지난 19대에 발의되었던 전자서명법 개정안 주요내용입니다.

공인인증서 문제의 완전한 해결을 위해 20대 국회에 재발의 요청할 예정입니다.

http://pokr.kr/bill/1905145

제안이유

현행법은 ‘전자서명’과 ‘공인전자서명’을 차별적으로 규정하면서, 공인전자서명의 경우에는 당사자간에 그것을 사용할지 여부에 관한 합의가 없더라도 육필 서명 등과 같은 법적 효력을 부여하고 있으나 전자거래는 당사자 간의 자유로운 의사에 기반하는 것이므로 계약 등 거래 당사자들이 전자서명을 사용할지 말지를 자유롭게 결정하는 것이 바람직함. 일방은 전자서명을 사용하기를 원하지 않는데, 타방이 일방적으로 전자서명을 강요하는 상황은 계약 자유의 대원칙에 어긋나고, 거래당사자들이 그 거래를 위하여 적절한 인증 방법을 상호 결정하는 것을 보장하는 한미 FTA (대한민국과 미합중국 간의 자유무역협정) 제15.4조와도 조화되기 어려움.
또한 공개키 기반구조(Public Key Infrastructure)에 기반한 공인인증 제도는 전세계적으로 형성된 신뢰 체계와 분리되어 국가 단위로 운용될 경우 인터넷상에서 작동할 수 없을 뿐 아니라, 그러한 국지적 인증제도는 한국의 인터넷 환경 전체를 고립시키고, 국내 IT 산업의 세계 시장 진출 및 국제경쟁력 확보에 부담으로 작용할 위험을 안고 있음.
따라서 당사자가 그들의 거래에 전자서명을 사용하기로 자발적으로 합의할 경우 그 합의를 존중하면 충분하며 공인전자서명을 전자서명과 구별하여 별도로 규정할 필요는 없음. 아울러 국내 인증기관들의 국제 시장 진출 및 국제 경쟁력 확보를 위해서는 그 업무 수행의 기술적·관리적 측면을 국내뿐 아니라 국외에서도 인정받을 수 있는 방식으로 ‘공인인증제도’를 개선·보완할 필요가 있음.

주요내용

가. 전자서명은 당사자 간의 합의에 기하여 사용될 수 있음을 규정하고 ‘전자서명’과 ‘공인전자서명’을 구별하지 않음(안 제3조).
나. 정부가 국내에서만 인정받는 ‘공인인증기관’을 지정하는 현행 제도를 개선하여 국내의 인증기관들이 국제시장으로 진출하고 국제적으로 그 신뢰성을 인정받을 수 있도록 하는 기반을 마련함(안 제4조).
다. 미래창조과학부장관이 정하는 인증업무수행기준을 충족하는 인증기관은 차별 없이 인증서비스 시장에서 경쟁할 수 있도록 보장함(안 제4조제3항).

“공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증

- ‘NH농협’, ‘아시아나 항공’ 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문

2015년 12월 개정되어 올해 6월 2일부터 시행중인 “개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)”은 ISMS 인증 의무 대상을 의료기관, 학교 등 비영리기관으로 확대하고 과태료 규정을 강화했다. 하지만 ISMS 인증은 전자금융거래법 개정으로 폐지된 공인인증서 강제 사례처럼 정부가 인증한다는 “공인”이라는 꼬리표를 달고 있어 이른바 관치 보안의 폐해를 반복할 우려가 크다. 공인인증서 사용 강제의 폐해를 반면교사로 삼아 정부가 주도하여 인증 자체에 직접 관여하는 정책을 전면 수정해야 한다.

2001년 도입되어 2013년 의무화된 정보보호 관리체계(ISMS, Information Security Management System) 인증 제도는 기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도로서 한국인터넷진흥원(KISA)이 관리하고 있다. 그동안은 정보통신망서비스 제공사업자(ISP), 집적정보통신시설 사업자(IDC), 그리고 정보통신서비스 제공자 등 주로ICT 기업 중에서 일정 규모(전년도 매출액 100억원 이상 또는 3개월간 일일평균 이용자 수 100만명 이상) 이상의 기업이 의무 대상이었는데, 작년 12월 정보통신망법 개정으로 세입이 1,500억 이상인 의료법상 상급종합병원 및 고등교육법상 재학생수 1만명 이상인 학교로 ISMS 인증 의무 대상이 확대된 것이다. 또한 의무 대상자 중 미인증 사업자에 대한 과태료도 현행 1000만원에서 3000만원으로 상향되었다.

관치 보안의 문제는 이미 오픈넷이 오랫동안 비판해 온 공인인증서 사례에서 여실히 드러났다. 즉, 정부가 “공인”한다는 정부 주도 인증 문제의 핵심은 민간 전문가들이 주도하는 기술이나 인증 제도의 발전을 저해한다는 점이고, 이는 실제 인증되는 내용이나 실질과 무관하게 국가가 인증한다는 취지의 “공인”이라는 어휘 자체에서 그대로 드러난다.

우선 정부가 고도의 전문성이 요구되는 ISMS 인증 제도를 제대로 운영할 수 있는지부터 의문이다. 실제로 2014년 국정감사에서 ISMS 인증을 받은 254개의 기업 중 정보유출 사고가 무려 30개 기업에서 발생하였다는 점이 드러난 바 있고, 여기에는 사회적 파장이 큰 NH농협이나 KT 등 개인정보나 개인신용정보가 다수 집적된 기업이 포함되어 있다. 불과 며칠 전에는 ISMS 인증을 받은 아시아나 항공의 웹사이트에서 이용자들의 개인정보가 무방비로 노출될 수 있는 시스템 오류가 발견되기도 했다. 날로 발전하는 정보통신 환경에서 정보보호체계 내지 보안시스템의 구축은 그 어느 때보다도 중요하지만, ISMS 인증처럼 정부가 최종 인증 권한 자체를 보유하고 운용하는 제도는 부작용이 훨씬 크다. 급변하는 보안 시장과 하루가 다르게 발전하는 기술을 정부와 보수적인 규제가 따라가거나 앞서가기를 바랄 수 없기 때문이다.

한편 금융사가 이용자에게 공인인증서 등의 사용을 강제한 경우 금융사고 발생시 금융사 면책을 용이하게 하는 문제가 있었다. 이와 같이 ISMS 인증을 받았음에도 보안 사고가 발생한 경우, 반대로 정부의 “공인”된 인증을 받았다는 사실만으로 쉽게 면책을 받게 된다면 그 피해가 고스란히 이용자에게 전가될 우려가 있다. 또한 공인인증서 커넥션 처럼 ISMS인증이 ”공인” 인증 체제를 유지하는 이상 담당 부처와 심사기관을 중심으로 하는 카르텔이 형성되어 제도를 더욱 공고히 할 우려도 지우기 어렵다.

이처럼 정부가 최종 인증 권한을 보유하고 내용 심사를 주도하는 이른바 “공인” 인증의 강제는 우리나라에만 존재하는 갈라파고스 규제로, 스타트업이나 중소기업에게는 진입장벽이 될 뿐만 아니라 국내 기업에게만 이중, 삼중의 부담을 안겨 역차별을 초래한다. 미국, 캐나다 등 IT 선진국 중에 국가가 주도하여 보안 인증을 강제하는 나라는 찾기 어려우며, 이들 국가에서는 민간 전문가들이 참여하여 국제적으로 공신력을 획득한 ISO 27001, PCI-DSS 등의 인증을 이용한다. 물론 현 정보통신망법에서 ‘국제표준 정보보호 인증’, 즉 ISO 27001을 받은 경우에는 인증 심사의 “일부”를 생략할 수 있다고 하여 부담을 덜어준 것 같아 보이나, ISMS 인증의 대체를 인정한 게 아니기 때문에 결과적으론 달라진 게 없다. 정부가 주도하는 ISMS 인증이 ISO 27001 보다 특별히 더 우수하다는 점도 밝혀진 바 없으며, 오히려 인증의 품질에 대해 지적하는 목소리도 있다.

