2016 인터넷: 위로부터의 억압, 아래로부터의 분출

글 | 오픈넷

지난 11월 프리덤하우스가 조사해 발표한 2016 세계 인터넷 자유 지수(Freedom on the Net)에서 한국은 또다시 ‘부분적 자유’밖에 인정받지 못했다. 더 심각한 것은 자유 지수가 계속 추락하고 있다는 것이다. 박근혜 정부가 시작된 2013년에서 2016년에 이르는 동안 자유 지수는 매년 1~2점씩 꾸준히 추락했다. 국민에게는 자유를 향한 의지와 수단이 존재했으나, 정부가 이를 옭아매고 죄어왔기 때문이다. 걸핏하면 인터넷 게시물을 삭제하고 공직자 비판에 대해 명예훼손으로 처벌하겠다는 협박을 일삼아 왔으니, 놀라운 결과도 아니다.

인터넷상 표현의 자유와 정보 흐름의 자유, 열린 정부와 혁신을 주창해 온 오픈넷은 지난 2016년 인터넷을 달구었던 주요 이슈들을 되돌아보았다. 2016년의 한국 인터넷을 짧게 간추린다면 ‘위로부터의 억압, 아래로부터의 분출’이라고 할 만하다.

정부는 다양한 방식으로 인터넷에 개입하여 국민의 표현을 가로막고 기업의 혁신을 방해했다. 그 와중에도 국민들은 온라인 공간에서 사회적 문제를 고발하고 자신의 의사를 표현하며 정당한 권리를 찾기 위해 애썼다. 그러는 동안 다양한 이슈가 떠올랐다가 사라졌다. 그중 굵직한 이슈를 정리해 본다. ICT 전반이나 기기 관련 이슈는 제외하고 인터넷에만 한정하여 살펴보았다.

7월, 고고도 미사일 방어체계(사드) 도입을 강행하던 정부는 국민은 물론 지역 주민과의 협의도 거치지 않고 일방적으로 설치 지역을 발표하고 밀어붙였다. 사드는 지역 주민의 안전, 더 나아가 한반도 전체의 안정에 영향을 미치는 중요한 일이다. 그런데도 국민을 납득시키거나 설득하는 일이 생략되었다. 사드의 안전성과 그 배치 따른 영향에 대한 논란이 인터넷에서 벌어진 것은 당연한 일이다. 그러나 방송통신심의위원회는 사드의 안전성에 문제를 제기하는 인터넷 게시글들을 ‘사회 혼란 야기’라는 얼토당토않은 이유를 들어 삭제했다. 공적 사안에 대하여 정부 발표와 다른 의견을 제기하면 황당한 딱지를 붙여 억압하는 행태가 재현된 것이다.

이에 앞서 3월에 방송통신심의위원회는 북한의 기술 정보를 전문적으로 다루는 외국 웹사이트 ‘노스코리아테크(northkoreatech.org)’를 접속 차단했다. 북한 관련 웹사이트를 차단하는 일은 늘 있는 것이지만, 이 웹사이트는 영국 언론인이 운영하는 객관적인 사이트라는 점에서 논란을 일으켰다. 북한에 비판적인 정보도 실리고 한국의 보수 언론도 자주 인용하는 사이트였던 것이다. 따라서 북한 관련 정보는 어떤 것이라도 정부만이 독점하고 정부가 공개하는 것만 듣고 보아야 한다는 시대착오적 의지의 표현이라는 평가를 받았다. 노스코리아테크 운영자 마틴 윌리엄스는 “북한이 외국으로부터 오는 정보를 철저히 차단하는 폐쇄 국가여서 흥미를 느껴 웹사이트를 시작했는데, 그런 웹사이트가 명색 민주 국가라는 한국에 의해 차단당했다는 것은 아이러니가 아닐 수 없다”라고 말했다.

이른바 인터넷 방송도 방송통신심의위원회의 주요 목표로 떠올랐다. 2월에는 아프리카TV의 BJ 6명에게 이용정지 처분을 내렸으며, 6월에는 인터넷 방송 웹사이트인 ‘썸TV’를 폐쇄했다. 음란물의 유통은 규제돼야겠지만, 일부 UCC 콘텐츠가 음란하다고 하여 사이트 전체를 폐쇄하는 결정을 내린 것은 놀라운 일이었다. 정부는 이후에도 인터넷 방송 서비스를 제공하는 사업자가 이용자의 콘텐츠를 제대로 검열하고 감시하지 못할 때 과태료를 부과하는 방안을 추진하는 등 규제 강화를 모색했다. 이 같은 규제 일변도 정책은 인터넷의 특성을 제대로 이해하지 못한 채 모호한 기준을 들이대어 표현의 자유를 침해하고 인터넷 산업을 위축시킨다는 비판을 받았다.

12월에 네티즌 ‘자로’는 세월호 참사와 관련한 의혹을 오랫동안 조사하고 그 결과를 다큐멘터리 [세월X]로 만들어 인터넷에 공개했다. 세월호의 침몰 경위와 관련하여 정부 발표와 다른 주장을 내놓은 것이다. 동영상이 공개된 지 하루 만에 해군은 ‘잠수함 승조원의 명예훼손을 묵과할 수 없으며, 허위사실 유포에 대해서는 법적 대응 등 강력하게 대응할 것’이라고 일갈했다. 이 글이 발표되는 현재까지 별다른 법적 조치는 나오지 않고 있다.

6월, 남학생들이 참여하는 카카오톡 단체 톡방의 언어 성폭력 발언을 고발하는 대자보가 고려대 교정에 나붙었다. 이를 계기로, 비슷한 일이 다양한 대학 공동체에서 오랫동안 지속되어 왔다는 사실이 드러나 충격을 주었다. 아울러 카카오톡 같은 메신저의 대화방은 공개된 장소인지, 거기서 나온 발언을 처벌할 수 있는지, 어떤 경우에 가능하고 가능하지 않은지에 대해 논란이 벌어졌다. 그러한 질문에 대한 대답과는 별론으로, 이와 같은 언어 성폭력이 경계되어야 한다는 점에 사회적 공감이 형성되었다는 것은 논란의 중요한 성과라 할 만하다.

비슷한 시기에 카카오톡 대화방에서 공유한 웹사이트 링크가 검색에 잡히는 일이 벌어져 쟁점이 되었다. 대화방에서 공유한 정보는 대중 공개되지 않으리라고 믿어온 이용자들에게는 충격적인 일이었다. ‘메신저 망명’ 같은 일은 벌어지지 않았지만, 기업이 이용자의 프라이버시를 존중하는 데 좀 더 민감해질 필요가 있다는 점을 일깨우는 사건이었다.

7월, 게임회사 나이언틱은 증강현실을 이용한 모바일 게임 ‘포켓몬 고’를 출시하여 세계적인 선풍을 일으켰다. 한국도 예외가 아니었으나, 선풍의 내용이 좀 달랐다. 외국에서는 게임을 하는 게 화제였지만, 한국은 게임을 못 하는 게 화제였다. 이것은 게임 가능 지역에서 한국이 제외되었기 때문이다. 지도 정보가 부족하여 게임 서비스를 하지 못한다는 주장도 제기됐으나, 게임사가 한국 출시를 하지 않아서 발생한 일로 정리되었다. 속초 등 동해안 일부 지역에서는 플레이가 가능해, 때아닌 속초행 열풍이 일기도 했다.

6월에는 구글이 정부에 지도 반출을 신청하여 뜨거운 논란을 불러일으켰다. 인터넷 서비스를 제대로 하기 위해서 상세 지도를 국외 서버에 저장해야 한다는 것이다. 지금까지 정부는 국가 안보를 내세워 이를 허가하지 않았다. 사실 정부의 안보 명분은 지도 반출 불허의 근거가 되기 어려운 것이었으나, ‘구글이 국민 세금으로 만든 지도를 공짜로 반출하면 적에게 국가 기밀을 누설하게 된다’는 주장이 나돌면서 부정적인 여론이 형성됐다. 게다가 구글의 서버 존치 문제, 세금 납부 문제까지 한꺼번에 떠올랐다. 찬반 여론 사이에서 저울질하던 정부는 쉽게 결정을 내리지 못하고 한 차례 연기한 끝에 11월에 반출을 허가하지 않는 것으로 최종 결론을 내렸다.

5월, 서울 지하철 강남역 부근에서 한 여성이 이유도 없이 살해되었다. 이 사건은 한국 사회에 단단하게 고착되어 있던 여성 혐오와 차별 문제를 일거에 드러내는 기폭제가 되었다. SNS를 중심으로 한 인터넷 공간은 성 차별과 성폭행을 고발하는 광장이 되었다. 그동안 학계, 예술계, 문학계, 출판계 등에서 벌어져 온 성폭행이 ‘#OO_내_성폭행’이라는 해시태그를 달고 줄줄이 공개되고 공유되었다. 유명인들의 이름이 연달아 나왔다. 성 범죄가 일상화되어 있음을 드러냄과 동시에, 성 권력 관계 때문에 당하고도 침묵해야 했던 일이 인터넷을 통해 고발되고 사회적 각성이 촉구되었다는 점도 뜻깊은 일이었다.

SNS 서비스가 이러한 문제 제기를 잘 포용하는지도 도마 위에 올랐다. 강남역 살인사건이 벌어졌을 때, 그 희생자를 추모하는 글이 페이스북에 의해 삭제되었다. 페이스북의 게시물 규정을 어긴 점이 없는데도, 신고를 받고 그 내용을 검토하거나 작성자에게 소명할 기회를 주지 않았기 때문에 벌어진 일이었다. 페이스북은 신고에 따른 게시물 삭제와 관련하여 공정함을 잃었다는 비판을 받았다. 페이스북의 게시물 삭제 공정성에 대한 논란은 그 밖에도 나라 안팎에서 여러 차례 제기되었다.

1월, 서울중앙지방법원은 납득하기 어려운 판결을 하나 내놨다. 홈플러스가 경품행사 등으로 수집한 고객의 개인정보 2,400만여 건을 보험사에 팔고 거액을 챙긴 데 대해 무죄 판결을 내린 것이다. 재판부는 깨알같이 적어 넣은 단서 조항을 들어 면죄부를 주었다. 8월에 나온 2심 판결도 같았다. 기업이 개인정보를 취득하여 활용하려면 그 목적 등을 명확한 방법으로 알리고 동의를 얻어야 한다. 고객과 시민단체들은 홈플러스의 경품 응모지가 이러한 조건을 제대로 적용하지 않아 고객을 속였다고 주장했으나 법원은 이를 인정하지 않았다.

이 사안은 주로 오프라인 경품 행사가 문제가 된 것이지만, 인터넷 활동이나 사물인터넷(IoT)을 통해 이용자 데이터를 얻어내기가 점점 쉬워지는 상황에서 경계심을 불러일으킨 판결이었다. 정부가 정한 ‘빅데이터 비식별 조치 가이드라인’ 등에서 비식별화를 빌미로 하여 데이터 수집에서 개인 동의를 생략하려는 움직임도 있어서 더욱 주의가 필요하다.

국정원, 경찰청, 검찰청 등 수사기관이 이동통신사를 통해서 국민의 개인정보인 휴대전화 통신자료를 영장도 없이 마구 퍼가고 있다는 것은 이제 비밀도 아니다. 그 수치가 전화번호 기준으로 한 해 1천만 건을 넘는다. 개인을 특정하는 중요한 정보는 이제 공공재가 되어버린 꼴이나 마찬가지인 셈이다.

3월에는 이러한 통신자료 캐가기가 수사와 직접 상관이 없는 것처럼 보이는 사람들에게까지 마구 적용되었다는 의혹이 불거졌다. 기자, 정당인, 활동가들처럼 타인과의 통신 내용이 매우 중요한 비밀이 될 수 있는 사람들도 다수 포함되었다. 수사 편의만을 내세운 마구잡이식 개인정보 침해에 대해 언론과 사회단체들이 꾸준하고도 강력하게 항의하고 있지만, 정부는 막무가내요 요지부동이다.

한편 긍정적인 판결도 나왔다. 인터넷 매체의 등록 요건을 강화하려 한 데 대해 헌법재판소가 제동을 건 것이다. 11월에 헌법재판소는, 인터넷신문의 직원을 5명 이상으로 한정하고 이들의 고용 증명을 제출해야만 등록이 가능하도록 한 신문법 개정안이 위헌이라는 결정을 내렸다. 헌재는 이러한 조건을 부과할 경우 소규모 인터넷신문이 언론으로서 활동할 수 있는 기회 자체를 원천적으로 봉쇄할 수 있다고 보았다. 인터넷 매체들은 등록 요건을 강화하려는 정부의 의도가 사이비 언론 추방보다는 인터넷 언론 규제에 있음을 의심해 왔다. 헌재의 결정에 따라, 인터넷 매체 수천여 개가 문을 닫는 사태를 피할 수 있었다.

인터넷 자유 지수를 집계한 프리덤하우스는 홈페이지에 이렇게 쓰고 있다.

“인터넷은 대중이 자신을 표현하고 서로의 생각을 주고받을 수 있는 매우 중요한 공간이다. 민주주의 지지자나 인권 활동가들이 정치적, 사회적, 경제적 개혁을 조직하고 추진하는 수단으로서도 갈수록 중요해지고 있다. 새로운 기술이 촉발하는 힘을 두려워하는 권위적인 정부들은, 명백하거나 숨겨진 방법을 동원하여 인터넷을 검열하고 감시하고 방해하며 인터넷의 개방성을 변질시킨다. 심지어 적지 않은 민주 국가들도 뉴 미디어로 인해 야기된 법적, 경제적, 보안적인 잠재적 문제에 대응하기 위해 다양한 제약을 가하거나 그런 일을 고려하고 있다.”

자유롭고 혁신적인 세상을 지향하는 인터넷과 이를 규제하려는 정부 간의 길항 작용은 2017년에도 그치지 않을 것이다. 게다가 빅데이터나 제로레이팅 같은 까다로운 이슈들이 끊임없이 등장한다. 인터넷이 나아갈 길은 새해에도 쉽지 않다. 다만 인터넷과 기술 혁신, 그로 인한 정치적, 사회적, 경제적 가치를 인식하는 정부가 존재한다면 상황은 조금 더 편안해질 것이다.

