KT의 다음카카오팩은 망중립성을 해치는 서비스일까

글 | 오픈넷

2015년 8월 5일 KT가 다음카카오(현 카카오)와 함께 유료 부가서비스 “다음카카오팩”과 “다음카카오 데이터쿠폰”을 출시했다.^[1] 이용 요금 3,300원으로 카카오톡, 카카오TV, 카카오페이지, 다음, 다음 웹툰, 다음tv팟을 데이터용량 3GB 내에서 자유롭게 이용할 수 있다.^[2]

“다음카카오팩”과 “다음카카오 데이터쿠폰”은 KT의 다른 데이터 충전 부가서비스에 비해 월등히 싸다. “LTE 데이터충전”으로 3GB 이용권을 구입하려면 34,100원으로 약 10배 정도는 더 비싸다. 물론 “LTE 데이터충전”으로는 모든 인터넷 서비스를 이용할 수 있고 “다음카카오팩”으로는 위에서 언급한 서비스만 이용할 수 있다.

이쯤되면 떠오르는 단어가 있는데, 바로 “망중립성”이다. 다음카카오팩은 인터넷의 모든 데이터를 동등하게 대해야 한다는 망중립성을 어긴 것일까? 미래창조과학부(이하 미래부)는 이를 두고 ‘망중립성 가이드라인 위반 소지가 크다’며 KT에 다음카카오팩에 대한 소명을 요구했다. 아예 위반한 것도 아니고 위반 소지가 크다고 한 건 무슨 뜻일까. 심지어 서비스를 중단시키거나 중단을 권고하지도 않았다.

한국의 망중립성

망중립성이란 ‘모든 망사업자와 정부는 인터넷의 모든 데이터를 동일하게 취급해야 하며 사용자나 내용, 전송방식 등에 어떠한 차별도 하지 않아야 한다’는 개념이며 비차별, 상호접속, 접근성의 세 가지 원칙을 갖는다.

한국의 방통위는 2011년 12월 26일 미국과 유럽 등과 비교해도 뒤지지 않는 망중립성 가이드라인을 발표한 바 있다. 요약하면 다음과 같다.

• 이용자 권리를 명시적으로 선언:무해하고 적법한 기기나 서비스를 이용할 권리와 트래픽 관리에 관한 정보를 제공받을 권리가 이용자에게 있음을 분명히 선언.
• 투명성: 트래픽 관리 내용을 투명하게 공개해야 할 의무를 망사업자에게 부과
• 합리적 트래픽 관리: 차별적 대우를 금지하되 합리적 트래픽 관리는 일정한 경우에 허용됨을 규정
• 관리형 서비스 인정: 그러나 기본형 서비스의 품질이 적정 수준으로 유지되는 한도에서 관리형 서비스가 허용됨을 명시

물론 방통위는 KT가 삼성의 스마트TV 서비스를 일방적으로 차단할 때도 아무런 제재를 하지 않거나 지금껏 통신사들이 무선인터넷전화 서비스를 제한하는 것 역시 허용하는 등 자신들이 세운 가이드라인을 정확하게 이해하는 것 같지는 않아 보인다. 하지만 가이드라인은 나쁘지 않다.

사례1: 카카오택시 기업 회원의 데이터 무료 서비스

2015년 5월 13일 다음카카오(현 카카오)는 KT에 가입한 카카오택시 기사 회원이 카카오택시 기사용 앱을 이용할 때 드는 데이터 사용료를 무료로 하는 서비스를 내놓았다.^[3] 이를 “카카오택시 데이터 무료” 서비스라고 칭하자.

특정 이용자에게 특정 서비스를 무료로 이용할 수 있게 하는 “카카오택시 데이터 무료” 서비스는 망중립성을 위반한 걸까? 방통위나 미래부는 이 서비스에 대해 어떤 언급도 하지 않았고 제재도 가하지 않았다. 왜 그럴까? 먼저 기억할 것이 있다.

망중립성 가이드라인은 망사업자에 대한 규제다.

그렇다면 이 서비스는 망중립성 위반이 아니다. 카카오는 망사업자가 아니기 때문이다. 만약 다른 법규나 규정을 적용한다면 “공정거래법”이 적당할 것이다. (물론 망사업자도 공정거래법의 적용을 받는다.)

콘텐츠 사업자가 자신의 서비스를 촉진하기 위해 자신의 서비스 이용에 필요한 망사용료를 쿠폰으로 발행하는 것은 망중립성 문제가 아니라 공정거래법의 문제다. 즉, 카카오의 콘텐츠 사업자로서의 시장지배력이나 진입장벽 등을 따져서 판단을 하면 된다.

따라서 미래부가 카카오택시 데이터 무료 서비스를 망중립성 위반이 아니라고 본 것은 좋은 판단이라 여겨진다. 공정거래법 위반 여부는 별도로 파악을 해야겠지만, 예측컨데 시장상황을 판단할 경우 역시 문제가 되지 않을 것으로 본다.

사례2: 이통사의 무선인터넷전화 서비스 차별

반면 KT나 SK텔레콤 등의 망사업자가 자신의 서비스를 우대하는 것은 어떨까? 여기서 “우대한다”에는 크게 두 가지가 있다.

1. 물리적으로 우대한다. (예: 속도를 조절한다. 접근을 차단·허용한다.)
2. 가격으로 우대한다. (예: 자신의 서비스만 싸게 제공한다.)

일단 1번의 경우처럼 특정 콘텐츠의 접근 속도를 빠르게 하거나 다른 콘텐츠의 접근을 막거나 느리게 하는 것은 100% 망중립성 위반이다. 현재 한국에서 벌어지고 있는 것처럼 ‘이용자가 자신이 계약해서 확보한 데이터로 무선인터넷전화 서비스를 이용할 때 용량 제한이 있는 경우’가 대표적인 예다. 예전 요금제를 쓰는 이용자가 겪는 차별은 더 크다.

그렇다면 2번처럼 망사업자가 자신의 서비스를 가격으로 우대하는 것은 어떨까? 망중립성이 반대하는 차별이 ‘물리적 차별’만을 뜻한다는 견해와 ‘가격적 차별’도 뜻한다는 견해가 전 세계적으로 맞서고 있다. 물론 전자의 견해가 다수 의견이 되더라도 위에서 언급한 것처럼 한국에서는 시장상황에 따라 공정거래법 위반이 될 가능성이 높다.

사례3: KT 카카오팩과 특정 서비스의 트래픽 우대

그렇다면 망사업자가 자신의 서비스가 아니라 (계열사가 아닌) 제휴사의 서비스를 견제적 계약을 통해 우대해주기 위해 망사용료를 면제해주는 것은 어떨까? KT의 다음카카오팩을 여기에 맞춰보기 전에 고려해야 할 지점이 있다.

첫째, 만약 KT 다음카카오팩이 망사업자 주도의 서비스라고 본다면 이는 물리적 차별이 아니라 가격 차별이다. 다음카카오팩을 이용한다고 더 빠른 속도로 카카오 서비스를 이용하는 것도 아니고, 네이버나 구글 등 다른 서비스를 이용 못 하는 것도 아니기 때문이다. 그렇다면 이는 현재 논란과 토론이 진행 중인 부분이다.

둘째, 만약 다음카카오팩을 KT가 아니라 카카오가 주도하는 것이라면 망중립성 위반과는 관계 없다고 볼 수 있다. 서비스 사업자가 자신의 서비스를 촉진하기 위해 망사용료에 해당하는 쿠폰을 이용자에게 저렴한 가격으로 발행하는 것으로 볼 수도 있다.

망중립성 원칙 vs. 서비스 촉진

지금까지의 상황은 이렇다.

• 미래부는 KT의 다음카카오팩 서비스가 망중립성 가이드라인의 위반 소지가 크다고 판단했다.
• 하지만 미래부는 다음카카오팩 서비스를 중단시키지는 않았고, KT 우선 소명을 요구했다.
• 미래부는 KT에 다음카카오팩 외에 네이버팩 등 다른 서비스를 저렴하게 이용할 수 있는 상품을 출시할 것을 권고했지만 KT는 아직 응답이 없다.
• 미래부는 다른 통신사에게 이와 비슷한 서비스의 출시를 보류하도록 했다.

서비스 사업자 입장에서 자신의 서비스를 더 많이 이용할 수 있도록 최대한의 노력을 다 하는 것은 당연한 일이다. 하지만, 이것이 망사업자와 함께 진행된다면 자칫 망중립성을 헤치는 구도가 만들어질 수도 있다. 이통사가 다양한 업체들의 여러 프로모션을 최대한 지원해준다 하더라도 신규 서비스나 작은 서비스들이 상대적인 차별을 받을 수도 있다.

