다(JTBC 뉴스, 뉴스타운 기사). 어떻게 된 일일까?

그 동안 음란물의 저작권 문제는 형사사건에서 주로 다루어졌다. 민사소송은 작년에 시작되었다. 일본 성인물 제작사들의 일종의 기획소송으로 시작된 민사소송은 현재 3건이 계류 중이다(서울, 성남, 부산). 과거에는 음란 동영상을 파일 공유사이트에 무단으로 올린 개인들을 형사고소했으나 검찰이 불기소 각하 하자, 이번에는 파일공유 사이트 운영자를 상대로 음란 동영상 유통금지를 구하는 가처분 소송을 제기했다. 일본 음란물 제작사가 저작권을 근거로 제기한 첫 민사소송이다. 이들은 대만에 이어 우리나라에서 적극적 소송 전략을 구사하고 있는데, 소송을 주도하고 있는 IIPA(일본 동영상 제작사들이 만든 협회)는 이를 “시장정상화”라고 부른다. 음란물의 무단 공유를 막아 제대로 수익을 내보자는 것이다.

지방법원들이 서로 다른 판단을 내린 이유는 음란물이 저작물인지 아닌지를 다르게 보았기 때문이 아니라 당사자의 대응이 달랐기 때문이다. 부산지방법원이 일본 음란물 제작사의 손을 들어준 것은 파일공유 사이트 운영자가 음란물의 저작권 여부에 대해서는 다투지 않겠다고 하였기 때문이다(이의신청 후에는 다투기 시작했지만 재판부는 결론을 바꾸지 않았다). 반면, 음란물의 저작권 보호를 적극적으로 다투었던 서울중앙지법과 수원지법 사건에서 법원은 비록 음란물도 저작물에 해당할 여지는 있으나 형법상 유통이 금지되는 음란 동영상을 제작한 자에게 적극적인 유통 권한까지 인정할 수 없고 음란물 유통을 통한 경제적 이익의 보전을 목적으로 하는 가처분신청은 인정할 수 없다고 판단했다(3건 모두 항소심이 진행 중이다).

하등의 문학적, 학술적, 예술적 가치가 없으면 저작물이 아니다

그럼 음란물의 저작물성은 일단 인정하고 음란물 저작권자의 권리행사만 제한하는 것이 과연 옳을까? 먼저 “음란”이 도대체 무엇인지 따져보자. 음란의 개념은 사람마다 다르고 시대에 따라 변한다. 포르노, 야동, 성인물, 성적표현물, 도색 잡지 등으로 표현되는 음란의 개념이 이처럼 불명확하다면 음란물을 만들거나 유통하는 자를 형사처벌하기 어렵다. 형벌 법규의 명확성 원칙에 어긋나기 때문이다. 하지만 우리 대법원과 헌법재판소는 형사처벌의 대상이 되는 “음란”의 개념은 명확하다고 수도 없이 확인해주었다. 법원이 제시한 것은 이른바 “엄격한 의미의 음란” 개념이다.

헌법재판소: “음란이란 인간존엄 내지 인간성을 왜곡하는 노골적이고 적나라한 성표현으로서 오로지 성적 흥미에만 호소할 뿐 전체적으로 보아 하등의 문학적, 예술적, 과학적 또는 정치적 가치를 지니지 않은 것” … “일단 표출되면 그 해악이 처음부터 해소될 수 없거나 또는 너무나 심대한 해악을 지닌 음란표현”

대법원: “사회통념상 일반 보통인의 성욕을 자극하여 성적 흥분을 유발하고 정상적인 성적 수치심을 해하여 성적 도의관념에 반하는 것으로서, 표현물을 전체적으로 관찰·평가해 볼 때 단순히 저속하다거나 문란한 느낌을 준다는 정도를 넘어서서 존중·보호되어야 할 인격을 갖춘 존재인 사람의 존엄성과 가치를 심각하게 훼손·왜곡하였다고 평가할 수 있을 정도로 노골적인 방법에 의하여 성적 부위나 행위를 적나라하게 표현 또는 묘사한 것으로서, 사회통념에 비추어 전적으로 또는 지배적으로 성적 흥미에만 호소하고 하등의 문학적·예술적·사상적·과학적·의학적·교육적 가치를 지니지 아니하는 것을 뜻한다고 볼 것”

정말 엄격한 기준이다(하지만 실제로 법원이 음란하다고 판단한 것들을 보면 이 잣대가 현실에서는 느슨하게 적용되는 것은 아닌지 의문이다). 문제는 “음란” 개념을 이렇게 정의하면 음란물은 저작물이 되기 어렵다. 왜냐하면 저작권법은 문화 예술 분야의 창작적 표현을 보호하는 법이기 때문이다. “하등의” 문화적, 예술적 가치가 없는 것이 음란물이라고 정의한 다음, 음란물도 저작물이라고 본다면 논리모순인 셈이다.

음란물의 저작물성을 맨 처음 인정했다고 하는 대법원 판결도 문학, 학술 또는 예술의 범위에 속할 것을 전제로 하고 있다(대법원 1990. 10. 23. 선고 90 다카 8845 판결: “저작권법의 보호대상인 저작물이라 함은 사상 또는 감정을 창작적으로 표현한 것으로서 문학, 학술 또는 예술의 범위에 속하는 것이면 되고, 윤리성 여하는 문제되지 아니하므로, 설사 그 내용 중에 부도덕하거나 위법한 부분이 포함되어 있다 하더라도 저작권법상 저작물로 보호된다”). 아무런 가치도 없는, 심지어 한번 표현되면 그 해악을 해소할 수 없는 표현물까지 보호한다면 저작권법은 저작권법이 아니라 그냥 표현물 보호법으로 전락할 것이다. 음란물 저작권 논쟁을 보면서 필자가 우려하는 것은 바로 저작권 최대주의의 그림자다. 미국에서 특허 대상을 무한정 확대할 당시(생명체와 소프트웨어 대한 특허 확대) 내세운 논리가 바로 “태양 아래 사람이 만든 모든 것이 특허될 수 있다“는 것인데, 저작권도 사람이 표현한 모든 것을 보호한다(또는 보호해야 한다)는 논리가 음란물의 저작권 논쟁에 깔려 있다.

음란물의 저작물성을 찬성하는 사람들은 이 부분을 별로 주목하지 않는다. 저작물의 윤리성 문제 즉, 내용에 대해서는 저작권법이 중립적이어야 한다며 그냥 넘어 간다. 그리고 음란한 표현물의 저작권 보호를 부정하는 것이 곧 음란물에 대한 표현의 자유를 제한할 수 있다고 우려한다. 내용을 따지기 시작하면 복잡한 문제가 생긴다. 며칠 전 검찰이 이적표현물에 대한 저작권 보호를 거부한 적이 있는데, 타인의 명예를 훼손하거나 개인정보를 무단 도용한 표현, 국가의 전복을 꾀하는 선동적인 표현물은 저작권 보호에서 제외해야 하는가? 컴퓨터 프로그램도 저작물인데 그럼 컴퓨터 바이러스나 악성 코드는 저작권 보호를 받을 수 없어야 하나? 하지만 이런 예시와는 달리 “음란”은 이미 우리 법원에서 엄격한 기준을 만들면서 문학, 학술 또는 예술의 대상에서 완전히 제외해 버렸기 때문에, 다른 접근이 필요하다.

우리 법원의 “엄격한 의미의 음란”은 가령 미국의 “음란” 기준(이른바 Miller 기준)과 다르다(미국법원은 1979년 Mitchell 판결부터 음란물도 저작물로 인정하고 있다). Miller 기준은 작품이 전체적으로 “진지한 문학적, 예술적, 정치적 또는 과학적 가치(serious literary, artistic, political, or scientific value)”가 없는 것을 음란으로 본다. 우리 법원의 “하등의 가치가 없는 것“과 미국 법원의 “진지한 가치가 없는 것“만 비교해 봐도, 음란물의 저작권 문제는 최소한 미국과는 다르게 접근해야 한다.

법의 목적과 취지를 통찰한 해석론이 필요하다

저작권법은 저작자의 권리 보호뿐만 아니라 저작물의 사회적 이용을 도모하는 것이 목적이다. 하지만 음란물은 이 취지에 맞지 않다. 저작권 제도는 저작물의 사회적 이용을 도모하기 위해 보호기간이 끝나면 저작물을 누구나 자유롭게 이용할 수 있도록 하고, 보호기간이 경과하지 않은 경우에도 권리를 제한한다. 예를 들어 사적이용을 위해서는 권리자의 허락을 받지 않고 저작물을 복제할 수 있고, 시사보도를 위해서는 저작물을 인터넷으로 전송까지 할 수 있으며, 비영리 공연이나 방송에서도 타인의 저작물을 그냥 이용할 수 있다. 이러한 권리제한은 음란 저작물과는 맞지 않다.

음란물에 대해 저작권을 인정하면 음란물의 유통을 막을 수 있다는 주장도 있다. 음란물 저작권자가 무단 유통을 발벗고 나서서 막으면 오히려 음란물을 근절할 수 있지 않느냐는 것이다. 하지만 이 주장은 저작권 보호의 논거와 맞지 않다. 저작권 제도는 과소생산(under-production)과 과다소비(over-consumption) 문제를 해소하려는 것이다. 과소생산과 과다소비가 문제인 이유는 무엇일까? 저작권 제도는 과소생산을 무임승차(free riding) 때문으로 본다. 창작물에 대한 보호가 없으면 적은 비용으로 경쟁자가 무임승차하기 때문에 창작물에 대한 투자가 줄어들고 그래서 사회적으로 필요한 수준 이하로 창작물이 생산되는 과소생산의 문제가 생긴다. 과다소비는 창작물의 공유재적 성격 때문이다. 창작물은 정보재이기 때문에 소비의 비경합성(non-rivality)이란 특징을 갖는다. 소비의 비경합성이란 가령 나의 소비가 다른 사람의 소비와 경합하지 않는다는 말이다. 내가 아이스크림을 먹으면 다른 사람은 먹을 수 없다. 나의 소비가 다른 사람의 소비와 경합한다. 하지만 아이스크림 송(LG전자가 만든 ‘아이스크림 폰’을 광고하면서 김태희가 불렀던 노래)은 내가 부른다고 다른 사람이 못부를 이유가 없다. 서로 경합하지 않는다. 창작물이 이런 식이다. 그래서 창작물은 일단 알려지고 나면 누구나 자유롭게 소비할 수 있는 과다소비가 발생한다. 저작권 제도는 창작자에게 독점배타권을 부여하여 과소생산의 문제와 과다소비 문제를 모두 해소하려고 한다. 그런데 이런 논거는 음란물에는 적용되지 않는다. 음란물은 생산 그 자체를 억제해야하는 것이지 과소생산 문제를 해결할 대상이 아니기 때문이다.

음란물의 저작권 문제는 우리 사회가 저작권 제도를 왜 유지하고 있는지에 관한 근본적인 질문을 던지고 있다. 문학적, 예술적, 학문적 가치가 하나도 없다는 “음란” 개념을 그대로 유지하면서 음란물을 저작권으로 보호하겠다는 법원의 논리모순부터 바로 잡아야 한다.

한국 인터넷 감시, 검열의 현 주소

글 | 손지원(고려대 인터넷투명성보고팀 연구원, 변호사)

투명성보고서란 무엇인가 ?

국가는 범죄의 예방 또는 수사를 위하여 통신에 대한 감시, 검열 활동을 행할 수 있다. 모든 공권력 행사가 그렇듯 통신에 대한 감시, 검열 권한 역시 필요 최소한 범위 내에서 행사되어야 하고, 이것이 지켜지고 있는지에 대해 국민들이 역감시할 수 있도록 국가는 이를 최대한 투명하게 공개하여야 한다.

스노든의 폭로 이후, 대중들 사이에서 통신 감시에 대한 우려가 증폭되자 구글이 각국 정부의 통신 감시, 검열 요청과 제공 현황을 공개하는 투명성보고서를 발간한 이후, 현재는 전 세계 58개 사업자들이 투명성보고서 발간에 참여하고 있다. 국가가 아니라 오히려 이용자들의 신뢰도에 민감한 ‘사업자’들에게 투명성보고서가 보다 일반적인 관행으로 자리잡고 있는 것이다.

그러나 어디까지나 감시, 검열 권한을 행사하는 주체는 국가이기 때문에, 역감시의 중점은 국가가 전체적으로 수행하는 감시, 검열에 맞춰져야 한다. 이것이 바로 국가 단위의 투명성보고서와 연구가 반드시 필요한 이유이다. 구글(Google)이 지원하고 고려대학교 법학전문대학원 공익법률상담소(CLEC)가 사단법인 오픈넷과 협력하여 수행하고 있는 한국 인터넷 투명성 보고 연구 사업은, 2011년부터 2014년까지 이루어진 정부의 인터넷상 감시(감청, 신원정보제공 등) 및 검열 (사이트 차단, 게시물 삭제 등) 현황을 종합적으로 분석한 ‘한국 인터넷 투명성 보고서(2015)’를 발간하였다.

한국의 통신 감시와 검열, 얼마나 행해지고 있나?

그렇다면 본 보고서상 나타난 최근의 통신 감시, 검열의 주요 현황은 어떠할까?

전체 통신에 대한 통신사실확인자료제공 (송수신 번호, 시간, 위치 등 통신 내역·기록에 대한 확인)은 연평균 약 25만 건, 2천만 개 계정에 대해 이루어지고 있다. 계정수 기준으로 보면 전 국민의 약 20%에 달하는 어마어마한 수치다.