인터넷에서 다양한 사회적 논쟁거리가 만들어지고 논의되는 일도 계속될 것이다. 이것은 바람직한 일이기도 하다. 당장은 그 모양이 투박하거나 낯설더라도, 그러한 논란은 없는 편보다 있는 편이 훨씬 낫다. 그런 논란 속에서 우리는 공동 학습할 기회를 얻고, 이를 통해 조금씩 성장해 나갈 수 있기 때문이다. 강정수 메디아티 대표는 11월 8일 ‘혐오표현과 인터넷 공론장’을 주제로 하여 열린 ‘오픈넷 토크’에서 “인터넷은 여전히 청소년기에 있다”라고 평가했다. 비슷한 맥락에서 나온 진단이라고 볼 수 있다. 하나만 덧붙인다면, 인터넷과 이용자들이 그렇게 학습하고 성장하도록 그냥 좀 내버려 뒀으면 하는 것이다.

* 위 글은 슬로우뉴스에 게재했습니다. (2016.01.04.)

앱 사전검열제를 실행하려는 선탑재 앱 금지법안에 반대한다.

- 신경민 의원 대표발의 전기통신사업법 일부개정안에 대한 오픈넷의 의견

스마트폰에 사전 설치되는 선탑재 앱이 이용자 단말기의 물리적인 자원(저장장치, 메모리) 사용을 제한하며 데이터 소모 등을 초래하여 불편을 초래한다는 지적에 따라, 정부는 이미 2014년 선탑재와 관련한 가이드라인을 제정하여 시행 중에 있다. 최근 신경민 의원은 소위 “필수앱” 외에는 선탑재를 금지하는 내용의 전기통신사업법 개정안(이하 ”신경민 의원안”)을 대표발의 하였으나, 오픈넷은 아래와 같은 이유로 해당 법안에 대하여 반대의견을 밝힌다.

선탑재 앱은 삭제가 어렵거나 불가능 및 불편하게 되어 있는 경우 소비자의 편익을 저하시키고 산업계의 경쟁을 저해할 수 있다. 예컨대 시장지배적 지위를 갖춘 OS업자에 의해 삭제 불가 형태로 선탑재된 지도 앱은 소비자가 원치 않는 경우 소비자에게도 불편하지만 경쟁지도 앱에 대하여 자연스러운 진입 장벽이 된다. 그러나 그런 위험에 대한 대비책으로서 미래부 장관이 삭제가 쉬운 앱을 포함하는 모든 선탑재 앱을 사전승인하는 것은 반대한다.

첫째, 이것은 국가에 의한 앱 내용에 대한 사전검열이 된다. 선탑재 앱도 일종의 정보이고, 삭제가능한 앱의 선탑재는 사업자들이 그 정보를 이용해볼 것을 제안하는 행위인데 그 정보의 내용에 따라 국가가 제안을 허용하기도 하고 불허하기도 하는 것은 헌법이 금지하는 사전검열에 해당된다. 참고로 신경민 의원안은 앱의 선탑재(이용자가 단말장치를 처음으로 기동하기 전에 미리 특정 소프트웨어를 설치‧운용)뿐 아니라 기동 이후에 ”설치를 제안”하는 행위마저 정부허가 없는 한 금지하고 있다.

물론 모든 앱은 선탑재되지 않아도 소비자의 적극적인 선택에 의해 다운로드되어 이용될 수 있지만, 그렇다고 해서 선탑재를 통해 그러한 이용을 제안하는 것까지 국가의 허락을 받아야 한다는 의미에서 사전검열성은 변함이 없다.

둘째, 승인의 기준이 불분명하다. 앱이 단말기의 고유한 기능과 기술을 구현하기에 필수적인지(이하 “필수성”)를 판단할 구체적 기준이 전무하다. 스마트폰은 무슨 앱이 장착되는가에 따라 무궁무진한 기능을 할 수 있는데 신경민 의원안은 스마트폰의 “고유한 기능과 기술”에 따라 앱 선탑재 여부를 정부가 미리 판단하도록 하고 있다. VR 앱이 선탑재된다면 이는 스마트폰의 “고유 기능”인가 아닌가?포켓몬고는 스마트폰의 “고유 기능”인가 아닌가? 스마트와치에 FM라디오기능이 첨가된다면 그것은 “고유 기능”인가 아닌가?

셋째, 선탑재 앱 규제는 소비자 편익과 경쟁제한성 차원에서 운영되어야 하고 그렇기 때문에 앱의 내용 만을 보고 탑재여부가 결정되는 사전승인제도로 존재하는 것이 논리적으로 불가능하다. 즉 해당 앱이 삭제가 불가능한지 얼마나 불편한지 또 소비자들이 얼마나 불필요하게 여기는지 또 경쟁사들의 시장진입을 얼마나 저해하는지를 모두 평가하여 판단해야 한다. 신경민 의원안은 이와 같은 소비자편익과 경쟁제한성을 전혀 고려하지 않고 오직 앱의 내용만을 보고 판단하도록 하고 있어 문제인 것이다.

이렇게 되면 공익 목적의 재난방지 앱 또는 라디오 앱 등의 설치도 필수앱이 아니라는 이유로 소비자에게 필요하고 경쟁을 제한하지 않음에도 사업자들이 선탑재를 하지 못하게 된다. 또 사물인터넷시대에는 앱 장터에서 판매되지 않고 특수한 단말기에서만 구동되는 앱도 있을 수 있고, 또는 앱 장터가 없거나 활성화되지 않아 OS 또는 단말기 제조사가 대부분의 앱을 만들어 제공하여야 하는 경우도 발생할 수 있다. 이런 경우에도 해당 단말기를 정부가 미리 검토해서 그 단말기의 “고유한 기능”을 정하고 이에 따라 “필수앱”과 그렇지 않은 앱을 나눠 선탑재는 물론 후설치 제안도 하지 못하게 하는 것은 소비자편익과 경쟁을 통한 혁신을 위축시키는 일이기도 하다.

미래부가 2014년 소위 “선탑재 앱 가이드라인”을 정하면서 4개의 앱 만을 필수앱이라고 권고한 것은 바람직하지만 제조사, OS업체, 이동통신사에게 위 4개의 앱 외 나머지에 대해서는 소비자 편익이나 시장경쟁을 저해하지 않는지 판단해보고 탑재하라는 권고로서 의미가 있다. 그 4개의 앱 외에도 앱에 따라 소비자들은 삭제가능하기만 하다면 다른 앱들이 선탑재되기를 원할 수도 있고 어떤 앱들은 스타트업들의 납품을 받는 앱일 수도 있다.

정리하건대, 삭제가 불편하고 소비자들이 원하지도 않으며 경쟁 앱의 시장진출을 저해하는 선탑재 앱은 반드시 규제되어야 한다. 그러나 규제의 기준은 앱의 내용에 근거한 ‘필수성’이 되어서는 안 되며 신경민 의원 안과 같은 사전승인방식으로 존재할 수 없다.

2016년 12월 28일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, master@opennet.or.kr

“강제적 공인 인증”의 남발 우려되는

개인정보보호관리체계(PIMS) 인증 의무화 시도

지난 11월 9일 열린 국회 미래창조과학방송통신위원회 전체회의에 국민의당 황주홍 의원이 발의한 정보통신망 이용촉진 및 정보보호에 관한 법률(“정보통신망법”) 일부개정법률안이 상정되었다. 동 개정안은 개인정보보호관리체계(PIMS, Personal Information Management System) 인증 제도의 활성화를 위해 일정 규모 이상의 정보통신서비스 제공자에게 PIMS 인증의 획득을 강제하는 것을 주요 내용으로 하고 있다. 사단법인 오픈넷은 정부의 “강제적 공인 인증”의 남발은 개인정보 유출 사고의 해결책이 될 수 없음은 물론 기업들이 다양한 개인정보보호 시스템을 개발할 동기를 박탈하고 스타트업들에게 진입장벽을 만들기 때문에 반대한다.

현재 자율적으로 운영되고 있는 PIMS 인증제도는 “공공기관 및 민간기업 등 조직이 수립하여 운영하고 있는 개인정보보호 관리체계가 인증기준에 적합한지 여부를 인증기관이 평가하여 인증을 부여하는 제도”이다. 2010년 방송통신위원회 의결로 시행되었으며, 2012년 정보통신망법 개정으로 법적 근거를 마련하였다. 이와 별개로 2011년 개인정보보호법의 제정과 함께 도입되어 2013년부터 시행된 개인정보보호(PIPL, Personal Information Protection Level) 인증 제도가 있었다. 그러나 방통위 주관 PIMS 인증과 행정자치부 주관 PIPL 인증이 유사할 뿐만 아니라 중복적인 내용이 많아 2014년 규제개혁위원회의 “범부처 인증제도 개선방안”의 일환으로 PIMS 인증으로 제도가 통합되었다.

2016년 11월까지 유지되고 있는 PIMS 인증서는 총 66건인데, 2014년 6건, 2015년 14건, 2016년 29건으로 발급 건수가 매년 200% 이상 큰 폭으로 늘고 있다. 중복적 제도의 통합 운영과 인증기관인 한국인터넷진흥원(KISA)의 홍보 노력 등이 성과를 나타내고 있는 것이다. 이러한 상황에서 굳이 의무화를 하기보다는 활성화 추세를 지켜보고 인센티브 부여 등으로 자율 규제를 촉진하는 것이 훨씬 효과적일 것이다. 이 편이 자율적인 개인정보 보호 활동의 촉진 및 지원을 인증제도의 목적으로 하고 있는 개인정보보호법의 취지에도 부합한다.

그리고 오픈넷은 얼마 전 정보보호관리체계(ISMS, Information Security Management System) 인증 의무화 확대에 대해서도 반대 입장을 밝힌 바 있다. 반대 논거들은 PIMS 인증 의무화에 대해서도 거의 동일하게 적용된다. 게다가 ISMS 인증과 PIMS 인증은 심사체계나 인증기관이 거의 동일하며, 인증기준도 중복되는 부분이 많아 혼란만 가중시키고 있다. 그런데 PIMS 인증까지 의무화한다면 중복 규제로 실질적인 보안 강화 효과는 없으면서 적용 대상 사업자들에게는 추가적인 부담을 지우게 되며 스타트업들에게는 이중의 진입장벽이 될 뿐이다.

정부 주도 인증 내지 관치보안의 가장 큰 문제점은 정부로부터 “공인”된 해당 인증만 받으면 최선의 조치를 다한 것으로 간주되어 시장 변화나 기술 발전에 훨씬 민감한 민간 영역의 기술 개발이나 인증 제도의 활성화를 막고 결국 그 피해가 이용자들에게 고스란히 돌아간다는 점이다. 공인 인증의 남발은 지양되어야 한다.

2016년 11월 24일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

[관련 글]

• [논평] “공인” 인증 강박의 추억 떠올리는 정보보호관리체계(ISMS) 인증 – NH농협, 아시아나 등 개인정보유출기업 다수가 ISMS 인증 받아 실효성도 의문 (2016. 7. 19.)

보안 처리: 구시대적 지도 검열

글| 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. 구글 지도 반출, 21세기식 접근이 필요하다
2. → 보안 처리: 구시대적 지도 검열

이미 알려진 대로 한국 지도 데이터를 국외 서버에 저장하겠다는 구글의 신청은 국가 안보를 이유로 하여 허락되지 않고 있다. 정확히 말하면, 정부는 일정한 시설물을 지도나 위성사진에 공개하지 않는 방침을 갖고 이에 따라 지도를 제작 및 공개하고 있으나, 미국 기업인 구글이 이를 수용하지 않기 때문이다.

이 글에서는 한국의 지도에서 은폐되는 시설물과 보안 처리에 대해 살펴보자.

현재 한국에서 서비스되는 온라인 지도는 규정에 따라 일정한 시설물을 표시하지 않거나 위장, ‘물칠’(블러링) 등의 형태로 가려야 한다. 이것은 공간정보법 제35조와 그에 따른 보안관리규정이 일정한 지도 정보를 비공개하도록 요구하고 있기 때문이다. 이 법규들에 따르면 공간정보를 관리하는 기관(국토교통부 산하 국토지리정보원)은 국가정보원과 협의하여, 공개가 제한되는 정보의 접근이나 유출을 막는 조치(보안 처리)를 시행하여야 한다.

구체적으로 어떤 시설물이 보안 처리가 되는지는 3급 기밀 사항이다. 그러나 보안관리규정의 공간정보 분류기준표와 실제 지도를 참고하면 대략적인 기준을 알 수 있다. 청와대나 국가정보원 같은 특수 정부 기관, 군부대 등 군사 시설, 휴전선 일대, 교도소, 발전소, 변전소, 댐, 송유관 같은 것들이 포함되어 있으며, 송전탑이나 각종 맨홀(전기, 통신, 전화 맨홀들)도 그 대상이다.

이들 시설물은 안보 위험도에 따라 ‘비공개’와 ‘공개 제한’으로 나눈다. 비공개는 그 존재를 아예 표시하지 않는 것이며, 공개 제한은 무언가가 있지만 삭제했다는 흔적을 남기는 방식이다.

이러한 조치가 국가 중요 시설물을 보호할 목적으로 취해진 것은 이해할 만하다. 문제는 과거와는 달리 새로운 정보 통신 환경이 조성되면서 이 같은 정책의 필요성이나 실효성에 변화가 생기고 있고, 점증하는 국민의 공간정보 서비스 수요와도 잘 맞지 않는 상황이 벌어진다는 점이다.

갑자기 사라지는 교도소

법무부가 운영하는 교도행정 종합 웹사이트인 ‘교정본부’에는 전국 교도소의 위치를 안내하는 지도가 게시되어 있다. 각 교도소에는 주소가 명기되어 있고, ‘오시는 길’이라는 버튼도 달려 있다. 버튼을 누르면 다시 해당 교도소를 안내하는 약도가 뜨고 버스 편 같은 정보가 나온다.