이데일리 기사에 따르면 미래부는 통신사가 특정 콘텐츠기업과 제휴해 특정 콘텐츠·서비스 이용시 데이터 요금을 내지 않는 “제로 레이팅(Zero-Rating)”은 문제가 없는 것으로 본다고 한다. 통신사가 주도하거나 혜택을 주는 디지털 음원 서비스가 대표적이다. (예: 멜론, 지니, 엠넷 등)

하지만 팀 버너스-리는 이 “제로 레이팅”이 망중립성의 위험이 될 것이라고 판단한다. 유럽 연합 사이트에 올라온 팀 버너스-리의 글을 인용해 본다.

‘웹의 아버지’ 팀 버너스-리(2014년 모습, 출처: Paul Clarke, CC SA)

물론 망중립성은 (특정 서비스를) 막거나 (대역폭을) 조절하는 것뿐 아니라 인터넷 업체가 다른 서비스보다 특정 서비스를 지지하는 것 같은 ‘긍정적인 차별’을 막는 것이기도 하다. 만약 우리가 이를 명시적으로 불법이라 하지 않는다면, 우리는 엄청난 힘을 통신사와 온라인 서비스 오퍼레이터에게 넘겨주게 될 것이다. 사실 그들은 시장에서의 승자와 패자를 결정하고 자신의 사이트와 서비스, 플랫폼을 좋아하게 만들도록 하는 게이트 키퍼가 될 수 있다.

이것은 경쟁을 밀어내고 혁신적인 새로운 서비스가 빛을 보기도 전에 파괴할 것이다. 새로운 스타트업이나 새로운 서비스 제공자가 고객들을 모으기도 전에 경쟁자에게 허락을 구하거나 돈을 내야 한다고 생각해보라. 마치 뇌물 수수나 시장을 악용하는 것처럼 들릴 것이다. 하지만 이것이야 말로 우리가 망중립성과 멀어질 때 예상할 수 있는 시나리오다.

Of course, it is not just about blocking and throttling. It is also about stopping ‘positive discrimination’, such as when one internet operator favours one particular service over another. If we don’t explicitly outlaw this, we hand immense power to telcos and online service operators. In effect, they can become gatekeepers – able to handpick winners and the losers in the market and to favour their own sites, services and platforms over those of others.

This would crowd out competition and snuff out innovative new services before they even see the light of day. Imagine if a new start-up or service provider had to ask permission from or pay a fee to a competitor before they could attract customers? This sounds a lot like bribery or market abuse – but it is exactly the type of scenario we would see if we depart from net neutrality.

출처: 유럽 위원회 – Net neutrality is critical for Europe’s future

미래부의 이번 결정은 신중한 결정을 내리기 위한 단계로 보기 부족하지 않아 보인다. 어느쪽으로 결정하든 망중립성을 해치지 않는 쪽으로 진행하길 바란다.

—————————————–

[1] 두 서비스는 기본적으로 같은 혜택을 주는 상품이며 전자는 월정액, 후자는 일회성 상품이다.

[2] 보이스톡, 페이스톡, 카카오게임, 카카오뮤직은 제외

[3] 단, 지도 화면을 확대·축소하거나, 김기사 앱으로 길안내를 받는 경우 발생하는 데이터는 제외했다.

* 위 글은 슬로우뉴스에도 동시 게재하고 있습니다. (2015. 12. 2.)

캐나다 토론토대학 시티즌랩 주최 워크샵 CLSI 참가 후기(한국인터넷투명성보고팀)

글 | 손지원 (변호사, 고려대 한국인터넷투명성보고팀 연구원)

오픈넷과 협력하는 고려대 한국인터넷투명성보고팀은 지난 6월 캐나다 토론토대학교 산하 시티즌랩에서 주최한 워크샵 프로그램인 Citizen Lab Summer Institute에 참가하였다. 본 워크샵에서는 캐나다, 미국, 영국, 홍콩, 대만, 한국, 콜롬비아, 등 각국의 인터넷 인권 관련 시민단체 및 학계 등의 다양한 분야의 전문가들이 모여 인터넷 인권 관련 이슈를 논의하였다.

이번 워크샵에서는 특히 통신 감시, 검열 현황에 대한 ‘투명성보고’ 연구를 집중적으로 다루는 패널 세션 및 그룹회의가 구성되어, 투명성보고의 최신 경향 및 투명성보고가 앞으로 나아가야 할 방향에 대하여 논의하였다.

첫 날 ‘공공과 기업의 투명성’이라는 주제의 세션에서는, 캐나다 프라이버시 위원회(Privacy Commissioner of Canada)의 Chris Prince의 사회로, Teksavvy의 Bram Abramson, 홍콩 투명성보고의 Jennifer Zhang, Access에서 기업 투명성보고를 분석하는 Peter Micek, 그리고 한국 투명성보고서의 손지원 연구원이 패널로 참여하여, 각자의 경험을 바탕으로 각국의 투명성보고의 경향, 투명성보고를 촉진, 발전시키는 방법 및 한계 등에 대하여 의견을 발표하였다.

손지원 연구원은, 온라인 메신저 대량 감시 사태가 이슈화되자, 국내 네이버, 다음의 양대 사업자들이 경쟁적으로 투명성보고서를 발간하기에 이르른 한국의 최근 상황 및  한국 정부의 투명성 및 공개 수준에 대하여 설명하였다. 이를 바탕으로, 국가 단위의 투명성보고를 촉진하기 위하여는 입법으로 의무화하는 것이 가장 중요하고, 기업의 투명성보고를 촉진하기 위하여는 대중의 관심을 끌 수 있는 사안을 발굴하여 이슈화하는 것이 중요하다고 밝혔다. 또한 투명성보고의 궁극적 목적은 대중의 역감시를 가능하게 하고, 정부 및 기업이 과도하게 통신을 검열, 감시하는 관행을 억제시키는 것이기 때문에, 단순히 수치를 중립적으로 제공하기보다 대중의 관심을 끌 수 있는 개별 사안에 대한 이슈화 및 비평들의 역할도 필요하다는 의견을 제시하였다.

이어진 2일 간은 소규모 그룹회의를 통하여 워크샵 참여자들의 투명성보고의 발전 방향에 대한 구체적이고 심층적인 의견교환이 이루어졌다.

‘주요 투명성보고 데이터의 세팅 및 접근, 구조 (Structure of, and Access to, Primary Transparency Datasets)’를 주제로 이루어진 회의에서는, 최근 공개되고 있는 정부 및 기업의 데이터의 종류와 그 근거 규정, 그 한계와 보충되어야 할 항목들에 대한 논의가 이루어졌다.

특히, 접근 부분에 관해서는 투명성보고서를 공개하고 있는 경우에도, 정부와 기업 모두 데이터 혹은 투명성보고서를 쉽게 찾을 수 없도록 하고 있어, 적극적으로, 접근하기 쉬운 방법으로 제공되고 있는 것으로 보이지 않는다는 점이 지적되었다. 또한 기업 보고서의 경우, 텍스트나 표 시트가 아닌 이미지 등으로의 제공은 오히려 데이터를 활용, 분석하는 데에 있어 복사, 붙이기 등의 작업을 어렵게 한다는 문제점이 있으므로, 이를 용이하게 하는 방향으로 데이터가 공개되어야 한다는 의견도 있었다.

단순히 요청 건수, 제공 건수만 공개하는 것은 질적 평가를 불가능하게 한다는 것이 공통된 의견이었다. 따라서 1. 요청 형식 (공식/비공식, 긴급/일반, 영장유무), 2. 제공 사항 (통신내용/통신기록/신원정보), 3. 목적 및 근거 규정 (죄명 등), 4. 요청 기관명, 5. 관련 서비스 유형 (메일, 메신저, 동영상, 게임 등), 6. 사후 기소율, 유죄판결율 등과 같은 구체적 데이터 항목이 공개될 필요가 있다는 의견이 오갔다. 또한 특히 기업 보고서의 경우에는, 기업이 이용자의 권리를 잘 보장하고 있는지를 평가하여야 하므로,  제공 근거규정에 대하여 단순히 법률만을 인용할 것이 아니라, 각사의 정책에 따른  구체적인 검토, 제공 기준을 공개하고, 구글이 하고 있는 것과 같이 특히 문제될 수 있는 사안에서 제공을 거절 사례와 그 이유를 서술하는 방식의 항목이 필요하다는 의견이 있었다.