한편, 통신의 ‘내용’을 포함하여 상대방, 통신기록, 신원정보 모두를 포괄적으로 확인 가능한 통신사업자에 대한 압수·수색 현황은 현재 정부에서 공개하고 있지 않다. 국내 양대 온라인 서비스 사업자인 네이버와 다음카카오가 2015년 초부터 공개하고 있는 자료가 유일하다. 이에 따르면 두 사업자에 대한 압수수색만 연 평균 약 9,000건, 약 45만 개의 계정에 대하여 이루어지고 있다. 2014년만 기준으로 보면, 이들 사업자에 대한 통신제한조치, 통신사실확인, 통신자료제공 요청으로 조치된 계정 수를 다 합쳐도 약 1만 4천 개인데 압수수색으로는 양사 이용자 중 40만 명 이상의 정보가 제공되었다는 것은, 적어도 인터넷 감시에 있어서는 통신사 서버 압수수색이 가장 주력으로 쓰이는 수단임이 확인된 것이다. 또한 압수·수색이 보통 통신의 ‘내용’을 사후적으로 확인하기 위하여 이루어짐을 감안할 때, ‘통신제한조치(감청)’ 현황 상의 양사의 비율을 고려하면 약 150만 개의 인터넷 이용자 계정, 약 5백만 명의 전체 통신 이용자 정보가 압수·수색으로 제공되고 있는 것으로 대략 추산된다. 이런 엄청난 양에도 불구하고 압수수색을 이용한 통신감시 현황이 정부 차원에서 공개되지 않고 있는 것은 심각한 문제이다.

통신 검열 분야를 살펴보면, 방심위의 시정요구 건수는 해마다 약 1.3배씩 증가하여 2011년 5만 7,944건에서 2014년 13만 2,884건으로 4년 사이 3배 가까이 늘어났다. 특히, SNS 심의는 2012년 뉴미디어 심의가 시작된 이후로 2012년 4,454건, 2013년 6,403건에서 2014년 17,591건으로 급상승하였다. 또한 2014년 시정요구를 받은 정보통신서비스제공자 및 게시판 관리 운영자들의 준수율(이행율)은 99.2%이며, 4년간 총 362,694건 의 시정요구에 대하여 시정요구 철회나 이의를 신청한 건수는 단 219건(0.06%)에 불과하다. 그밖에도 본 보고서에는 방심위 통신심의의 개별 문제 사례도 수록되어 있어 우리나라의 인터넷 검열 현황을 더욱 생생하게 파악할 수 있다.

투명성보고, 국민 스스로의 관심이 있어야 진정한 의미

위에서 분석한 것과 같이 한국의 통신 감시, 검열의 규모는 매우 방대하다. 주로 어떠한 범죄의 수사를 위하여 위와 같은 감시가 행해지고 있는 것인지, 그것이 필요최소한의 범위에서 행해진 것인지 등은 이에 대한 구체적인 공개가 없는 이상 명확하게 판단할 수는 없다. 그러나 전 국민의 20%에 상당하는 수치가 그 대상이 되었다는 사실만으로도 통신에 대한 감시가 상당히 무분별하게 이루어지고 있는 것은 아닌지 의심해볼 필요가 있다. 국가가 범죄 예방이나 국민의 안전 등을 위해 수행하는 적절한 감시와 검열은 사회 보호를 위한 수단일 수 있지만, 이러한 활동은 한편 필연적으로 통신의 자유, 프라이버시, 표현의 자유, 개인정보자기결정권 등 국민의 권리침해를 동반한다. 국가가 국민의 기본권을 최대한 보호하면서 공권력을 행사하여야 한다는 최소한의 기본권 감수성이 없어질 때 국민들은 ‘당신을 위해 당신도 감시하고 검열해야 한다’는 권위주의적 국가의 모순적 표어 아래 자신의 권리를 내어주어야 하는 상황에 처하게 된다.

이러한 비극을 방지하기 위해서는 국민 스스로가 국가의 감시, 검열이 적절하게 행해지고 있는지에 대하여 관심을 가지고 끊임없이 문제를 제기하여야 한다. 만약 일반 국민이 이에 대해 무감각하면 국가나 사업자는 이러한 활동에 대하여 점점 책임감을 덜 느끼게 될 것이고, 과도한 감시나 검열 관행은 더욱 공고해질 것이다. 또한 국민들이 자신의 정보와 표현물이 어떻게 처리되고 있는지를 아는 것은 국민의 당연한 권리이기도 하다. 국민들이 더욱 투명성보고서에 관심을 가지고 국가에 대하여 더 높은 투명성을 끊임없이 요구하여야 하는 이유이다.

‘한국 인터넷 투명성 보고서’는 http://transparency.or.kr (영문: http://transparency.kr) 에서 열람 및 다운로드할 수 있다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.02.04.)

[오픈넷 포럼 요약문]

빅데이터와 사물인터넷 시대, 비식별화 정보는 개인정보인가?

- 빅데이터와 사물인터넷 시대에 개인정보는 어떻게 보호되어야 할까요? (2016.03.21. 개최)

* 참조(발제문 및 토론문): http://opennet.or.kr/11312

빅데이터와 사물인터넷 시대에 개인정보는 어떤 범위에서 얼마나 보호되어야 할까요? 최근 가장 논란이 되고 있는 것은 과연 비식별화 정보가 개인정보인가?입니다. 요즘 주목받고 있는 빅데이터, 사물인터넷 사업을 하기 위해서는 개인정보를 활용하는 것이 필요합니다. 이때 비식별화 정보는 개인정보가 아니므로 제한없이 자유롭게 이용할 수 있어야 할지, 비식별화정보라 하더라도 개인정보보호 위반의 문제가 발생하므로 여전히 보호가 필요한 것인지에 대해 의견이 분분합니다. 이번 오픈넷 포럼에서는 개인정보의 비식별화 관련된 쟁점들을 살펴보고 개인정보를 보호하면서도 산업 발전에 이용할 수 있도록 하는 방향의 해결책을 함께 모색해보고자 합니다.

Ⅰ. 발제

개인정보 비식별화 또는 익명화 쟁점 (심우민 | 국회입법조사처 입법조사관)

발제를 진행한 심우민 입법조사관은 세계적으로 개인정보보호입법과 관련해서 어떠한 쟁점이 있는지를 설명한 후 방송통신위원회에서 2014년 발표한 ｢빅데이터 개인정보보호 가이드라인｣을 비판적으로 검토하고, 개인정보보호 관련 입법 시 고려해야 할 요소가 무엇인지 설명하였습니다. 그리고 개인정보보호법제의 패러다임 변화가 필요하다는 점을 강조하였습니다.

먼저 개인정보 보호입법 개선논의는 급격한 정보화를 겪고 있는 대부분 국가들의 문제라고 하며, 우리나라 개인정보 개념정의 규정이 매우 포괄적이어서 문제가 있다는 지적이 있지만, 실제 각국의 개인정보 보호법제의 개념정의 규정들과 비교해보면 우리나라보다 포괄적인 경우도 존재한다고 지적하였습니다. 물론 형사제재의 경우에는 과도하다는 문제가 있다고 합니다.

개인정보 보호법제를 둘러싼 논란은 결국 빅데이터, 사물인터넷과 같은 새로운 정보통신 환경의 변화로부터 기인하였으며, 근원적인 이유 중 하나는 개인정보 또는 프라이버시 보호법제의 ‘패러다임 교착현상’ 때문이라고 합니다. 프라이버시와 같은 개념은 모호하고 추상적입니다. 그런데 이러한 프라이버시를 보호하기 위해 세계각국의 현행 법제들과 법원은 개인정보자기결정권이라는 권리 개념을 만들어서 식별성을 전제한 개인정보를 보호하고 있습니다. 그러나 식별성이 전제되지 않은 프라이버시 개념이든, 식별성이 전제된 개인정보든 결국 법원의 해석을 요구한다는 것입니다.

예전에는 정보와 결합해서 개인정보가 식별성을 가지는 경우가 많지 않았으므로 개인정보자기결정권을 정의하는 것이 용이하였으나, 빅데이터 등이 등장하는 현재의 기술적 발전상황에서는 결국 법원의 해석 여지가 더욱 넓어지고 개인 식별 가능성을 중심으로 한 현행 개인정보보호법제는 한계에 이르게 됩니다. 그 결과 식별 가능성을 전제로 정보주체의 개인정보자기결정권의 실현방식을 동의권을 중심으로 규정하고 있는 현행 법제 또한 한계에 봉착하게 되는 것입니다.

방송통신위원회가 2014년 12월에 공표한 ｢빅데이터 개인정보보호 가이드라인｣의 주요내용은 ①개인정보의 개념 설정과 ②동의요건의 면제입니다. 가이드라인을 살펴보면 제2조에서 비식별화 정보에 대해 설명하고 있는데 그 중 가명처리(pseudonymous)를 포함하고 있습니다. EU Directive에서는 가명처리는 적절한 익명화(또는 비식별화) 방법이 아니라고 하였는데 우리나라의 경우에는 이를 비식별화 방식으로 포함시키고 있다는 점이 특징입니다.

최근 EU의 GDPR논의에서 가명처리정보(pseudonymous data)도 개인정보의 일종으로 포함시켜 규제하기 위한 시도가 이루어지고 있다는 점도 유의할 필요가 있다고 합니다. 이 가이드라인을 법처럼 적용하려는 시도가 많습니다. 그러나 가이드라인의 경우 현행 개인정보법제와 개인정보 요건이 다르고, 동의요건을 면제하고 있으므로 기본권으로서 개인정보자기결정권 제한 가이드라인제정이 아니라 현행법을 개정해야 한다고 합니다. 참고로 EU Directive의 경우 어떤 규범력을 가지는 법적인 근거로 작용하고 있지는 않다고 합니다.

결국 심우민 입법조사관이 강조하는 것은 개인정보 보호법제의 패러다임이 변화해야 한다는 것입니다. 식별정보와 비식별정보를 구별하지 않고 모두 보호대상으로 하며, 실질적인 위험을 기반으로 하는 정보에 대해 규제 및 집행이 이루어져야 한다는 것입니다. 현재 산업계를 중심으로 보호영역을 축소해야 하고, 동의요건을 개정해야 한다는 의견이 많지만 그것이 입법에 있어서의 본질적 문제는 아니라고 합니다. 실질적인 이용자 프라이버시 보호방안에 대한 진지한 고민이 더 필요하다는 것입니다.

Ⅱ. 토론

1. 개인정보보호에서 비식별화의 기술적 문제점과 트렌드 (이영환 | 건국대학교 기술경영학과 교수)

이영환 교수는 우리나라의 경우 기술과 관련된 법을 만들 때 기술자와 같은 전문가에게 묻지 않고 법을 만드는 것이 문제라고 합니다. 가장 먼저 생각해야 하는 것은 알고리즘이라고 합니다. 즉 정밀한 알고리즘을 바탕으로 하여 비식별화하는 것이 맞는것인지 생각해야 한다는 것입니다.

현재 비식별화(deidentification)는 알고리즘이 정확히 나오고 있으며, 익명화(anonymisation)는 정확한 알고리즘이 나오지 않고 있다고 합니다. 현재 익명화된 정보의 다양성을 확보하도록 하여 유용성을 확보하면서도 개인정보를 추출하기 어렵도록 하는 비식별화 알고리즘이 있습니다.(K-anonymization, T-closeness) 다만 문제는 비실용적이라는 것입니다(NP-Hard). 파일 하나 익명화하는데 3,500년이 걸릴 수 있다고 합니다.

이때 제일 좋지 않은 방향은 비식별화를 전제로 유통화를 하자고 하는 것이라고 합니다. 전혀 쓸모없는 정보를 유통시키자고 하는 것과 같다는 것입니다. 물론 개인정보를 보호하는 것은 좋습니다. 그러나 이런 식으로 데이터 유통을 막아서 가장 손해를 많이 보는 개인은 서민들입니다. 예를 들어 저축은행의 대출을 받는 사람의 50%가 30%대의 금리에 시달립니다. 이들은 대부분 중금리층 서민, 청년들입니다. 약탈적 금융에 시달리는 것입니다. 이러한 금리 양극화를 해소하기 위해서는 데이터가 유통되어야 한다고 합니다. 데이터가 없다보니 부실 비율이 높아지고, 대부업체들이 영세해지는 것입니다. 개인정보가 유통되지 못하게 막는 것이 좋은 것은 아니라는 것입니다.

우리나라의 경우 개인이 개인정보를 판매하는 길이 막혀 있다고 합니다. 그러나 외국의 경우 개인정보 데이터를 팔아서 돈을 법니다. 이영환 교수가 강조하는 것을 한 줄로 정리하면 “데이터는 유통되어야 한다”입니다. 개인정보 보호보다 더 중요한 것이 유통이며, 데이터 유통을 위한 새로운 비즈니스에 나서야 한다는 것입니다. 몇몇 개인의 개인정보를 보호하기 위해 산업을 그만둬야 하는 것은 아니라는 것입니다.

2. 비식별화된 개인정보 문제 (박경신 | 고려대 법학전문대학원 교수)

박경신 교수는 개인정보보호법에 대해 너무 어렵게 생각하는 것이 인권 차원에서든 산업 차원에서든 제대로 된 대응을 어렵게 한다고 합니다.

먼저 개인정보의 개념과 관련하여 어느 나라든 식별가능성이 개인정보의 요건이며, 식별가능성이 없으면 개인정보가 아닌 것이라고 합니다. 그런데 이러한 개인정보의 식별가능성은 누구의 기준이냐에 따라서 다르다고 합니다. 즉 개인정보는 상대성을 가진다는 것입니다. 예를 들어 이동통신사가 가지고 있는 통화기록은 고객정보를 가진 이동통신사에게는 개인정보가 됩니다. 그러나 고객정보를 가지지 않은 제3자에게는 개인정보가 아니라고 합니다.