이렇게 오시는 길은 알려주고 있지만, 실제로 방문자가 가시는 길을 찾기는 쉽지 않다. 일상에서 길찾기나 위치 확인의 표준이 되다시피 한 네이버나 다음의 지도에서는 이 교도소들을 도무지 찾을 수 없기 때문이다. 이들 지도에서는 ‘OO교도소’를 넣어도 검색되지 않고, 교정본부 웹사이트에 나온 교도소 주소를 넣으면 없는 지역이라는 응답이 뜬다.

어찌어찌 하여 주변 지역을 찾아갔더라도, 거대한 시설물 중에서 어느 방향으로 접근해야 할지 알 수 없다. 진입로를 찾을 수 없기 때문이다. 거리뷰로 경로를 쫓다 보면 건물들은 갑자기 사라지고 대신 뿌연 물칠이 앞을 가로막는다. 정부 사이트에 ‘오시는 길’을 약도와 더불어 친절히 안내한 시설물이 지도에서는 아예 존재조차 하지 않는다.

보안관리규정에 따르면 대형 댐은 공개제한 대상이다. 발전소를 겸한 대표적인 대형 댐인 소양댐은 네이버와 다음의 지도에서 이러한 규정에 따라 보안 처리되어 있다. 거리 지도에는 아예 나오지 않았고, 위성사진에는 덧칠했다.

그러나 소양강댐 주변의 거리뷰를 따라가면 댐 시설물이 배경에 그대로 보이고, 댐 자체도 관광지로 조성되어 있어 관광버스들이 늘어선 모습을 보게 된다. 다시 말해 다양한 방법으로 확인할 수 있고 심지어 관광지가 되어 누구나 접근하여 사진을 찍을 수 있는 곳이 옛날식 규정에 따라 지도에서만 가려져 있는 것이다.

미국도 공개하는 미군 부대, 한국이 지켜준다

경기도 의정부에서 서울로 들어오는 경계지역에는 소규모 미군 부대가 주둔해 있다. 역시 한국 인터넷 지도에는 보안 처리되어서, 위성사진에도 나오지 않고 거리뷰는 뿌연 물칠이 되어 있다. 그러나 이 미군 부대 코앞으로 1호선 전철(도봉산~망월사 구간)이 지나간다. 전철은 지상보다 높은 위치에 설치되어 있어서, 차 안에서 미군 부대 영내가 훤히 다 들여다보인다. 매일 10만 명 이상의 사람들이 감상하며 지나는 곳이 지도에서만 가려져 있다.

한국을 포함한 해외의 미군기지는 미국 영토의 일부 간주되며, 이 미군기지도 마찬가지다. 말하자면 정작 미국 기업은 자기네 군대가 주둔한 자기네 영토의 모습을 아무런 규제없이 보여주는데(미국 본토의 군사기지도 마찬가지다), 제3자인 한국은 남의 나라 부대의 안전을 염려하여 삭제해주고 있는 셈이다.

18개의 비밀 골프장

구글의 지도 데이터 반출 신청을 놓고 정부가 하는 주장은, 이 지도 데이터를 (구글닷컴의 위성사진처럼) 보안 처리하지 않은 위성사진과 결합하면 주요 안보 시설에 대한 위협이 커진다는 것이다. 따라서 지도 데이터를 가져가려면 위성사진을 보안 처리해야 한다는 말이다.

이에 대해 구글은, 데이터와 위성사진을 합칠 필요도 없이 모니터 두 개를 놓고 지도를 비교해 보기만 해도 누구나 알아낼 수 있는 일을 놓고 위협이라고 하는 것은 어불성설이라고 주장한다. 한국 지도의 보안 처리 덕분에 새로운 취미를 발견한 사람들도 있다. 이들은 지도에서 사라진 주요 시설물들을 찾아보는 일을 게임에서 수행해야 할 퀘스트(임무)처럼 생각한다.

이런 일을 본격적으로 해본 사람도 있다. 독일인으로 한국에 와서 가르치는 막스 노이페르트 교수는 어느 날 흥미로운 사실을 발견했다. 자신이 사용하는 외국 지도와 한국의 웹 지도가 다르다는 것을 깨달은 것이다. 시각예술가이기도 한 그는 정말로 ‘모니터 두 개를 놓고’ 대한민국의 전국 지도를 이 잡듯이 뒤져 보았다. 그 결과 한국 지도에서 삭제되어 있는 많은 시설물을 확인할 수 있었다.

그중에서도 그의 눈길을 끈 것은 수십 개의 골프장이 한국 지도에는 모두 삭제된 점이었다. 바로 군부대 안에 있어 ‘군사시설’로 간주되는 골프장들이었다. 노이페르트 교수는 이러한 조사를 바탕으로 하여 [열여덟개의 은밀한 골프장]이라는 소책자를 펴내고 전시회도 열었다.

그가 이 문제에 흥미를 느낀 것은, 이것이 분명한 검열에 해당하기 때문이었다. 검열치고는 상당히 우스꽝스러운 것이었다. 아예 검게 처리한 것도 아니고, 주변 지형과 전혀 어울리지 않는 형태로 위장했기 때문이다. 골프장을 그대로 보여주는 다른 위성사진이 흔해빠진 세상에서 극구 이를 지우려 하는 모습도 우스꽝스러웠다. 노이페르트 교수는 자신의 홈페이지에 이렇게 썼다.

“검열되지 않은 이미지를 공짜로 쉽게 구할 수 있기 때문에, 이러한 지역을 검열한다는 것은 그 자체로 무의미한 것처럼 보인다. 한국 내 지도에서 이런 지역을 가리려는 노력은 아무런 실익이 없는 시지푸스의 행위 같은 것이다.”

이렇게 대중의 눈을 피한 곳에서 어떤 일이 벌어지는지는 이따금 보도에 흘러나오는 것으로 짐작할 수 있다. 군 골프장의 정식 명칭은 ‘체력 단련장’이다. 군사시설이고 그래서 지도에서도 가려져 있지만, 실제로 이곳에서 체력을 단련하는 사람은 대부분 군인이 아니다. 현역은 20%가 채 되지 않고, 그것도 대개 고위급이다. 나머지 80% 이상은 예비역이나 민간인들이다. 조금 과장하여 말하자면 특권층들이 쉽게 부킹하여 값싸게 골프를 칠 수 있는 곳이다. 그러면서도 안보를 명분으로 하여 대중의 시야로부터 철저히 차단한다.

민간에 떠넘긴 보안 작업

국내 지도나 위성사진에 이런 보안 처리를 하는 실무 주체는 정부 기관이 아니다. 다음, 네이버 같은 민간 업체가 규정을 참고하여 알아서 처리한 뒤 기관의 검사를 받는다. 정부가 해야 할 보안 업무를 민간에게 떠넘긴 것이다.

이들 업체는 다양한 방식으로 보안 처리를 수행하는데, 대개 ‘알바’ 형태의 인력을 고용하여 진행한다. 보안 처리 대상 시설은 1천 개 이상이고, 위성사진뿐 아니라 거리뷰 모습까지 하나하나 작업해야 한다. 엄청난 작업량을 비전문가들이 담당하다 보니 실수가 쉽게 벌어진다. 국내 지도들의 거리뷰 등을 보면, 규정에 따르면 명백히 가려야 할 곳이 가려지지 않은 곳들을 쉽게 찾을 수 있다.

그 반대도 있다. 가릴 필요가 없는데도 그냥 보안 처리를 해버리는 경우도 있다. 그편이 훨씬 안전하다. 가릴 곳을 못 가리면 문제가 되지만, 안 그래도 될 곳을 가렸다고 해서 심각한 문제가 되지는 않는다. 노이페르트 교수가 처음에 찾아낸 비밀 골프장은 60개 이상이었다. 전국에 존재하는 실제 군 골프장은 29개다. 착오가 생긴 것은, 지도 서비스 업체의 보안 처리 담당자들이 군부대와 인접해 있는 사설 골프장까지 모두 보안 처리했기 때문이다. 실효도 없는 보안 처리 규정 때문에 이용자의 정보 접근권이 얼마나 보호되지 못하는가를 잘 보여주는 사례다.

적성 국가와 맞붙어 있는 준전시 상태 국가에서 중요 시설들이 지도에 드러나지 않도록 처리하는 것은 꼭 필요한 일이라 볼 수 있다. 문제는 이러한 접근이 시대에 맞지 않게 지나치게 광범위하고 포괄적인 데다, 변화하는 정보 환경을 제대로 반영하지 못한다는 점이다. 실효성도 없이 규제의 짐만 되는 신세로 전락한 셈이다.

공간정보에 대한 개인과 기업의 요구가 커지고 이동성이 대폭 확장된 오늘날, 대중 노출을 차단하고 보호하여야 시설은 최소한으로 국한되어야 한다. 꼭 필요한 시설물을 보호할 때, 보호 조치는 의미가 있다. 정부는 케케묵은 목록을 민간 업체에 던져주고 손 놓고 있을 게 아니라, 변화한 상황을 반영하여 보호 대상 시설물을 재정의하고 실질적인 보호조치를 마련해야 한다.

민간 업체들도 상황 개선에 얼마나 노력을 기울였는지 자문해 봐야 할 일이다. 과도한 정부 지침을 그대로 이행하기만 하는 데 바쁘지 않았는지, 자신의 서비스를 이용하는 소비자 입장에서 문제를 바라본 적은 있는지를 돌아볼 수 있을 것이다. 불합리하거나 무리한 규제를 별다른 문제의식 없이 그대로 수용하면서 서비스 품질을 떨어뜨릴 때, 그런 일을 하지 않는 경쟁자를 어떻게 감당할 수 있을까도 고민해볼 일이다.

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.08.16.)

구글 지도 반출, 21세기식 접근이 필요하다

글 | 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. → 구글 지도 반출, 21세기식 접근이 필요하다
2. 보안 처리: 구시대적 지도 검열

지난 6월 초 구글이 한국 지도 반출을 재신청하면서 비롯된 논란이 좀처럼 수그러들지 않는다. 정부나 구글, 국내 업체 등 이해 당사자들이 내놓는 주장이 뒤섞이며 사실관계조차 헷갈리고, 정보통신 서비스 영역을 넘어 안보나 국가 자존심까지 입길에 오르고 있다.

7월에 세계를 급속히 달군 포켓몬 고 열풍도 이러한 논란에 부채질했다. 한국이 게임 서비스 지역에서 제외된 것이 구글 지도로 뒷받침되지 않기 때문이라는 주장이 제기되었기 때문이다.

좀 더 냉정한 시각으로 바라보면 이 문제에는 몇 가지 이슈가 꼬여 있음을 알 수 있다. 이렇게 꼬인 데에는 이유가 있지만, 여하튼 이런 가닥을 차근차근 분리하고 우리가 이미 알고 있는 원칙들을 적용한다면 문제는 의외로 쉽게 풀릴 수도 있다.

다음에 실릴 글과 함께 두 차례에 걸쳐 한국 지도 정보의 국외 반출 문제, 그리고 그보다 더 근본적인 문제를 차례로 짚어 본다.

한국에서 지도 쓰기를 포기하는 외국인들

지난 5월 19일, 오픈넷이 주최한 포럼 ‘시각장애인을 위한 저작권 혁신 조약’에서 발제를 할 사람은 미국 메인 대학교 법학교수인 다니엘 콘웨이(Danielle Conway, 사진) 박사였다. 그녀는 아주 오래전에 한국을 한 번 다녀간 적이 있을 뿐이다. 당연히 서울 지리에 깜깜하다.

숙소인 서울대 교수회관에서 포럼이 열리는 선릉역 부근 행사장까지 오는 길을 알려주어야 했다. 어떤 교통편을 이용해 올지 몰라서, 일단 지도부터 보냈다. 한국인이 흔히 쓰는 네이버나 다음 지도는 그녀에게는 무용지물이다. 영어로 표기되지 않기 때문이다. 그래서 구글 지도로 이미지를 떠서 이메일로 보냈다.

콘웨이 박사는 택시를 타고 왔다. 목적지를 못 찾아서 선릉역 부근을 뱅뱅 돌던 기사가 결국 내게 전화를 했다. 행사는 이미 시작되었고, 발제자가 40분도 더 늦는 바람에 토론자가 먼저 마이크를 잡는 일이 벌어졌다. 택시요금은 정상보다 세 배 가량 더 나왔다. 콘웨이 박사는 이렇게 요금이 비정상적으로 나왔다는 사실을 알지 못했을 것이다. 구글 지도에는 택시를 이용한 경로 서비스가 되지 않기 때문이다.

지도 서비스에 관한 한, 외국인에게 한국은 남미 원시림이나 다름없다. 8월부터 오픈넷에서 인턴쉽을 하는 미국 대학생 댄 베이티코는 서울에서 지도 쓰기를 아예 포기했다. 그가 한국을 오기 전에 거쳐왔던 대만, 네팔, 베트남에서는 겪지 않았던 일이었다.

물론 이것은 두 가지 이유로 그렇다. 국내 업체의 지도는 영어 서비스를 하지 않고, 다양한 언어 지원을 해서 국제 표준이 되다시피 한 구글 지도는 국내에서 제대로 작동하지 않기 때문이다.

그저 일부 외국인이 한국에서 길을 찾는 문제라면 그리 심각한 일이 아니라고 볼 수도 있을 것이다. 외국인이야 헤매든 말든 우리는 우리식대로 살면 된다고 할 수도 있다. 그러나 기초 지도 서비스를 근간으로 한 각종 부가 서비스 역시 제대로 이루어지지 못하고, 같은 태반에서 태어날 다양한 미래의 서비스들도 근본적으로 잉태될 수 없다는 점은 외국인이 아닌 한국인에게 문제가 아닐 수 없다.

국가 안보 위협하는 지도 반출 안 된다?

구글이 지도 반출을 신청한 것은 이런 사정 때문이다. 자사 서비스를 제대로 갖추기 위해서, 그리고 구글의 주장에 따르면 이를 기반으로 하여 개별 기업들이 다양한 서비스를 꽃피우도록 하는 플랫폼을 만들기 위해서 지도 정보를 내갈 필요가 있다는 것이다.