각 기업의 투명성보고서를 비교, 분석하는 작업을 하는 연구자들의 입장에서는, 나라별로 제도가 다르고, 또한 기업별로 공개 항목도 달라 연구에 상당한 고충이 따르고, 또한 더 나은 투명성보고 관행을 수립하기 위하여 투명성보고서의 표준화 작업이 필요하다는 데에 입을 모았다.

‘주요 데이터 수집 및 게시 방법론(Methods of Gathering and Presenting Primary Data)’을 주제로 한 회의에서는, 각 연구자들이 어떻게 데이터들을 수집하고, 종합하여 일반에게 게시하고 있는지, 효율적인 투명성보고를 위하여 중점을 두어야 할 것이 무엇인지를 논의하였다.

각 국가 내에서 이루어지는 감시, 검열 현황을 관리하는 중앙화된 시스템이 없는 경우에는, 개별 기관마다 따로 정보공개청구를 하여야 하고, 국가 전체적으로 이루어지는 현황을 파악할 수 없다는 한계가 있었고, 또한 이러한 관리와 공개를 의무화하는 근거규정이 없는 이상, 개별 기관들도 공개요청에 불응하는 경우가 많기 때문에, 입법으로 중앙화된 관리와 공개를 의무화하는 것이 가장 효율적인 정책 전략임이 시사되었다. 스노든 사태 이후, 각국 정부의 투명성보고 책임에 대하여 관심이 집중되고 있고, 앞으로 APEC, OECD 등 국제회의에서도 정부의 투명성보고가 주요한 이슈가 될 것이라는 예측도 있었다.

투명성보고서를 발간하는 기업이 늘어남에 따라, 더 나은 투명성보고 관행을 촉진하기 위하여, 각 기업의 투명성보고 수준을 평가하고 순위를 매기는 시민단체의 활동도 있었다. 이러한 활동은 각 사업자들이 모범적인 사례를 따르도록 유인할 수 있다는 면에서 고무적이라는 평가가 일반적이었다.

국가별 투명성보고서의 리스팅 작업과 투명성 수준에 대한 평가 작업에 대한 논의도 오갔다. 비록 공개되고 있다고 하더라도 언어와 제도가 달라서 분석에 어려움이 따를 것으로 예상되지만, 감시, 검열 현황을 공개하지 않고 있거나, 혹은 공개 수준이 낮은 국가들에게 다른 국가의 공개 사례를 근거로 제시하는 것만으로도 공개 요청에 있어 중요한 자료가 될 수 있으므로, 참여자들이 함께 이러한 작업에 힘쓰기로 하였다.

전체적으로 투명성보고 관련 논의에 있어서 연구자들이 가장 신경쓰는 부분은, 투명성보고서가 사회에 메세지를 던질 수 있는, 중요한 자료가 될 수 있는가였다. 이를 위해서는 더 구체적인 내용에 대한 투명성이 필요한데, 아직 정부도, 사업자도, 통신 감시, 검열 행태에 대하여 대중이 정확한 평가를 내릴 수 있을 정도의 데이터는 제공하지 않고 있다. 더 나은 투명성을 확보하기까지는 상당한 시간과 노력이 필요할 것으로 보이고, 투명성보고만으로 정부나 기업의 행태가 가시적으로 변화하지는 않겠지만, 포기할 수는 없는 영역인 것이다. 이번 워크샵은 이러한 장기적인 주제에 대하여 각국, 각계의 연구자들이 머리를 맞대고 발전방향을 모색하고 국제적인 모범 기준을 세우는 지속적인 연대활동의 중요성을 일깨워주는 소중한 시간이었다.

* 함께 읽기: Citizen Lab Summer Institute 2015 참가 후기(오픈넷/김가연 변호사)

한국 인터넷 감시, 검열의 현 주소

글 | 손지원(고려대 인터넷투명성보고팀 연구원, 변호사)

투명성보고서란 무엇인가 ?

국가는 범죄의 예방 또는 수사를 위하여 통신에 대한 감시, 검열 활동을 행할 수 있다. 모든 공권력 행사가 그렇듯 통신에 대한 감시, 검열 권한 역시 필요 최소한 범위 내에서 행사되어야 하고, 이것이 지켜지고 있는지에 대해 국민들이 역감시할 수 있도록 국가는 이를 최대한 투명하게 공개하여야 한다.

스노든의 폭로 이후, 대중들 사이에서 통신 감시에 대한 우려가 증폭되자 구글이 각국 정부의 통신 감시, 검열 요청과 제공 현황을 공개하는 투명성보고서를 발간한 이후, 현재는 전 세계 58개 사업자들이 투명성보고서 발간에 참여하고 있다. 국가가 아니라 오히려 이용자들의 신뢰도에 민감한 ‘사업자’들에게 투명성보고서가 보다 일반적인 관행으로 자리잡고 있는 것이다.

그러나 어디까지나 감시, 검열 권한을 행사하는 주체는 국가이기 때문에, 역감시의 중점은 국가가 전체적으로 수행하는 감시, 검열에 맞춰져야 한다. 이것이 바로 국가 단위의 투명성보고서와 연구가 반드시 필요한 이유이다. 구글(Google)이 지원하고 고려대학교 법학전문대학원 공익법률상담소(CLEC)가 사단법인 오픈넷과 협력하여 수행하고 있는 한국 인터넷 투명성 보고 연구 사업은, 2011년부터 2014년까지 이루어진 정부의 인터넷상 감시(감청, 신원정보제공 등) 및 검열 (사이트 차단, 게시물 삭제 등) 현황을 종합적으로 분석한 ‘한국 인터넷 투명성 보고서(2015)’를 발간하였다.

한국의 통신 감시와 검열, 얼마나 행해지고 있나?

그렇다면 본 보고서상 나타난 최근의 통신 감시, 검열의 주요 현황은 어떠할까?

전체 통신에 대한 통신사실확인자료제공 (송수신 번호, 시간, 위치 등 통신 내역·기록에 대한 확인)은 연평균 약 25만 건, 2천만 개 계정에 대해 이루어지고 있다. 계정수 기준으로 보면 전 국민의 약 20%에 달하는 어마어마한 수치다.

한편, 통신의 ‘내용’을 포함하여 상대방, 통신기록, 신원정보 모두를 포괄적으로 확인 가능한 통신사업자에 대한 압수·수색 현황은 현재 정부에서 공개하고 있지 않다. 국내 양대 온라인 서비스 사업자인 네이버와 다음카카오가 2015년 초부터 공개하고 있는 자료가 유일하다. 이에 따르면 두 사업자에 대한 압수수색만 연 평균 약 9,000건, 약 45만 개의 계정에 대하여 이루어지고 있다. 2014년만 기준으로 보면, 이들 사업자에 대한 통신제한조치, 통신사실확인, 통신자료제공 요청으로 조치된 계정 수를 다 합쳐도 약 1만 4천 개인데 압수수색으로는 양사 이용자 중 40만 명 이상의 정보가 제공되었다는 것은, 적어도 인터넷 감시에 있어서는 통신사 서버 압수수색이 가장 주력으로 쓰이는 수단임이 확인된 것이다. 또한 압수·수색이 보통 통신의 ‘내용’을 사후적으로 확인하기 위하여 이루어짐을 감안할 때, ‘통신제한조치(감청)’ 현황 상의 양사의 비율을 고려하면 약 150만 개의 인터넷 이용자 계정, 약 5백만 명의 전체 통신 이용자 정보가 압수·수색으로 제공되고 있는 것으로 대략 추산된다. 이런 엄청난 양에도 불구하고 압수수색을 이용한 통신감시 현황이 정부 차원에서 공개되지 않고 있는 것은 심각한 문제이다.

통신 검열 분야를 살펴보면, 방심위의 시정요구 건수는 해마다 약 1.3배씩 증가하여 2011년 5만 7,944건에서 2014년 13만 2,884건으로 4년 사이 3배 가까이 늘어났다. 특히, SNS 심의는 2012년 뉴미디어 심의가 시작된 이후로 2012년 4,454건, 2013년 6,403건에서 2014년 17,591건으로 급상승하였다. 또한 2014년 시정요구를 받은 정보통신서비스제공자 및 게시판 관리 운영자들의 준수율(이행율)은 99.2%이며, 4년간 총 362,694건 의 시정요구에 대하여 시정요구 철회나 이의를 신청한 건수는 단 219건(0.06%)에 불과하다. 그밖에도 본 보고서에는 방심위 통신심의의 개별 문제 사례도 수록되어 있어 우리나라의 인터넷 검열 현황을 더욱 생생하게 파악할 수 있다.