방송통신위원회의 가이드라인에 대해 시민단체들이 반대했던 이유 중 하나는 이동통신사가 고객의 통화기록을 가지고 있는데, 이 통화기록이 이동통신사에게는 개인정보가 되지만, 이를 비식별화해서 제3자에게 넘겨주면 제3자에게는 개인정보가 되지 않는다는 점이었다고 합니다. 이 점을 어떻게 해석할 것인가? 하는 문제 때문에 분쟁이 발생하였다는 것입니다.

이동통신사가 고객통화기록을 넘겨줄 때 원본을 통째로 넘겨주는 것이 아닙니다. 복제본을 만들어서 그 복제본을 비식별화해서 넘길 것입니다. 그렇다면 비식별화한 복제본을 만들었다 하더라도 원본 데이터베이스를 가지고 있게 됩니다. 통화기록에 대해 제3자가 본래 넘긴 목적과 다른 목적의 연구를 진행할 경우 이동통신사는 그 연구결과를 통해 통화기록을 넘길 때와 다른 목적의 가공된 개인정보 데이터를 취하게 됩니다. 이것은 개인정보보호법의 취지에 반한다고 합니다.

그래서 2015. 12. GDPR 에서는 가명화 데이터에 대한 규정들을 두었다고 합니다. 제6조, 제7조가 가장 중요한 조항인데, 예외로서 암호화 및 가명화를 고려하여 수집 목적과 다른 목적으로 이용 가능하지만 가명화할 때는 실명화되지 않기 위한 기술적 조치를 요구합니다. 가명화가 익명화가 아니라고 하는 경우는 재실명화가 합리적으로 개연성이 있을 때를 말한다고 합니다. 이동통신사의 예를 들자면 원본 데이터를 가지고 있고, 데이터 복제본을 떠서 데이터 연관 회사에 넘겼을 때 원본 데이터(Key)를 가지고 있으면 몇 가지 정보를 가지고 누구의 정보에 대해 연구한 것인지 알게 됩니다. 그런 것들을 할 수 없도록 조치를 하라는 것입니다. 즉 키가 되는 데이터들을 조직 내에서 접근할 수 있는 사람을 제한하고 암호화할 것을 요구하는 것입니다.

박경신 교수는 이 문제는 매우 구체적인 문제라고 하며, 심우민 조사관이나 이영환 교수가 말한 것처럼 근본적인 가치 판단을 요구하는 복잡한 문제는 아니라고 하였습니다. GDPR에 나와 있는 가이드라인에 따라서 재실명화하는 Key에 대한 보안, 조직적 격리 조치를 통해서 비식별화한 데이터가 산업적으로 쓰일 수 있도록 하는 방법이 있지 않을까 생각한다며 토론을 마무리 지었습니다.

3. 익명화, 비식별화, 개인정보에 관하여 (전응준 | 유미 법무법인 변호사)

전응준 변호사는 익명화, 가명화, 비식별화라는 용어의 정의를 먼저 짚었습니다. 먼저 ｢익명화｣(anonymisation)는 독일 연방데이터보호법에 정의가 나온다고 합니다. 주목할 것은 합리적인 비용, 시간, 노력 내에서 식별이 되지 않는다면 익명화라고 보고 있다는 점이라고 합니다. 2014년 EU 데이터보호법 핸드북에서도 같은 취지로 합리적인 노력 하에서 식별이 안되면 익명화라고 보았다고 합니다.

｢가명화｣(pseudonymisation)의 경우 GDPR에서는 추가적인 정보가 없고 특정인에 대해 식별이 안되는 것이라고 정의하고 있다고 합니다. 전제조건은 추가정보가 별도로 보관되고 재식별화되지 않도록 기술적 보호조치가 취해져야 한다는 것입니다. 독일 연방데이터보호법에서는 식별자를 다른 레이블로 대체한 것, 차명 또는 가명화되고 이것이 결국 실제적으로 식별이 어렵게 되었을 때(불가능해진 것이 아니라) 가명화되었다고 봅니다. 데이터보호 핸드북도 마찬가지입니다. 결과적으로 간단한 암호화에 해당합니다.

개인정보보호법의 규제의 대상이 되지 않는 경우와 대상이 되는 경우를 구별하려면 용어 구별이 필요하다고 합니다. 익명화는 원본 데이터로 회복이 불가능한 것을 말하고, 비식별화는 식별성을 완전히 제거하는 것이 아니라 리스크를 최소화하는 것을 의미한다고 합니다. 비식별화 정보는 명백하게 개인정보에 해당합니다. EU 데이터보호법 핸드북에서도 해당한다고 밝히고 있습니다. GDPR 제10조에서는 명시적으로 가명처리한 경우 면제될 수 있다고 하고 있습니다. 그 외 제32조에서는 암호화 등 데이터를 인식불가능하게 한 경우 데이터 유출 시 정보주체에게 통지를 면제하는 등의 관련 규정을 두고 있다고 합니다.

전응준 변호사는 특히 참고할만한 사례로 미국 건강보험법(HIPAA, Health Insurance Portability and Accountability Act)을 들었습니다. 이 법에 따르면 의료정보기관이 관련 전문가의 개별적인 판단을 받고, 18개 식별자를 모두 제거하는 경우에는 프라이버시 규율에서 벗어날 수 있다고 합니다. 물론 이용자들의 프라이버시를 완전하게 침해하지 않는다고 할 수는 없지만 나름의 기준에 근거하여 의료정보에 대한 문제점을 체크할 수 있는 제도로 대중에 데이터를 제공할 수 있도록 하는 방법이므로 참고할 만하다고 합니다.

우리 개인정보보호법은 엄밀한 체계를 가지고 있다고 합니다. 일본법은 ‘익명가공정보’, ‘특정성 저감 데이터’ 와 같은 개념을 적용하여 그러한 데이터에 대해 개인정보보호법이 완화되는 시도를 한 바 있습니다. 이러한 개념이 없는 우리나라의 경우에는 일부 완화된 해석을 통해 할 수 있을 것이라 합니다. 즉 제한 해석하면 식별정보의 범위가 줄어들 수 있다는 것입니다. 독일법처럼 원본데이터로 돌릴 수 없는 정보 정도로 보는 해석이 유효하지 않나 생각한다고 합니다. 법을 개정하는 것보다는 해석론으로 해결하는 것이 더 용이할 것이라는 점도 덧붙였습니다.

결국 비식별 방법론 알고리즘, 통계적 연구가 절대적으로 필요하다고 합니다. 이론도 필요하지만 실제로 어느 정도로 비식별화 했을 때 안전하게 정보를 유통할 수 있는지가 선결적으로 해결되어야 한다고 합니다.

Ⅲ. 플로어 토론

F= Floor, A=Answer

F. 개인정보보호법이 꼭 필요한 법이기는 하지만 지나친 처벌 조항이 있어 현장에서는 개인정보를 아예 수집하지말자는 분위기가 형성되어 있습니다. 즉 정보를 모아 사업화하는 것 자체를 원천봉쇄하는 것입니다. 활용에 대해 개인의 의사 결정을 존중해주는 제도가 없습니다. 개인정보보호법은 보호를 위주로 하기 때문에 그런 방면의 생각이 결여되어 있습니다. 다른 법을 활용해서라도 그런 부분을 열어야 합니다. 빅데이터 활용을 어떻게 해야 하는지, 알고리즘은 어떤 항목을 해야하는지 구체화가 필요합니다.

A. 이영환: 하나하나 데이터를 들여다 보면서 해야 하는 부분이 있습니다. 결국 관련 연구가 지속적으로 이루어질 수 있는 팀이 필요합니다. 리포트를 계속 만들어내야 합니다.

F. 결국 어떻게 해야 하는가에 대한 구체적인 답은 없는 것 같습니다. 구체적인 방법론이 제시되지 않고 있습니다.

A. 이영환: 관련 정부 부처에서도 지속적으로 무언가 해야 한다는 필요성을 느끼지만 그것이 잘 안되고 있습니다. 연구팀이 있어야 합니다. 이런 것에 대한 가이드라인을 국가적으로 제시해야 합니다.

전응준: HIPPA 이야기를 했었습니다. 의료정보의 18개의 식별자를 정해서 그게 없으면 비식별 정보이므로 유통이 가능하고, 16개만 있으면 일부 규제를 받습니다. 즉 프라이버시 룰을 정한 것입니다. 위험성이 없다고 할 수는 없지만 미국은 이러한 방법론을 제시하고 있으므로 참조할만합니다.

박경신: Key를 자기가 가지고 있어도 암호화 또는 조직 내 보관을 잘 하고 있으면 익명정보로 보아 개인정보보호법이 적용되지 않도록 하는 반면, GDPR은 가명화를 하더라도 재실명화할 수 있는 Key를 본인 또는 조직이 가지고 있으면 그 개인정보에 대해서는 몇 가지만 제외하고 다른 개인정보와 같이 봅니다. 식별자를 떼고 넘긴다는 동의를 얻어야 할 것입니다. HIPPA 방식, 제한적 비식별화시 개인정보로 보지 않는 방식, GDPR 방식을 두고 논쟁이 있어야 하는데 그러한 논쟁 없이 방송통신위원회의 가이드라인이 나와 버렸습니다.

심우민: 리스크 매니지먼트적 접근이라는 말이 모호하기는 하지만 개인정보 개념정의의 문제로 접근하면 개념적 범주가 어디에 해당하는지를 두고 논쟁할 수밖에 없습니다. 실제로 사업자가 방지하기 위한 노력을 했느냐, 위험발생시 어떤 노력을 했느냐는 측면에서 접근을 해야 사업자로서는 규제에서 벗어날 수 있습니다. 지금 너무 개념이나 범주, 방식에만 집중하다보니 실제 풀어줘야 할 규제는 풀고 있지 않습니다. 또한 개인정보 문제로 소송을 하게 되면 이용자에게 피해가 가며, 법령상에 있는 조치만 다하면 이용자에게 책임을 전가합니다. 사업자를 위해 규제를 완화할 필요도 있지만 위험 예방적인 측면도 함께 고려되어야 합니다. 또한 사업 아이템 구상의 문제인 것인지, 식별화·비식별화가 문제인 것인지 검토해볼 필요성도 있습니다.

F. 사업은 구체적이지 않으면 시작할 수 없습니다. 구체적인 이야기를 하려고 해도 될 가능성이 없으면 드러낼 수가 없는 것입니다. 행정부와 같은 곳에서 제대로 얘기를 해주지 않습니다.

A. 심우민: 결국에는 방통위에서 가이드라인을 만들었지만 규범력을 지니지 못하므로 혼선만 초래했다고 봅니다. 개인정보규제의 동의요건 때문에 사업구상을 못하는 것은 넌센스입니다. 규제개혁을 하려면 구체적인 타깃이 필요합니다. 식별성·비식별성, 동의요건 담론으로 가는 것은 문제입니다.

F. (심우민 답에 대한 반론) 우리나라는 무조건 개인정보 수집을 통제하는 데 골몰하고 있습니다. 사업을 할 때 가장 불만인 것이 불확실성입니다. 예측불가능한 경우에는 사업을 시작할 수 없습니다. 우리나라의 개인정보 정의 규정만 보면 뭐가 뭔지 모르겠고, 결합가능성 하나 때문에 되느냐 안되느냐를 고민하게 됩니다. 휴대폰 뒷자리, 유심번호 등이 개인정보라고 판단되는 현실에서 다른 생각을 하기도 어렵습니다. 모든 데이터가 개인정보가 될 수 있습니다. 내가 가지고 있는 정보에 이동통신사의 정보가 결합되면 또 개인정보가 됩니다. 정의가 지나치게 넓게 해석되고 있습니다. 그것을 줄이기 위해 정의규정이 문제라고 하는 것입니다. 업계에서 볼 때 우리나라 법제에서는 포괄적 묵시적 동의가 불가능합니다. 다른 나라에서 가능한 방식이 우리나라에서는 불가능합니다. 무엇 하나 잘못하면 형사처벌을 받게 됩니다. 이러한 상황에서 어떻게 서비스산업이 발전하겠습니까. 우리나라는 예외규정이 없어서 무조건 다 동의를 받아야 합니다. 예를 들어 119 구급대가 경찰에게 정보를 동의 없이 넘겨주지 못합니다. 그래서 집 근처를 수색하다가 결국 피해자가 범죄의 피해를 입기도 하는 사건이 있었습니다. 모든 상황에서 결합된 상태의 서비스를 하지 못하게 합니다. 그러다보니 찾은 것이 비식별화 논의입니다. 어떻게든 동의를 받아서 수집하였는데 다른 목적이 생기면 동의를 새로 받아야 합니다. 내가 가진 정보를 비식별화하면 뭔가 할 수 있는 것이 아니냐고 하는 것이 비식별화 논의입니다. 예외를 만들어보자는 것입니다. 현재 입법론이 많이 제시되고 있지만 전혀 진전이 없습니다. 빅데이터, 사물인터넷, 인공지능이 나오는 상황에서 업계에서는 방법이 없습니다.

F. 방송통신위원회의 가이드라인은 개인정보자기결정권을 가이드라인을 통해 제한한다는 점에서 위헌적입니다. 다른 나라는 결합정보 해석, 정의 규정 리스크가 있음에도 결합정보는 잔존 리스크 단계에서만 판단하겠다는 스탠스를 취하고 있습니다. 그런데 그에 대한 기본적 해석이 전혀 이루어지지 않은 상태로 외국의 법제를 받아들이는 것은 문제라고 봅니다. 리스크 매니지먼트를 쉽게 말하지만 잔존리스크 논의가 빠져 있습니다. 수집·처리·폐기과정을 한 사람이 하는 것에 반대합니다. 다른 나라에는 수집·처리·폐기 단계별 리스크 관리가 있습니다. 목적 구속 원칙이 가장 강력하게 적용되는 것이 처리 단계입니다. 개인정보보호법의 취지에는 이용을 위한다는 목적도 있습니다. 정의규정을 바꿔서 문제를 해결하기보다는 정의규정이 원래 가진 의미를 파악하는 것이 더 중요하다고 생각합니다. 리스크라는 예측불가능성에 초점을 맞추지 않는 한 변하는 것이 없습니다.