이 문제가 꼬이기 시작한 것은 단순하면서도 다분히 의도된 오해 때문이다. 즉 구글의 지도 반출에 반대하는 측이 이 문제를 국가 안보 이슈로 틀 지어버린 것이다. 이들은 ‘구글이 한국의 안보 특수성을 무시하고 보안시설이 다 드러난 지도를 국외로 가져가려 한다’고 주장한다.

그러나 이런 주장은 사실과 상당한 거리가 있다. 이와 관련한 사실관계를 정리해 보면 쉽게 알 수 있다.

1. 구글은 현재 한국 지도를 극히 제한적으로 서비스하고 있다.
2. 이 지도는 SK플래닛(모회사는 SK텔레콤)이 소유한 것이며, 구글은 비용을 지불하고 이 지도를 사용하고 있다.
3. 즉, 구글은 자체로 한국 지도를 돌리는 게 아니라 SK플래닛에서 돌아가는 지도를 보여주기만 한다.
4. SK플래닛 지도는 다음 지도나 네이버 지도와 마찬가지로 정부 규정에 따라 보안 처리된 지도다.
5. 구글이 지도를 반출하겠다는 의미는, 이 SK플래닛 지도 데이터를 해외의 서버에서도 쓸 수 있게 해달라는 말이다.

따라서, 구글이 보안 처리되지 않고 속속들이 다 보이는 지도 데이터를 외국으로 가져가려 한다는 주장은 사실이 아니다. 가져가려는 지도는 네이버나 다음의 지도와 마찬가지로 보안 처리된 데이터다. 보안의 측면에서만 보자면 당장에라도 반출을 허용하지 않을 이유가 없는 것이다.

법을 위반하는 일도 아니다. 한국 법은 지도 정보 반출을 금하고 있지만, 예외적으로 허용할 길을 열어두고 있다. 그 결정을 위해 정부 부처 간 협의체(‘공간정보 국외반출 협의체’)까지 구성할 수 있도록 했다. 따라서 필요성이 인정된다면 협의체가 반출 허용 결정을 내리기만 하면 된다. 물론 필요성이 없다면 불허 결정을 내릴 수도 있을 것이다. 이것은 지도 반출로 얻거나 잃을 이익을 따져 내릴 정책적 판단이다.

안보를 걸고넘어지는 주장은 모두 이러한 사실을 모르거나 아니면 일부러 무시한다고 보면 된다. 안보 때문에 안 된다고 주장하는 측은 예컨대 다음과 같은 기사에서 동력을 얻는다.

“정부는 지도데이터에서 중요 안보시설을 삭제할 것을 반출조건으로 내걸고 있고 구글은 이에 강력히 반대하기 때문이다.”

-연합뉴스, 국토부 “지도반출 불허해 포켓몬 고 불가능한 것 아니다” (2016. 7. 14) 중에서

이런 서술은, 구글이 안보시설이 속속들이 표시된 지도를 가져가려고 한다는 오해를 조장한다.

위성사진에서 뺨 맞고 지도에 화풀이

오해든 착각이든, 안보 문제가 있으므로 지도 반출을 허용해서는 안 된다는 주장이 나오고, 반출 허용 여부를 결정해야 할 정부가 그런 여론을 느긋하게 즐기고 있는 데에는 이유가 있다. 반출 대상이 되는 지도와 직접 관련이 없는 위성사진 때문이다.

많은 사람이 알듯 구글의 위성사진은 한국 정부가 가리고 싶어 하는 시설을 속속들이 보여준다. 정부에서 볼 때, 외국 기업이라 손을 쓸 수 없어 하릴없이 두고 보기는 하지만 눈엣가시 같은 일이 아닐 수 없다.

반출 대상 지도 데이터와 직접 관련이 없는 구글의 위성사진과 관련한 사실관계도 정리해 보자.

1. 구글 지도에 나오는 한국의 위성사진은 .co.kr 버전과 .com 버전이 있다.
2. 한국 주소인 .co.kr로 보이는 위성 이미지는 해상도가 낮아 희미하게 보인다.
3. 이것은 구글이 한국 법규를 따르려고 일부러 해상도를 떨어뜨린 결과다.
4. 한편 한국법이 적용되지 않는 외국 주소인 .com으로는 선명한 이미지가 보인다.

한국 웹주소와 해외 웹주소를 다르게 하여, 해외 주소로 접속하면 다 볼 수 있게 한 것은 눈 가리고 아웅한 것으로 볼 수도 있다. 그러나 거꾸로 보자면, 한국에서는 법이 그렇게 강제하니까 울며 겨자 먹기로 그렇게 한 것으로 볼 수도 있다. 어떤 시각에서 보느냐의 차이다.

어쨌든 구글 국내 위성사진에는 흐릿하게 나오는 주요 시설물들이 .com 사진에는 선명하게 다 보인다. 이것을 ‘해결’하는 것은 정부의 숙원 사업이다. (이것이 의미 없는 일이라는 것은 밑에서 다시 자세히 쓴다.) 따라서 구글이 지도 반출을 신청하고 이에 대해 여론이 안보를 이유로 부정적으로 형성되는 것은 정부에게 반가운 상황이다. (반출 대상 지도가 아닌) 위성사진을 손보도록 요구하는 계기로 활용할 수 있기 때문이다.

8월 말까지 응답을 내놔야 하는 정부가 가장 선호할 만한 해결 방식은, 구글에 기왕의 SK플래닛 지도 데이터 반출을 허용하는 대신, 그 조건으로 구글 위성사진(.com)을 국내 업체의 사진처럼 보안 처리하도록 요구하는 것이다. 정부로서는 이미 쓰고 있는 지도 반출을 허용해 주면서 숙원 사업이던 위성사진 물칠을 성사시킬 수 있는 빅딜이다. 일부에서 주장하는 것처럼 구글에게 이례적으로 서버를 자국 안에 들여오도록 강제함으로써 국제 사회에 권위주의 국가의 인상을 또 하나 더하는 것보다 훨씬 이득이 되는 방안이기도 하다.

문제는 구글이 이런 제안을 받을 것이냐이다. 쉽지 않은 일일 것이다. 구글코리아는 그 이유로 세 가지를 든다. 첫째, 한국의 지형을 그대로 다 보여주는 외국 위성사진이 널린 마당에 구글만 지우라고 하는 것은 아무런 실효성이 없는 요구다. 둘째, 이용자에게 정보를 제공하는 외국 기업의 서비스에 검열을 가하는 것이다. 셋째, 구글은 위성사진에 스스로 보안 처리한 적이 없다.

특히 첫 번째 이유가 시사적이다. 정부는 구글의 위성사진을 보안 처리하는 것에 심혈을 기울이고 있지만, 한국을 다 보여주는 위성사진은 구글 말고도 널려 있다. 어찌어찌 하여 구글 사진을 물칠하도록 하는 데 성공한다 하더라도 악의 없는 이용자의 시각만 가로막을 뿐, 실제로 악의를 가진 사람에게는 아무런 의미도 없는 것이다.

아래 사진들은 네이버, 다음 같은 한국 지도 서비스들과, 접속하는 데 몇 초밖에 걸리지 않는 외국 지도 서비스들의 위성사진을 통해 본 경복궁과 청와대 모습이다.

이뿐만 아니다. 온라인으로 무료 서비스되는 이들 위성사진 말고도, 사진을 상업적으로 파는 많은 위성사진 업체가 있다. Esri.com, digitalglobe.com 등이 그중 일부다. 이 업체들은 누구든 돈만 내면 무료 위성사진보다 훨씬 더 높은 해상도의 사진을 제공한다.

국제적으로 이용되는 이들 지도 서비스를 열면, 한국인만 못 보고 있는 장면들이 크고 아름답게 나타난다. 구글의 위성사진을 지우려 하는 정부 노력은, 이 모든 지도들도 막아낼 수 있다는 전제가 있어야만 의미가 있다.

결국, 정부는 다국적 기업을 상대로 하여 안보의 깃발을 높이 들고 애국적 싸움에 나선 것 같은 자세를 취하고 있지만, 실제로는 안보 실익이 전혀 없는 싸움을 벌이고 있는 셈이다. 이것이 지도 반출 문제와 관련이 없다는 것은 덤이다.

한국에 서버를 설치하라?

앞서 잠깐 언급했지만, 지도 반출 논란에 대한 한 가지 처방은 구글이 서버를 한국에 설치하면 된다는 것이다. 이것이 얼핏 해결책처럼 보이는 것은 사실이다. 구글이 SK플래닛 지도 데이터를 한국에 있는 서버에서만 돌린다면 반출 논란은 당연히 필요 없게 된다.

그러나 이게 말처럼 쉽지 않다는 데 문제가 있다. 구글은 전 세계 지도 데이터를 현재 15개 국가에 산재하는 데이터 센터에 분산 배치하고 클라우드 기반으로 운영하고 있다. 어떤 한 나라의 데이터를 돌리기 위해 그 나라에 서버를 설치한 일은 한 번도 없다. 이렇게 지역에 데이터를 묶어버리면 안정성 유지에도 문제가 생길 수 있다.

현실적으로 가능하지 않은 일을 하라고 요구하는 것은 억지다. 국내의 시각만 가진 정부나 업체들은 이해하기 어려운 일일지도 모른다. 그러나 일취월장하여 언젠가 국경을 넘어 세계로 진출해야 할 국내 기업이 겪어야 할 일일 수도 있다.

게다가 국내에 서버를 설치하라는 것은 정보의 국경 없는 자유로운 흐름이라는 인터넷의 대원칙에도 어긋난다. 데이터를 수집된 국가 안에 묶어두려는 이른바 데이터 국지화의 경제적 문제점을 새삼 지적할 필요는 없을 것이다.

구글이 한국에 서버를 두기를 꺼리는 또 하나의 이유를 짐작할 수 있는 사례가 있다. 2011~12년에 구글은 아시아 지역 세 곳에 대형 서버를 구축하기로 하고 지역을 물색했다. 세계 최대 검색 엔진의 거대한 서버 시설을 유치하는 데서 올 경제 효과를 염두에 두고 한국도 열심히 유치 운동을 했다. 그러나 구글 서버는 대만, 싱가포르, 홍콩으로 갔다.

한국이 제외된 데에는 정치적인 이유가 있는 것으로 풀이됐다. 2011년 5월 한국 경찰은 모바일 광고의 위치정보 수집 사건을 수사하면서 구글코리아와 다음커뮤니케이션을 압수수색했다. 그뿐만 아니라 수사 당국이 영장 없이도 이동통신사를 찔러서 이용자 정보를 마음껏 캐내 가는 나라가 한국이다. 구글 서버도 마음만 먹으면 얼마든지 뒤질 수 있을 것이다. 이런 나라에 서버를 두고 싶어 하는 인터넷 기업은 별로 없을 것이다.

세금 받고 싶으면 법규부터 고쳐라

여기서 지도 반출 이슈와 상관없는 또 하나의 애국 프레임이 등장한다. 구글이 한국에 세금을 내지 않고 부도덕하게 사업을 하고 있다는 것이다. ‘불법’이라는 말을 쓰지는 않지만, 그 어조는 사악하고 패륜적인 반국가단체를 나무라는 양상이다.

이런 주장은 구글이 한국에서 돈 한 푼 내지 않고 사업을 하는 것 같은 오해를 불러일으킨다. 한국에서 활동하는 구글코리아는 물론 세금을 낸다. 구글이 한국에서 창출한 수익 전체에 대해 적절한 세금을 내고 있는가는 논란의 여지가 있다. 그러나 구글은 현재 한국법과 국제 규정이 정하고 허용한 바에 따라 기업을 운영하고 있을 뿐이다.

문제가 있다면 구글이 아니라 법규다. 구글이 창출하는 이윤에 대해 세금을 제대로 물리고 싶다면, 그렇게 하도록 법을 제·개정하고 규정을 정비하면 된다. 세법을 개정하면 얼마든지 가능하다는 의견이 있고, 이미 그렇게 하는 나라들도 있다. 경제협력개발기구(OECD) 차원에서 그런 방안을 모색하고 있기도 하다. 그런 일은 하지 않으면서 기업을 나무라는 것은 아무런 의미도 없고 해결책도 될 수 없다.

구글이 세계적 강자이기는 하지만, 구글 지도 서비스가 한국에 개시된다고 해서 한국인이 바로 구글 대마왕에 종속되리란 보장은 없다. 구글이 한국어 검색 서비스를 시작한 지 15년 이상 지났지만, 한국에서는 여전히 네이버가 지배적인 지위를 유지하고 있다. 구글을 쓰는 사람이 늘어간다면, 이것은 어떠한 이유에서든 구글의 서비스에 만족하는 사람이 는다는 뜻일 뿐이다. 다른 기업 역시 그런 만족을 주기 위해 노력하는 것이 올바른 접근일 것이다.

정부는 곧 구글의 지도 반출 신청에 대한 응답을 내놓아야 한다. 지도 반출과 직접 관련이 없는 안보나 준탈세 프레임에 휩쓸리기보다, 지도 데이터 개방이 이용자와 한국 경제의 미래를 위해 실제로 어떤 효용이나 불이익을 가져올까를 꼼꼼히 따져보는 것이 좀 더 생산적인 접근일 것이다.

국경에 구애받지 않는 온라인 기업들의 규모가 막대하게 커지고 있다. 온라인과 오프라인을 결합하며 새로운 형태의 사업 모델을 구축하여 실물 경제의 주역으로 부상하는 기업들도 있다. 이러한 상황은 우리 사회가 기업과 관계 맺고 살아가는 방식을 새로이 검토해야 할 필요를 제기한다. 안보 필요에서부터 납세의 의무까지, 명분과 구호만으로 성취할 수 있는 일은 더 이상 많지 않다. 정보의 자유로운 흐름을 기반으로 형성된 온라인 세상을 살기 위한 21세기 패러다임을 고민해야 할 때다.

* 위 글은 슬로우뉴스에 동시 게재하였습니다. (2016.08.16.)