투명성보고, 국민 스스로의 관심이 있어야 진정한 의미

위에서 분석한 것과 같이 한국의 통신 감시, 검열의 규모는 매우 방대하다. 주로 어떠한 범죄의 수사를 위하여 위와 같은 감시가 행해지고 있는 것인지, 그것이 필요최소한의 범위에서 행해진 것인지 등은 이에 대한 구체적인 공개가 없는 이상 명확하게 판단할 수는 없다. 그러나 전 국민의 20%에 상당하는 수치가 그 대상이 되었다는 사실만으로도 통신에 대한 감시가 상당히 무분별하게 이루어지고 있는 것은 아닌지 의심해볼 필요가 있다. 국가가 범죄 예방이나 국민의 안전 등을 위해 수행하는 적절한 감시와 검열은 사회 보호를 위한 수단일 수 있지만, 이러한 활동은 한편 필연적으로 통신의 자유, 프라이버시, 표현의 자유, 개인정보자기결정권 등 국민의 권리침해를 동반한다. 국가가 국민의 기본권을 최대한 보호하면서 공권력을 행사하여야 한다는 최소한의 기본권 감수성이 없어질 때 국민들은 ‘당신을 위해 당신도 감시하고 검열해야 한다’는 권위주의적 국가의 모순적 표어 아래 자신의 권리를 내어주어야 하는 상황에 처하게 된다.

이러한 비극을 방지하기 위해서는 국민 스스로가 국가의 감시, 검열이 적절하게 행해지고 있는지에 대하여 관심을 가지고 끊임없이 문제를 제기하여야 한다. 만약 일반 국민이 이에 대해 무감각하면 국가나 사업자는 이러한 활동에 대하여 점점 책임감을 덜 느끼게 될 것이고, 과도한 감시나 검열 관행은 더욱 공고해질 것이다. 또한 국민들이 자신의 정보와 표현물이 어떻게 처리되고 있는지를 아는 것은 국민의 당연한 권리이기도 하다. 국민들이 더욱 투명성보고서에 관심을 가지고 국가에 대하여 더 높은 투명성을 끊임없이 요구하여야 하는 이유이다.

‘한국 인터넷 투명성 보고서’는 http://transparency.or.kr (영문: http://transparency.kr) 에서 열람 및 다운로드할 수 있다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.02.04.)

85번만 반복하면 된다

글 | 박경신 (고려대 법학전문대학원 교수, 오픈넷 이사)

옥시 사태 등등 때문에 ‘내가 이런 저런 피해를 당하면 어느 정도 배상을 받는 것이 정당한가’ 궁금해 하는 사람들이 많다. 당연히 판결문 검색을 대법원 사이트에서 해보면 되긴 하는데… (참고로 일반인들이 자주 쓰는 http://www.law.go.kr/main.html에 나오는 판결문들은 전체 판결의 0.29% 밖에 되지 않는다.)

2015년 1월 1일 이전 판결은 사건번호를 모르면 안된다. 즉 키워드 검색이 없다.

https://www.scourt.go.kr/portal/decide/DecideList.work

‘번호’를 넣어야 검색할 수 있다는 게 진정한 의미의 ‘검색(search)’이라고 할 수 있을까? 그냥 ‘불러오기(retrieve)’아닌가? 이렇게 되면 특정한 사건의 존재를 알고 그것을 찾으려는 사람에게만 유의미할 뿐, 어떤 사건이 존재하는지를 알아보고 싶은 사람에게는 쓸모가 없다.

2015년 1월 1일 이후에 나온 민사판결은 키워드 검색이 가능하긴 한데…

http://www.scourt.go.kr/portal/information/finalruling/peruse/peruse_status.jsp

각급 법원별로만 검색이 가능하다. 전국에 18개의 지방법원, 5개 가정법원, 1개 행정법원, 지원 54개, 고등법원들, 대법원까지 합쳐 85개 법원이 있으니, 예를 들어 가습기살균제 관련 판결문들을 찾고 싶으면 “가습기살균제”라는 검색어 입력을 85회 반복해야 한다.

게다가 검색결과가 나오면 판결문들의 내용을 보기 위해서는 1건당 1천원씩 내야 한다. 물론 1천원 결제를 위해서 대한민국 온라인 결제에서 필요한 모든 플러그인이 다 필요하다(공인인증서 등등).

여기서 더 큰 함정은 1천원을 쓸 가치가 있는지 파악하기 위한 ‘미리보기’ 같은 게 허용되지 않는다는 거다. 결국 100개 정도 검색결과가 나왔을 때 그걸 울며 겨자 먹기로 10만원 내고 다 봐야 원하는 것을 찾을 수 있다는 것이고 그중에서 건질 것은 2건 정도밖에 없을 수도 있는 것이다. 이 시나리오에서 실질가격은 1건당 1천원이 아니라 5만원이 된다!

판결문 익명화하는 데 드는 비용? 나는 헌법적으로 공개재판의 원칙에 따라 판결문 익명화는 불필요하고 국민이 판결문에 접근할 권리가 더 중요하다고 생각하지만, 혹시 익명화를 해야 한다고 할지라도 판결문 생산 과정에서 공개용 익명본을 만드는 방식으로 하면 큰 비용 들이지 않고 해결된다. 또 익명화가 판결문에 거론된 사람들의 프라이버시 보호를 위해서라면 누구의 프라이버시가 얼만큼 보호되어야 하는지 가장 잘 아는 사람도 해당 사건의 판사일 것이다.

여기까지는 민사고 형사는 더욱 답답하다. 최근 사건들도 어떤 사건을 달라고 해야 할지 아는 사람이 해당 법원(위의 85개 중 하나, 제주지원 사건이면 제주지원)의 웹사이트에 찾아가 사건번호와 당사자 이름까지 정확히 입력하면 비로소 그 사건만을 보여준다는 것이다. 이것 역시 “검색”이 아니라 “불러오기”이니 판결문으로 법을 배우고자 하는 사람에게는 젬병이다.

게다가 이름과 주민번호를 입력해서 검색하는 사람의 실명이 확인되어야만 열람을 시작할 수 있다. 일종의 “판결문열람 실명제”를 하는 건데 이건 왜 필요한지 모르겠다. 익명으로 판결문으로 볼 자유를 제한하는 것인데 그것으로 어떤 공익을 지키려는 것인지 아무리 생각해도 파악하기 어렵다. 판결문에 영업비밀이 있어서? 그럼 그런 사건은 아예 처음부터 비공개재판을 하고 그 판결문만 비공개로 처리하면 된다. 극소수의 판결문 때문에 어떤 판결문이든 국민이 명찰 달고서만 볼 수 있다는 건 2012년 위헌 결정을 받았던 게시판실명제의 논리이다.

연합뉴스에 따르면 공정거래위원회는 시정명령·과징금·고발 등 모든 행정조치와 관련한 의결서를 공개하고 있다. 공개 내용에는 피심인, 사실관계, 조치근거, 조치내용 등이 포함된다. 공정위 전원회의 의결은 법원의 1심 판결과 동일한 효력을 가진다.

- 공정거래위원회 의결서 공개 페이지 바로가기

* 이 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.05.10.)

공공데이터 운동 | 민주주의의 산업화

글 | 박경신(고려대 법학전문대학원 교수, 오픈넷 이사)

지젝은 “자본주의의 바깥은 없다”는 말을 회자시킨 적이 있다. 세월호사태, 메르스사태, 옥시사태, 구의역 사고를 보면서 시민에 의한 권력과 자본에 대한 감시가 필요하다는 강렬한 공감대가 형성되고 있다. 감시자에 대한 감시 즉 역감시는 민주주의의 핵심요소이다.

우리는 정보들을 축적, 가공, 공유, 공개하면서 권력과 자본을 감시할 수 있다. 그 효과는 위키리크스의 사례에서 보듯이 인터넷을 통해 극대화될 수 있다. 영리서비스라고 해서 그 효과가 훼손되는 것도 아니며 도리어 민주주의는 자본주의 생산관계의 한 축으로 자리 잡을 때 자본주의 내에서 근본적인 변화를 발생시킬 수 있다.

강력한 개인정보보호법은 항상 필요하다. 하지만 개인정보보호법의 목적은 정보주체들의 프라이버시 보호이다. 프라이버시 법익이 남아 있다고 보기 어려운 정보들에 대해서 개인정보보호법이 적용되어 그 축적이나 공개가 어렵게 되면 민주주의가 위축된다. 이 정신은 1980년 OECD가이드라인, 이를 계승한 2004년 APEC프레임워크에 문서화되어 있다.

아래의 두 가지 영리서비스들에 대한 독일연방개인정보보호법 판례와 EU의 1995년 개인정보보호지침 판례는 이와 같이 프라이버시 법익이 없는 정보의 자유로운 이용의 중요성을 설파하고 있다. 참고로 EU지침은 회원국들에게 특정한 내용의 입법을 할 것을 강제하는 구속력을 가진다.