A. 심우민: 사업자 입장에서 말씀해주셨는데, 어느나라든 각국에서 정의규정에 입각했을 때 누군지 알아볼 수 있다는 표현에 입각해서 명확하게 정하지 못하는 것은 우리나라의 문제만이 아닙니다. 사법부의 해석이 문제입니다. 리스크는 사법부의 해석이 높여놓은 것입니다. 입법의 영역에서 정하는 것은 입법기술상 불가능합니다. 해석의 문제를 입법의 문제로 해결하기는 어렵습니다.

F. 기본적으로 개인정보보호법을 규제하기 위한 것이라고 보니까 문제가 된다고 봅니다. 일본의 경우 개인정보보호법 제정을 한 것은 개인정보보호법 체계 내에서 예외를 만들기 위한 것입니다. 그 예외를 위한 개념이 가명처리정보입니다. 이 법이 들어온 계기나, 예외적으로 들어온 취지에 비추어보면 규제를 완화하기 위한 것이라고 봅니다. 다만 심우민 조사관님이 말씀하신 새로운 패러다임은 이해가 잘 가지 않습니다. 개인정보자기결정권은 권리이므로 동의가 없으면 위반인데 어떻게 형량이 들어갈 수 있나요? 위험성과 해악 사이의 비교형량이라면 심우민 조사관님이 제시한 표4는 문제가 있습니다.

A. 심우민: GDPR의 입법연혁을 봤을 때 가명정보와 같은 것은 규제를 위한 측면과 활용의 측면을 모두 가지고 있습니다. 표현의 문제가 있었던 것은 맞습니다. 권리의 개념이라는 것도 해석적 형량이 필요한 부분이고, 그 부분에 대해 형량이나 해석을 함에 있어서 위험에 대한 고려가 들어가는 것이 새 시대의 새로운 법적 패러다임이라고 생각합니다.

85번만 반복하면 된다

글 | 박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

옥시 사태 등등 때문에 ‘내가 이런 저런 피해를 당하면 어느 정도 배상을 받는 것이 정당한가’ 궁금해 하는 사람들이 많다. 당연히 판결문 검색을 대법원 사이트에서 해보면 되긴 하는데… (참고로 일반인들이 자주 쓰는 http://www.law.go.kr/main.html에 나오는 판결문들은 전체 판결의 0.29% 밖에 되지 않는다.)

2015년 1월 1일 이전 판결은 사건번호를 모르면 안된다. 즉 키워드 검색이 없다.

https://www.scourt.go.kr/portal/decide/DecideList.work

‘번호’를 넣어야 검색할 수 있다는 게 진정한 의미의 ‘검색(search)’이라고 할 수 있을까? 그냥 ‘불러오기(retrieve)’아닌가? 이렇게 되면 특정한 사건의 존재를 알고 그것을 찾으려는 사람에게만 유의미할 뿐, 어떤 사건이 존재하는지를 알아보고 싶은 사람에게는 쓸모가 없다.

2015년 1월 1일 이후에 나온 민사판결은 키워드 검색이 가능하긴 한데…

http://www.scourt.go.kr/portal/information/finalruling/peruse/peruse_status.jsp

각급 법원별로만 검색이 가능하다. 전국에 18개의 지방법원, 5개 가정법원, 1개 행정법원, 지원 54개, 고등법원들, 대법원까지 합쳐 85개 법원이 있으니, 예를 들어 가습기살균제 관련 판결문들을 찾고 싶으면 “가습기살균제”라는 검색어 입력을 85회 반복해야 한다.

게다가 검색결과가 나오면 판결문들의 내용을 보기 위해서는 1건당 1천원씩 내야 한다. 물론 1천원 결제를 위해서 대한민국 온라인 결제에서 필요한 모든 플러그인이 다 필요하다(공인인증서 등등).

여기서 더 큰 함정은 1천원을 쓸 가치가 있는지 파악하기 위한 ‘미리보기’ 같은 게 허용되지 않는다는 거다. 결국 100개 정도 검색결과가 나왔을 때 그걸 울며 겨자 먹기로 10만원 내고 다 봐야 원하는 것을 찾을 수 있다는 것이고 그중에서 건질 것은 2건 정도밖에 없을 수도 있는 것이다. 이 시나리오에서 실질가격은 1건당 1천원이 아니라 5만원이 된다!

판결문 익명화하는 데 드는 비용? 나는 헌법적으로 공개재판의 원칙에 따라 판결문 익명화는 불필요하고 국민이 판결문에 접근할 권리가 더 중요하다고 생각하지만, 혹시 익명화를 해야 한다고 할지라도 판결문 생산 과정에서 공개용 익명본을 만드는 방식으로 하면 큰 비용 들이지 않고 해결된다. 또 익명화가 판결문에 거론된 사람들의 프라이버시 보호를 위해서라면 누구의 프라이버시가 얼만큼 보호되어야 하는지 가장 잘 아는 사람도 해당 사건의 판사일 것이다.

여기까지는 민사고 형사는 더욱 답답하다. 최근 사건들도 어떤 사건을 달라고 해야 할지 아는 사람이 해당 법원(위의 85개 중 하나, 제주지원 사건이면 제주지원)의 웹사이트에 찾아가 사건번호와 당사자 이름까지 정확히 입력하면 비로소 그 사건만을 보여준다는 것이다. 이것 역시 “검색”이 아니라 “불러오기”이니 판결문으로 법을 배우고자 하는 사람에게는 젬병이다.

게다가 이름과 주민번호를 입력해서 검색하는 사람의 실명이 확인되어야만 열람을 시작할 수 있다. 일종의 “판결문열람 실명제”를 하는 건데 이건 왜 필요한지 모르겠다. 익명으로 판결문으로 볼 자유를 제한하는 것인데 그것으로 어떤 공익을 지키려는 것인지 아무리 생각해도 파악하기 어렵다. 판결문에 영업비밀이 있어서? 그럼 그런 사건은 아예 처음부터 비공개재판을 하고 그 판결문만 비공개로 처리하면 된다. 극소수의 판결문 때문에 어떤 판결문이든 국민이 명찰 달고서만 볼 수 있다는 건 2012년 위헌 결정을 받았던 게시판실명제의 논리이다.

연합뉴스에 따르면 공정거래위원회는 시정명령·과징금·고발 등 모든 행정조치와 관련한 의결서를 공개하고 있다. 공개 내용에는 피심인, 사실관계, 조치근거, 조치내용 등이 포함된다. 공정위 전원회의 의결은 법원의 1심 판결과 동일한 효력을 가진다.

- 공정거래위원회 의결서 공개 페이지 바로가기

* 이 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.05.10.)

[오픈넷 포럼 요약문]

마라케시의 기적: 독서장애인을 위한 정의 구현과 세계지적재산권기구(WIPO)의 변화 (2016. 05. 19. 개최)

* 참조(자료집): http://opennet.or.kr/11756

1. 마라케시 조약의 의의

마라케시 조약은 저작권의 제한과 예외를 의무사항으로 규정한 최초의 국제규범이라는 점에서 중요한 의미를 지닌다고 참가자는 모두 동의했다. Danielle Conway(미국 메인 대학교 법과대학 학장) 교수는 ‘마라케시의 기적’이라는 이번 포럼의 제목이 조약을 가장 잘 설명해준다고 말했다. 지적재산권을 보호하는 것을 매우 중시하는 세계적인 흐름 속에서 마라케시 조약은 이용자의 권리와 이익이 중요하다는 인식을 보여주기에 기적이라는 것이다.

마라케시 조약은 시각장애인들에게 정보접근의 권리를 주는 것인데, 왜 저작권자들과 출판업자들은 이러한 지식, 정보에 대한 접근을 차단하려는 걸까? 이는 조약의 수혜자인 시각장애인들이 지적재산권 보호에 위협의 상징이 되고 있기 때문이다. 저작권자, 출판사, 지적재산권 소유자들은 시각장애인들에게 허용한 예외가 다른 수혜자 그룹에게도 확대될 수 있을 것이란 우려를 하고 있다. 따라서 저작권을 보호하기 위한 이들의 반대가 매우 격렬했다.

하지만 이러한 움직임은 오히려 시각장애인이 아닌 다른 사람들이 사용자의 권익을 옹호하는 움직임에 동참하는 결과를 낳기도 했다. 그래서 마라케시 조약에는 시각장애인뿐만 아니라, 사용자의 권리를 옹호하는 다양한 당사자들이 참여하여 국제적 연맹을 형성했다. 아프리카 그룹은 정보 부족의 이슈가 이들 국가와 직접적으로 해당됐기에 적극적으로 조약 체결 과정에 참석해 많은 영향력을 끼쳤다. 장애인뿐만 아니라 교육기회를 박탈당한 사람들, 빈곤층, 책이나 디지털 정보에 접근이 제한된 사람들 등을 생각하고 이 과정에 참여한 것이다. 세계 각지의 도서관과 아카이브들은 시각장애인 등 수혜자 그룹에게 더 많은 저서를 제공할 수 있는 기회를 위해 싸웠다. 결국 저작권자들에 대항하여 모든 사용자들을 대변하는 목소리는 그 결실을 맺었다.

마라케시 조약은 저작권 보호를 받는 저작물을 모든 사용자가 접근할 수 있는 형태(accessible format)로 변환하고, 재생산하고, 배포할 수 있는 권리를 다룬다. Conway 교수는 마라케시 조약이 저작권의 보호를 받는 저작물들의 수출을 허용했다는 점이 중요하다며, 전통적인 텍스트를 접근 가능한 형태로 바꾸는 차원을 넘어, 접근 가능한 형태의 저작물을 수출하는 문제에 중점을 둘 필요성을 말했다. 이 경우, 220만 개의 저작물이 변형된 형태로 국경을 넘어 로열티 없이 수출되고, 베른 협약의 관할권 내에서도 저자나 출판사가 저작권을 통제할 수 없어 베른 협약이 적용되지 않는 다른 곳으로 저작물이 수출되는 상황이 발생할 수 있게된다.

법적으로 사용자의 권리가 저작권자의 권리보다 더 우선하여 보호된다면, 이용자는 국가를 상대로 자신은 조약에 기초해 저작권자의 승인 없이 저작물을 사용할 수 있는 수혜자라고 주장할 수 있게 된다. 이는 우리가 그동안 저작권을 접근하는 방식에 대한 완전한 전환으로, 저작권자는 더 이상 기술적 보호 장치로 이용자가 저작물을 디지털 형태로 사용하는 일을 막을 수 없게 된다. 이처럼 마라케시 조약은 저작권 보호 일변도의 흐름 속에서 명시적으로 이용자를 인정했기 때문에 혁명적이고, 미국 저작권법의 ‘fair use(공정 이용)’보다 더 나아가는 수준이라고 Conway 교수는 말했다.

남형두(연세대학교 법학전문대학원) 교수는 국제인권사의 연장선상에서 마라케시 조약이 의미를 지닐 수 있다며, 이를 계기로 정보화 시대에 걸 맞는 장애인 인권이 실질적으로 보장될 수 있다고 말했다. 일반적으로 디지털화가 되고, 컴퓨터와 같은 새로운 정보통신 기술의 보급이 늘어날수록 장애인과 비장애인의 정보격차는 줄어들지만, 시각장애인들의 경우 얘기는 달라진다. 구텐베르크 이후 출판물을 중심으로 매체가 발전되면서 시각장애인들의 도서기근(Book Famine)이 시작되었는데, 19세기 중엽에 촉각을 이용한 점자, 20세기 중엽에 청각을 이용한 녹음 기술이 발전하면서 시각장애인들의 활자 정보에 대한 소외가 조금씩 해결되기 시작했다. 하지만 두 방법 모두 나름의 한계를 지녀, 시각장애인들에게 주는 도움도 제한적이었다. 점자의 경우 변환 과정에서 분량이 기하급수적으로 늘어나는 문제와 후천적으로 실명한 사람의 경우 생활 점자 외에 촉각으로 점자를 배워서 읽는다는 게 거의 불가능한 문제가 있고, 녹음도서의 경우 누군가가 카세트 테이프에 활자를 읽어 더빙을 해야한다는 점과 테이프를 찾는 것부터 중간에 재생을 멈춘 경우 표시할 수 없는 문제 등이 있기 때문이다.

IT 기술의 발전과 시대의 디지털화 흐름 속에 2000년 초반에 이르러서야 시각 장애인들은 드디어 디지털 파일만 있게 되면 우리가 읽는 것과 똑같이 문자를 읽을 수 있게 됐다. 하지만, 여전히 저작권의 장벽 앞에 시각장애인은 점자와 녹음에만 만족하라는 상황이었고, 시각장애인들의 정보 습득은 비시각장애인들에 비해 제한되어 정보격차가 오히려 커지는 상황이었다. 이러한 상황을 개선할 수 있다는 점에서 마라케시 조약은 의미를 지니게 된다.

또한, 남형두 교수는 인권의 저작권에 대한 우위확인을 말했다. 저작권법은 헌법에 위임받아 만들어진 법률인데, 장애인들의 인권, 인간의 존엄, 교육받을 권리 등은 시각장애인들의 기본적인 인권이고 헌법에서 보장된 것이다. 헌법의 기본권과 저작권이 충돌하는 경우 기본적 인권이 우위에 서야한다고 보는 입장에서 본다면, 마라케시 조약은 지극히 당연한 것이다. 때문에 저작권계에서 마라케시 조약이 지적재산권의 기초를 허물 것이라고 말하는 것은 상당수 부풀려진 것이거나 장애인들이 겪는 고통을 너무 이해하지 못한 데서 비롯된 것이고 앞으로의 인식에 따라 바꿔질 수 있다고 말했다.