Open Net – Harvard Berkman Center Seminar on Intermediary Liability

[국제세미나] 정보매개자책임의 국제적 흐름

- 이용자 권리 보호와 ICT 산업 발전을 위한 플랫폼사업자의 책임 원칙

* 국제세미나 영상 다시보기 및 발표자료: http://opennet.or.kr/on-working/intermediary-liability

* 영상 다시보기(유스트림): http://www.ustream.tv/channel/seminar-on-intermediary-liability

* 요약문(PDF): 오픈넷 국제세미나_정보매개자책임의 국제적 흐름_요약문

국제세미나 세션별 요약 | 사단법인 오픈넷

[Session 1] 정보매개자책임에 대한 이해

제1세션은 정보매개자 책임에 대한 비교법적 분석이 주 내용을 이루었다. 좌장인 박경신 교수는 특히 우리나라의 임시조치 제도를 중심으로 이를 분석하였다. 인터넷 사업자들에게 불법정보에 대한 모든 책임을 지게 한다면, 사업자들의 인터넷 서비스 운영은 사실상 불가능하고 인터넷 산업은 쇠퇴할 수밖에 없기 때문에, 대부분의 국가들은 정보매개자들의 책임 제한을 규정하고 있다고 설명하였다. 미국을 중심으로 한 대부분의 선진국은 ‘세이프 하버(safe harbor)’ 방식을 채택하여 사업자는 몰랐거나 notice and takedown을 시행하는 한 제3자 제공 정보에 대하여 책임을 지지 않는다는 책임면제조항을 규정하는 방식을 채택하고 있다.

반면 우리나라는, 사업자들에게 요청이 들어오면 반드시 삭제, 차단할 의무를 부과하고 있는 방식을 취하고, 그것이 반드시 불법정보일 것을 요하지 않고 권리침해주장만으로 삭제, 차단 의무를 가지는 책임부과 형식을 취하고 있다. 이에 따라 외국에서는 삭제, 차단 요구를 거부할 수 있는 반면, 우리나라는 거부 여지가 없어 표현의 자유를 심대하게 침해하고 있다고 주장하였다. 임시조치제도로 매년 10만 건 이상의 정보가 차단되고 있으며, 법원에서 사법적 판단을 받았다면 불법으로 인정되지 않았을 수많은 게시물들이 삭제, 차단되고 있는 것이 큰 문제라고 지적했다.

○ 발제: 어스 개서 교수(미 하버드대, 버크맨센터 소장) - 온라인 정보매개자 프로젝트: 연구결과와 제안

어스 개서 교수는 버크만센터에서 연구한 온라인 매개자에 대한 국가별 규제 사례 연구 결과에 대한 의견을 밝혔다. 온라인매개자 개념 자체가 최신의 현상이며 기술도 나날이 발전하는 만큼, 법적 규제도 유동적이며 계속 발전해나가는 양상을 보이며, 그만큼 어떤 한 국가의 법을 모범사례로 단정짓는 것은 시기상조이다. 또한 전 세계가 글로벌화 되고 있어 관할 등의 문제가 생기므로 비교법적 연구가 필요하다고 밝혔다.

정부가 온라인 매개자들을 규제하는 동기와 형식은 크게 세 가지로 구분되는데, 미국과 같이 온라인 매개자들의 법적 책임을 제한하여 이들의 성장을 돕는 조력자로서의 역할, 그리고 notice and takedown 등의 방법을 통해 권리자와 이용자 사이에서 이들의 법익 균형을 맞추는 균등자로서의 역할, 온라인 매개자에게 콘텐츠에 대한 법적 책임을 직접 부과하는 제약자로서의 역할이 있다. 이러한 온라인매개자 규제는, 문화적 배경에 따라 영향을 많이 받는다는 결론이 나왔는데, 예를 들면 태국과 같이 쿠데타로 통치되는 정부 아래에서는 정보의 흐름을 통제하거나 공공질서를 보호한다는 목적으로 제약자로서의 역할을 하게 된다는 것이다.

또한 규제 집행을 위해서 마련한 인센티브 구조를 살펴보면, 미국은 대칭적인 인센티브 구조를 취하여 온라인 매개자들이 문제 콘텐츠를 삭제 혹은 보유하는 것을 선택할 수 있고, 해당 콘텐츠를 직접 작성하지 않는 한 법적 책임 부과하지 않지만, 인도, 한국, 태국의 거버넌스 모델은 비대칭 인센티브 구조를 취하여 과잉준수가 되더라도 매개자들이 법적 책임을 피하기 위해 콘텐츠를 삭제하도록 유인하고 있다는 분석이다.

그는 정부가 ‘규제’를 이야기할 때는 주로 행동 제한, 책임 부과의 측면으로만 이해하지만, 특정 분야를 조력하고 장려하는 역할을 수행할 수도 있다는 것을 상기하여야 하며, 정부는 온라인 매개자 규제에 있어서 경제적 효과, 표현의 자유 등 규범적 측면 등 다양한 이익을 형량하여야 하고, 개입의 경우에는 그 이유와 효과를 명백히 해야 한다고 주장했다.

○ 특별토론: 나오코 미즈코시 변호사(일본 엔데버 법률사무소) - 일본의 정보매개자 책임 원칙

나오코 미즈코시 변호사는 일본의 정보매개자 책임 원칙을 개관하였는데, 2001년에 제정된 법률은 저작권 및 명예훼손 등 모든 유형의 침해를 대상으로 규제하고 있으며, 이 중 ISP의 손해배상책임 제한 규정은, ISP가 특정한 권리가 침해되었다는 것을 미리 알고 있지 않았다면 면책(이를 알고 있었다는 충분한 근거가 있을 경우에만 책임)된다는 내용을 담고 있다. 2011년에서 2012년 사이에 본 법 개정 여부가 검토되었고, 당시 노티스 앤 테이크다운과 삼진아웃제 등의 도입여부에 대한 토론이 있었으나 개정되지 않았다. 일본은 주로 이해관계자들이 가이드라인에 따라 협력하거나 사법적 판단에 따라 ISP의 책임이 결정되며, ISP의 면책에 대해 추상적인 규정만이 있을 뿐 명확한 기준이 없어 불안정하다는 것이 문제라고 밝혔다.

○ 토론 1: 권영준 교수(서울대 기술과법센터)

현재 인터넷은 사이버 폭력, 명예훼손, 음란물 등 다양한 문제가 발생하고 있는 공간이기도 한만큼, 사이버 환경에서 콘텐츠에 대한 많은 통제권을 가진 ISP가 어느 정도 책임을 지는 시스템이 필요하며 면책 쪽으로만 가면 인터넷의 부작용이 커진다는 위험이 있음을 지적했다. 한국에서 ISP의 책임은 일반적 과실 유무에 따라 판단되고 있으며 판례상 알았음에도 방치한 경우에는 책임을 진다는 것이 원칙적이고 단순한 인지 여부뿐만 아니라, 게시물의 불법성 정도 등 여러 사정을 종합하여 판단되고 있다고 주장했다.

○ 토론 2: 정경오 변호사(법무법인 한중)

임시조치 제도를 어스 교수의 거버넌스 체계 분류에 따라 해석하자면, 현행 임시조치 제도는 피해자 권리구제 측면에 초점이 있고, 이것이 제약자로서의 역할이 컸다면, 개정안에서는 정보 게재자가 이의제기할 수 있는 권리를 부여함으로써, 표현의 자유에 대한 제한 측면이 어느 정도 해소가 되었다고 볼 수 있는 만큼 균등자 역할 쪽으로 발전하는 것으로 해석할 수 있다고 주장했다.

○ 토론 3: 김유향 팀장(국회입법조사처 과학방송통신팀)

우리나라의 ISP는 단순히 정보매개자로서의 역할뿐 아니라 콘텐츠 통제권이 강하다는 측면에서 정보 생산자라고 해석할 수 있는 특성이 있는 만큼, 비교법적 연구에는 다양한 국가별 ISP의 특성이 고려되어야 한다고 주장했다.

[Session 2] 정보매개자책임과 ICT 생태계

○ 발제 1: 아누팜 챈더 교수(미 UC데이비스 로스쿨) – “e-실크로드”와 정보매개자책임

인터넷의 규율 방식에는 크게 엄격한 EU의 규제 중심 접근법(strict EU regulatory approach)과 진보적인 미국 경쟁 중심 접근법(liberal US competition approach)이 있다. 한국은 제2의 브뤼셀을 지향할 것인지 아니면 제2의 실리콘밸리를 지향할 것인지를 고민해야 하며, 정보화 시대에서 표현의 자유를 억압할 것인지, 껴안을 것인지를 선택해야 한다. 미국의 모델이 유럽의 모델에 비해 표현의 자유와 경제발전을 모두 촉진한다는 점을 사례를 들어 설명하고 한국의 임시조치제도에 대해 평가하고자 한다.

미국의 접근법은 크게 3가지로 설명된다: 1. 저작권법(DMCA)상 면책조항(safe harbor)과 통지후삭제(notice and takedown) 제도, 2. 통신품위법 230조(Communications Decency Act s.230), 3. OSP들의 프라이버시 책임을 가중시키기 보다는 프라이버시 정책 시행을 장려, 이러한 미국의 제도는 “let a thousand web sites bloom,” “the vast democratic forums of the Internet”라고 요약될 수 있으며, 정보매개자인 OSP들에게 무한한 가능성을 제공한다.

아마존(명예훼손적인 책 리뷰를 삭제해주지 않는다는 이유로 저자는 아마존을 상대로 소송을 제기했으나 법원은 CDA s230에 의해 보호된다고 판결), 페이스북(정보 공유가 가능한 다양한 툴을 제공하고 이로 인한 프라이버시 침해가 있어도 기업은 처벌받지 않음), 핀터레스트(저작권 침해를 조장하는 기능을 제공하지만 사용자들에 의한 침해로부터 보호받음)와 같은 비즈니스 모델들은 미국에서는 합법적이며 권장된다.

표현의 자유와 활발한 토론은 비판을 할 권리의 보장이 필수적이다. 미국의 제도는 표현의 자유를 보호하며 경제 발전도 촉진한다. 미국의 스타트업은 전 세계의 벤처캐피탈로부터 막대한 금액의 투자를 받고 있는데, 다양한 사업모델들을 제도적으로 보호해주고 있기 때문이다.

EU의 경우 정보매개자의 위치가 불안정하고, “잊혀질 권리(right to be forgotten)”와 같은 엄격한 프라이버시 규제 때문에 사업자들이 어려움을 겪고 있다. 구글의 경우 1년 동안 26만여 건의 삭제요청을 받고 946천여 개의 URL을 검토해서 그 중 41.3%만 삭제한다. 언론사인 텔레그래프의 경우 검색결과에서 삭제된(deindexing) 정보를 다시 게시하기도 한다. 결론적으로 이 제도는 실효성이 없고, 표현의 자유를 침해하며, 자국 내 기업에 대한 투자를 위축시키고 혁신을 저해하는 자폭행위(friendly fire)와 마찬가지이다.

한국의 제도는 1. 법원에서 “미필적 고의(dolus eventualis)”를 인정하는 등 과도한 책임을 부과하며, 2. 30일간의 강제 임시조치제도에 의해 표현의 자유를 저해하며, 3. 인터넷 실명제로 익명표현의 자유를 침해하며, 4. 실효성 없는 제도들과 역차별로 인해 혁신을 저해한다.

미국에서 인터넷은 기회로 보지만, 다른 국가들은 인터넷을 두려움의 대상으로 보았기 때문에 결과는 하나도 놀라울 것 없다. 표현의 자유 보장은 정보화시대의 산업계의 정책이 되어야 하며 이는 클라우드 컴퓨팅과 사물인터넷에 시사하는 바가 크다.

○ 발제 2: 올리버 쥬메 회장(유럽ISP협회) - EU 전자상거래지침과 유럽 ISP의 경험

EU 전자상거래지침상 정보매개자 책임의 기반은 1997년 제정된 독일법으로 거슬러 올라간다. 해당 법에서는 3가지 중요한 초석을 세우고 있다.

1. 전송 또는 저장되는 정보나 데이터에 대한 모니터링 의무 부과 금지

2. 정보의 단순 전송 또는 처리에 대한 면책(access provider)

3. 제3자의 콘텐츠의 호스팅/저장에 대한 제한적 책임(hosting provider)

이에 따라 2000년 제정된 전자상거래지침(ECD)은 정보매개자 책임에 대해 제12조 단순도관, 제13조 캐싱, 제14조 호스팅, 제15조 일반적인 모니터링 의무 금지 조항을 두고 있다. 유럽의 책임 체계는 수평적 접근(horizontal approach)이라는 점이 매우 중요하다. 독일법과 마찬가지로 저작권 침해나 혐오표현 등 어떤 법 위반인지에 상관없이 적용된다. 그 이유는 ISP들이 경제적으로, 기술적으로 국가와 사회에 수평적으로 기여하기 때문이며, ISP의 수평적 사업모델을 안정적이고 튼튼하게 보호하기 위해서는 ISP 책임 법제도 수평적으로 접근하는 것이 중요하다. 발제는 3파트로 나뉘는데, Part A에서는 오늘 논의에서 가장 중요한 제14조의 각 요건에 대해 설명하고, Part B에서는 필터링 조치와 “Scarlet-SABAM” 판결을 살펴보며, Part C에서는 EC의 디지털단일시장계획(Digital Single Market Strategy) 및 시사점에 대해 논의하기로 한다.

Part A 제14조 호스팅: ISP는 불법행위에 대한 실질적 인식(actual knowledge)이 없는 한 책임을 지지 않는다. 다만 언제 실질적 인식이 있었다고 볼 것인지에 대해서는 EU 각 회원국의 국내법에서 규정하게 되는데, 결론적으로 서면성, 구체성 등 몇 가지 최소 요건을 갖춘 통지가 있는 경우에만 실질적 인식이 있었다고 인정해야 할 것이다. 또한 얼마나 신속하게(expeditiously) 삭제해야 하는지에 대해서는 사건 별로 유연하게 판단할 수 있어야 한다. 결국 회원국들이 채택한 다양한 방법들은 통지 및 삭제(notice and takedown)의 유형으로 분류될 수 있다. EuroISPA는 이중통지(notice and notice)가 균형이 잡힌 바람직한 제도라고 보고 있다.