더욱이 ISMS 인증은 통상 준비부터 인증까지 약 6개월 이상이 소요되고, 인증 신청을 위해서도 최소 2개월 이상의 운영 기간이 필요하다. 게다가 ISMS 인증 비용만으로도 최소 수천만원에서 수억원이 들어간다. 그런데 해외진출을 꿈꾸는 ICT 기업들은 국내에서만 인정되는 ISMS 인증 보다는 국제적인 보안 인증을 선호할 수밖에 없고, 결국 중복적으로 인증을 받아야 하는 것이 현실이다.

정부 주도의 “공인” 인증 강박의 추억은 공인인증서 사례에서 이미 충분히 경험하지 않았는가? 정부는 인증 권한을 민간 전문가에게 양보하고 사후적 관리자의 역할만 수행하는 민간 주도의 보안 인증 제도로의 개선을 촉구한다.

2016년 7월 19일

사단법인 오픈넷

 * 관련 논평: 개정 전자금융거래법 국회 본회의 통과를 환영하며 금융당국의 기술중립, 사후규제 원칙 구현을 촉구한다.

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

구글 지도 반출, 21세기식 접근이 필요하다

글 | 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. → 구글 지도 반출, 21세기식 접근이 필요하다
2. 보안 처리: 구시대적 지도 검열

지난 6월 초 구글이 한국 지도 반출을 재신청하면서 비롯된 논란이 좀처럼 수그러들지 않는다. 정부나 구글, 국내 업체 등 이해 당사자들이 내놓는 주장이 뒤섞이며 사실관계조차 헷갈리고, 정보통신 서비스 영역을 넘어 안보나 국가 자존심까지 입길에 오르고 있다.

7월에 세계를 급속히 달군 포켓몬 고 열풍도 이러한 논란에 부채질했다. 한국이 게임 서비스 지역에서 제외된 것이 구글 지도로 뒷받침되지 않기 때문이라는 주장이 제기되었기 때문이다.

좀 더 냉정한 시각으로 바라보면 이 문제에는 몇 가지 이슈가 꼬여 있음을 알 수 있다. 이렇게 꼬인 데에는 이유가 있지만, 여하튼 이런 가닥을 차근차근 분리하고 우리가 이미 알고 있는 원칙들을 적용한다면 문제는 의외로 쉽게 풀릴 수도 있다.

다음에 실릴 글과 함께 두 차례에 걸쳐 한국 지도 정보의 국외 반출 문제, 그리고 그보다 더 근본적인 문제를 차례로 짚어 본다.

한국에서 지도 쓰기를 포기하는 외국인들

지난 5월 19일, 오픈넷이 주최한 포럼 ‘시각장애인을 위한 저작권 혁신 조약’에서 발제를 할 사람은 미국 메인 대학교 법학교수인 다니엘 콘웨이(Danielle Conway, 사진) 박사였다. 그녀는 아주 오래전에 한국을 한 번 다녀간 적이 있을 뿐이다. 당연히 서울 지리에 깜깜하다.

숙소인 서울대 교수회관에서 포럼이 열리는 선릉역 부근 행사장까지 오는 길을 알려주어야 했다. 어떤 교통편을 이용해 올지 몰라서, 일단 지도부터 보냈다. 한국인이 흔히 쓰는 네이버나 다음 지도는 그녀에게는 무용지물이다. 영어로 표기되지 않기 때문이다. 그래서 구글 지도로 이미지를 떠서 이메일로 보냈다.

콘웨이 박사는 택시를 타고 왔다. 목적지를 못 찾아서 선릉역 부근을 뱅뱅 돌던 기사가 결국 내게 전화를 했다. 행사는 이미 시작되었고, 발제자가 40분도 더 늦는 바람에 토론자가 먼저 마이크를 잡는 일이 벌어졌다. 택시요금은 정상보다 세 배 가량 더 나왔다. 콘웨이 박사는 이렇게 요금이 비정상적으로 나왔다는 사실을 알지 못했을 것이다. 구글 지도에는 택시를 이용한 경로 서비스가 되지 않기 때문이다.

지도 서비스에 관한 한, 외국인에게 한국은 남미 원시림이나 다름없다. 8월부터 오픈넷에서 인턴쉽을 하는 미국 대학생 댄 베이티코는 서울에서 지도 쓰기를 아예 포기했다. 그가 한국을 오기 전에 거쳐왔던 대만, 네팔, 베트남에서는 겪지 않았던 일이었다.

물론 이것은 두 가지 이유로 그렇다. 국내 업체의 지도는 영어 서비스를 하지 않고, 다양한 언어 지원을 해서 국제 표준이 되다시피 한 구글 지도는 국내에서 제대로 작동하지 않기 때문이다.

그저 일부 외국인이 한국에서 길을 찾는 문제라면 그리 심각한 일이 아니라고 볼 수도 있을 것이다. 외국인이야 헤매든 말든 우리는 우리식대로 살면 된다고 할 수도 있다. 그러나 기초 지도 서비스를 근간으로 한 각종 부가 서비스 역시 제대로 이루어지지 못하고, 같은 태반에서 태어날 다양한 미래의 서비스들도 근본적으로 잉태될 수 없다는 점은 외국인이 아닌 한국인에게 문제가 아닐 수 없다.

국가 안보 위협하는 지도 반출 안 된다?

구글이 지도 반출을 신청한 것은 이런 사정 때문이다. 자사 서비스를 제대로 갖추기 위해서, 그리고 구글의 주장에 따르면 이를 기반으로 하여 개별 기업들이 다양한 서비스를 꽃피우도록 하는 플랫폼을 만들기 위해서 지도 정보를 내갈 필요가 있다는 것이다.

이 문제가 꼬이기 시작한 것은 단순하면서도 다분히 의도된 오해 때문이다. 즉 구글의 지도 반출에 반대하는 측이 이 문제를 국가 안보 이슈로 틀 지어버린 것이다. 이들은 ‘구글이 한국의 안보 특수성을 무시하고 보안시설이 다 드러난 지도를 국외로 가져가려 한다’고 주장한다.

그러나 이런 주장은 사실과 상당한 거리가 있다. 이와 관련한 사실관계를 정리해 보면 쉽게 알 수 있다.

1. 구글은 현재 한국 지도를 극히 제한적으로 서비스하고 있다.
2. 이 지도는 SK플래닛(모회사는 SK텔레콤)이 소유한 것이며, 구글은 비용을 지불하고 이 지도를 사용하고 있다.
3. 즉, 구글은 자체로 한국 지도를 돌리는 게 아니라 SK플래닛에서 돌아가는 지도를 보여주기만 한다.
4. SK플래닛 지도는 다음 지도나 네이버 지도와 마찬가지로 정부 규정에 따라 보안 처리된 지도다.
5. 구글이 지도를 반출하겠다는 의미는, 이 SK플래닛 지도 데이터를 해외의 서버에서도 쓸 수 있게 해달라는 말이다.

따라서, 구글이 보안 처리되지 않고 속속들이 다 보이는 지도 데이터를 외국으로 가져가려 한다는 주장은 사실이 아니다. 가져가려는 지도는 네이버나 다음의 지도와 마찬가지로 보안 처리된 데이터다. 보안의 측면에서만 보자면 당장에라도 반출을 허용하지 않을 이유가 없는 것이다.

법을 위반하는 일도 아니다. 한국 법은 지도 정보 반출을 금하고 있지만, 예외적으로 허용할 길을 열어두고 있다. 그 결정을 위해 정부 부처 간 협의체(‘공간정보 국외반출 협의체’)까지 구성할 수 있도록 했다. 따라서 필요성이 인정된다면 협의체가 반출 허용 결정을 내리기만 하면 된다. 물론 필요성이 없다면 불허 결정을 내릴 수도 있을 것이다. 이것은 지도 반출로 얻거나 잃을 이익을 따져 내릴 정책적 판단이다.

안보를 걸고넘어지는 주장은 모두 이러한 사실을 모르거나 아니면 일부러 무시한다고 보면 된다. 안보 때문에 안 된다고 주장하는 측은 예컨대 다음과 같은 기사에서 동력을 얻는다.

“정부는 지도데이터에서 중요 안보시설을 삭제할 것을 반출조건으로 내걸고 있고 구글은 이에 강력히 반대하기 때문이다.”