2. 마라케시 조약의 체결경위

마라케시 조약은 2013년 6월 27일 체결되었다. 시각장애인의 정보접근권과 저작권이 충돌하는 것을 해결하기 위한 논의가 시작된 것은 WIPO(World Intellectual Property Organization, 세계지적재산권기구)와 UNESCO가 워킹그룹(working group)을 만든 30년 전이다. 2004년 11월에는 WIPO 저작권 및 저작인접권 상설위원회(Standing Committee on Copyright and Related Rights, SCCR)에서 시각장애인의 정보접근 향상을 위한 저작권 면제 조약에 관한 논의를 본격적으로 시작했다. 마라케시 조약의 안은 SCCR 18차에서 브라질, 에콰도르, 파라과이 3개국이 WBU(The World Blind Union, 세계시각장애인연합회)의 안을 받아서 제출해 마련됐다.

18차, 19차 SCCR에 당시 판사로서 한국 대표로 참석해 마라케시 조약의 상정 및 논의 과정을 지켜봤던 입장에서 윤종수(CCKOREA 프로젝트 리드, 법무법인 광장) 변호사는 교육, 도서관, 아카이빙 등 이전에도 저작권의 제한과 예외에 대한 많은 주장이 있었지만 대부분 무시되었지만, 시각장애인과 관련된 마라케시 조약안에 대해서는 반응이 달랐다고 한다. 그는 마라케시 조약의 체결이 가능했던 이유로 우선, 수혜자 그룹이 시각장애인으로 명확했고, 시각장애인의 정보접근권 보장이라는 정당성이 함부로 거부하거나 이의를 제기하기 힘든 주제였다고 말한다. 또, WBU 등 비중이 큰 이익단체와 이를 뒷받침해주는 단체 연합의 영향력이 상당한 역할을 했다. 대표단에는 전문성을 가지고 각 분야에서 활동하는 비중 있는 사람이 많았고, 자연히 단체의 발언권에도 상당한 힘이 실렸다는 것이다. 결정적으로 2006년 기준 WIPO 가입국 184개국 중에 57개국이 이미 시각장애인을 위한 법안을 가지고 있었다. 관련 규정을 지닌 미국, 일본, EU 등의 선진국을 비롯하여 대부분의 회원 국가들이 시각장애인 등의 저작물 접근확대를 위한 국제적 차원의 노력이 필요하다는 점에서는 동의를 표했다. 다만 그 방법에 있어 조약과 같이 구속력을 갖는 방안(binding instrument)에 중점을 두느냐, 아니면 회원국들의 입법에 대한 권고나 다른 사실적인 수단의 확충 등 구속력을 갖지 않는 방안(non-binding instrument)에 중점을 두느냐가 쟁점이었다. 결국, 마라케시 조약의 경우 다른 저작권 제한에 대한 논의와 출발선상에서부터 달랐던 것이다.

3. 국내 상황 및 한국과의 관계

한국 정부는 2014년 6월 22일, 마라케시 조약에 서명을 했다. 서명을 한 이후 비준을 1년 이상 미루다가 2015년 10월 초순경, 국회의 비준 없이 행정 협정과 같은 형태로 문화콘텐츠실장이 제네바 WIPO에 가서 비준서에 기탁하였다. 이로써 마라케시 조약이 국내에서 효력을 갖게 되었다. 다만, 국내에서는 시각장애인과 관련한 저작권법의 관련 규정이 이미 있었다.

남형두 교수는 이와 관련한 법개정의 역사를 개괄 설명했다. 1987년도 베른 협약 가입을 앞두고, 우리 저작권법이 전면개정이 되면서 시각장애인 조항 33조가 생겼다. 원래 묵자로 된 출판물을 점자로 제작하는 것도 일종의 복제 침해가 됐는데, 33조에서 저작재산권에 대한 예외조항으로 점자 복제를 허용해주고, 그 후 90년대 들어 녹음에 대해서도 허용을 해주게 된 것이다. 2009년 3월에는, 시각장애인 등 전용기록 방식으로 이른바 디지털 파일을 주는 것에 대해 예외로 허용하도록 33조가 개정되었다. 이는 굉장히 놀라운 것으로, 사실 마라케시 조약의 내용이 2009년에 이미 우리 법으로 들어온 것이기 때문이다. 당시, 도서관법도 같이 개정되어 출판사들은 합리적인 별도의 이유가 없을 경우 국립중앙도서관 산하 국립장애인도서관에 출판물의 디지털 파일을 납본하게 됐다. 이로 인해 시각장애인은 자신이 듣는 수업의 교과서를 파일로 받고 싶다고 요청하면, 이용할 가능성이 열렸다.

하지만, 실제로는 출판사에서 협조를 잘 하지 않는 경우가 많았다. 제출하는 파일의 형태도 텍스트 파일로 주면 바로 변환이 가능한데, 대부분 쿽이나 인디자인 같은 출판사 특유의 그림 파일로 제출했다. Pdf 파일을 텍스트로 변환하는 과정에서 오류가 생기듯, 출판사에서 보낸 파일을 디지털로 바꾸고 다시 대조하는 과정에서 평균 100일의 시간이 지체된다. 또한, 도서관법에서 디지털 파일의 제출과 관련하여 ‘특별한 사유가 없는 한~’으로 규정하여 의무가 아닌 권고 조항이기 때문에 현재 많은 출판사가 이를 피해가고 있는 상황이다. 결국 제도는 좋게 들여왔지만 현실에의 적용은 여전히 답보 상태인 것이다.

이처럼 관련 규정이 이미 있는 상황 속에서 윤종수 변호사는 마라케시 조약의 체결이 실질적으로 우리나라에 미치는 영향이 크지 않다고 봤다. 실제로 우리나라 당국은 조약 비준 후에도 법을 바꿀 게 없다는 게 공식 입장이라 한다. 오히려 이 조약으로 가장 혜택 받는 곳은 선진국으로부터 변환 가능한 포맷을 받을 수 있는 개발도상국들로 봤다. 특히, 자체적으로 포맷을 만들지 못하고 선진국에서 포맷을 받을 수 있는 아프리카 등 개도국의 혜택이 크다는 것이다. 우리나라의 경우 다른 나라 언어 포맷을 받을 만한 수요가 거의 없고, 이를 그대로 받아 번역하는 것은 조약에서 허용되지 않기 때문에 혜택 받는 것이 사실상 많지 않다고 봤다.

4. 마라케시 조약의 한계

마라케시 조약은 기적이라 부를 수 있지만, 한계가 있는 것도 사실이다. 이는 조약을 만드는 과정에서 비롯됐다. Conway 교수에 따르면, 마라케시 조약의 진일보한 내용 때문에 이용자 권리에 관한 부분을 반대 측도 받아들이도록 하기 위해서 조약 내용의 이행은 각 국가의 재량에 맡긴다는 방식을 택했다. 그 결과, 조약 내용을 전혀 변경 없이 그대로 적용하겠다는 국가가 있을 수 있지만, 수혜자를 명시적으로 나열한 후 비준하겠다거나, 국내법에 이미 마라케시 조약의 내용이 입법화됐다고 주장할 수도 있게 됐다. 이에 따라, 추가적인 협상은 마라케시 조약의 구성원들에게 베른 갭의 3단계 테스트 조건을 적용하도록 요구하는 결과를 낳게 됐다.

윤종수 변호사는 3단계 테스트의 문제를 상세히 설명했다. 이 테스트에 따르면, 지적재산권의 제한과 예외는 ①어떤 특별한 경우(certain special case), ②저작물의 통상적인 이용과 충돌하지 아니할 것(not conflict with normal exploitation of the work), ③ 저작자의 합법적인 이익을 부당하게 해치지 아니할 것(not unreasonably prejudice legitimate interest of the author) 이 3단계를 차례대로 통과해야 한다. 그런데 이 규정은 불명확한 용어를 쓰고 있다. ‘통상적인 이용’을 판단하는 과정에서 생길 수 있는 문제, ‘합법적 이익’의 경우 이익형량 해야 한다는 것 등의 문제가 있다.

베른 협약의 개정으로 복제권의 제한 및 예외에 대한 가이드라인이 필요해져 도입된 3단계 테스트는 TRIPs가 13조에서 이를 그대로 차용하고, WPPT, WCT도 이를 도입하면서 일반적 국제규범으로 저작권 판단 기준이 되어버렸다. 그 결과 확실한 저작권 예외 규정 있을 때도 3단계 테스트로 판단해서 여기에 어긋나면 저작권 예외사유를 위반한 것으로 보는 것이 현재 상황이다. 그런데, 문제는 시각장애인 조약의 취지는 본디 이익형량이 아닌 특정 계층 보호에서 나온다는 점이다. 공정 이용은 이용자의 권리와 공공 이익을 비교하기 때문에 기본적으로 이익형량의 문제이다. 하지만, 시각장애인은 이익형량에서 뒤지더라도 보호를 해줘야 하기 때문에 예외사유를 두어야 한다. 기존에 존재하던 한계와 예외규정에 이익형량을 따지는 3단계 테스트가 조약에 들어가 오히려 기존규정의 요건을 더욱 엄격하게 하는 역할을 하고 있다. 이처럼 이익형량으로 따질 게 아닌 예외사유를 이익형량으로 심사하는 것이 가장 큰 문제라고 말했다.

남희섭 오픈넷 이사장은 조약 자체의 효력에 대해 문제제기를 했다. 우리나라의 경우 국회가 마라케시 조약에 비준을 한 것이 아니라 기탁서를 내는 방식을 취했다. 저작권에 관한 베른 협약, 특허에 관한 파리 협약과 같은 기본 조약이 국회의 동의를 받은 바가 없다. 비준 동의를 받지 않으면 국내법상 효력을 갖는 조약이냐는 문제가 야기될 수 있기 때문에 이는 중요하다. 또한, 당국은 국내 저작권법에 조약 내용을 반영하여 고쳤기 때문에 입법사항도 아니라는 입장인데, 현실은 다르다. 마라케시 조약에 있는 내용이 국내에 모두 반영이 되어 있지 않거나 조약이 국내법과 같은 효력을 가지게 되면, 법률의 지위에 해당됨에도 불구하고 그 내용이 하위인 시행령에 들어가거나, 기술적 보호조치의 경우 장관 고시에 들어가 있고, 그 내용도 조약을 제대로 반영하지 않은 상황이다. 이런 상황에서 마라케시 조약 수혜자가 조약에 기해서 권리 주장을 한다든지, 국회가 입법 의무 이행을 하지 않았다고 손해배상을 한다든지 등의 법률적 권리 행사를 할 수 있는지 여부가 완전히 달라진다. 미국의 경우에도 조약 그 자체를 비준한 게 아니라 이행법을 만들어 이를 의회에서 통과시켜달라는 상황이어서 마라케시 조약은 미국 땅에 들어가도 아무 효력이 없는 상황이다. 결국, 개별 국가들이 조약을 반영하는 방식에 문제가 있다는 것이다.

또한, WIPO가 관장하는 조약은 WTO와 달리 지키지 않을 경우 특별한 제재가 없어 국제법상으로는 강제력이 있다고 얘기하지만, 현실에서는 그렇지 않은 상황이다. 지적재산권에 관한 조약 대부분이 FTA에 가면, 체결국끼리 준수해야 할, 혹은 비준해야 되는 국제적 기준의 의무사항으로 열거된다. 그런데, 2013년 마라케시 조약 체결 이후 가장 비중 있는 FTA인 TPP(환태평양 경제 동반자 협정)를 살펴보면, TPP 가입국이 반드시 비준해야하는 조약의 목록(18.7조)에 마라케시 조약은 빠져있다. 한국이 현재 협상에 참여하고 있는 RCEP에서도 마라케시 조약은 나중에서야 ibis 항목에 겨우 들어왔다. 문구 또한 우리나라와 일본은 조약 비준을 의무화하는 게 아니라 ‘비준하도록 노력해야 한다’로 되어 있다. 결국, 지적재산권 규범이 현실적으로 구축되는 메커니즘 하에서 마라케시 조약이 실효성이 떨어진다는 문제가 있다는 것이다.

5. 향후 전망과 앞으로의 과제

마라케시 조약의 향후 전망과 관련하여 남형두 교수는 미국에서 조약 비준 여부가 지니는 중요성에 대해 언급했다. 마라케시 조약의 가장 중요한 문제는 국제적 유통이기 때문에, 영어권의 상당히 방대한 자료가 나오는 미국이 비준을 해야 조약이 실질적 효력을 가질 수 있다는 것이다.

이에 대해 Conway 교수는 긍정적으로 전망했다. 장애를 가진 많은 변호사들이 본인이 정보에 접근하는 데 어려웠던 개인적인 경험에 대해 이야기를 하는 것부터 여러 당사자들 및 이익단체와 인권 단체들이 참여하면서 기존에 장애에 대한 직접적인 경험과 인식이 없던 당사자들도 접근 가능한 형식의 다양성이 얼마나 중요한지에 대해 빠른 속도로 인지하기 시작했다. 이렇게 바뀐 분위기 속에서 미국 정부가 기존의 입장을 상당히 많이 바꿨고, 앞으로도 그 흐름을 이어나갈 것이라 말했다. Conway 교수는 공정 이용의 원칙과 3단계 테스트를 미국에서 어떻게 잘 조화시켰는지에 대해서도 말했다. 미국의 공정 이용 원칙에도 한계는 있지만, 3단계 테스트보다는 명확하다. 그리고 이 원칙은 한 명의 재판관이 저작권에 대한 예외를 결정할 때 보다 나은 법체계가 필요하다고 생각하는 데서 비롯됐다. 마찬가지로, 미국 사법부의 독립성과 개인의 의식에 비추어 볼 때 사법부가 마라케시 조약의 중요성을 인지할 수 있을 거란 것을 믿는다고 말했다.