Part B 필터링 조치: 필터링 조치가 기술적으로 가능한지의 문제보다 훨씬 더 중요한 것은 필터링 조치가 바람직한가의 문제이다. 기술적으로 효과적인 필터링은 존재하지 않으며, 오히려 합법적인 콘텐츠를 차단할 위험이 크다. 더 크게는 기본권에 대한 침해 문제가 있으며 고비용으로 중소 인터넷기업에게는 큰 부담으로 작용한다. 필터링 조치가 의무화되면 “단순도관”인 ISP가 ECD 제12조의 적용을 받지 못하는 결과를 초래한다. 특히 Scarlet-SABAM 판결에서 벨기에 법원은 이러한 필터링 조치가 효과적이지도 못하고 확장성(scalable)도 없다는 것을 인정했다.

Part C EC의 “디지털단일시장계획”: EC에서 작년부터 최우선순위로 추진하고 있는 정책이며, 3개의 기둥(pillar)로 이루어져 있다. Access, environment of the digital economy and society, economy and society in general. ECD에 대해 바람직한 방향으로의 수정을 전망한다.

○ 토론 1: 김민정 교수(한국외대, 한국언론법학회 연구이사)

발제에 전반적으로 동의하나, 구글이나 페이스북처럼 거대한 정보매개자들은 막강한 힘을 가지고 있으면서도 면책조항으로 도피하기도 하고, 정책 수립에 영향력을 행사하기도 한다. 더 이상 차고에서 구글 같은 검색엔진 스타트업은 나올 수 없다는 비판도 있다. 이러한 정보매개자들을 규제하지 않는다면 민주적인 ICT 생태계를 손상시키는 결과가 초래될 수도 있다고 생각한다. 한국의 이에 더해 아직도 정부에 의한 인터넷 검열과 같은 낡은 문제에 직면해 있는데, 이 두 가지 문제에 대한 해답이 무엇인지 고민해보아야 할 필요가 있다.

○ 토론 2: 이인호 교수(중앙대, 정보법학회 회장)

발제에 전적으로 찬성한다. 현재 한국의 정보매개자들은 임시조치제도, 명예훼손이나 통신자료 제공에 대해 정보매개자의 책임을 인정한 법원의 판결, 엄격한 개인정보보호법의 규제 등에 의해 어려움을 겪고 있다. 디지털생태계에의 정부의 후견적 간섭과 개입으로 인해 혁신의 가능성과 기회가 줄어들고 있다. 미국이나 유럽의 정보매개자 책임 체제의 적극 도입을 고려해야 할 것이다.

○ 토론 3: 윤종수 변호사(법무법인 세종)

미국은 저작권 보호 강화를 주도해왔으면서도, 연방대법원의 소니 판결처럼 ISP 즉 정보매개자와 같은 혁신의 주체에 대해서는 세이프하버(safe harbor) 등을 통해 법적 책임을 완화시켜 왔다. 이에 반해 국내에서는 저작권법, 정보통신망법 등에 책임제한 규정이 있지만 폭넓게 방조책임을 인정하고 있어 제 기능을 못하고 있다. 우리나라의 규제 중심 정보화 법제는 ‘파괴적 혁신’에서 ‘파괴’의 억제에 치중되어 있으며, 이것이 정보매개자에 대한 기본적 태도이다. 정부 중심의 위계적 규제모델은 인터넷 산업에 대해 전혀 긍정적인 영향을 미치지 못하고 있으며, 오히려 많은 비용만을 야기하고 있다고 평가할 수 있다.

[Session 3] 정보매개자책임과 저작권 제도

○ 발제 1: 에릭 골드먼 교수(미 산타클라라대 로스쿨) – 미국 디지털밀레니엄저작권법(DMCA)상 ISP의 책임

박덕영 교수의 사회로 진행된 제3세션은 ‘정보매개자의 책임과 저작권 제도’라는 난해한 주제를 다루었다. 첫 번째 발제자인 에릭 골드만 교수는 미국 저작권법상의 면책 조항의 배경(온라인서비스제공자에게 엄격 책임을 부과한 판례를 변경하려는 입법적 의도, 지금은 다른 방향으로 흘러가고 있는 초창기 인터넷 예외주의)을 소개하는 것으로 시작했다. 골드만 교수는 미국 저작권법상의 면책 조항의 구조 즉, 저작권 침해 문제를 온라인서비스제공자에게 통지할 부담을 저작권자에게 지우는 것, 온라인서비스제공자는 면책 조항을 원용하고 싶은 경우에만 조치를 취하도록 한다는 점, 당시의 판례법을 보충하려는 것이지 대체하려는 것이 아니라는 점을 강조하고, 이러한 면책 구조에서는 온라인서비스제공자가 저작권법상의 면책 요건을 충족하지 못한다고 하여 곧바로 법적 책임을 지는 것이 아니고, 예를 들어 저작권자의 삭제 요청을 무시한 온라인서비스제공자도 여전히 면책을 주장할 수 있다는 점을 강조하였다.

저작권 제도에서 왜 삭제-통지(notice-and-takedown) 제도를 두고 있는가? 골드만 교수에 따르면 그 이유를 온라인서비스제공자를 학술용어로 ‘최소비용회피자(least cost avoider)’로 보았기 때문이다. 즉, 장래의 손해를 막기 위해 온라인서비스제공자가 개입하는 것이 다른 해결책보다 비용이 가장 적게 든다는 것이다. 하지만 지금은 온라인서비스제공자를 저작권 침해 문제를 해결하는 최소비용회피자로 보기 어렵다. 왜냐하면 온라인서비스제공자는 어떤 콘텐츠에 어떤 저작권이 존재하는지 알기 어렵고, 이용자들의 행위가 허락받은 것인지 아닌지 모르기 때문이다. 대표적인 예가 Viacom과 Youtube 소송 사건이다. 그리고 온라인서비스제공자는 공정이용을 판단하기에 적합한 지위에 있지도 않다. 어떤 콘텐츠가 문제가 있는지도 모르는 상태에서 공정이용 여부를 판단하려면 온라인서비스제공자는 너무 많은 자원을 투자해야 한다. 미국 저작권법의 면책 조항은 일종의 정부가 만든 기반시설로서 사람들이 투자할 수 있는 생태계를 구성하지만, 저작권자들이 법 규정의 허점을 이용하여 온라인서비스제공자를 상대로 소송을 제기함으로써 온라인서비스의 사업비용을 높여 놓았다. 온라인서비스제공자에 대한 규제가 강화되면서 우리는 기존의 시장 구조에 갇히게 되고, 결국 새로운 시장진입자가 생길 수 없을 정도로 규제준수 비용이 높아졌다.

○ 발제 2: 레베카 깁린 교수(호주 모나쉬대) – 삼진아웃제에 대한 비교법적 평가

두 번째 발제자인 레베카 깁린 교수는 저작권 삼진아웃제도를 중심으로 이 제도가 성공하였다고 볼 것인지를 저작권 침해의 감소 여부, 합법 시장의 증가 여부, 창작물의 확대 여부 등의 기준으로 검토하였다. 깁린 교수는 20세기 초 소아마비와 아이스크림 소비 감소를 예로 들면서 상관관계와 인과관계의 혼동 문제를 지적하였다. 삼진아웃제가 성공이라는 주장(가령 한국에는 삼진아웃제도가 있다, 한국에서는 저작권 침해가 줄었다, 그래서 삼진아웃제도 때문에 저작권 침해가 줄어들었다는 주장)에 동일한 문제가 있다는 것이다. 깁린 교수의 18개월간의 연구에 따르면 삼진아웃제가 저작권 침해를 줄였다는 증거는 한국은 물론 다른 국가에서도 찾기 어렵다. 법률가들에게는 난해한 간단한 수학을 동원하여 깁린 교수는 삼진아웃제에 따른 경고 횟수의 오류를 설명하였다. 가령, 2차 경고를 받은 사람이 1차 경고를 받은 사람의 8%에 불과하다는 숫자는 프랑스 삼진아웃제도의 성공과 아무런 관련이 없다.

중요한 문제는 삼진아웃제를 유지할 것인가 여부이다. 이제 강행규범 형태로 삼진아웃제도를 새로 도입하는 나라는 2011년 이후부터 사라졌고 대신 사적인 자율규제 형태로 일부 도입되었으며, 프랑스에서는 삼진아웃제가 거의 폐지되었고, 뉴질랜드에서는 거의 활용되지 않으며, 영국은 사실상 포기했고, 대만도 거의 시행되고 있지 않다. 제도의 유지 여부에 대한 해답은 비용 효과 분석과 실증연구로부터 찾아야 한다. 그리고 저작권 제도의 집행 조치들도 문화적 산물의 풍성화와 우리 사회의 진보에 기여하는지를 기준으로 재평가할 필요가 있다.

○ 토론 1: 이규홍 부장판사(서울중앙지방법원 지재전담)

토론자로 나선 이규홍 판사는 온라인상의 문제에 대해 한국에서는 이를 빨리 해결해야 하는 혼란의 하나로 본다는 점과 법원을 통해 가부간의 판단에 너무 집착한다는 문제점을 지적하면서, 저작권법의 면책과 관련해서는 그 동안 방조 책임 법리로 해결해 오던 우리 판례의 태도와 미국의 유발(inducement) 책임이나 의도적 외면(willful blindness)과 어떻게 조화시킬 것인지가 관건이라고 보았다. 그리고 저작권 침해를 알 수 있었을 경우에도 책임을 지우는 우리 판례의 태도는 온라인서비스제공자에게 모니터링 의무를 부과하는 결과가 될 수 있다고 우려하며, 저작권법 제104조는 여전히 위헌 문제가 있고, 깁린 교수의 삼진아웃제와 관련된 지적을 대부분 동의하며 제도의 평가가 필요하다고 보았다.

○ 토론 2: 정필운 교수(한국교원대, 한국인터넷법학회 총무이사)

정필운 교수는 삼진아웃제가 사법적 심사도 거치지 않고 게시판 정지까지 가능하다는 점에서 문제이지만 위헌이라고는 보지 않는다고 하였다. 저작권 정책에서 문화적 고려를 강조하면서 정 교수는 비록 동료 저작권법 전공 교수는 삼진아웃제도가 형사 처벌을 완화 또는 대체하는 긍정적인 효과가 있다고 하지만 여전히 문제가 있다고 역설했다. 그리고 저작권자와 이용자 간의 균형은 저작권 제도에서 무너졌고 그 결과 문화와 혁신을 장려하지 못하며, 개인 창작자의 창작의 장려보다는 영리를 추구하는 기업의 이해를 저작권 제대가 대변한다고 비판하였다.

○ 토론 3: 최경수 수석연구위원(한국저작권위원회)

우리 저작권 제도의 산증인이라고 소개받은 최경수 수석연구위원은 미국이나 유럽이 좀 더 완성된 제도를 만들었고 이를 우리가 도입했다면 좋았을 것이라며 아쉬움을 드러냈다. 그리고 미국 저작권법의 면책 조항이 실패했다는 골드만 교수의 발제문에 대해 주로 호스팅 서비스 제공자와 관련된 문제를 전체로 확대 해석한 것은 아닌지, 삼진아웃제에 대해서는 제도의 성공에 대한 인과관계를 보여주는 자료는 한국에도 없지만 긍정적인 상관관계를 보여주는 지표를 통해 어느 정도 성공을 볼 수 있다고 평가했다. 프랑스의 삼진아웃제도와의 차이점(경고 숫자가 훨씬 적다는 점의, 강제력이 없는 권고라는 점)을 들어 여전히 삼진아웃제도가 한국에서는 의미가 있다고 하며, 비용효과 분석을 위해 어떤 변수를 사용할 수 있을지 깁린 교수의 견해를 요청하였다. 그리고 제도의 평가를 저작권 산업계가 했다는 것 자체가 문제가라기 보다는 검증이 관건이며, 행정 규제가 바람직한지 여부는 디지털 환경, 윤리, 문화 등 다양한 요소로 판단해야 한다고 토론을 마쳤다.

방청석에서 2명이 토론에 참여하였는데, 저작권보호센터 관계자는 호주의 삼진아웃제 논의에 대한 질의와 삼진아웃제를 성공적이라고 평가한 다른 연구 결과를 소개하였다. 박경신 교수는 우리 저작권법 제103조는 삭제 요청에 대해 조치를 취하도록 온라인서비스제공자에게 의무화한 것은 미국 저작권법의 면책 조항을 잘못 도입한 것이라고 지적하였다.

인터넷의 문명사적 의의와 정보매개자책임제도

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

인터넷의 생명은 극단적으로 분산되고 개인화된 소통방식을 통해 모든 개인을 공적 소통에 참여시킨다는 것이다. 여기서 공적 소통이란 일반대중에게 한꺼번에 소통하는 것을 말하는데, 인터넷은 모든 사람이 타인의 허락 없이 원하는 글을 볼 수 있는 공적 소통의 장이며, 또 모든 사람이 이 공적 소통의 장에 타인의 허락 없이 글을 올릴 수 있다. 다른 공적 소통의 방법인 방송과 신문에서는 기자와 데스크의 선택을 받지 못한 개인들은 공적 소통에서 배제될 수밖에 없지만, 인터넷은 다르다. 물론 인터넷에는 이메일, 채팅, 클라우드 등의 다른 기능도 있지만, 세계 각국이 인터넷을 특별히 보호하기 위해 노력하는 이유는 인터넷이 엄청나게 다양한 개인들을 공적 소통에 포용하여 그 특유한 방식으로 정치, 사회, 경제를 발전시키기 때문이다.

우리나라 헌법재판소도 “경제력이나 권력에 의한 위계 구조를 극복하여 계층․지위․나이․성 등으로부터 자유로운 여론을 형성함으로써…국민 의사를 평등하게 반영하여 민주주의가 더욱 발전되게 한다”고 판시한 바 있고 “저렴한 비용으로 누구나 손쉽게 접근이 가능하고 가장 참여적인 매체로서…경제력 차이에 따른 선거의 공정성 훼손이라는 폐해가 나타날 가능성이 현저히 낮[다]“고 판시하기도 하였다.

그런데 개인들에게 타인의 허락 없이 소통할 자유를 허락하는 한 인터넷에는 명예훼손, 저작권침해, 음란물 등의 불법행위가 일어날 수밖에 없다. 이에 대해 어떻게 대응할 것인가?