-연합뉴스, 국토부 “지도반출 불허해 포켓몬 고 불가능한 것 아니다” (2016. 7. 14) 중에서

이런 서술은, 구글이 안보시설이 속속들이 표시된 지도를 가져가려고 한다는 오해를 조장한다.

위성사진에서 뺨 맞고 지도에 화풀이

오해든 착각이든, 안보 문제가 있으므로 지도 반출을 허용해서는 안 된다는 주장이 나오고, 반출 허용 여부를 결정해야 할 정부가 그런 여론을 느긋하게 즐기고 있는 데에는 이유가 있다. 반출 대상이 되는 지도와 직접 관련이 없는 위성사진 때문이다.

많은 사람이 알듯 구글의 위성사진은 한국 정부가 가리고 싶어 하는 시설을 속속들이 보여준다. 정부에서 볼 때, 외국 기업이라 손을 쓸 수 없어 하릴없이 두고 보기는 하지만 눈엣가시 같은 일이 아닐 수 없다.

반출 대상 지도 데이터와 직접 관련이 없는 구글의 위성사진과 관련한 사실관계도 정리해 보자.

1. 구글 지도에 나오는 한국의 위성사진은 .co.kr 버전과 .com 버전이 있다.
2. 한국 주소인 .co.kr로 보이는 위성 이미지는 해상도가 낮아 희미하게 보인다.
3. 이것은 구글이 한국 법규를 따르려고 일부러 해상도를 떨어뜨린 결과다.
4. 한편 한국법이 적용되지 않는 외국 주소인 .com으로는 선명한 이미지가 보인다.

한국 웹주소와 해외 웹주소를 다르게 하여, 해외 주소로 접속하면 다 볼 수 있게 한 것은 눈 가리고 아웅한 것으로 볼 수도 있다. 그러나 거꾸로 보자면, 한국에서는 법이 그렇게 강제하니까 울며 겨자 먹기로 그렇게 한 것으로 볼 수도 있다. 어떤 시각에서 보느냐의 차이다.

어쨌든 구글 국내 위성사진에는 흐릿하게 나오는 주요 시설물들이 .com 사진에는 선명하게 다 보인다. 이것을 ‘해결’하는 것은 정부의 숙원 사업이다. (이것이 의미 없는 일이라는 것은 밑에서 다시 자세히 쓴다.) 따라서 구글이 지도 반출을 신청하고 이에 대해 여론이 안보를 이유로 부정적으로 형성되는 것은 정부에게 반가운 상황이다. (반출 대상 지도가 아닌) 위성사진을 손보도록 요구하는 계기로 활용할 수 있기 때문이다.

8월 말까지 응답을 내놔야 하는 정부가 가장 선호할 만한 해결 방식은, 구글에 기왕의 SK플래닛 지도 데이터 반출을 허용하는 대신, 그 조건으로 구글 위성사진(.com)을 국내 업체의 사진처럼 보안 처리하도록 요구하는 것이다. 정부로서는 이미 쓰고 있는 지도 반출을 허용해 주면서 숙원 사업이던 위성사진 물칠을 성사시킬 수 있는 빅딜이다. 일부에서 주장하는 것처럼 구글에게 이례적으로 서버를 자국 안에 들여오도록 강제함으로써 국제 사회에 권위주의 국가의 인상을 또 하나 더하는 것보다 훨씬 이득이 되는 방안이기도 하다.

문제는 구글이 이런 제안을 받을 것이냐이다. 쉽지 않은 일일 것이다. 구글코리아는 그 이유로 세 가지를 든다. 첫째, 한국의 지형을 그대로 다 보여주는 외국 위성사진이 널린 마당에 구글만 지우라고 하는 것은 아무런 실효성이 없는 요구다. 둘째, 이용자에게 정보를 제공하는 외국 기업의 서비스에 검열을 가하는 것이다. 셋째, 구글은 위성사진에 스스로 보안 처리한 적이 없다.

특히 첫 번째 이유가 시사적이다. 정부는 구글의 위성사진을 보안 처리하는 것에 심혈을 기울이고 있지만, 한국을 다 보여주는 위성사진은 구글 말고도 널려 있다. 어찌어찌 하여 구글 사진을 물칠하도록 하는 데 성공한다 하더라도 악의 없는 이용자의 시각만 가로막을 뿐, 실제로 악의를 가진 사람에게는 아무런 의미도 없는 것이다.

아래 사진들은 네이버, 다음 같은 한국 지도 서비스들과, 접속하는 데 몇 초밖에 걸리지 않는 외국 지도 서비스들의 위성사진을 통해 본 경복궁과 청와대 모습이다.

이뿐만 아니다. 온라인으로 무료 서비스되는 이들 위성사진 말고도, 사진을 상업적으로 파는 많은 위성사진 업체가 있다. Esri.com, digitalglobe.com 등이 그중 일부다. 이 업체들은 누구든 돈만 내면 무료 위성사진보다 훨씬 더 높은 해상도의 사진을 제공한다.

국제적으로 이용되는 이들 지도 서비스를 열면, 한국인만 못 보고 있는 장면들이 크고 아름답게 나타난다. 구글의 위성사진을 지우려 하는 정부 노력은, 이 모든 지도들도 막아낼 수 있다는 전제가 있어야만 의미가 있다.

결국, 정부는 다국적 기업을 상대로 하여 안보의 깃발을 높이 들고 애국적 싸움에 나선 것 같은 자세를 취하고 있지만, 실제로는 안보 실익이 전혀 없는 싸움을 벌이고 있는 셈이다. 이것이 지도 반출 문제와 관련이 없다는 것은 덤이다.

한국에 서버를 설치하라?

앞서 잠깐 언급했지만, 지도 반출 논란에 대한 한 가지 처방은 구글이 서버를 한국에 설치하면 된다는 것이다. 이것이 얼핏 해결책처럼 보이는 것은 사실이다. 구글이 SK플래닛 지도 데이터를 한국에 있는 서버에서만 돌린다면 반출 논란은 당연히 필요 없게 된다.

그러나 이게 말처럼 쉽지 않다는 데 문제가 있다. 구글은 전 세계 지도 데이터를 현재 15개 국가에 산재하는 데이터 센터에 분산 배치하고 클라우드 기반으로 운영하고 있다. 어떤 한 나라의 데이터를 돌리기 위해 그 나라에 서버를 설치한 일은 한 번도 없다. 이렇게 지역에 데이터를 묶어버리면 안정성 유지에도 문제가 생길 수 있다.

현실적으로 가능하지 않은 일을 하라고 요구하는 것은 억지다. 국내의 시각만 가진 정부나 업체들은 이해하기 어려운 일일지도 모른다. 그러나 일취월장하여 언젠가 국경을 넘어 세계로 진출해야 할 국내 기업이 겪어야 할 일일 수도 있다.

게다가 국내에 서버를 설치하라는 것은 정보의 국경 없는 자유로운 흐름이라는 인터넷의 대원칙에도 어긋난다. 데이터를 수집된 국가 안에 묶어두려는 이른바 데이터 국지화의 경제적 문제점을 새삼 지적할 필요는 없을 것이다.

구글이 한국에 서버를 두기를 꺼리는 또 하나의 이유를 짐작할 수 있는 사례가 있다. 2011~12년에 구글은 아시아 지역 세 곳에 대형 서버를 구축하기로 하고 지역을 물색했다. 세계 최대 검색 엔진의 거대한 서버 시설을 유치하는 데서 올 경제 효과를 염두에 두고 한국도 열심히 유치 운동을 했다. 그러나 구글 서버는 대만, 싱가포르, 홍콩으로 갔다.

한국이 제외된 데에는 정치적인 이유가 있는 것으로 풀이됐다. 2011년 5월 한국 경찰은 모바일 광고의 위치정보 수집 사건을 수사하면서 구글코리아와 다음커뮤니케이션을 압수수색했다. 그뿐만 아니라 수사 당국이 영장 없이도 이동통신사를 찔러서 이용자 정보를 마음껏 캐내 가는 나라가 한국이다. 구글 서버도 마음만 먹으면 얼마든지 뒤질 수 있을 것이다. 이런 나라에 서버를 두고 싶어 하는 인터넷 기업은 별로 없을 것이다.