이에 반해, 윤종수 변호사는 마라케시 조약이 국제 저작권 체계에서 지니는 중요한 의미와 별개로 추가적인 논의의 진전 여부에 대해 낙관적인 전망을 하기가 쉽지 않다고 말했다. 저작권을 가진 자들이나 이를 뒷받침하는 선진국 측에서는 이 조약의 체결로 인해 다음 예외조항까지 넘어가는 것을 처음부터 매우 경계했고, 조약의 체결 자체도 오랜 논의 과정 끝에 미국의 입장 변화로 급격히 가능해진 면이 있기 때문이다. 따라서 이 조약으로 이용자의 권리나 저작권 예외·제한에 대한 국제저작권체계 및 선진국의 입장이 전체적으로 달라질지 잘 모르겠다는 것이다.

앞으로의 과제와 관련하여 윤종수 변호사는 수혜자 확대의 필요성을 말했다. 시각, 청각 장애인을 위한 지적재산권 제한 규정은 한국 법에 이미 들어와 있지만, 다른 장애인들의 문제는 여전히 해결되지 않고 남아있다는 것이다. 특히 자폐 등 발달장애인의 경우 제대로 논의가 이루어지지 않고 있는데, 발달장애의 경우 정보전달 위한 교재부터 대체적 언어수단이 필요하다. 그런데, 이처럼 의사전달이 글로 안 되고, 이미지로만 가능한 경우 관련 교재를 만들기 위해 이미지를 쓰는 것이 저작권에 걸려 있는 상황이다. 다양한 정보를 이해가능한 형태로 전달할 수 있는 효과적인 대체의사소통수단이 마련될 필요가 있는데, 현행 저작권법에서는 이를 뒷받침할 법적 제도를 마련하지 못하고 있기 때문에 개선해야한다는 것이다.

남희섭 이사장은 대표단 구성의 변화 필요성과 국제적 담론과 연구를 지역 단위로 전파할 필요성에 대해 이야기했다. 우선, 국제회의에서 한국의 입장을 대표하여 조약을 체결하는 이들의 면면을 살펴보면, SCCR 18차 회의에서는 문화부 저작권 담당 전문관, 문화부 국제협상 담당자, 저작권위원회의 법제담당자, 제네바 주재원(특허청 파견 1등 서기관) 등이었다. 이런 대표자들은 주로 외교부 훈령에 따라 움직이는데, 18차 당시에도 미국, EU, 일본 등과 마찬가지로 마라케시 조약 관련하여 강제력이 있지 않은 soft recommendation으로 가자는 입장을 취한다. 하지만, 이런 입장표명 이전에 국내 이해당사자인 시각장애인 시설이나 도서관 등과 논의를 한 적이 없었다. 이에 당시 장애인 단체에 있던 남희섭 이사장이 문화부에 항의 방문을 했고, 19차 회의 때는 보건복지부 담당자가 들어가게 됐다. 당시 회의 참석한 사람들에 따르면, 한국이 이전과 달리 상당히 긍정적 기여를 했다고 한다. 한국 이외에도 저작권 담당자들만이 아니라 보건복지부 등에서 참여를 했더라면, 마라케시 조약이 보다 빨리 체결되고, 내용도 훨씬 달라질 수 있을거라 생각하기 때문에 앞으로도 대표단의 구성을 바꿀 필요가 있다고 말했다.

한편, 지적재산권이 세계화된만큼 이에 대한 저항의 흐름도 꾸준히 있어왔다. 대항담론으로서 인권에 관한 학문적·개념적 연구가 진척되고 있고, 유엔인권기구 등에서 구체적 정책방향도 제시하고 있다. 그런데 이것이 지역 및 개별 국가 단위까지는 들어와 있지 않은 상태이다. 각국의 정책을 실제로 담당하는 이들, 예를 들어 특허청의 공무원이나 문화부의 저작권 담당자나 국회의 교문위 의원 혹은 보좌관, 전문위원 등 실무가들에게 인권과 지적재산권은 먼 얘기이다. 따라서 마라케시 조약을 추진했던 사람들이나 지적재산권의 인권 측면을 중시하는 사람들이 접촉면을 넓히면서 지속적으로 사람들의 이해를 넓혀갈 필요가 있다고 말했다.

공공데이터 운동 | 민주주의의 산업화

글 | 박경신(고려대 법학전문대학원 교수, 오픈넷 이사)

지젝은 “자본주의의 바깥은 없다”는 말을 회자시킨 적이 있다. 세월호사태, 메르스사태, 옥시사태, 구의역 사고를 보면서 시민에 의한 권력과 자본에 대한 감시가 필요하다는 강렬한 공감대가 형성되고 있다. 감시자에 대한 감시 즉 역감시는 민주주의의 핵심요소이다.

우리는 정보들을 축적, 가공, 공유, 공개하면서 권력과 자본을 감시할 수 있다. 그 효과는 위키리크스의 사례에서 보듯이 인터넷을 통해 극대화될 수 있다. 영리서비스라고 해서 그 효과가 훼손되는 것도 아니며 도리어 민주주의는 자본주의 생산관계의 한 축으로 자리 잡을 때 자본주의 내에서 근본적인 변화를 발생시킬 수 있다.

강력한 개인정보보호법은 항상 필요하다. 하지만 개인정보보호법의 목적은 정보주체들의 프라이버시 보호이다. 프라이버시 법익이 남아 있다고 보기 어려운 정보들에 대해서 개인정보보호법이 적용되어 그 축적이나 공개가 어렵게 되면 민주주의가 위축된다. 이 정신은 1980년 OECD가이드라인, 이를 계승한 2004년 APEC프레임워크에 문서화되어 있다.

아래의 두 가지 영리서비스들에 대한 독일연방개인정보보호법 판례와 EU의 1995년 개인정보보호지침 판례는 이와 같이 프라이버시 법익이 없는 정보의 자유로운 이용의 중요성을 설파하고 있다. 참고로 EU지침은 회원국들에게 특정한 내용의 입법을 할 것을 강제하는 구속력을 가진다.

2007년부터 독일에 spickmich.de라는 웹사이트가 개설되었는데 학생들이 교사들의 실력, 복색 등을 점수를 매겨 평가하고 학교의 기자재, 건물, 학풍 등을 점수를 매겨 평가하는 사이트였다. 평가대상은 실명으로 거론되었지만 학생들은 익명으로 평가를 하였다. 2010년 3월에는 160만명 가입자를 모으고 있는 청소년대상 웹사이트 중 최대를 기록할 만큼 인기가 좋았다. 이 사이트는 곧바로 영리사이트로 발전하였다.

교사 1명이 위 사이트가 자신의 프라이버시를 침해한다며 연방개인정보보호법 상의 소송을 제기하였다. 그러나 지방법원, 지방고등법원 그리고 연방대법원에서도 패소하였다(23 June 2009 – VI ZR 196/08; LG Köln – 28 O 319/07 – Judgment of 30 January 2008; OLG Cologne – 15 U 43/08 – judgment of 3 July 2008). 연방대법원은 독일연방개인정보보호법 제29조, 즉 “개인정보의 상업적인 수집, 보존, 수정, 및 이용은 정보주체가 그와 같은 수집, 보전, 수정을 금지할 법익을 가지고 있지 않은 것으로 보이는 경우”에 합법적이라는 조항에 따라 위 사이트의 운영이 합법적이라고 판시하였다. 정보주체가 그러한 법익을 가지고 있는가에 대하여 연방대법원은 “사실적 주장을 하고 있는 것이 아니라 견해와 감정을 표현하는 것이라서 명예훼손이 되지 않는다”고 하며 개인정보보호법을 위반하지 않는다고 결론내렸다. 교사의 평판정보는 아예 처음부터 학생들의 머릿속에서 생성되는 것이기 때문에 교사가 은밀하게 보호할 수 있는 정보가 아니었기 때문에 애시당초 프라이버시 법익이 깃들지 않은 정보였음을 확인한 것이라고 볼 수 있다. 연방헌법재판소 상고허가는 기각되었다. 위 판결은 정보주체의 프라이버시 법익이 깃들지 않은 정보에 대해서는 상업적 이용도 자유롭게 허용됨을 확인하였다는 의의가 있다.

1994년부터 핀란드의 유료잡지 Veropörssi는 매년 핀란드인들의 소득과 자산정보를 게재해왔고 2002년에는 전 인구의 3분의 1 즉 120만명의 과세정보가 게재되었다. 이 정보는 핀란드법 상 완전한 공개정보이다. 2003년부터 이 잡지사는 문자로 사람 이름을 보내주면 그 사람의 과세정보를 제공하는 서비스를 개시하였다. 이 문자서비스에 대해 핀란드 개인정보보호기구가 개인정보보호법 위반을 주장하자, 2008년 12월 유럽사법재판소는 표현의 자유와의 균형을 고려할 때 EU개인정보보호지침 95/46/EC가 법적용을 면제하고 있는 “언론행위(journalistic activities)”는 “반드시 신문, 방송 등의 전통적인 언론사에 의한 보도만을 의미하는 것이 아니라 무언가를 일반대중에게 공개하는 모든 행위를 포함하는 것”이라고 하였다. 특히 매체와 영리목적을 불문하고 그렇다고 명시하였다. (ECJ Case 73/07 Satakunnan Markkinapörssi and Satamedia (2008)) 그 이후 유럽인권재판소가 언론행위라고 보기 어렵다고 판시했지만 그 이유는 인구의 3분의 1에 대하는 엄청난 양을 과세정보에 대한 논평, 토론이 부재한 문자서비스의 형태로 게시했기 때문이며 유럽사법재판소의 판결의 유효성에는 변함이 없다.

공공데이터는 운동이 되고 산업이 되어야 한다. 민주주의를 확보하기 위해 우리에게 공개되어야 하는 개인정보들은 너무나 많기 때문이다. 프라이버시로 보호되어야 할 법익이 깃들지 않은 정보들을 신중히 가려내 더욱 창의적이고 조직적인 산업화가 이루어지길 바라는 마음이다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.06.14.)

구글 지도 반출, 21세기식 접근이 필요하다

글 | 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. → 구글 지도 반출, 21세기식 접근이 필요하다
2. 보안 처리: 구시대적 지도 검열

지난 6월 초 구글이 한국 지도 반출을 재신청하면서 비롯된 논란이 좀처럼 수그러들지 않는다. 정부나 구글, 국내 업체 등 이해 당사자들이 내놓는 주장이 뒤섞이며 사실관계조차 헷갈리고, 정보통신 서비스 영역을 넘어 안보나 국가 자존심까지 입길에 오르고 있다.

7월에 세계를 급속히 달군 포켓몬 고 열풍도 이러한 논란에 부채질했다. 한국이 게임 서비스 지역에서 제외된 것이 구글 지도로 뒷받침되지 않기 때문이라는 주장이 제기되었기 때문이다.

좀 더 냉정한 시각으로 바라보면 이 문제에는 몇 가지 이슈가 꼬여 있음을 알 수 있다. 이렇게 꼬인 데에는 이유가 있지만, 여하튼 이런 가닥을 차근차근 분리하고 우리가 이미 알고 있는 원칙들을 적용한다면 문제는 의외로 쉽게 풀릴 수도 있다.

다음에 실릴 글과 함께 두 차례에 걸쳐 한국 지도 정보의 국외 반출 문제, 그리고 그보다 더 근본적인 문제를 차례로 짚어 본다.

한국에서 지도 쓰기를 포기하는 외국인들

지난 5월 19일, 오픈넷이 주최한 포럼 ‘시각장애인을 위한 저작권 혁신 조약’에서 발제를 할 사람은 미국 메인 대학교 법학교수인 다니엘 콘웨이(Danielle Conway, 사진) 박사였다. 그녀는 아주 오래전에 한국을 한 번 다녀간 적이 있을 뿐이다. 당연히 서울 지리에 깜깜하다.

숙소인 서울대 교수회관에서 포럼이 열리는 선릉역 부근 행사장까지 오는 길을 알려주어야 했다. 어떤 교통편을 이용해 올지 몰라서, 일단 지도부터 보냈다. 한국인이 흔히 쓰는 네이버나 다음 지도는 그녀에게는 무용지물이다. 영어로 표기되지 않기 때문이다. 그래서 구글 지도로 이미지를 떠서 이메일로 보냈다.

콘웨이 박사는 택시를 타고 왔다. 목적지를 못 찾아서 선릉역 부근을 뱅뱅 돌던 기사가 결국 내게 전화를 했다. 행사는 이미 시작되었고, 발제자가 40분도 더 늦는 바람에 토론자가 먼저 마이크를 잡는 일이 벌어졌다. 택시요금은 정상보다 세 배 가량 더 나왔다. 콘웨이 박사는 이렇게 요금이 비정상적으로 나왔다는 사실을 알지 못했을 것이다. 구글 지도에는 택시를 이용한 경로 서비스가 되지 않기 때문이다.

지도 서비스에 관한 한, 외국인에게 한국은 남미 원시림이나 다름없다. 8월부터 오픈넷에서 인턴쉽을 하는 미국 대학생 댄 베이티코는 서울에서 지도 쓰기를 아예 포기했다. 그가 한국을 오기 전에 거쳐왔던 대만, 네팔, 베트남에서는 겪지 않았던 일이었다.

물론 이것은 두 가지 이유로 그렇다. 국내 업체의 지도는 영어 서비스를 하지 않고, 다양한 언어 지원을 해서 국제 표준이 되다시피 한 구글 지도는 국내에서 제대로 작동하지 않기 때문이다.