2007년부터 독일에 spickmich.de라는 웹사이트가 개설되었는데 학생들이 교사들의 실력, 복색 등을 점수를 매겨 평가하고 학교의 기자재, 건물, 학풍 등을 점수를 매겨 평가하는 사이트였다. 평가대상은 실명으로 거론되었지만 학생들은 익명으로 평가를 하였다. 2010년 3월에는 160만명 가입자를 모으고 있는 청소년대상 웹사이트 중 최대를 기록할 만큼 인기가 좋았다. 이 사이트는 곧바로 영리사이트로 발전하였다.

교사 1명이 위 사이트가 자신의 프라이버시를 침해한다며 연방개인정보보호법 상의 소송을 제기하였다. 그러나 지방법원, 지방고등법원 그리고 연방대법원에서도 패소하였다(23 June 2009 – VI ZR 196/08; LG Köln – 28 O 319/07 – Judgment of 30 January 2008; OLG Cologne – 15 U 43/08 – judgment of 3 July 2008). 연방대법원은 독일연방개인정보보호법 제29조, 즉 “개인정보의 상업적인 수집, 보존, 수정, 및 이용은 정보주체가 그와 같은 수집, 보전, 수정을 금지할 법익을 가지고 있지 않은 것으로 보이는 경우”에 합법적이라는 조항에 따라 위 사이트의 운영이 합법적이라고 판시하였다. 정보주체가 그러한 법익을 가지고 있는가에 대하여 연방대법원은 “사실적 주장을 하고 있는 것이 아니라 견해와 감정을 표현하는 것이라서 명예훼손이 되지 않는다”고 하며 개인정보보호법을 위반하지 않는다고 결론내렸다. 교사의 평판정보는 아예 처음부터 학생들의 머릿속에서 생성되는 것이기 때문에 교사가 은밀하게 보호할 수 있는 정보가 아니었기 때문에 애시당초 프라이버시 법익이 깃들지 않은 정보였음을 확인한 것이라고 볼 수 있다. 연방헌법재판소 상고허가는 기각되었다. 위 판결은 정보주체의 프라이버시 법익이 깃들지 않은 정보에 대해서는 상업적 이용도 자유롭게 허용됨을 확인하였다는 의의가 있다.

1994년부터 핀란드의 유료잡지 Veropörssi는 매년 핀란드인들의 소득과 자산정보를 게재해왔고 2002년에는 전 인구의 3분의 1 즉 120만명의 과세정보가 게재되었다. 이 정보는 핀란드법 상 완전한 공개정보이다. 2003년부터 이 잡지사는 문자로 사람 이름을 보내주면 그 사람의 과세정보를 제공하는 서비스를 개시하였다. 이 문자서비스에 대해 핀란드 개인정보보호기구가 개인정보보호법 위반을 주장하자, 2008년 12월 유럽사법재판소는 표현의 자유와의 균형을 고려할 때 EU개인정보보호지침 95/46/EC가 법적용을 면제하고 있는 “언론행위(journalistic activities)”는 “반드시 신문, 방송 등의 전통적인 언론사에 의한 보도만을 의미하는 것이 아니라 무언가를 일반대중에게 공개하는 모든 행위를 포함하는 것”이라고 하였다. 특히 매체와 영리목적을 불문하고 그렇다고 명시하였다. (ECJ Case 73/07 Satakunnan Markkinapörssi and Satamedia (2008)) 그 이후 유럽인권재판소가 언론행위라고 보기 어렵다고 판시했지만 그 이유는 인구의 3분의 1에 대하는 엄청난 양을 과세정보에 대한 논평, 토론이 부재한 문자서비스의 형태로 게시했기 때문이며 유럽사법재판소의 판결의 유효성에는 변함이 없다.

공공데이터는 운동이 되고 산업이 되어야 한다. 민주주의를 확보하기 위해 우리에게 공개되어야 하는 개인정보들은 너무나 많기 때문이다. 프라이버시로 보호되어야 할 법익이 깃들지 않은 정보들을 신중히 가려내 더욱 창의적이고 조직적인 산업화가 이루어지길 바라는 마음이다.

* 위 글은 허핑턴포스트코리아에 기고한 글입니다. (2016.06.14.)

구글 지도 반출, 21세기식 접근이 필요하다

글 | 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. → 구글 지도 반출, 21세기식 접근이 필요하다
2. 보안 처리: 구시대적 지도 검열

지난 6월 초 구글이 한국 지도 반출을 재신청하면서 비롯된 논란이 좀처럼 수그러들지 않는다. 정부나 구글, 국내 업체 등 이해 당사자들이 내놓는 주장이 뒤섞이며 사실관계조차 헷갈리고, 정보통신 서비스 영역을 넘어 안보나 국가 자존심까지 입길에 오르고 있다.

7월에 세계를 급속히 달군 포켓몬 고 열풍도 이러한 논란에 부채질했다. 한국이 게임 서비스 지역에서 제외된 것이 구글 지도로 뒷받침되지 않기 때문이라는 주장이 제기되었기 때문이다.

좀 더 냉정한 시각으로 바라보면 이 문제에는 몇 가지 이슈가 꼬여 있음을 알 수 있다. 이렇게 꼬인 데에는 이유가 있지만, 여하튼 이런 가닥을 차근차근 분리하고 우리가 이미 알고 있는 원칙들을 적용한다면 문제는 의외로 쉽게 풀릴 수도 있다.

다음에 실릴 글과 함께 두 차례에 걸쳐 한국 지도 정보의 국외 반출 문제, 그리고 그보다 더 근본적인 문제를 차례로 짚어 본다.

한국에서 지도 쓰기를 포기하는 외국인들

지난 5월 19일, 오픈넷이 주최한 포럼 ‘시각장애인을 위한 저작권 혁신 조약’에서 발제를 할 사람은 미국 메인 대학교 법학교수인 다니엘 콘웨이(Danielle Conway, 사진) 박사였다. 그녀는 아주 오래전에 한국을 한 번 다녀간 적이 있을 뿐이다. 당연히 서울 지리에 깜깜하다.

숙소인 서울대 교수회관에서 포럼이 열리는 선릉역 부근 행사장까지 오는 길을 알려주어야 했다. 어떤 교통편을 이용해 올지 몰라서, 일단 지도부터 보냈다. 한국인이 흔히 쓰는 네이버나 다음 지도는 그녀에게는 무용지물이다. 영어로 표기되지 않기 때문이다. 그래서 구글 지도로 이미지를 떠서 이메일로 보냈다.

콘웨이 박사는 택시를 타고 왔다. 목적지를 못 찾아서 선릉역 부근을 뱅뱅 돌던 기사가 결국 내게 전화를 했다. 행사는 이미 시작되었고, 발제자가 40분도 더 늦는 바람에 토론자가 먼저 마이크를 잡는 일이 벌어졌다. 택시요금은 정상보다 세 배 가량 더 나왔다. 콘웨이 박사는 이렇게 요금이 비정상적으로 나왔다는 사실을 알지 못했을 것이다. 구글 지도에는 택시를 이용한 경로 서비스가 되지 않기 때문이다.

지도 서비스에 관한 한, 외국인에게 한국은 남미 원시림이나 다름없다. 8월부터 오픈넷에서 인턴쉽을 하는 미국 대학생 댄 베이티코는 서울에서 지도 쓰기를 아예 포기했다. 그가 한국을 오기 전에 거쳐왔던 대만, 네팔, 베트남에서는 겪지 않았던 일이었다.

물론 이것은 두 가지 이유로 그렇다. 국내 업체의 지도는 영어 서비스를 하지 않고, 다양한 언어 지원을 해서 국제 표준이 되다시피 한 구글 지도는 국내에서 제대로 작동하지 않기 때문이다.

그저 일부 외국인이 한국에서 길을 찾는 문제라면 그리 심각한 일이 아니라고 볼 수도 있을 것이다. 외국인이야 헤매든 말든 우리는 우리식대로 살면 된다고 할 수도 있다. 그러나 기초 지도 서비스를 근간으로 한 각종 부가 서비스 역시 제대로 이루어지지 못하고, 같은 태반에서 태어날 다양한 미래의 서비스들도 근본적으로 잉태될 수 없다는 점은 외국인이 아닌 한국인에게 문제가 아닐 수 없다.

국가 안보 위협하는 지도 반출 안 된다?

구글이 지도 반출을 신청한 것은 이런 사정 때문이다. 자사 서비스를 제대로 갖추기 위해서, 그리고 구글의 주장에 따르면 이를 기반으로 하여 개별 기업들이 다양한 서비스를 꽃피우도록 하는 플랫폼을 만들기 위해서 지도 정보를 내갈 필요가 있다는 것이다.