세금 받고 싶으면 법규부터 고쳐라

여기서 지도 반출 이슈와 상관없는 또 하나의 애국 프레임이 등장한다. 구글이 한국에 세금을 내지 않고 부도덕하게 사업을 하고 있다는 것이다. ‘불법’이라는 말을 쓰지는 않지만, 그 어조는 사악하고 패륜적인 반국가단체를 나무라는 양상이다.

이런 주장은 구글이 한국에서 돈 한 푼 내지 않고 사업을 하는 것 같은 오해를 불러일으킨다. 한국에서 활동하는 구글코리아는 물론 세금을 낸다. 구글이 한국에서 창출한 수익 전체에 대해 적절한 세금을 내고 있는가는 논란의 여지가 있다. 그러나 구글은 현재 한국법과 국제 규정이 정하고 허용한 바에 따라 기업을 운영하고 있을 뿐이다.

문제가 있다면 구글이 아니라 법규다. 구글이 창출하는 이윤에 대해 세금을 제대로 물리고 싶다면, 그렇게 하도록 법을 제·개정하고 규정을 정비하면 된다. 세법을 개정하면 얼마든지 가능하다는 의견이 있고, 이미 그렇게 하는 나라들도 있다. 경제협력개발기구(OECD) 차원에서 그런 방안을 모색하고 있기도 하다. 그런 일은 하지 않으면서 기업을 나무라는 것은 아무런 의미도 없고 해결책도 될 수 없다.

구글이 세계적 강자이기는 하지만, 구글 지도 서비스가 한국에 개시된다고 해서 한국인이 바로 구글 대마왕에 종속되리란 보장은 없다. 구글이 한국어 검색 서비스를 시작한 지 15년 이상 지났지만, 한국에서는 여전히 네이버가 지배적인 지위를 유지하고 있다. 구글을 쓰는 사람이 늘어간다면, 이것은 어떠한 이유에서든 구글의 서비스에 만족하는 사람이 는다는 뜻일 뿐이다. 다른 기업 역시 그런 만족을 주기 위해 노력하는 것이 올바른 접근일 것이다.

정부는 곧 구글의 지도 반출 신청에 대한 응답을 내놓아야 한다. 지도 반출과 직접 관련이 없는 안보나 준탈세 프레임에 휩쓸리기보다, 지도 데이터 개방이 이용자와 한국 경제의 미래를 위해 실제로 어떤 효용이나 불이익을 가져올까를 꼼꼼히 따져보는 것이 좀 더 생산적인 접근일 것이다.

국경에 구애받지 않는 온라인 기업들의 규모가 막대하게 커지고 있다. 온라인과 오프라인을 결합하며 새로운 형태의 사업 모델을 구축하여 실물 경제의 주역으로 부상하는 기업들도 있다. 이러한 상황은 우리 사회가 기업과 관계 맺고 살아가는 방식을 새로이 검토해야 할 필요를 제기한다. 안보 필요에서부터 납세의 의무까지, 명분과 구호만으로 성취할 수 있는 일은 더 이상 많지 않다. 정보의 자유로운 흐름을 기반으로 형성된 온라인 세상을 살기 위한 21세기 패러다임을 고민해야 할 때다.

* 위 글은 슬로우뉴스에 동시 게재하였습니다. (2016.08.16.)

보안 처리: 구시대적 지도 검열

글| 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. 구글 지도 반출, 21세기식 접근이 필요하다
2. → 보안 처리: 구시대적 지도 검열

이미 알려진 대로 한국 지도 데이터를 국외 서버에 저장하겠다는 구글의 신청은 국가 안보를 이유로 하여 허락되지 않고 있다. 정확히 말하면, 정부는 일정한 시설물을 지도나 위성사진에 공개하지 않는 방침을 갖고 이에 따라 지도를 제작 및 공개하고 있으나, 미국 기업인 구글이 이를 수용하지 않기 때문이다.

이 글에서는 한국의 지도에서 은폐되는 시설물과 보안 처리에 대해 살펴보자.

현재 한국에서 서비스되는 온라인 지도는 규정에 따라 일정한 시설물을 표시하지 않거나 위장, ‘물칠’(블러링) 등의 형태로 가려야 한다. 이것은 공간정보법 제35조와 그에 따른 보안관리규정이 일정한 지도 정보를 비공개하도록 요구하고 있기 때문이다. 이 법규들에 따르면 공간정보를 관리하는 기관(국토교통부 산하 국토지리정보원)은 국가정보원과 협의하여, 공개가 제한되는 정보의 접근이나 유출을 막는 조치(보안 처리)를 시행하여야 한다.

구체적으로 어떤 시설물이 보안 처리가 되는지는 3급 기밀 사항이다. 그러나 보안관리규정의 공간정보 분류기준표와 실제 지도를 참고하면 대략적인 기준을 알 수 있다. 청와대나 국가정보원 같은 특수 정부 기관, 군부대 등 군사 시설, 휴전선 일대, 교도소, 발전소, 변전소, 댐, 송유관 같은 것들이 포함되어 있으며, 송전탑이나 각종 맨홀(전기, 통신, 전화 맨홀들)도 그 대상이다.

이들 시설물은 안보 위험도에 따라 ‘비공개’와 ‘공개 제한’으로 나눈다. 비공개는 그 존재를 아예 표시하지 않는 것이며, 공개 제한은 무언가가 있지만 삭제했다는 흔적을 남기는 방식이다.

이러한 조치가 국가 중요 시설물을 보호할 목적으로 취해진 것은 이해할 만하다. 문제는 과거와는 달리 새로운 정보 통신 환경이 조성되면서 이 같은 정책의 필요성이나 실효성에 변화가 생기고 있고, 점증하는 국민의 공간정보 서비스 수요와도 잘 맞지 않는 상황이 벌어진다는 점이다.

갑자기 사라지는 교도소

법무부가 운영하는 교도행정 종합 웹사이트인 ‘교정본부’에는 전국 교도소의 위치를 안내하는 지도가 게시되어 있다. 각 교도소에는 주소가 명기되어 있고, ‘오시는 길’이라는 버튼도 달려 있다. 버튼을 누르면 다시 해당 교도소를 안내하는 약도가 뜨고 버스 편 같은 정보가 나온다.

이렇게 오시는 길은 알려주고 있지만, 실제로 방문자가 가시는 길을 찾기는 쉽지 않다. 일상에서 길찾기나 위치 확인의 표준이 되다시피 한 네이버나 다음의 지도에서는 이 교도소들을 도무지 찾을 수 없기 때문이다. 이들 지도에서는 ‘OO교도소’를 넣어도 검색되지 않고, 교정본부 웹사이트에 나온 교도소 주소를 넣으면 없는 지역이라는 응답이 뜬다.

어찌어찌 하여 주변 지역을 찾아갔더라도, 거대한 시설물 중에서 어느 방향으로 접근해야 할지 알 수 없다. 진입로를 찾을 수 없기 때문이다. 거리뷰로 경로를 쫓다 보면 건물들은 갑자기 사라지고 대신 뿌연 물칠이 앞을 가로막는다. 정부 사이트에 ‘오시는 길’을 약도와 더불어 친절히 안내한 시설물이 지도에서는 아예 존재조차 하지 않는다.

보안관리규정에 따르면 대형 댐은 공개제한 대상이다. 발전소를 겸한 대표적인 대형 댐인 소양댐은 네이버와 다음의 지도에서 이러한 규정에 따라 보안 처리되어 있다. 거리 지도에는 아예 나오지 않았고, 위성사진에는 덧칠했다.

그러나 소양강댐 주변의 거리뷰를 따라가면 댐 시설물이 배경에 그대로 보이고, 댐 자체도 관광지로 조성되어 있어 관광버스들이 늘어선 모습을 보게 된다. 다시 말해 다양한 방법으로 확인할 수 있고 심지어 관광지가 되어 누구나 접근하여 사진을 찍을 수 있는 곳이 옛날식 규정에 따라 지도에서만 가려져 있는 것이다.