그저 일부 외국인이 한국에서 길을 찾는 문제라면 그리 심각한 일이 아니라고 볼 수도 있을 것이다. 외국인이야 헤매든 말든 우리는 우리식대로 살면 된다고 할 수도 있다. 그러나 기초 지도 서비스를 근간으로 한 각종 부가 서비스 역시 제대로 이루어지지 못하고, 같은 태반에서 태어날 다양한 미래의 서비스들도 근본적으로 잉태될 수 없다는 점은 외국인이 아닌 한국인에게 문제가 아닐 수 없다.

국가 안보 위협하는 지도 반출 안 된다?

구글이 지도 반출을 신청한 것은 이런 사정 때문이다. 자사 서비스를 제대로 갖추기 위해서, 그리고 구글의 주장에 따르면 이를 기반으로 하여 개별 기업들이 다양한 서비스를 꽃피우도록 하는 플랫폼을 만들기 위해서 지도 정보를 내갈 필요가 있다는 것이다.

이 문제가 꼬이기 시작한 것은 단순하면서도 다분히 의도된 오해 때문이다. 즉 구글의 지도 반출에 반대하는 측이 이 문제를 국가 안보 이슈로 틀 지어버린 것이다. 이들은 ‘구글이 한국의 안보 특수성을 무시하고 보안시설이 다 드러난 지도를 국외로 가져가려 한다’고 주장한다.

그러나 이런 주장은 사실과 상당한 거리가 있다. 이와 관련한 사실관계를 정리해 보면 쉽게 알 수 있다.

1. 구글은 현재 한국 지도를 극히 제한적으로 서비스하고 있다.
2. 이 지도는 SK플래닛(모회사는 SK텔레콤)이 소유한 것이며, 구글은 비용을 지불하고 이 지도를 사용하고 있다.
3. 즉, 구글은 자체로 한국 지도를 돌리는 게 아니라 SK플래닛에서 돌아가는 지도를 보여주기만 한다.
4. SK플래닛 지도는 다음 지도나 네이버 지도와 마찬가지로 정부 규정에 따라 보안 처리된 지도다.
5. 구글이 지도를 반출하겠다는 의미는, 이 SK플래닛 지도 데이터를 해외의 서버에서도 쓸 수 있게 해달라는 말이다.

따라서, 구글이 보안 처리되지 않고 속속들이 다 보이는 지도 데이터를 외국으로 가져가려 한다는 주장은 사실이 아니다. 가져가려는 지도는 네이버나 다음의 지도와 마찬가지로 보안 처리된 데이터다. 보안의 측면에서만 보자면 당장에라도 반출을 허용하지 않을 이유가 없는 것이다.

법을 위반하는 일도 아니다. 한국 법은 지도 정보 반출을 금하고 있지만, 예외적으로 허용할 길을 열어두고 있다. 그 결정을 위해 정부 부처 간 협의체(‘공간정보 국외반출 협의체’)까지 구성할 수 있도록 했다. 따라서 필요성이 인정된다면 협의체가 반출 허용 결정을 내리기만 하면 된다. 물론 필요성이 없다면 불허 결정을 내릴 수도 있을 것이다. 이것은 지도 반출로 얻거나 잃을 이익을 따져 내릴 정책적 판단이다.

안보를 걸고넘어지는 주장은 모두 이러한 사실을 모르거나 아니면 일부러 무시한다고 보면 된다. 안보 때문에 안 된다고 주장하는 측은 예컨대 다음과 같은 기사에서 동력을 얻는다.

“정부는 지도데이터에서 중요 안보시설을 삭제할 것을 반출조건으로 내걸고 있고 구글은 이에 강력히 반대하기 때문이다.”

-연합뉴스, 국토부 “지도반출 불허해 포켓몬 고 불가능한 것 아니다” (2016. 7. 14) 중에서

이런 서술은, 구글이 안보시설이 속속들이 표시된 지도를 가져가려고 한다는 오해를 조장한다.

위성사진에서 뺨 맞고 지도에 화풀이

오해든 착각이든, 안보 문제가 있으므로 지도 반출을 허용해서는 안 된다는 주장이 나오고, 반출 허용 여부를 결정해야 할 정부가 그런 여론을 느긋하게 즐기고 있는 데에는 이유가 있다. 반출 대상이 되는 지도와 직접 관련이 없는 위성사진 때문이다.

많은 사람이 알듯 구글의 위성사진은 한국 정부가 가리고 싶어 하는 시설을 속속들이 보여준다. 정부에서 볼 때, 외국 기업이라 손을 쓸 수 없어 하릴없이 두고 보기는 하지만 눈엣가시 같은 일이 아닐 수 없다.

반출 대상 지도 데이터와 직접 관련이 없는 구글의 위성사진과 관련한 사실관계도 정리해 보자.

1. 구글 지도에 나오는 한국의 위성사진은 .co.kr 버전과 .com 버전이 있다.
2. 한국 주소인 .co.kr로 보이는 위성 이미지는 해상도가 낮아 희미하게 보인다.
3. 이것은 구글이 한국 법규를 따르려고 일부러 해상도를 떨어뜨린 결과다.
4. 한편 한국법이 적용되지 않는 외국 주소인 .com으로는 선명한 이미지가 보인다.

한국 웹주소와 해외 웹주소를 다르게 하여, 해외 주소로 접속하면 다 볼 수 있게 한 것은 눈 가리고 아웅한 것으로 볼 수도 있다. 그러나 거꾸로 보자면, 한국에서는 법이 그렇게 강제하니까 울며 겨자 먹기로 그렇게 한 것으로 볼 수도 있다. 어떤 시각에서 보느냐의 차이다.

어쨌든 구글 국내 위성사진에는 흐릿하게 나오는 주요 시설물들이 .com 사진에는 선명하게 다 보인다. 이것을 ‘해결’하는 것은 정부의 숙원 사업이다. (이것이 의미 없는 일이라는 것은 밑에서 다시 자세히 쓴다.) 따라서 구글이 지도 반출을 신청하고 이에 대해 여론이 안보를 이유로 부정적으로 형성되는 것은 정부에게 반가운 상황이다. (반출 대상 지도가 아닌) 위성사진을 손보도록 요구하는 계기로 활용할 수 있기 때문이다.

8월 말까지 응답을 내놔야 하는 정부가 가장 선호할 만한 해결 방식은, 구글에 기왕의 SK플래닛 지도 데이터 반출을 허용하는 대신, 그 조건으로 구글 위성사진(.com)을 국내 업체의 사진처럼 보안 처리하도록 요구하는 것이다. 정부로서는 이미 쓰고 있는 지도 반출을 허용해 주면서 숙원 사업이던 위성사진 물칠을 성사시킬 수 있는 빅딜이다. 일부에서 주장하는 것처럼 구글에게 이례적으로 서버를 자국 안에 들여오도록 강제함으로써 국제 사회에 권위주의 국가의 인상을 또 하나 더하는 것보다 훨씬 이득이 되는 방안이기도 하다.

문제는 구글이 이런 제안을 받을 것이냐이다. 쉽지 않은 일일 것이다. 구글코리아는 그 이유로 세 가지를 든다. 첫째, 한국의 지형을 그대로 다 보여주는 외국 위성사진이 널린 마당에 구글만 지우라고 하는 것은 아무런 실효성이 없는 요구다. 둘째, 이용자에게 정보를 제공하는 외국 기업의 서비스에 검열을 가하는 것이다. 셋째, 구글은 위성사진에 스스로 보안 처리한 적이 없다.

특히 첫 번째 이유가 시사적이다. 정부는 구글의 위성사진을 보안 처리하는 것에 심혈을 기울이고 있지만, 한국을 다 보여주는 위성사진은 구글 말고도 널려 있다. 어찌어찌 하여 구글 사진을 물칠하도록 하는 데 성공한다 하더라도 악의 없는 이용자의 시각만 가로막을 뿐, 실제로 악의를 가진 사람에게는 아무런 의미도 없는 것이다.

아래 사진들은 네이버, 다음 같은 한국 지도 서비스들과, 접속하는 데 몇 초밖에 걸리지 않는 외국 지도 서비스들의 위성사진을 통해 본 경복궁과 청와대 모습이다.

이뿐만 아니다. 온라인으로 무료 서비스되는 이들 위성사진 말고도, 사진을 상업적으로 파는 많은 위성사진 업체가 있다. Esri.com, digitalglobe.com 등이 그중 일부다. 이 업체들은 누구든 돈만 내면 무료 위성사진보다 훨씬 더 높은 해상도의 사진을 제공한다.

국제적으로 이용되는 이들 지도 서비스를 열면, 한국인만 못 보고 있는 장면들이 크고 아름답게 나타난다. 구글의 위성사진을 지우려 하는 정부 노력은, 이 모든 지도들도 막아낼 수 있다는 전제가 있어야만 의미가 있다.

결국, 정부는 다국적 기업을 상대로 하여 안보의 깃발을 높이 들고 애국적 싸움에 나선 것 같은 자세를 취하고 있지만, 실제로는 안보 실익이 전혀 없는 싸움을 벌이고 있는 셈이다. 이것이 지도 반출 문제와 관련이 없다는 것은 덤이다.

한국에 서버를 설치하라?

앞서 잠깐 언급했지만, 지도 반출 논란에 대한 한 가지 처방은 구글이 서버를 한국에 설치하면 된다는 것이다. 이것이 얼핏 해결책처럼 보이는 것은 사실이다. 구글이 SK플래닛 지도 데이터를 한국에 있는 서버에서만 돌린다면 반출 논란은 당연히 필요 없게 된다.

그러나 이게 말처럼 쉽지 않다는 데 문제가 있다. 구글은 전 세계 지도 데이터를 현재 15개 국가에 산재하는 데이터 센터에 분산 배치하고 클라우드 기반으로 운영하고 있다. 어떤 한 나라의 데이터를 돌리기 위해 그 나라에 서버를 설치한 일은 한 번도 없다. 이렇게 지역에 데이터를 묶어버리면 안정성 유지에도 문제가 생길 수 있다.

현실적으로 가능하지 않은 일을 하라고 요구하는 것은 억지다. 국내의 시각만 가진 정부나 업체들은 이해하기 어려운 일일지도 모른다. 그러나 일취월장하여 언젠가 국경을 넘어 세계로 진출해야 할 국내 기업이 겪어야 할 일일 수도 있다.

게다가 국내에 서버를 설치하라는 것은 정보의 국경 없는 자유로운 흐름이라는 인터넷의 대원칙에도 어긋난다. 데이터를 수집된 국가 안에 묶어두려는 이른바 데이터 국지화의 경제적 문제점을 새삼 지적할 필요는 없을 것이다.

구글이 한국에 서버를 두기를 꺼리는 또 하나의 이유를 짐작할 수 있는 사례가 있다. 2011~12년에 구글은 아시아 지역 세 곳에 대형 서버를 구축하기로 하고 지역을 물색했다. 세계 최대 검색 엔진의 거대한 서버 시설을 유치하는 데서 올 경제 효과를 염두에 두고 한국도 열심히 유치 운동을 했다. 그러나 구글 서버는 대만, 싱가포르, 홍콩으로 갔다.

한국이 제외된 데에는 정치적인 이유가 있는 것으로 풀이됐다. 2011년 5월 한국 경찰은 모바일 광고의 위치정보 수집 사건을 수사하면서 구글코리아와 다음커뮤니케이션을 압수수색했다. 그뿐만 아니라 수사 당국이 영장 없이도 이동통신사를 찔러서 이용자 정보를 마음껏 캐내 가는 나라가 한국이다. 구글 서버도 마음만 먹으면 얼마든지 뒤질 수 있을 것이다. 이런 나라에 서버를 두고 싶어 하는 인터넷 기업은 별로 없을 것이다.

세금 받고 싶으면 법규부터 고쳐라

여기서 지도 반출 이슈와 상관없는 또 하나의 애국 프레임이 등장한다. 구글이 한국에 세금을 내지 않고 부도덕하게 사업을 하고 있다는 것이다. ‘불법’이라는 말을 쓰지는 않지만, 그 어조는 사악하고 패륜적인 반국가단체를 나무라는 양상이다.

이런 주장은 구글이 한국에서 돈 한 푼 내지 않고 사업을 하는 것 같은 오해를 불러일으킨다. 한국에서 활동하는 구글코리아는 물론 세금을 낸다. 구글이 한국에서 창출한 수익 전체에 대해 적절한 세금을 내고 있는가는 논란의 여지가 있다. 그러나 구글은 현재 한국법과 국제 규정이 정하고 허용한 바에 따라 기업을 운영하고 있을 뿐이다.

문제가 있다면 구글이 아니라 법규다. 구글이 창출하는 이윤에 대해 세금을 제대로 물리고 싶다면, 그렇게 하도록 법을 제·개정하고 규정을 정비하면 된다. 세법을 개정하면 얼마든지 가능하다는 의견이 있고, 이미 그렇게 하는 나라들도 있다. 경제협력개발기구(OECD) 차원에서 그런 방안을 모색하고 있기도 하다. 그런 일은 하지 않으면서 기업을 나무라는 것은 아무런 의미도 없고 해결책도 될 수 없다.

구글이 세계적 강자이기는 하지만, 구글 지도 서비스가 한국에 개시된다고 해서 한국인이 바로 구글 대마왕에 종속되리란 보장은 없다. 구글이 한국어 검색 서비스를 시작한 지 15년 이상 지났지만, 한국에서는 여전히 네이버가 지배적인 지위를 유지하고 있다. 구글을 쓰는 사람이 늘어간다면, 이것은 어떠한 이유에서든 구글의 서비스에 만족하는 사람이 는다는 뜻일 뿐이다. 다른 기업 역시 그런 만족을 주기 위해 노력하는 것이 올바른 접근일 것이다.