이 문제가 꼬이기 시작한 것은 단순하면서도 다분히 의도된 오해 때문이다. 즉 구글의 지도 반출에 반대하는 측이 이 문제를 국가 안보 이슈로 틀 지어버린 것이다. 이들은 ‘구글이 한국의 안보 특수성을 무시하고 보안시설이 다 드러난 지도를 국외로 가져가려 한다’고 주장한다.

그러나 이런 주장은 사실과 상당한 거리가 있다. 이와 관련한 사실관계를 정리해 보면 쉽게 알 수 있다.

1. 구글은 현재 한국 지도를 극히 제한적으로 서비스하고 있다.
2. 이 지도는 SK플래닛(모회사는 SK텔레콤)이 소유한 것이며, 구글은 비용을 지불하고 이 지도를 사용하고 있다.
3. 즉, 구글은 자체로 한국 지도를 돌리는 게 아니라 SK플래닛에서 돌아가는 지도를 보여주기만 한다.
4. SK플래닛 지도는 다음 지도나 네이버 지도와 마찬가지로 정부 규정에 따라 보안 처리된 지도다.
5. 구글이 지도를 반출하겠다는 의미는, 이 SK플래닛 지도 데이터를 해외의 서버에서도 쓸 수 있게 해달라는 말이다.

따라서, 구글이 보안 처리되지 않고 속속들이 다 보이는 지도 데이터를 외국으로 가져가려 한다는 주장은 사실이 아니다. 가져가려는 지도는 네이버나 다음의 지도와 마찬가지로 보안 처리된 데이터다. 보안의 측면에서만 보자면 당장에라도 반출을 허용하지 않을 이유가 없는 것이다.

법을 위반하는 일도 아니다. 한국 법은 지도 정보 반출을 금하고 있지만, 예외적으로 허용할 길을 열어두고 있다. 그 결정을 위해 정부 부처 간 협의체(‘공간정보 국외반출 협의체’)까지 구성할 수 있도록 했다. 따라서 필요성이 인정된다면 협의체가 반출 허용 결정을 내리기만 하면 된다. 물론 필요성이 없다면 불허 결정을 내릴 수도 있을 것이다. 이것은 지도 반출로 얻거나 잃을 이익을 따져 내릴 정책적 판단이다.

안보를 걸고넘어지는 주장은 모두 이러한 사실을 모르거나 아니면 일부러 무시한다고 보면 된다. 안보 때문에 안 된다고 주장하는 측은 예컨대 다음과 같은 기사에서 동력을 얻는다.

“정부는 지도데이터에서 중요 안보시설을 삭제할 것을 반출조건으로 내걸고 있고 구글은 이에 강력히 반대하기 때문이다.”

-연합뉴스, 국토부 “지도반출 불허해 포켓몬 고 불가능한 것 아니다” (2016. 7. 14) 중에서

이런 서술은, 구글이 안보시설이 속속들이 표시된 지도를 가져가려고 한다는 오해를 조장한다.

위성사진에서 뺨 맞고 지도에 화풀이

오해든 착각이든, 안보 문제가 있으므로 지도 반출을 허용해서는 안 된다는 주장이 나오고, 반출 허용 여부를 결정해야 할 정부가 그런 여론을 느긋하게 즐기고 있는 데에는 이유가 있다. 반출 대상이 되는 지도와 직접 관련이 없는 위성사진 때문이다.

많은 사람이 알듯 구글의 위성사진은 한국 정부가 가리고 싶어 하는 시설을 속속들이 보여준다. 정부에서 볼 때, 외국 기업이라 손을 쓸 수 없어 하릴없이 두고 보기는 하지만 눈엣가시 같은 일이 아닐 수 없다.

반출 대상 지도 데이터와 직접 관련이 없는 구글의 위성사진과 관련한 사실관계도 정리해 보자.

1. 구글 지도에 나오는 한국의 위성사진은 .co.kr 버전과 .com 버전이 있다.
2. 한국 주소인 .co.kr로 보이는 위성 이미지는 해상도가 낮아 희미하게 보인다.
3. 이것은 구글이 한국 법규를 따르려고 일부러 해상도를 떨어뜨린 결과다.
4. 한편 한국법이 적용되지 않는 외국 주소인 .com으로는 선명한 이미지가 보인다.

한국 웹주소와 해외 웹주소를 다르게 하여, 해외 주소로 접속하면 다 볼 수 있게 한 것은 눈 가리고 아웅한 것으로 볼 수도 있다. 그러나 거꾸로 보자면, 한국에서는 법이 그렇게 강제하니까 울며 겨자 먹기로 그렇게 한 것으로 볼 수도 있다. 어떤 시각에서 보느냐의 차이다.

어쨌든 구글 국내 위성사진에는 흐릿하게 나오는 주요 시설물들이 .com 사진에는 선명하게 다 보인다. 이것을 ‘해결’하는 것은 정부의 숙원 사업이다. (이것이 의미 없는 일이라는 것은 밑에서 다시 자세히 쓴다.) 따라서 구글이 지도 반출을 신청하고 이에 대해 여론이 안보를 이유로 부정적으로 형성되는 것은 정부에게 반가운 상황이다. (반출 대상 지도가 아닌) 위성사진을 손보도록 요구하는 계기로 활용할 수 있기 때문이다.

8월 말까지 응답을 내놔야 하는 정부가 가장 선호할 만한 해결 방식은, 구글에 기왕의 SK플래닛 지도 데이터 반출을 허용하는 대신, 그 조건으로 구글 위성사진(.com)을 국내 업체의 사진처럼 보안 처리하도록 요구하는 것이다. 정부로서는 이미 쓰고 있는 지도 반출을 허용해 주면서 숙원 사업이던 위성사진 물칠을 성사시킬 수 있는 빅딜이다. 일부에서 주장하는 것처럼 구글에게 이례적으로 서버를 자국 안에 들여오도록 강제함으로써 국제 사회에 권위주의 국가의 인상을 또 하나 더하는 것보다 훨씬 이득이 되는 방안이기도 하다.

문제는 구글이 이런 제안을 받을 것이냐이다. 쉽지 않은 일일 것이다. 구글코리아는 그 이유로 세 가지를 든다. 첫째, 한국의 지형을 그대로 다 보여주는 외국 위성사진이 널린 마당에 구글만 지우라고 하는 것은 아무런 실효성이 없는 요구다. 둘째, 이용자에게 정보를 제공하는 외국 기업의 서비스에 검열을 가하는 것이다. 셋째, 구글은 위성사진에 스스로 보안 처리한 적이 없다.

특히 첫 번째 이유가 시사적이다. 정부는 구글의 위성사진을 보안 처리하는 것에 심혈을 기울이고 있지만, 한국을 다 보여주는 위성사진은 구글 말고도 널려 있다. 어찌어찌 하여 구글 사진을 물칠하도록 하는 데 성공한다 하더라도 악의 없는 이용자의 시각만 가로막을 뿐, 실제로 악의를 가진 사람에게는 아무런 의미도 없는 것이다.

아래 사진들은 네이버, 다음 같은 한국 지도 서비스들과, 접속하는 데 몇 초밖에 걸리지 않는 외국 지도 서비스들의 위성사진을 통해 본 경복궁과 청와대 모습이다.

이뿐만 아니다. 온라인으로 무료 서비스되는 이들 위성사진 말고도, 사진을 상업적으로 파는 많은 위성사진 업체가 있다. Esri.com, digitalglobe.com 등이 그중 일부다. 이 업체들은 누구든 돈만 내면 무료 위성사진보다 훨씬 더 높은 해상도의 사진을 제공한다.

국제적으로 이용되는 이들 지도 서비스를 열면, 한국인만 못 보고 있는 장면들이 크고 아름답게 나타난다. 구글의 위성사진을 지우려 하는 정부 노력은, 이 모든 지도들도 막아낼 수 있다는 전제가 있어야만 의미가 있다.

결국, 정부는 다국적 기업을 상대로 하여 안보의 깃발을 높이 들고 애국적 싸움에 나선 것 같은 자세를 취하고 있지만, 실제로는 안보 실익이 전혀 없는 싸움을 벌이고 있는 셈이다. 이것이 지도 반출 문제와 관련이 없다는 것은 덤이다.

한국에 서버를 설치하라?

앞서 잠깐 언급했지만, 지도 반출 논란에 대한 한 가지 처방은 구글이 서버를 한국에 설치하면 된다는 것이다. 이것이 얼핏 해결책처럼 보이는 것은 사실이다. 구글이 SK플래닛 지도 데이터를 한국에 있는 서버에서만 돌린다면 반출 논란은 당연히 필요 없게 된다.