미국도 공개하는 미군 부대, 한국이 지켜준다

경기도 의정부에서 서울로 들어오는 경계지역에는 소규모 미군 부대가 주둔해 있다. 역시 한국 인터넷 지도에는 보안 처리되어서, 위성사진에도 나오지 않고 거리뷰는 뿌연 물칠이 되어 있다. 그러나 이 미군 부대 코앞으로 1호선 전철(도봉산~망월사 구간)이 지나간다. 전철은 지상보다 높은 위치에 설치되어 있어서, 차 안에서 미군 부대 영내가 훤히 다 들여다보인다. 매일 10만 명 이상의 사람들이 감상하며 지나는 곳이 지도에서만 가려져 있다.

한국을 포함한 해외의 미군기지는 미국 영토의 일부 간주되며, 이 미군기지도 마찬가지다. 말하자면 정작 미국 기업은 자기네 군대가 주둔한 자기네 영토의 모습을 아무런 규제없이 보여주는데(미국 본토의 군사기지도 마찬가지다), 제3자인 한국은 남의 나라 부대의 안전을 염려하여 삭제해주고 있는 셈이다.

18개의 비밀 골프장

구글의 지도 데이터 반출 신청을 놓고 정부가 하는 주장은, 이 지도 데이터를 (구글닷컴의 위성사진처럼) 보안 처리하지 않은 위성사진과 결합하면 주요 안보 시설에 대한 위협이 커진다는 것이다. 따라서 지도 데이터를 가져가려면 위성사진을 보안 처리해야 한다는 말이다.

이에 대해 구글은, 데이터와 위성사진을 합칠 필요도 없이 모니터 두 개를 놓고 지도를 비교해 보기만 해도 누구나 알아낼 수 있는 일을 놓고 위협이라고 하는 것은 어불성설이라고 주장한다. 한국 지도의 보안 처리 덕분에 새로운 취미를 발견한 사람들도 있다. 이들은 지도에서 사라진 주요 시설물들을 찾아보는 일을 게임에서 수행해야 할 퀘스트(임무)처럼 생각한다.

이런 일을 본격적으로 해본 사람도 있다. 독일인으로 한국에 와서 가르치는 막스 노이페르트 교수는 어느 날 흥미로운 사실을 발견했다. 자신이 사용하는 외국 지도와 한국의 웹 지도가 다르다는 것을 깨달은 것이다. 시각예술가이기도 한 그는 정말로 ‘모니터 두 개를 놓고’ 대한민국의 전국 지도를 이 잡듯이 뒤져 보았다. 그 결과 한국 지도에서 삭제되어 있는 많은 시설물을 확인할 수 있었다.

그중에서도 그의 눈길을 끈 것은 수십 개의 골프장이 한국 지도에는 모두 삭제된 점이었다. 바로 군부대 안에 있어 ‘군사시설’로 간주되는 골프장들이었다. 노이페르트 교수는 이러한 조사를 바탕으로 하여 [열여덟개의 은밀한 골프장]이라는 소책자를 펴내고 전시회도 열었다.

그가 이 문제에 흥미를 느낀 것은, 이것이 분명한 검열에 해당하기 때문이었다. 검열치고는 상당히 우스꽝스러운 것이었다. 아예 검게 처리한 것도 아니고, 주변 지형과 전혀 어울리지 않는 형태로 위장했기 때문이다. 골프장을 그대로 보여주는 다른 위성사진이 흔해빠진 세상에서 극구 이를 지우려 하는 모습도 우스꽝스러웠다. 노이페르트 교수는 자신의 홈페이지에 이렇게 썼다.

“검열되지 않은 이미지를 공짜로 쉽게 구할 수 있기 때문에, 이러한 지역을 검열한다는 것은 그 자체로 무의미한 것처럼 보인다. 한국 내 지도에서 이런 지역을 가리려는 노력은 아무런 실익이 없는 시지푸스의 행위 같은 것이다.”

이렇게 대중의 눈을 피한 곳에서 어떤 일이 벌어지는지는 이따금 보도에 흘러나오는 것으로 짐작할 수 있다. 군 골프장의 정식 명칭은 ‘체력 단련장’이다. 군사시설이고 그래서 지도에서도 가려져 있지만, 실제로 이곳에서 체력을 단련하는 사람은 대부분 군인이 아니다. 현역은 20%가 채 되지 않고, 그것도 대개 고위급이다. 나머지 80% 이상은 예비역이나 민간인들이다. 조금 과장하여 말하자면 특권층들이 쉽게 부킹하여 값싸게 골프를 칠 수 있는 곳이다. 그러면서도 안보를 명분으로 하여 대중의 시야로부터 철저히 차단한다.

민간에 떠넘긴 보안 작업

국내 지도나 위성사진에 이런 보안 처리를 하는 실무 주체는 정부 기관이 아니다. 다음, 네이버 같은 민간 업체가 규정을 참고하여 알아서 처리한 뒤 기관의 검사를 받는다. 정부가 해야 할 보안 업무를 민간에게 떠넘긴 것이다.

이들 업체는 다양한 방식으로 보안 처리를 수행하는데, 대개 ‘알바’ 형태의 인력을 고용하여 진행한다. 보안 처리 대상 시설은 1천 개 이상이고, 위성사진뿐 아니라 거리뷰 모습까지 하나하나 작업해야 한다. 엄청난 작업량을 비전문가들이 담당하다 보니 실수가 쉽게 벌어진다. 국내 지도들의 거리뷰 등을 보면, 규정에 따르면 명백히 가려야 할 곳이 가려지지 않은 곳들을 쉽게 찾을 수 있다.

그 반대도 있다. 가릴 필요가 없는데도 그냥 보안 처리를 해버리는 경우도 있다. 그편이 훨씬 안전하다. 가릴 곳을 못 가리면 문제가 되지만, 안 그래도 될 곳을 가렸다고 해서 심각한 문제가 되지는 않는다. 노이페르트 교수가 처음에 찾아낸 비밀 골프장은 60개 이상이었다. 전국에 존재하는 실제 군 골프장은 29개다. 착오가 생긴 것은, 지도 서비스 업체의 보안 처리 담당자들이 군부대와 인접해 있는 사설 골프장까지 모두 보안 처리했기 때문이다. 실효도 없는 보안 처리 규정 때문에 이용자의 정보 접근권이 얼마나 보호되지 못하는가를 잘 보여주는 사례다.

적성 국가와 맞붙어 있는 준전시 상태 국가에서 중요 시설들이 지도에 드러나지 않도록 처리하는 것은 꼭 필요한 일이라 볼 수 있다. 문제는 이러한 접근이 시대에 맞지 않게 지나치게 광범위하고 포괄적인 데다, 변화하는 정보 환경을 제대로 반영하지 못한다는 점이다. 실효성도 없이 규제의 짐만 되는 신세로 전락한 셈이다.

공간정보에 대한 개인과 기업의 요구가 커지고 이동성이 대폭 확장된 오늘날, 대중 노출을 차단하고 보호하여야 시설은 최소한으로 국한되어야 한다. 꼭 필요한 시설물을 보호할 때, 보호 조치는 의미가 있다. 정부는 케케묵은 목록을 민간 업체에 던져주고 손 놓고 있을 게 아니라, 변화한 상황을 반영하여 보호 대상 시설물을 재정의하고 실질적인 보호조치를 마련해야 한다.

민간 업체들도 상황 개선에 얼마나 노력을 기울였는지 자문해 봐야 할 일이다. 과도한 정부 지침을 그대로 이행하기만 하는 데 바쁘지 않았는지, 자신의 서비스를 이용하는 소비자 입장에서 문제를 바라본 적은 있는지를 돌아볼 수 있을 것이다. 불합리하거나 무리한 규제를 별다른 문제의식 없이 그대로 수용하면서 서비스 품질을 떨어뜨릴 때, 그런 일을 하지 않는 경쟁자를 어떻게 감당할 수 있을까도 고민해볼 일이다.

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.08.16.)

“강제적 공인 인증”의 남발 우려되는

개인정보보호관리체계(PIMS) 인증 의무화 시도

지난 11월 9일 열린 국회 미래창조과학방송통신위원회 전체회의에 국민의당 황주홍 의원이 발의한 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 상정되었다. 동 개정안은 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도의 활성화를 위해 일정 규모 이상의 정보통신서비스 제공자에게 PIMS 인증의 획득을 강제하는 것을 주요 내용으로 하고 있다. 사단법인 오픈넷은 정부의 “강제적 공인 인증”의 남발은 개인정보 유출 사고의 해결책이 될 수 없음은 물론 기업들이 다양한 개인정보보호 시스템을 개발할 동기를 박탈하고 스타트업들에게 진입장벽을 만들기 때문에 반대한다.