정부는 곧 구글의 지도 반출 신청에 대한 응답을 내놓아야 한다. 지도 반출과 직접 관련이 없는 안보나 준탈세 프레임에 휩쓸리기보다, 지도 데이터 개방이 이용자와 한국 경제의 미래를 위해 실제로 어떤 효용이나 불이익을 가져올까를 꼼꼼히 따져보는 것이 좀 더 생산적인 접근일 것이다.

국경에 구애받지 않는 온라인 기업들의 규모가 막대하게 커지고 있다. 온라인과 오프라인을 결합하며 새로운 형태의 사업 모델을 구축하여 실물 경제의 주역으로 부상하는 기업들도 있다. 이러한 상황은 우리 사회가 기업과 관계 맺고 살아가는 방식을 새로이 검토해야 할 필요를 제기한다. 안보 필요에서부터 납세의 의무까지, 명분과 구호만으로 성취할 수 있는 일은 더 이상 많지 않다. 정보의 자유로운 흐름을 기반으로 형성된 온라인 세상을 살기 위한 21세기 패러다임을 고민해야 할 때다.

* 위 글은 슬로우뉴스에 동시 게재하였습니다. (2016.08.16.)

보안 처리: 구시대적 지도 검열

글| 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. 구글 지도 반출, 21세기식 접근이 필요하다
2. → 보안 처리: 구시대적 지도 검열

이미 알려진 대로 한국 지도 데이터를 국외 서버에 저장하겠다는 구글의 신청은 국가 안보를 이유로 하여 허락되지 않고 있다. 정확히 말하면, 정부는 일정한 시설물을 지도나 위성사진에 공개하지 않는 방침을 갖고 이에 따라 지도를 제작 및 공개하고 있으나, 미국 기업인 구글이 이를 수용하지 않기 때문이다.

이 글에서는 한국의 지도에서 은폐되는 시설물과 보안 처리에 대해 살펴보자.

현재 한국에서 서비스되는 온라인 지도는 규정에 따라 일정한 시설물을 표시하지 않거나 위장, ‘물칠’(블러링) 등의 형태로 가려야 한다. 이것은 공간정보법 제35조와 그에 따른 보안관리규정이 일정한 지도 정보를 비공개하도록 요구하고 있기 때문이다. 이 법규들에 따르면 공간정보를 관리하는 기관(국토교통부 산하 국토지리정보원)은 국가정보원과 협의하여, 공개가 제한되는 정보의 접근이나 유출을 막는 조치(보안 처리)를 시행하여야 한다.

구체적으로 어떤 시설물이 보안 처리가 되는지는 3급 기밀 사항이다. 그러나 보안관리규정의 공간정보 분류기준표와 실제 지도를 참고하면 대략적인 기준을 알 수 있다. 청와대나 국가정보원 같은 특수 정부 기관, 군부대 등 군사 시설, 휴전선 일대, 교도소, 발전소, 변전소, 댐, 송유관 같은 것들이 포함되어 있으며, 송전탑이나 각종 맨홀(전기, 통신, 전화 맨홀들)도 그 대상이다.

이들 시설물은 안보 위험도에 따라 ‘비공개’와 ‘공개 제한’으로 나눈다. 비공개는 그 존재를 아예 표시하지 않는 것이며, 공개 제한은 무언가가 있지만 삭제했다는 흔적을 남기는 방식이다.

이러한 조치가 국가 중요 시설물을 보호할 목적으로 취해진 것은 이해할 만하다. 문제는 과거와는 달리 새로운 정보 통신 환경이 조성되면서 이 같은 정책의 필요성이나 실효성에 변화가 생기고 있고, 점증하는 국민의 공간정보 서비스 수요와도 잘 맞지 않는 상황이 벌어진다는 점이다.

갑자기 사라지는 교도소

법무부가 운영하는 교도행정 종합 웹사이트인 ‘교정본부’에는 전국 교도소의 위치를 안내하는 지도가 게시되어 있다. 각 교도소에는 주소가 명기되어 있고, ‘오시는 길’이라는 버튼도 달려 있다. 버튼을 누르면 다시 해당 교도소를 안내하는 약도가 뜨고 버스 편 같은 정보가 나온다.

이렇게 오시는 길은 알려주고 있지만, 실제로 방문자가 가시는 길을 찾기는 쉽지 않다. 일상에서 길찾기나 위치 확인의 표준이 되다시피 한 네이버나 다음의 지도에서는 이 교도소들을 도무지 찾을 수 없기 때문이다. 이들 지도에서는 ‘OO교도소’를 넣어도 검색되지 않고, 교정본부 웹사이트에 나온 교도소 주소를 넣으면 없는 지역이라는 응답이 뜬다.

어찌어찌 하여 주변 지역을 찾아갔더라도, 거대한 시설물 중에서 어느 방향으로 접근해야 할지 알 수 없다. 진입로를 찾을 수 없기 때문이다. 거리뷰로 경로를 쫓다 보면 건물들은 갑자기 사라지고 대신 뿌연 물칠이 앞을 가로막는다. 정부 사이트에 ‘오시는 길’을 약도와 더불어 친절히 안내한 시설물이 지도에서는 아예 존재조차 하지 않는다.

보안관리규정에 따르면 대형 댐은 공개제한 대상이다. 발전소를 겸한 대표적인 대형 댐인 소양댐은 네이버와 다음의 지도에서 이러한 규정에 따라 보안 처리되어 있다. 거리 지도에는 아예 나오지 않았고, 위성사진에는 덧칠했다.

그러나 소양강댐 주변의 거리뷰를 따라가면 댐 시설물이 배경에 그대로 보이고, 댐 자체도 관광지로 조성되어 있어 관광버스들이 늘어선 모습을 보게 된다. 다시 말해 다양한 방법으로 확인할 수 있고 심지어 관광지가 되어 누구나 접근하여 사진을 찍을 수 있는 곳이 옛날식 규정에 따라 지도에서만 가려져 있는 것이다.

미국도 공개하는 미군 부대, 한국이 지켜준다

경기도 의정부에서 서울로 들어오는 경계지역에는 소규모 미군 부대가 주둔해 있다. 역시 한국 인터넷 지도에는 보안 처리되어서, 위성사진에도 나오지 않고 거리뷰는 뿌연 물칠이 되어 있다. 그러나 이 미군 부대 코앞으로 1호선 전철(도봉산~망월사 구간)이 지나간다. 전철은 지상보다 높은 위치에 설치되어 있어서, 차 안에서 미군 부대 영내가 훤히 다 들여다보인다. 매일 10만 명 이상의 사람들이 감상하며 지나는 곳이 지도에서만 가려져 있다.

한국을 포함한 해외의 미군기지는 미국 영토의 일부 간주되며, 이 미군기지도 마찬가지다. 말하자면 정작 미국 기업은 자기네 군대가 주둔한 자기네 영토의 모습을 아무런 규제없이 보여주는데(미국 본토의 군사기지도 마찬가지다), 제3자인 한국은 남의 나라 부대의 안전을 염려하여 삭제해주고 있는 셈이다.

18개의 비밀 골프장

구글의 지도 데이터 반출 신청을 놓고 정부가 하는 주장은, 이 지도 데이터를 (구글닷컴의 위성사진처럼) 보안 처리하지 않은 위성사진과 결합하면 주요 안보 시설에 대한 위협이 커진다는 것이다. 따라서 지도 데이터를 가져가려면 위성사진을 보안 처리해야 한다는 말이다.

이에 대해 구글은, 데이터와 위성사진을 합칠 필요도 없이 모니터 두 개를 놓고 지도를 비교해 보기만 해도 누구나 알아낼 수 있는 일을 놓고 위협이라고 하는 것은 어불성설이라고 주장한다. 한국 지도의 보안 처리 덕분에 새로운 취미를 발견한 사람들도 있다. 이들은 지도에서 사라진 주요 시설물들을 찾아보는 일을 게임에서 수행해야 할 퀘스트(임무)처럼 생각한다.

이런 일을 본격적으로 해본 사람도 있다. 독일인으로 한국에 와서 가르치는 막스 노이페르트 교수는 어느 날 흥미로운 사실을 발견했다. 자신이 사용하는 외국 지도와 한국의 웹 지도가 다르다는 것을 깨달은 것이다. 시각예술가이기도 한 그는 정말로 ‘모니터 두 개를 놓고’ 대한민국의 전국 지도를 이 잡듯이 뒤져 보았다. 그 결과 한국 지도에서 삭제되어 있는 많은 시설물을 확인할 수 있었다.

그중에서도 그의 눈길을 끈 것은 수십 개의 골프장이 한국 지도에는 모두 삭제된 점이었다. 바로 군부대 안에 있어 ‘군사시설’로 간주되는 골프장들이었다. 노이페르트 교수는 이러한 조사를 바탕으로 하여 [열여덟개의 은밀한 골프장]이라는 소책자를 펴내고 전시회도 열었다.

그가 이 문제에 흥미를 느낀 것은, 이것이 분명한 검열에 해당하기 때문이었다. 검열치고는 상당히 우스꽝스러운 것이었다. 아예 검게 처리한 것도 아니고, 주변 지형과 전혀 어울리지 않는 형태로 위장했기 때문이다. 골프장을 그대로 보여주는 다른 위성사진이 흔해빠진 세상에서 극구 이를 지우려 하는 모습도 우스꽝스러웠다. 노이페르트 교수는 자신의 홈페이지에 이렇게 썼다.

“검열되지 않은 이미지를 공짜로 쉽게 구할 수 있기 때문에, 이러한 지역을 검열한다는 것은 그 자체로 무의미한 것처럼 보인다. 한국 내 지도에서 이런 지역을 가리려는 노력은 아무런 실익이 없는 시지푸스의 행위 같은 것이다.”

이렇게 대중의 눈을 피한 곳에서 어떤 일이 벌어지는지는 이따금 보도에 흘러나오는 것으로 짐작할 수 있다. 군 골프장의 정식 명칭은 ‘체력 단련장’이다. 군사시설이고 그래서 지도에서도 가려져 있지만, 실제로 이곳에서 체력을 단련하는 사람은 대부분 군인이 아니다. 현역은 20%가 채 되지 않고, 그것도 대개 고위급이다. 나머지 80% 이상은 예비역이나 민간인들이다. 조금 과장하여 말하자면 특권층들이 쉽게 부킹하여 값싸게 골프를 칠 수 있는 곳이다. 그러면서도 안보를 명분으로 하여 대중의 시야로부터 철저히 차단한다.

민간에 떠넘긴 보안 작업

국내 지도나 위성사진에 이런 보안 처리를 하는 실무 주체는 정부 기관이 아니다. 다음, 네이버 같은 민간 업체가 규정을 참고하여 알아서 처리한 뒤 기관의 검사를 받는다. 정부가 해야 할 보안 업무를 민간에게 떠넘긴 것이다.

이들 업체는 다양한 방식으로 보안 처리를 수행하는데, 대개 ‘알바’ 형태의 인력을 고용하여 진행한다. 보안 처리 대상 시설은 1천 개 이상이고, 위성사진뿐 아니라 거리뷰 모습까지 하나하나 작업해야 한다. 엄청난 작업량을 비전문가들이 담당하다 보니 실수가 쉽게 벌어진다. 국내 지도들의 거리뷰 등을 보면, 규정에 따르면 명백히 가려야 할 곳이 가려지지 않은 곳들을 쉽게 찾을 수 있다.

그 반대도 있다. 가릴 필요가 없는데도 그냥 보안 처리를 해버리는 경우도 있다. 그편이 훨씬 안전하다. 가릴 곳을 못 가리면 문제가 되지만, 안 그래도 될 곳을 가렸다고 해서 심각한 문제가 되지는 않는다. 노이페르트 교수가 처음에 찾아낸 비밀 골프장은 60개 이상이었다. 전국에 존재하는 실제 군 골프장은 29개다. 착오가 생긴 것은, 지도 서비스 업체의 보안 처리 담당자들이 군부대와 인접해 있는 사설 골프장까지 모두 보안 처리했기 때문이다. 실효도 없는 보안 처리 규정 때문에 이용자의 정보 접근권이 얼마나 보호되지 못하는가를 잘 보여주는 사례다.

적성 국가와 맞붙어 있는 준전시 상태 국가에서 중요 시설들이 지도에 드러나지 않도록 처리하는 것은 꼭 필요한 일이라 볼 수 있다. 문제는 이러한 접근이 시대에 맞지 않게 지나치게 광범위하고 포괄적인 데다, 변화하는 정보 환경을 제대로 반영하지 못한다는 점이다. 실효성도 없이 규제의 짐만 되는 신세로 전락한 셈이다.

공간정보에 대한 개인과 기업의 요구가 커지고 이동성이 대폭 확장된 오늘날, 대중 노출을 차단하고 보호하여야 시설은 최소한으로 국한되어야 한다. 꼭 필요한 시설물을 보호할 때, 보호 조치는 의미가 있다. 정부는 케케묵은 목록을 민간 업체에 던져주고 손 놓고 있을 게 아니라, 변화한 상황을 반영하여 보호 대상 시설물을 재정의하고 실질적인 보호조치를 마련해야 한다.

민간 업체들도 상황 개선에 얼마나 노력을 기울였는지 자문해 봐야 할 일이다. 과도한 정부 지침을 그대로 이행하기만 하는 데 바쁘지 않았는지, 자신의 서비스를 이용하는 소비자 입장에서 문제를 바라본 적은 있는지를 돌아볼 수 있을 것이다. 불합리하거나 무리한 규제를 별다른 문제의식 없이 그대로 수용하면서 서비스 품질을 떨어뜨릴 때, 그런 일을 하지 않는 경쟁자를 어떻게 감당할 수 있을까도 고민해볼 일이다.

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.08.16.)