그러나 이게 말처럼 쉽지 않다는 데 문제가 있다. 구글은 전 세계 지도 데이터를 현재 15개 국가에 산재하는 데이터 센터에 분산 배치하고 클라우드 기반으로 운영하고 있다. 어떤 한 나라의 데이터를 돌리기 위해 그 나라에 서버를 설치한 일은 한 번도 없다. 이렇게 지역에 데이터를 묶어버리면 안정성 유지에도 문제가 생길 수 있다.

현실적으로 가능하지 않은 일을 하라고 요구하는 것은 억지다. 국내의 시각만 가진 정부나 업체들은 이해하기 어려운 일일지도 모른다. 그러나 일취월장하여 언젠가 국경을 넘어 세계로 진출해야 할 국내 기업이 겪어야 할 일일 수도 있다.

게다가 국내에 서버를 설치하라는 것은 정보의 국경 없는 자유로운 흐름이라는 인터넷의 대원칙에도 어긋난다. 데이터를 수집된 국가 안에 묶어두려는 이른바 데이터 국지화의 경제적 문제점을 새삼 지적할 필요는 없을 것이다.

구글이 한국에 서버를 두기를 꺼리는 또 하나의 이유를 짐작할 수 있는 사례가 있다. 2011~12년에 구글은 아시아 지역 세 곳에 대형 서버를 구축하기로 하고 지역을 물색했다. 세계 최대 검색 엔진의 거대한 서버 시설을 유치하는 데서 올 경제 효과를 염두에 두고 한국도 열심히 유치 운동을 했다. 그러나 구글 서버는 대만, 싱가포르, 홍콩으로 갔다.

한국이 제외된 데에는 정치적인 이유가 있는 것으로 풀이됐다. 2011년 5월 한국 경찰은 모바일 광고의 위치정보 수집 사건을 수사하면서 구글코리아와 다음커뮤니케이션을 압수수색했다. 그뿐만 아니라 수사 당국이 영장 없이도 이동통신사를 찔러서 이용자 정보를 마음껏 캐내 가는 나라가 한국이다. 구글 서버도 마음만 먹으면 얼마든지 뒤질 수 있을 것이다. 이런 나라에 서버를 두고 싶어 하는 인터넷 기업은 별로 없을 것이다.

세금 받고 싶으면 법규부터 고쳐라

여기서 지도 반출 이슈와 상관없는 또 하나의 애국 프레임이 등장한다. 구글이 한국에 세금을 내지 않고 부도덕하게 사업을 하고 있다는 것이다. ‘불법’이라는 말을 쓰지는 않지만, 그 어조는 사악하고 패륜적인 반국가단체를 나무라는 양상이다.

이런 주장은 구글이 한국에서 돈 한 푼 내지 않고 사업을 하는 것 같은 오해를 불러일으킨다. 한국에서 활동하는 구글코리아는 물론 세금을 낸다. 구글이 한국에서 창출한 수익 전체에 대해 적절한 세금을 내고 있는가는 논란의 여지가 있다. 그러나 구글은 현재 한국법과 국제 규정이 정하고 허용한 바에 따라 기업을 운영하고 있을 뿐이다.

문제가 있다면 구글이 아니라 법규다. 구글이 창출하는 이윤에 대해 세금을 제대로 물리고 싶다면, 그렇게 하도록 법을 제·개정하고 규정을 정비하면 된다. 세법을 개정하면 얼마든지 가능하다는 의견이 있고, 이미 그렇게 하는 나라들도 있다. 경제협력개발기구(OECD) 차원에서 그런 방안을 모색하고 있기도 하다. 그런 일은 하지 않으면서 기업을 나무라는 것은 아무런 의미도 없고 해결책도 될 수 없다.

구글이 세계적 강자이기는 하지만, 구글 지도 서비스가 한국에 개시된다고 해서 한국인이 바로 구글 대마왕에 종속되리란 보장은 없다. 구글이 한국어 검색 서비스를 시작한 지 15년 이상 지났지만, 한국에서는 여전히 네이버가 지배적인 지위를 유지하고 있다. 구글을 쓰는 사람이 늘어간다면, 이것은 어떠한 이유에서든 구글의 서비스에 만족하는 사람이 는다는 뜻일 뿐이다. 다른 기업 역시 그런 만족을 주기 위해 노력하는 것이 올바른 접근일 것이다.

정부는 곧 구글의 지도 반출 신청에 대한 응답을 내놓아야 한다. 지도 반출과 직접 관련이 없는 안보나 준탈세 프레임에 휩쓸리기보다, 지도 데이터 개방이 이용자와 한국 경제의 미래를 위해 실제로 어떤 효용이나 불이익을 가져올까를 꼼꼼히 따져보는 것이 좀 더 생산적인 접근일 것이다.

국경에 구애받지 않는 온라인 기업들의 규모가 막대하게 커지고 있다. 온라인과 오프라인을 결합하며 새로운 형태의 사업 모델을 구축하여 실물 경제의 주역으로 부상하는 기업들도 있다. 이러한 상황은 우리 사회가 기업과 관계 맺고 살아가는 방식을 새로이 검토해야 할 필요를 제기한다. 안보 필요에서부터 납세의 의무까지, 명분과 구호만으로 성취할 수 있는 일은 더 이상 많지 않다. 정보의 자유로운 흐름을 기반으로 형성된 온라인 세상을 살기 위한 21세기 패러다임을 고민해야 할 때다.

* 위 글은 슬로우뉴스에 동시 게재하였습니다. (2016.08.16.)

보안 처리: 구시대적 지도 검열

글| 허광준(오픈넷 정책실장)

이 글은 총 두 편입니다. 1편은 지도 반출 문제, 2편은 지도의 보안 처리 문제를 다룹니다. (필자)

1. 구글 지도 반출, 21세기식 접근이 필요하다
2. → 보안 처리: 구시대적 지도 검열

이미 알려진 대로 한국 지도 데이터를 국외 서버에 저장하겠다는 구글의 신청은 국가 안보를 이유로 하여 허락되지 않고 있다. 정확히 말하면, 정부는 일정한 시설물을 지도나 위성사진에 공개하지 않는 방침을 갖고 이에 따라 지도를 제작 및 공개하고 있으나, 미국 기업인 구글이 이를 수용하지 않기 때문이다.

이 글에서는 한국의 지도에서 은폐되는 시설물과 보안 처리에 대해 살펴보자.

현재 한국에서 서비스되는 온라인 지도는 규정에 따라 일정한 시설물을 표시하지 않거나 위장, ‘물칠’(블러링) 등의 형태로 가려야 한다. 이것은 공간정보법 제35조와 그에 따른 보안관리규정이 일정한 지도 정보를 비공개하도록 요구하고 있기 때문이다. 이 법규들에 따르면 공간정보를 관리하는 기관(국토교통부 산하 국토지리정보원)은 국가정보원과 협의하여, 공개가 제한되는 정보의 접근이나 유출을 막는 조치(보안 처리)를 시행하여야 한다.

구체적으로 어떤 시설물이 보안 처리가 되는지는 3급 기밀 사항이다. 그러나 보안관리규정의 공간정보 분류기준표와 실제 지도를 참고하면 대략적인 기준을 알 수 있다. 청와대나 국가정보원 같은 특수 정부 기관, 군부대 등 군사 시설, 휴전선 일대, 교도소, 발전소, 변전소, 댐, 송유관 같은 것들이 포함되어 있으며, 송전탑이나 각종 맨홀(전기, 통신, 전화 맨홀들)도 그 대상이다.

이들 시설물은 안보 위험도에 따라 ‘비공개’와 ‘공개 제한’으로 나눈다. 비공개는 그 존재를 아예 표시하지 않는 것이며, 공개 제한은 무언가가 있지만 삭제했다는 흔적을 남기는 방식이다.

이러한 조치가 국가 중요 시설물을 보호할 목적으로 취해진 것은 이해할 만하다. 문제는 과거와는 달리 새로운 정보 통신 환경이 조성되면서 이 같은 정책의 필요성이나 실효성에 변화가 생기고 있고, 점증하는 국민의 공간정보 서비스 수요와도 잘 맞지 않는 상황이 벌어진다는 점이다.

갑자기 사라지는 교도소

법무부가 운영하는 교도행정 종합 웹사이트인 ‘교정본부’에는 전국 교도소의 위치를 안내하는 지도가 게시되어 있다. 각 교도소에는 주소가 명기되어 있고, ‘오시는 길’이라는 버튼도 달려 있다. 버튼을 누르면 다시 해당 교도소를 안내하는 약도가 뜨고 버스 편 같은 정보가 나온다.