현재 자율적으로 운영되고 있는 PIMS 인증제도는 “공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도”이다. 2010년 방송통신위원회 의결로 시행되었으며, 2012년 정보통신망법 개정으로 법적 근거를 마련하였다. 이와 별개로 2011년 개인정보보호법의 제정과 함께 도입되어 2013년부터 시행된 개인정보보호(PIPL, Personal Information Protection Level) 인증 제도가 있었다. 그러나 방통위 주관 PIMS 인증과 행정자치부 주관 PIPL 인증이 유사할 뿐만 아니라 중복적인 내용이 많아 2014년 규제개혁위원회의 “범부처 인증제도 개선방안”의 일환으로 PIMS 인증으로 제도가 통합되었다.

2016년 11월까지 유지되고 있는 PIMS 인증서는 총 66건인데, 2014년 6건, 2015년 14건, 2016년 29건으로 발급 건수가 매년 200% 이상 큰 폭으로 늘고 있다. 중복적 제도의 통합 운영과 인증기관인 한국인터넷진흥원(KISA)의 홍보 노력 등이 성과를 나타내고 있는 것이다. 이러한 상황에서 굳이 의무화를 하기보다는 활성화 추세를 지켜보고 인센티브 부여 등으로 자율 규제를 촉진하는 것이 훨씬 효과적일 것이다. 이 편이 자율적인 개인정보 보호 활동의 촉진 및 지원을 인증제도의 목적으로 하고 있는 개인정보보호법의 취지에도 부합한다.

그리고 오픈넷은 얼마 전 정보보호관리체계(ISMS, Information Security Management System) 인증 의무화 확대에 대해서도 반대 입장을 밝힌 바 있다. 반대 논거들은 PIMS 인증 의무화에 대해서도 거의 동일하게 적용된다. 게다가 ISMS 인증과 PIMS 인증은 심사체계나 인증기관이 거의 동일하며, 인증기준도 중복되는 부분이 많아 혼란만 가중시키고 있다. 그런데 PIMS 인증까지 의무화한다면 중복 규제로 실질적인 보안 강화 효과는 없으면서 적용 대상 사업자들에게는 추가적인 부담을 지우게 되며 스타트업들에게는 이중의 진입장벽이 될 뿐이다.

정부 주도 인증 내지 관치보안의 가장 큰 문제점은 정부로부터 “공인”된 해당 인증만 받으면 최선의 조치를 다한 것으로 간주되어 시장 변화나 기술 발전에 훨씬 민감한 민간 영역의 기술 개발이나 인증 제도의 활성화를 막고 결국 그 피해가 이용자들에게 고스란히 돌아간다는 점이다. 공인 인증의 남발은 지양되어야 한다.

2016년 11월 24일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]

• [논평] “공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증 – NH농협, 아시아나 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문 (2016. 7. 19.)

앱 사전검열제를 실행하려는 선탑재 앱 금지법안에 반대한다.

- 신경민 의원 대표발의 전기통신사업법 일부개정안에 대한 오픈넷의 의견

스마트폰에 사전 설치되는 선탑재 앱이 이용자 단말기의 물리적인 자원(저장장치, 메모리) 사용을 제한하며 데이터 소모 등을 초래하여 불편을 초래한다는 지적에 따라, 정부는 이미 2014년 선탑재와 관련한 가이드라인을 제정하여 시행 중에 있다. 최근 신경민 의원은 소위 “필수앱” 외에는 선탑재를 금지하는 내용의 전기통신사업법 개정안(이하 ”신경민 의원안”)을 대표발의 하였으나, 오픈넷은 아래와 같은 이유로 해당 법안에 대하여 반대의견을 밝힌다.

선탑재 앱은 삭제가 어렵거나 불가능 및 불편하게 되어 있는 경우 소비자의 편익을 저하시키고 산업계의 경쟁을 저해할 수 있다. 예컨대 시장지배적 지위를 갖춘 OS업자에 의해 삭제 불가 형태로 선탑재된 지도 앱은 소비자가 원치 않는 경우 소비자에게도 불편하지만 경쟁지도 앱에 대하여 자연스러운 진입 장벽이 된다. 그러나 그런 위험에 대한 대비책으로서 미래부 장관이 삭제가 쉬운 앱을 포함하는 모든 선탑재 앱을 사전승인하는 것은 반대한다.

첫째, 이것은 국가에 의한 앱 내용에 대한 사전검열이 된다. 선탑재 앱도 일종의 정보이고, 삭제가능한 앱의 선탑재는 사업자들이 그 정보를 이용해볼 것을 제안하는 행위인데 그 정보의 내용에 따라 국가가 제안을 허용하기도 하고 불허하기도 하는 것은 헌법이 금지하는 사전검열에 해당된다. 참고로 신경민 의원안은 앱의 선탑재(이용자가 단말장치를 처음으로 기동하기 전에 미리 특정 소프트웨어를 설치‧운용)뿐 아니라 기동 이후에 ”설치를 제안”하는 행위마저 정부허가 없는 한 금지하고 있다.

물론 모든 앱은 선탑재되지 않아도 소비자의 적극적인 선택에 의해 다운로드되어 이용될 수 있지만, 그렇다고 해서 선탑재를 통해 그러한 이용을 제안하는 것까지 국가의 허락을 받아야 한다는 의미에서 사전검열성은 변함이 없다.

둘째, 승인의 기준이 불분명하다. 앱이 단말기의 고유한 기능과 기술을 구현하기에 필수적인지(이하 “필수성”)를 판단할 구체적 기준이 전무하다. 스마트폰은 무슨 앱이 장착되는가에 따라 무궁무진한 기능을 할 수 있는데 신경민 의원안은 스마트폰의 “고유한 기능과 기술”에 따라 앱 선탑재 여부를 정부가 미리 판단하도록 하고 있다. VR 앱이 선탑재된다면 이는 스마트폰의 “고유 기능”인가 아닌가?포켓몬고는 스마트폰의 “고유 기능”인가 아닌가? 스마트와치에 FM라디오기능이 첨가된다면 그것은 “고유 기능”인가 아닌가?

셋째, 선탑재 앱 규제는 소비자 편익과 경쟁제한성 차원에서 운영되어야 하고 그렇기 때문에 앱의 내용 만을 보고 탑재여부가 결정되는 사전승인제도로 존재하는 것이 논리적으로 불가능하다. 즉 해당 앱이 삭제가 불가능한지 얼마나 불편한지 또 소비자들이 얼마나 불필요하게 여기는지 또 경쟁사들의 시장진입을 얼마나 저해하는지를 모두 평가하여 판단해야 한다. 신경민 의원안은 이와 같은 소비자편익과 경쟁제한성을 전혀 고려하지 않고 오직 앱의 내용만을 보고 판단하도록 하고 있어 문제인 것이다.

이렇게 되면 공익 목적의 재난방지 앱 또는 라디오 앱 등의 설치도 필수앱이 아니라는 이유로 소비자에게 필요하고 경쟁을 제한하지 않음에도 사업자들이 선탑재를 하지 못하게 된다. 또 사물인터넷시대에는 앱 장터에서 판매되지 않고 특수한 단말기에서만 구동되는 앱도 있을 수 있고, 또는 앱 장터가 없거나 활성화되지 않아 OS 또는 단말기 제조사가 대부분의 앱을 만들어 제공하여야 하는 경우도 발생할 수 있다. 이런 경우에도 해당 단말기를 정부가 미리 검토해서 그 단말기의 “고유한 기능”을 정하고 이에 따라 “필수앱”과 그렇지 않은 앱을 나눠 선탑재는 물론 후설치 제안도 하지 못하게 하는 것은 소비자편익과 경쟁을 통한 혁신을 위축시키는 일이기도 하다.