인터넷의 생명을 지킨다는 것은 여기서 두 가지 결단을 필요로 한다. 첫째, 사전차단이 아니라 사후규제여야 한다. 불법정보를 사전에 차단하려면 모든 정보를 누군가가 미리 검열하고 이를 통과한 정보만 인터넷에 오르게 해야 하는데 이와 같은 ‘일반적 모니터링’은 인터넷의 생명인 타인의 허락 없이 공적 소통을 할 자유가 파괴됨을 의미한다. 인터넷에 오른 정보는 타인의 승인 안에 오른 것이기 되기 때문이다. 둘째, 정보를 매개한 사업자(“정보매개자”)에게 불법정보에 대해 책임을 지울 때는 그 정보와 불법성을 인지한 경우에만 책임을 지도록 해야 한다. 정보매개자가 인지하지 못한 정보에도 책임을 지운다면, 사업자들은 자신의 서버에 오르는 정보를 모두 사전검열을 하려 할 것이며 역시 ‘타인의 허락 없이 공적 소통을 할 자유’는 파괴될 것이다.

외국의 법들은 바로 이 결단들을 법제화하고 있다. 미국 CDA 제230조와 DMCA 제512조, EU전자상거래지침 제14조, 일본 프로바이더책임법 제3조는 법원이 정보매개자들에게 책임을 지울 때 자신이 모르는 정보에 대해서는 책임을 지우지 못하게 하는 조항들을 두고 있고 어떤 나라도 불법정보의 유통을 방지할 의무를 부과하지 않는다. EU전자상거래지침 제15조는 EU회원국이 일반적 모니터링 의무를 정보매개자에게 부과하지 못하도록 명시하고 있다.

우리나라는 어떠한가? 정보통신망법 제44조의2와 저작권법 제102조가 외국의 책임제한 조항을 도입한 것처럼 보이지만, 해당 망법 조항과 저작권법 제103조가 합법적인 정보마저도 누군가 불법이라고 주장만 하면 차단해야 할 의무를 부과하여 (이런 의무는 세계에서 유일무이하다) 그 취지를 퇴색시켰을 뿐 아니라, 망법조항은 책임제한여부 자체가 불분명하다. 저작권법 제104조와 전기통신사업법 제22조의3은 웹하드들에게 각각 특정 불법정보들(음란물 및 특정 원본의 저작권을 침해하는 게시물)의 유통을 “차단” 또는 “방지”할 의무를 부과하고 있고 아청법 제17조는 모든 정보매개자에게 아동포르노의 유통을 “중단” 또는 “방지”할 의무를 부과하고 있는데, 이는 각각 다른 나라에서는 금기시되거나 금지된 일반적 모니터링의무에 해당한다. 아무리 모니터링의 목표물이 범위가 좁거나 해악이 큰 것이라고 하더라도 정보매개자 입장에서는 모든 정보를 일일이 확인해야만 해당 목표물을 찾아내어 사전차단을 할 수 있기 때문이다.

많은 사람들은 개인이 허락 없이 세상을 향해 외칠 수 있는 자유 자체를 두려워한다. 걱정하지 마시라. 인터넷이라는 정보의 바다에서 어떤 정보를 길어 올릴지의 판단은 각 개인에게 주어진다. 내가 인터넷에 글을 올린다고 해서 모두가 볼 수 있는 것이 아니다. 보고 싶어 하는 사람만 볼 뿐이다. 검색을 통한 미리 보기는 그 선택권을 강화해준다. 방송과 신문의 시대에는 자신이 원하는 것을 골라볼 자유가 채널 수준으로 한정되어 있었지만 인터넷의 시대에는 그 자유가 기사 수준으로 확장되어 있고 그 자유의 양과 폭도 훨씬 넓다. 성인을 전제로 한다면, 유해한 정보의 파편들에 상처받은 개인을 상정할 것이 아니라 원하는 정보를 습득한 개인을 상정해야 한다.

또 다른 많은 사람들은 강건한 정보매개자들을 상정한다. 소송당할 때 소송당하더라도 합법적인 정보들은 지켜내고 게시물 검열을 거부하는 정보매개자들을 상정한다. 현실은 그렇지 않다. 수많은 정보매개자가 법적 책임의 위험 때문에 합법적인 글들을 삭제차단하고, 서비스들을 축소하거나 닫고 있으며, 새로운 기술개발에 투여되어야 할 자원을 게시물 모니터링에 소진하고 있다. 더 중요한 것은 이런 모니터링 비용이 진입장벽으로 기능하면서 새로운 경쟁력 있는 정보매개자의 탄생이 지연되고 있다는 것이며, 살아남은 정보매개자들은 살아남았다는 이유로 ‘사회적 책임’의 압박을 받고 있는데 그 사회적 책임의 내용 역시 이용자들의 소통 자유를 제약하는 것들이다.

인터넷은 문명사적으로 매우 특별한 도구이다. 인류가 처한 상당수의 문제에 대한 해결책은 이미 존재한다. 매년 수백만 명이 기아로 죽고 있지만, 인류는 이미 인구가 필요한 식량의 3배를 매년 생산해내고 있고, 더욱 중요한 것은 아사를 피할 수 있는 최소량에 해당하는 식량을 매년 버리고 있다. 엄청나게 많은 사람들이 치료법이 없는 병 때문에 죽는 것이 아니라 치료법의 유통이 제대로 되지 않아 죽는다. 중요한 것은 해결책을 실행에 옮기기 위한 의지의 조직이며, 인터넷은 의지들이 축적되기 위한 첫 단계로서의 상호소통을 가속화하고 나아가 그런 의지를 조직해내는 다양한 정치적 기술적 산업적 혁신들을 가능하게 한다. 우리나라는 최소한 정보매개자책임제도라도 국제적인 기준에 맞게 개선하여 그런 상상의 나래라도 펼 수 있도록 해주자.

* 위 글은 허핑턴포스트코리아에도 기고하였습니다.

미디어 컨버전스와 내용규제 모델에 대한 국제회의 참관기 – 공인인증서 문제와 기술중립성 원칙

지난 2015년 7월 24일 태국의 Foundation for Community Educational Media (FCEM) National Broadcasting and Telecommunication Commission (NBTC) 공동주최로 “New Thinking for New Media”이라는 제목의 국제회의가 태국 방콕에서 개최되었고 필자는 패널로 본 회의에 참석하였다.

본 회의는 방송과 통신이 융합되는 환경에서 규제의 지향점을 모색해보고자 여러 국가들의 규제상황을 비교 분석하는 자리로 마련되었다. 한국에서는 필자를 포함하여 미디액트의 김명준 대표, 한국인터넷자율정기구(KISO)의 유정석 실장이 함께 초청되었다.

필자는 오전 세션인 “Infrastructure for the Future: How convergent media governance could facilitate innovative economy and democratic society?”에 패널로 참석하여 한국의 공인인증서와 액티브 엑스 문제 및 기술 중립성이라는 인터넷 규제 원칙에 대해 간략히 발표했다. (발표내용은 첨부파일 참조)

우선 최근 한국에서 윈도우 10 업데이트시 기본 브라우저에서 더 이상 액티브 엑스(Active X)가 지원되지 않아 발생한 문제를 언급하고, 문제의 원인은 한국의 전자서명법과 전자금융거래법이 기술중립성 원칙을 준수하지 않았기 때문이라고 지적했다. 지난 10년간 전자금융거래법령에서 공인인증서 사용을 정부가 사실상 강제하면서 공인인증서라는 특정 기술만 전자금융거래에 사용되었고, 공인인증서가 액티브 엑스 (Active X)라는 기술에 의해 구현되면서 한국의 인터넷 이용환경은 지난 10년간 마이크로소프트사의 인터넷 익스플로러에 종속될 수밖에 없었다는 점을 강조하였다.

이는 유럽 등에서 인터넷 규제의 원칙으로 자리잡은 “기술중립성”을 위반한 것인데, 기술중립성은 인터넷 관련 규제(정책)는 특정 기술이 드러나거나 특정 기술에게 유리한 방향으로 정의되어서는 안된다는 원칙이다. 인터넷 규제가 특정 기술만 사용되거나 특정 기술에 유리하게 디자인되면 특정 기술 외의 다른 기술들이 시장에 선보이지 못하여 경쟁이 제한되고, 이에 따른 차별이 발생하여 결국 시장에서의 기술 혁신이 좌절되는 악순환이 이루어지기 때문이다.

이러한 이유로 오픈넷은 특정 기술의 사용을 강제하지 못하는 취지의 전자금융거래법 개정안을 국회에 제안했고 지난 해 9월 30일 국회 본회의를 통과하여 올해 10월 시행을 앞두고 있다는 점도 함께 소개하였다. 주지하다시피 금융당국은 법 개정의 취지에 맞게 전자금융거래에 공인인증서 사용의무와 관련한 규제를 이미 철폐한 바 있다.

플로어에서는 기술중립성 원칙에 비추어 특정 기술에 대한 지원도 제한되는지 여부에 대한 질문이 제기되었다. 특히 저개발국에서 기술 보급을 위한 정부 지원이 다분히 필수적인데 기술중립성과의 조화로운 해석이 가능한지에 대한 의문이었다.

이에 필자는 기술중립성은 인터넷 규제 디자인과 관련하여 가장 중요한 원칙이거나 유일무이한 원칙이 아니며 다른 원칙들과 조화롭게 해석되어야 한다는 전제 하에, 특정 기술에 대한 정부 지원은 지원금에 관한 규제에 의해 조화롭게 규제될 수 있다고 답변하였다. 그리고 지원금 선정 기준으로는 특정 기술을 직접 규정하는 방식보다는 최소 충족 기준(performance standard)을 설정하여 그 기준을 충족하는 기술에 대하여 지원하는 방식을 택하는 것이 기술중립성 원칙과 조화로운 해석이 될 수 있다는 점도 덧붙였다.

본 회의에서 기술중립성 사례 외에도 한국의 인터넷 관련 규제와 진흥 정책은 많은 관심을 받았다. 특히 미디어 융합 환경에서 마을 방송 등 지역의 대안적 미디어에 대한 서울시의 정책에 태국 청중들의 질문이 집중되었고, 오후 세션에서 내용규제와 관련한 자율규제기구의 운영 방식에 대해서도 청중들은 많은 관심을 보였다. 그러나 시간 관계상 한국의 정보매개자에게 부과되는 규제에 대해서는 구체적인 논의가 이루어지지 못했다.

한국은 인터넷 강국이라는 수사가 항상 뒤따른다. 그러나 이는 세계 최고 수준의 인터넷 속도라는 다분히 인프라 적인 측면에서의 평가라는 점에 주목할 필요가 있다. 필자가 발표한 공인인증서와 액티브 엑스 문제에서 단적으로 드러나듯, 한국의 인터넷 이용환경은 세심하게 고려되지 않은 규제들로 인하여 폐쇄적이며 특유의 활력을 잃어가고 있다.

오픈넷은 전자금융거래 규제가 기술중립성 원칙에 따르도록 법 개정 운동을 성공적으로 이끈 것처럼 한국 인터넷 환경을 보다 자유롭고 활력 넘치는 공간으로 만들기 위해 앞으로도 다양한 분야에서 구체적인 정책 대안을 제시할 예정이다.

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임

- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

참가신청하기

지난 11월 4일, 이석우 전 다음카카오 대표가 아동·청소년의 성보호에 관한 법률(아청법) 위반 혐의로 기소되었습니다. 검찰은 기소 사유로 이 전 대표가 카카오 대표로 재직 당시 온라인 서비스 제공자로서 아동음란물을 발견하기 위한 기술적 조치를 취하지 않아 지난해 6월부터 8월까지 ‘카카오그룹’에서 약 7,115명에게 아동음란물이 배포됐다고 밝혔습니다.

아청법 제17조는 온라인 서비스 제공자가 아동·청소년이용음란물을 발견하거나 삭제하기 위한 기술적 조치를 취하지 아니한 경우 3년 이하의 징역 또는 2천만원 이하의 벌금에 처한다고 하고 있습니다. 해당 법 위반 혐의로 인터넷 사업자가 기소된 것은 아청법이 제정된 이래 처음이자, 아동음란물의 제작자 또는 유포자가 아닌 단순한 정보매개자의 직접적인 형사책임을 인정한 전 세계적으로도 유래를 찾아보기 어려운 사건입니다.

아동음란물은 절대적으로 금지되어야 하며, 아동음란물의 제작자나 유포자는 당연히 처벌받아야 할 것입니다. 하지만 아동음란물이 유통되는 플랫폼을 제공한 온라인 서비스 제공자에게 필터링 의무를 지우고 의무 위반시 형사처벌을 하는 법의 타당성에 대해서는 논란이 있습니다.

이번 오픈넷 포럼에서는 정보매개자의 필터링 의무와 관련된 국내외의 논의에 대해 알아보고, 필터링 의무 위반으로 처벌을 하는 것은 형사정책상 어떠한 의미가 있는지, 필터링 의무가 실제로 어떻게 이행되고 있는지, 이러한 의무의 존재가 온라인 서비스 제공자, 나아가 인터넷에 어떤 영향을 미치고 있는지에 대해 논의해보고자 합니다. 많은 분들의 관심과 참여를 바랍니다.

* 참가비는 무료이며 링크를 통해 참가신청을 해주시면 행사준비에 많은 도움이 됩니다.

* 주차는 스타트업 얼라이언스 건물(현대타워) 주차장 이용 가능하며, 주차 영수증을 지참하시면 무료 주차권 발급이 가능합니다.

* 참석하신 분들께는 샌드위치가 제공됩니다.