미래부가 2014년 소위 “선탑재 앱 가이드라인”을 정하면서 4개의 앱 만을 필수앱이라고 권고한 것은 바람직하지만 제조사, OS업체, 이동통신사에게 위 4개의 앱 외 나머지에 대해서는 소비자 편익이나 시장경쟁을 저해하지 않는지 판단해보고 탑재하라는 권고로서 의미가 있다. 그 4개의 앱 외에도 앱에 따라 소비자들은 삭제가능하기만 하다면 다른 앱들이 선탑재되기를 원할 수도 있고 어떤 앱들은 스타트업들의 납품을 받는 앱일 수도 있다.

정리하건대, 삭제가 불편하고 소비자들이 원하지도 않으며 경쟁 앱의 시장진출을 저해하는 선탑재 앱은 반드시 규제되어야 한다. 그러나 규제의 기준은 앱의 내용에 근거한 ‘필수성’이 되어서는 안 되며 신경민 의원 안과 같은 사전승인방식으로 존재할 수 없다.

2016년 12월 28일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

2016 인터넷: 위로부터의 억압, 아래로부터의 분출

글 | 오픈넷

지난 11월 프리덤하우스가 조사해 발표한 2016 세계 인터넷 자유 지수(Freedom on the Net)에서 한국은 또다시 ‘부분적 자유’밖에 인정받지 못했다. 더 심각한 것은 자유 지수가 계속 추락하고 있다는 것이다. 박근혜 정부가 시작된 2013년에서 2016년에 이르는 동안 자유 지수는 매년 1~2점씩 꾸준히 추락했다. 국민에게는 자유를 향한 의지와 수단이 존재했으나, 정부가 이를 옭아매고 죄어왔기 때문이다. 걸핏하면 인터넷 게시물을 삭제하고 공직자 비판에 대해 명예훼손으로 처벌하겠다는 협박을 일삼아 왔으니, 놀라운 결과도 아니다.

인터넷상 표현의 자유와 정보 흐름의 자유, 열린 정부와 혁신을 주창해 온 오픈넷은 지난 2016년 인터넷을 달구었던 주요 이슈들을 되돌아보았다. 2016년의 한국 인터넷을 짧게 간추린다면 ‘위로부터의 억압, 아래로부터의 분출’이라고 할 만하다.

정부는 다양한 방식으로 인터넷에 개입하여 국민의 표현을 가로막고 기업의 혁신을 방해했다. 그 와중에도 국민들은 온라인 공간에서 사회적 문제를 고발하고 자신의 의사를 표현하며 정당한 권리를 찾기 위해 애썼다. 그러는 동안 다양한 이슈가 떠올랐다가 사라졌다. 그중 굵직한 이슈를 정리해 본다. ICT 전반이나 기기 관련 이슈는 제외하고 인터넷에만 한정하여 살펴보았다.

7월, 고고도 미사일 방어체계(사드) 도입을 강행하던 정부는 국민은 물론 지역 주민과의 협의도 거치지 않고 일방적으로 설치 지역을 발표하고 밀어붙였다. 사드는 지역 주민의 안전, 더 나아가 한반도 전체의 안정에 영향을 미치는 중요한 일이다. 그런데도 국민을 납득시키거나 설득하는 일이 생략되었다. 사드의 안전성과 그 배치 따른 영향에 대한 논란이 인터넷에서 벌어진 것은 당연한 일이다. 그러나 방송통신심의위원회는 사드의 안전성에 문제를 제기하는 인터넷 게시글들을 ‘사회 혼란 야기’라는 얼토당토않은 이유를 들어 삭제했다. 공적 사안에 대하여 정부 발표와 다른 의견을 제기하면 황당한 딱지를 붙여 억압하는 행태가 재현된 것이다.

이에 앞서 3월에 방송통신심의위원회는 북한의 기술 정보를 전문적으로 다루는 외국 웹사이트 ‘노스코리아테크(northkoreatech.org)’를 접속 차단했다. 북한 관련 웹사이트를 차단하는 일은 늘 있는 것이지만, 이 웹사이트는 영국 언론인이 운영하는 객관적인 사이트라는 점에서 논란을 일으켰다. 북한에 비판적인 정보도 실리고 한국의 보수 언론도 자주 인용하는 사이트였던 것이다. 따라서 북한 관련 정보는 어떤 것이라도 정부만이 독점하고 정부가 공개하는 것만 듣고 보아야 한다는 시대착오적 의지의 표현이라는 평가를 받았다. 노스코리아테크 운영자 마틴 윌리엄스는 “북한이 외국으로부터 오는 정보를 철저히 차단하는 폐쇄 국가여서 흥미를 느껴 웹사이트를 시작했는데, 그런 웹사이트가 명색 민주 국가라는 한국에 의해 차단당했다는 것은 아이러니가 아닐 수 없다”라고 말했다.

이른바 인터넷 방송도 방송통신심의위원회의 주요 목표로 떠올랐다. 2월에는 아프리카TV의 BJ 6명에게 이용정지 처분을 내렸으며, 6월에는 인터넷 방송 웹사이트인 ‘썸TV’를 폐쇄했다. 음란물의 유통은 규제돼야겠지만, 일부 UCC 콘텐츠가 음란하다고 하여 사이트 전체를 폐쇄하는 결정을 내린 것은 놀라운 일이었다. 정부는 이후에도 인터넷 방송 서비스를 제공하는 사업자가 이용자의 콘텐츠를 제대로 검열하고 감시하지 못할 때 과태료를 부과하는 방안을 추진하는 등 규제 강화를 모색했다. 이 같은 규제 일변도 정책은 인터넷의 특성을 제대로 이해하지 못한 채 모호한 기준을 들이대어 표현의 자유를 침해하고 인터넷 산업을 위축시킨다는 비판을 받았다.

12월에 네티즌 ‘자로’는 세월호 참사와 관련한 의혹을 오랫동안 조사하고 그 결과를 다큐멘터리 [세월X]로 만들어 인터넷에 공개했다. 세월호의 침몰 경위와 관련하여 정부 발표와 다른 주장을 내놓은 것이다. 동영상이 공개된 지 하루 만에 해군은 ‘잠수함 승조원의 명예훼손을 묵과할 수 없으며, 허위사실 유포에 대해서는 법적 대응 등 강력하게 대응할 것’이라고 일갈했다. 이 글이 발표되는 현재까지 별다른 법적 조치는 나오지 않고 있다.

6월, 남학생들이 참여하는 카카오톡 단체 톡방의 언어 성폭력 발언을 고발하는 대자보가 고려대 교정에 나붙었다. 이를 계기로, 비슷한 일이 다양한 대학 공동체에서 오랫동안 지속되어 왔다는 사실이 드러나 충격을 주었다. 아울러 카카오톡 같은 메신저의 대화방은 공개된 장소인지, 거기서 나온 발언을 처벌할 수 있는지, 어떤 경우에 가능하고 가능하지 않은지에 대해 논란이 벌어졌다. 그러한 질문에 대한 대답과는 별론으로, 이와 같은 언어 성폭력이 경계되어야 한다는 점에 사회적 공감이 형성되었다는 것은 논란의 중요한 성과라 할 만하다.

비슷한 시기에 카카오톡 대화방에서 공유한 웹사이트 링크가 검색에 잡히는 일이 벌어져 쟁점이 되었다. 대화방에서 공유한 정보는 대중 공개되지 않으리라고 믿어온 이용자들에게는 충격적인 일이었다. ‘메신저 망명’ 같은 일은 벌어지지 않았지만, 기업이 이용자의 프라이버시를 존중하는 데 좀 더 민감해질 필요가 있다는 점을 일깨우는 사건이었다.

7월, 게임회사 나이언틱은 증강현실을 이용한 모바일 게임 ‘포켓몬 고’를 출시하여 세계적인 선풍을 일으켰다. 한국도 예외가 아니었으나, 선풍의 내용이 좀 달랐다. 외국에서는 게임을 하는 게 화제였지만, 한국은 게임을 못 하는 게 화제였다. 이것은 게임 가능 지역에서 한국이 제외되었기 때문이다. 지도 정보가 부족하여 게임 서비스를 하지 못한다는 주장도 제기됐으나, 게임사가 한국 출시를 하지 않아서 발생한 일로 정리되었다. 속초 등 동해안 일부 지역에서는 플레이가 가능해, 때아닌 속초행 열풍이 일기도 했다.

6월에는 구글이 정부에 지도 반출을 신청하여 뜨거운 논란을 불러일으켰다. 인터넷 서비스를 제대로 하기 위해서 상세 지도를 국외 서버에 저장해야 한다는 것이다. 지금까지 정부는 국가 안보를 내세워 이를 허가하지 않았다. 사실 정부의 안보 명분은 지도 반출 불허의 근거가 되기 어려운 것이었으나, ‘구글이 국민 세금으로 만든 지도를 공짜로 반출하면 적에게 국가 기밀을 누설하게 된다’는 주장이 나돌면서 부정적인 여론이 형성됐다. 게다가 구글의 서버 존치 문제, 세금 납부 문제까지 한꺼번에 떠올랐다. 찬반 여론 사이에서 저울질하던 정부는 쉽게 결정을 내리지 못하고 한 차례 연기한 끝에 11월에 반출을 허가하지 않는 것으로 최종 결론을 내렸다.

5월, 서울 지하철 강남역 부근에서 한 여성이 이유도 없이 살해되었다. 이 사건은 한국 사회에 단단하게 고착되어 있던 여성 혐오와 차별 문제를 일거에 드러내는 기폭제가 되었다. SNS를 중심으로 한 인터넷 공간은 성 차별과 성폭행을 고발하는 광장이 되었다. 그동안 학계, 예술계, 문학계, 출판계 등에서 벌어져 온 성폭행이 ‘#OO_내_성폭행’이라는 해시태그를 달고 줄줄이 공개되고 공유되었다. 유명인들의 이름이 연달아 나왔다. 성 범죄가 일상화되어 있음을 드러냄과 동시에, 성 권력 관계 때문에 당하고도 침묵해야 했던 일이 인터넷을 통해 고발되고 사회적 각성이 촉구되었다는 점도 뜻깊은 일이었다.

SNS 서비스가 이러한 문제 제기를 잘 포용하는지도 도마 위에 올랐다. 강남역 살인사건이 벌어졌을 때, 그 희생자를 추모하는 글이 페이스북에 의해 삭제되었다. 페이스북의 게시물 규정을 어긴 점이 없는데도, 신고를 받고 그 내용을 검토하거나 작성자에게 소명할 기회를 주지 않았기 때문에 벌어진 일이었다. 페이스북은 신고에 따른 게시물 삭제와 관련하여 공정함을 잃었다는 비판을 받았다. 페이스북의 게시물 삭제 공정성에 대한 논란은 그 밖에도 나라 안팎에서 여러 차례 제기되었다.

1월, 서울중앙지방법원은 납득하기 어려운 판결을 하나 내놨다. 홈플러스가 경품행사 등으로 수집한 고객의 개인정보 2,400만여 건을 보험사에 팔고 거액을 챙긴 데 대해 무죄 판결을 내린 것이다. 재판부는 깨알같이 적어 넣은 단서 조항을 들어 면죄부를 주었다. 8월에 나온 2심 판결도 같았다. 기업이 개인정보를 취득하여 활용하려면 그 목적 등을 명확한 방법으로 알리고 동의를 얻어야 한다. 고객과 시민단체들은 홈플러스의 경품 응모지가 이러한 조건을 제대로 적용하지 않아 고객을 속였다고 주장했으나 법원은 이를 인정하지 않았다.

이 사안은 주로 오프라인 경품 행사가 문제가 된 것이지만, 인터넷 활동이나 사물인터넷(IoT)을 통해 이용자 데이터를 얻어내기가 점점 쉬워지는 상황에서 경계심을 불러일으킨 판결이었다. 정부가 정한 ‘빅데이터 비식별 조치 가이드라인’ 등에서 비식별화를 빌미로 하여 데이터 수집에서 개인 동의를 생략하려는 움직임도 있어서 더욱 주의가 필요하다.

국정원, 경찰청, 검찰청 등 수사기관이 이동통신사를 통해서 국민의 개인정보인 휴대전화 통신자료를 영장도 없이 마구 퍼가고 있다는 것은 이제 비밀도 아니다. 그 수치가 전화번호 기준으로 한 해 1천만 건을 넘는다. 개인을 특정하는 중요한 정보는 이제 공공재가 되어버린 꼴이나 마찬가지인 셈이다.

3월에는 이러한 통신자료 캐가기가 수사와 직접 상관이 없는 것처럼 보이는 사람들에게까지 마구 적용되었다는 의혹이 불거졌다. 기자, 정당인, 활동가들처럼 타인과의 통신 내용이 매우 중요한 비밀이 될 수 있는 사람들도 다수 포함되었다. 수사 편의만을 내세운 마구잡이식 개인정보 침해에 대해 언론과 사회단체들이 꾸준하고도 강력하게 항의하고 있지만, 정부는 막무가내요 요지부동이다.

한편 긍정적인 판결도 나왔다. 인터넷 매체의 등록 요건을 강화하려 한 데 대해 헌법재판소가 제동을 건 것이다. 11월에 헌법재판소는, 인터넷신문의 직원을 5명 이상으로 한정하고 이들의 고용 증명을 제출해야만 등록이 가능하도록 한 신문법 개정안이 위헌이라는 결정을 내렸다. 헌재는 이러한 조건을 부과할 경우 소규모 인터넷신문이 언론으로서 활동할 수 있는 기회 자체를 원천적으로 봉쇄할 수 있다고 보았다. 인터넷 매체들은 등록 요건을 강화하려는 정부의 의도가 사이비 언론 추방보다는 인터넷 언론 규제에 있음을 의심해 왔다. 헌재의 결정에 따라, 인터넷 매체 수천여 개가 문을 닫는 사태를 피할 수 있었다.

인터넷 자유 지수를 집계한 프리덤하우스는 홈페이지에 이렇게 쓰고 있다.

“인터넷은 대중이 자신을 표현하고 서로의 생각을 주고받을 수 있는 매우 중요한 공간이다. 민주주의 지지자나 인권 활동가들이 정치적, 사회적, 경제적 개혁을 조직하고 추진하는 수단으로서도 갈수록 중요해지고 있다. 새로운 기술이 촉발하는 힘을 두려워하는 권위적인 정부들은, 명백하거나 숨겨진 방법을 동원하여 인터넷을 검열하고 감시하고 방해하며 인터넷의 개방성을 변질시킨다. 심지어 적지 않은 민주 국가들도 뉴 미디어로 인해 야기된 법적, 경제적, 보안적인 잠재적 문제에 대응하기 위해 다양한 제약을 가하거나 그런 일을 고려하고 있다.”

자유롭고 혁신적인 세상을 지향하는 인터넷과 이를 규제하려는 정부 간의 길항 작용은 2017년에도 그치지 않을 것이다. 게다가 빅데이터나 제로레이팅 같은 까다로운 이슈들이 끊임없이 등장한다. 인터넷이 나아갈 길은 새해에도 쉽지 않다. 다만 인터넷과 기술 혁신, 그로 인한 정치적, 사회적, 경제적 가치를 인식하는 정부가 존재한다면 상황은 조금 더 편안해질 것이다.

인터넷에서 다양한 사회적 논쟁거리가 만들어지고 논의되는 일도 계속될 것이다. 이것은 바람직한 일이기도 하다. 당장은 그 모양이 투박하거나 낯설더라도, 그러한 논란은 없는 편보다 있는 편이 훨씬 낫다. 그런 논란 속에서 우리는 공동 학습할 기회를 얻고, 이를 통해 조금씩 성장해 나갈 수 있기 때문이다. 강정수 메디아티 대표는 11월 8일 ‘혐오표현과 인터넷 공론장’을 주제로 하여 열린 ‘오픈넷 토크’에서 “인터넷은 여전히 청소년기에 있다”라고 평가했다. 비슷한 맥락에서 나온 진단이라고 볼 수 있다. 하나만 덧붙인다면, 인터넷과 이용자들이 그렇게 학습하고 성장하도록 그냥 좀 내버려 뒀으면 하는 것이다.

* 위 글은 슬로우뉴스에 게재했습니다. (2016.01.04.)