<행사 안내>

[오픈넷 포럼] 이석우 전 다음카카오 대표 기소와 정보매개자 책임

- 아청법상 온라인 서비스 제공자 아동음란물 필터링 의무의 타당성

주최: 국회의원 이종걸, 국회의원 송호창, 사단법인 오픈넷

일시: 2015년 12월 14일 (월) 저녁 7시 30분 - 9시 30분

장소: 스타트업 얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location/

발제 1: 김가연 변호사(오픈넷) – “아청법상 필터링 의무와 정보매개자 책임”

발제 2: 남희섭 이사(오픈넷) – “필터링 의무 해외 사례”

토론:

전현욱 박사(형사정책연구원)

류한욱 팀장(주식회사 이지원인터넷서비스)

김태하 팀장(주식회사 뮤레카)

여성가족부/방송통신심의위원회(협의중)

참가신청하기

문의: 오픈넷 사무국 02-581-1643, [email protected]

스마트보안관은 사라졌지만 감시는 계속된다

글 | 오픈넷

방통위가 청소년들을 유해정보에서 구해내겠다며 청소년들의 스마트폰에 배포한 스마트보안관이라는 모바일 앱이 있다. 방통위는 2013년부터 무려 이 앱을 위해 약 30억 원의 예산을 들였고 이통3사와 한국무선인터넷산업연합회(이하 MOIBA)가 함께 개발을 했다.

스마트보안관을 실행시키면 이 앱이 계속 스마트폰에 상주해있으면서 이용자, 즉 청소년이 스마트폰을 통해 하는 모든 행동이 모두 모니터링 되는 방식으로 작동한다. 주요 기능은 아래와 같다.

• 청소년에게 유해하다고 판단된 정보에 접근하는 것을 원천적으로 차단한다.
• 부모에게 청소년 자녀의 스마트폰 일평균 이용시간, 주 이용시간대, 주 이용정보 카테고리 등의 정보를 제공한다.
• 부모가 청소년 자녀의 스마트폰 이용을 통제한다. (시간별, 앱별 등)
• 스마트폰에 설치된 스마트보안관을 청소년이 임의로 삭제할 수 없게 한다.

주요 기능만 봐도 애정이 과한 부모 세대가 청소년 세대를 스토킹하고 일거수 일투족을 감시하는 등 적극적으로 사생활 침해를 하는 느낌이 든다. 놀랍게도 방통위가 2015년 4월 16일부터 시행한 “전기통신사업법 시행령” 일부 개정령에 의하면 청소년에 판매하는 스마트폰에는 유해매체물을 차단할 수 있는 앱을 반드시 설치해야 했다. 이 법률상 의무를 충족할 수 있는 여러 앱이 있지만 방통위는 자신들이 개발한 스마트보안관 설치를 은근히 장려했고 이에 따라 아래와 같이 수십만명의 청소년의 스마트폰에 깔리게 되었다.

심각한 보안 문제, 7개월 만에 서비스 중단

결론부터 말하면 2015년 11월 1일 방통위는 스마트보안관 앱·서비스를 중단한다고 발표했다. 실제로 스마트보안관 앱은 구글 플레이 스토어에서 삭제됐다. 방통위가 스마트보안관 서비스를 중단한 건 의무 사용을 강요한 이 서비스에 심각한 보안 문제를 끝내 해결하지 못했기 때문이라는 의견이 있다.

스마트보안관의 심각한 보안 결함을 발견한 것은 토론토 대학교 뭉크스쿨 글로벌상황연구소 산하 시티즌랩이다. 시티즌랩은 2015년 9월 20일 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱”이라는 보고서를 공개했다. (참고: 관련 오픈넷 보도자료)

이 보고서에는 스마트보안관의 프라이버시 보호 정도 및 보안성에 대한 독립적인 두 건의 감사 결과가 담겨있다. 감사는 보안감사 전문 회사인 큐어53(Cure53)과 함께 진행이 됐는데, 연구진은 스마트보안관_[1]을 이용하는 청소년과 부모의 프라이버시와 보안을 위헙하는 26건의 취약점이 있다고 밝혔다. 이 보안 취약점들을 이용하면 스마트보안관 계정을 무력화시키는 것은 물론이고 데이터 변조, 개인정보 절도 등 다양한 공격에 당할 수 있다는 것이다.

보고서에서 밝힌 문제점들을 요약하면 다음과 같다.

• 인증 문제: 정상적인 확인절차나 암호 없이도 계정의 등록과 관리가 가능한 문제점 존재
• 인프라 문제: 서버는 구식 프로그램을 이용하고 있고, 보안조치와 암호화가 업계 표준으로 구현되지 않음. 무작위 대입 공격에 대한 대책 없음
• 법적·정책적 함의: 스마트보안관의 설계 수준이 취약해서 MOIBA의 스마트보안관 약관과 개인정보정책에 맞지 않음. 또한 스마트보안관의 기능은 전기통신사업법령의 내용을 넘어서 프라이버시를 침해함

시티즌랩은 9월 20일 보고서를 공개하기 전 MOIBA에 이 내용을 공유하고 문제를 수정하도록 45일을 기다렸고 일부 취약점을 보완했다고 답변을 했으나 전체 취약점을 해결했는지 답변이 없어 보고서를 공개했다고 한다.

시티즌랩은 그후 MOIBA가 관련 개선을 하였는지 확인하기 위해 2015년 11월 1일 2차 감사를 한 결과를 발표했다. (참고: 관련 오픈넷 보도자료) 2차 감사는 1차 감사 때보다 보완이 됐다고 주장하는 최신 버전을 대상으로 했는데_[2] 일부 수정·보완이 이루어졌지만, 여전히 아래와 같은 심각한 문제점들이 남아있다고 했다.

• 공격자가 청소년의 휴대폰 번호를 알고 있다면 청소년의 생년월일, 휴대폰에 설치된 모든 앱의 목록, 모든 차단 규칙을 취득할 수 있다.
• 공격자는 여전히 청소년의 휴대폰의 차단 규칙이나 설정을 마음대로 변경할 수 있기 때문에 청소년이 휴대폰을 사용하지 못하도록 잠글 수 있다.
• 공격자는 여전히 스마트보안관 부모용의 비밀번호와 청소년의 계정과 연계된 부모의 휴대폰 번호를 찾아낼 수 있다.

이에 시티즌랩은 스마트보안관을 앱스토어에서 즉시 내리고, 이용자들은 사용을 즉시 중단할 것을 권고했다. 즉, 방통위는 시티즌랩이 중단 권고를 한 당일 바로 서비스를 중단한 것이다.

조선닷컴 기사에 따르면 방통위는 스마트보안관 중단 조치에 관해 “지난달 모든 이통사가 음란물 차단 앱을 무료로 보급하기 시작했기 때문에 플레이스토어에서 삭제했을 뿐”이라며 “문제와 관계없이 예정된 일정에 따른 조치”라고 밝혔다.

여기서 말한 이통사의 차단 앱이란 SK텔레콤의 “T청소년유해차단”, KT의 “올레 자녀폰 안심”, LG유플러스의 “U+ 자녀폰지킴이” 등을 말하는데, 이것들은 여전히 플레이 스토어에서 다운로드를 받아 실행할 수 있다.

계속되는 프라이버시 무시·자녀 감시들

따라서 문제는 여전히 남아있다. 정부가 아니더라도 이통사를 비롯한 여러 회사들이 유사한 기능의 앱을 계속해서 배포하고 서비스하고 있다. 이런 위험한 앱들이 시중에 나와 있는 가장 근본적인 이유는 일명 “청소년 스마트폰 감시법”이 이런 앱들의 설치를 강제하고 있기 때문이다.

개정된 전기통신사업법에는 이통사가 청소년과 계약을 할 경우 청소년 유해매체물과 음란정보를 차단할 수 있는 수단을 제공해야 한다고 되어 있고, 세부 방법·절차는 시행령에서 정하도록 되어 있다.

법에 이렇게 명시되어 있는 경우 정부가 아니더라도 누군가 반드시 청소년에게 유해정보를 차단하기 위한 서비스를 만들어야 한다. 기본적으로 이를 위해서는 많은 정보에 접근을 하고 모든 정보를 들여다봐야 하는데, 그 과정에서 청소년은 부모와 협상할 기회도 없이 부모의 상시감시 아래 놓이게 되는 프라이버시 침해가 발생하는 것은 자명하다.

또 법은 차단서비스만 제공하라고 했지만 차단서비스가 상시 작동하고 있는지 확인하기 위해서는 스마트폰 기기 전체에 대한 상시감시가 필요하고 이를 구현하기 위해서는 스마트보안관처럼 수십 억의 돈을 들여도 이용자들을 오히려 각종 보안 위협에 노출될 가능성도 여전하다.

또한 이 시행령은 이통사가 유해정보 차단 앱이 설치되었는지 확인할 수 있는 방법에 대해 명시하지 않고 있다. 그리고, 이통사를 통해 구입하지 않고, 스마트폰을 직접 구매하는 이용자나 외국산 스마트폰을 이용하는 이용자의 경우는 확인조차 할 수 없는 한계점도 명확하다.

심지어 성인인 부모조차 이러한 발상과 서비스를 거부할 방법이 없다는 것도 문제다. 앱의 품질이 나빠 이용을 거부하거나 자녀의 프라이버시를 지켜주기 위해 설치를 하지 않을 수도 있는데, 시행령은 부모가 당연히 동의할 것이라고 전제하고 있다. 이 앱은 부모가 원치 않아도 자녀의 폰에 설치되어 부모와 자녀를 감시자와 피감시자의 관계로 몰아넣어 스마트폰 이용에 관해 교육적인 대화를 할 수 있는 기회를 박탈한다.

감시와 통제로 교육? 발상 자체가 문제

정부는 프라이버시를 포함한 기본권을 침범할 소지가 높더라도 청소년의 모든 스마트폰 이용 내역을 감시하는 법안을 마련하고, 수십억 원의 예산을 들여 보안성이 매우 떨어지는 앱을 직접 개발해 배포했다. 불행 중 다행으로 지금은 직접 앱을 배포하는 것은 포기했지만, “청소년 스마트폰 감시법” 때문에 여전히 이런 강제 모니터링 앱을 설치해야 하는 수많은 청소년들이 존재한다.

정부는 여전히 청소년의 문자메시지, 채팅 메시지, 검색어 등을 감시하는 서비스를 운영 중이다.

정부는 통제와 감시로 문제가 해결된다는 생각을 버려야 한다. 시민들은 학교와 가정에서 교육해야 할 영역을 국가가 법으로 학교·부모의 감시를 강제하거나 이를 위해 개인용 통신기기에 특정 소프트웨어의 장착을 요구하는 것의 위험성에 대해 다시 한번 심각하게 생각해 봐야 할 때다.

————————————————–

[1] 안드로이드용 스마트보안관 최신버전(1.7.5 이하)

[2] 안드로이드용 스마트보안관 1.7.7

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 11. 16.)

오픈넷, “문화와 지식의 공동 생산: P2P 기술과 Digital Democracy” 주제로 포럼 개최

개방형 지식과 공유를 기반으로 한 사회를 꿈꾸며 실천하는 사람들이 있습니다.

이들은 지식과 정보에 대한 독점적 권리에 기초한 현행 제도에 반기를 드는 것처럼 보이지만, 자발적인 개인들의 협력적 참여를 통한 역동적 생산 모델은 우리 주변에서 쉽게 볼 수 있습니다. 자유 소프트웨어와 오픈소스 운동, 교육과 과학 분야의 오픈 액세스 운동, 인터넷 백과사전 위키피디아, 오픈 데이터, 개방형 정부와 자유 문화, 3D 프린팅을 통한 마이크로 제조업 등을 꼽을 수 있겠습니다. 이 운동들은 새로운 종류의 민주적, 경제적 참여를 통해 문화 혁신을 꾀하며, 좀 더 민주적이고 지속가능한 미래의 씨앗을 뿌리는 것을 목표로 합니다.개인과 개인간의 소통을 뜻하는 P2P (Peer-to-Peer)를 기치로 내건 “P2P 재단”이 전 세계적으로 어떤 활동을 하고 있는지 오픈넷 포럼에서 들어보려고 합니다. P2P 문화를 인간활동의 모든 분야로 확대하려는 이들의 기획이 한국 사회에서 어떻게 실천할 수 있을지 고민하고 토론하는 의미 있는 자리가 될 것으로 기대합니다.

P2P는 개인들을 흩어진 모래알 같은 존재가 아니라 네트워크로 연결된 협력적이면서 역동적 개인으로 재구조화하는 생태계를 만들어 낼 수 있습니다. 이를 가능하게 하는 P2P 기술은 직접 민주주의를 구현하는 데에도 활용될 수 있습니다. 인간 개인 각자의 이해와 요구를 정확하게 반영하고 다원적 인간이 관계를 통해 소통하고 숙의하며 경제적으로 동일한 공동체가 가능하다면, 우리의 대표를 더 이상 우리를 대표하지 못하는 의회 민주주의, 대의 민주주의를 대체하는 새로운 모델을 실험해 볼 수 있습니다.

P2P 생태계의 핵심 기술로 주목 받는 블록체인(Block Chain) 기술과 이것이 펼쳐보일 미래를 경험할 자리에 여러분을 초대하오니, 많은 분들의 관심과 참여를 바랍니다. 참가비는 무료이며, 아래 링크를 통해 참가신청을 하실 수 있습니다.

- 안내 및 참가신청 링크: http://opennet.or.kr/10436

<행사 안내>

[오픈넷 포럼] 문화와 지식의 공동 생산: P2P 기술과 Digital Democracy

* 일시: 2015년 11월 11일(수) 오후 7시 – 9시

* 장소: 스타트업얼라이언스 앤스페이스 (서울시 강남구 테헤란로 423, 현대타워 7층/선릉역 10번 출구에서 직진, 3분거리)

- 지도: http://startupall.kr/location

* 사회

남희섭 | 오픈넷 이사/변리사

* 발제

최예준 | 노동자협동조합 엑투스 이사장

최용관 | P2P재단코리아준비위원회
<참고 자료 링크>

• P2P Foundation

• P2P재단코리아준비위원회

• P2P 재단과 피어생산

• Yochai Benkler, The Penguin and the Leviathan: How Cooperation Triumphs over Self-Interest

• 제레미 리프킨, “한계비용 제로 사회: 사물인터넷과 공유경제의 부상”

• 데이비드 볼리어, “공유인으로 사고하라”

• P2P 재단 위키의 피어 생산 관련 카테고리

• World Economic Forum, Deep Shift: Technology Tipping Points and Societal Impact