이렇게 오시는 길은 알려주고 있지만, 실제로 방문자가 가시는 길을 찾기는 쉽지 않다. 일상에서 길찾기나 위치 확인의 표준이 되다시피 한 네이버나 다음의 지도에서는 이 교도소들을 도무지 찾을 수 없기 때문이다. 이들 지도에서는 ‘OO교도소’를 넣어도 검색되지 않고, 교정본부 웹사이트에 나온 교도소 주소를 넣으면 없는 지역이라는 응답이 뜬다.

어찌어찌 하여 주변 지역을 찾아갔더라도, 거대한 시설물 중에서 어느 방향으로 접근해야 할지 알 수 없다. 진입로를 찾을 수 없기 때문이다. 거리뷰로 경로를 쫓다 보면 건물들은 갑자기 사라지고 대신 뿌연 물칠이 앞을 가로막는다. 정부 사이트에 ‘오시는 길’을 약도와 더불어 친절히 안내한 시설물이 지도에서는 아예 존재조차 하지 않는다.

보안관리규정에 따르면 대형 댐은 공개제한 대상이다. 발전소를 겸한 대표적인 대형 댐인 소양댐은 네이버와 다음의 지도에서 이러한 규정에 따라 보안 처리되어 있다. 거리 지도에는 아예 나오지 않았고, 위성사진에는 덧칠했다.

그러나 소양강댐 주변의 거리뷰를 따라가면 댐 시설물이 배경에 그대로 보이고, 댐 자체도 관광지로 조성되어 있어 관광버스들이 늘어선 모습을 보게 된다. 다시 말해 다양한 방법으로 확인할 수 있고 심지어 관광지가 되어 누구나 접근하여 사진을 찍을 수 있는 곳이 옛날식 규정에 따라 지도에서만 가려져 있는 것이다.

미국도 공개하는 미군 부대, 한국이 지켜준다

경기도 의정부에서 서울로 들어오는 경계지역에는 소규모 미군 부대가 주둔해 있다. 역시 한국 인터넷 지도에는 보안 처리되어서, 위성사진에도 나오지 않고 거리뷰는 뿌연 물칠이 되어 있다. 그러나 이 미군 부대 코앞으로 1호선 전철(도봉산~망월사 구간)이 지나간다. 전철은 지상보다 높은 위치에 설치되어 있어서, 차 안에서 미군 부대 영내가 훤히 다 들여다보인다. 매일 10만 명 이상의 사람들이 감상하며 지나는 곳이 지도에서만 가려져 있다.

한국을 포함한 해외의 미군기지는 미국 영토의 일부 간주되며, 이 미군기지도 마찬가지다. 말하자면 정작 미국 기업은 자기네 군대가 주둔한 자기네 영토의 모습을 아무런 규제없이 보여주는데(미국 본토의 군사기지도 마찬가지다), 제3자인 한국은 남의 나라 부대의 안전을 염려하여 삭제해주고 있는 셈이다.

18개의 비밀 골프장

구글의 지도 데이터 반출 신청을 놓고 정부가 하는 주장은, 이 지도 데이터를 (구글닷컴의 위성사진처럼) 보안 처리하지 않은 위성사진과 결합하면 주요 안보 시설에 대한 위협이 커진다는 것이다. 따라서 지도 데이터를 가져가려면 위성사진을 보안 처리해야 한다는 말이다.

이에 대해 구글은, 데이터와 위성사진을 합칠 필요도 없이 모니터 두 개를 놓고 지도를 비교해 보기만 해도 누구나 알아낼 수 있는 일을 놓고 위협이라고 하는 것은 어불성설이라고 주장한다. 한국 지도의 보안 처리 덕분에 새로운 취미를 발견한 사람들도 있다. 이들은 지도에서 사라진 주요 시설물들을 찾아보는 일을 게임에서 수행해야 할 퀘스트(임무)처럼 생각한다.

이런 일을 본격적으로 해본 사람도 있다. 독일인으로 한국에 와서 가르치는 막스 노이페르트 교수는 어느 날 흥미로운 사실을 발견했다. 자신이 사용하는 외국 지도와 한국의 웹 지도가 다르다는 것을 깨달은 것이다. 시각예술가이기도 한 그는 정말로 ‘모니터 두 개를 놓고’ 대한민국의 전국 지도를 이 잡듯이 뒤져 보았다. 그 결과 한국 지도에서 삭제되어 있는 많은 시설물을 확인할 수 있었다.

그중에서도 그의 눈길을 끈 것은 수십 개의 골프장이 한국 지도에는 모두 삭제된 점이었다. 바로 군부대 안에 있어 ‘군사시설’로 간주되는 골프장들이었다. 노이페르트 교수는 이러한 조사를 바탕으로 하여 [열여덟개의 은밀한 골프장]이라는 소책자를 펴내고 전시회도 열었다.

그가 이 문제에 흥미를 느낀 것은, 이것이 분명한 검열에 해당하기 때문이었다. 검열치고는 상당히 우스꽝스러운 것이었다. 아예 검게 처리한 것도 아니고, 주변 지형과 전혀 어울리지 않는 형태로 위장했기 때문이다. 골프장을 그대로 보여주는 다른 위성사진이 흔해빠진 세상에서 극구 이를 지우려 하는 모습도 우스꽝스러웠다. 노이페르트 교수는 자신의 홈페이지에 이렇게 썼다.

“검열되지 않은 이미지를 공짜로 쉽게 구할 수 있기 때문에, 이러한 지역을 검열한다는 것은 그 자체로 무의미한 것처럼 보인다. 한국 내 지도에서 이런 지역을 가리려는 노력은 아무런 실익이 없는 시지푸스의 행위 같은 것이다.”

이렇게 대중의 눈을 피한 곳에서 어떤 일이 벌어지는지는 이따금 보도에 흘러나오는 것으로 짐작할 수 있다. 군 골프장의 정식 명칭은 ‘체력 단련장’이다. 군사시설이고 그래서 지도에서도 가려져 있지만, 실제로 이곳에서 체력을 단련하는 사람은 대부분 군인이 아니다. 현역은 20%가 채 되지 않고, 그것도 대개 고위급이다. 나머지 80% 이상은 예비역이나 민간인들이다. 조금 과장하여 말하자면 특권층들이 쉽게 부킹하여 값싸게 골프를 칠 수 있는 곳이다. 그러면서도 안보를 명분으로 하여 대중의 시야로부터 철저히 차단한다.

민간에 떠넘긴 보안 작업

국내 지도나 위성사진에 이런 보안 처리를 하는 실무 주체는 정부 기관이 아니다. 다음, 네이버 같은 민간 업체가 규정을 참고하여 알아서 처리한 뒤 기관의 검사를 받는다. 정부가 해야 할 보안 업무를 민간에게 떠넘긴 것이다.

이들 업체는 다양한 방식으로 보안 처리를 수행하는데, 대개 ‘알바’ 형태의 인력을 고용하여 진행한다. 보안 처리 대상 시설은 1천 개 이상이고, 위성사진뿐 아니라 거리뷰 모습까지 하나하나 작업해야 한다. 엄청난 작업량을 비전문가들이 담당하다 보니 실수가 쉽게 벌어진다. 국내 지도들의 거리뷰 등을 보면, 규정에 따르면 명백히 가려야 할 곳이 가려지지 않은 곳들을 쉽게 찾을 수 있다.

그 반대도 있다. 가릴 필요가 없는데도 그냥 보안 처리를 해버리는 경우도 있다. 그편이 훨씬 안전하다. 가릴 곳을 못 가리면 문제가 되지만, 안 그래도 될 곳을 가렸다고 해서 심각한 문제가 되지는 않는다. 노이페르트 교수가 처음에 찾아낸 비밀 골프장은 60개 이상이었다. 전국에 존재하는 실제 군 골프장은 29개다. 착오가 생긴 것은, 지도 서비스 업체의 보안 처리 담당자들이 군부대와 인접해 있는 사설 골프장까지 모두 보안 처리했기 때문이다. 실효도 없는 보안 처리 규정 때문에 이용자의 정보 접근권이 얼마나 보호되지 못하는가를 잘 보여주는 사례다.

적성 국가와 맞붙어 있는 준전시 상태 국가에서 중요 시설들이 지도에 드러나지 않도록 처리하는 것은 꼭 필요한 일이라 볼 수 있다. 문제는 이러한 접근이 시대에 맞지 않게 지나치게 광범위하고 포괄적인 데다, 변화하는 정보 환경을 제대로 반영하지 못한다는 점이다. 실효성도 없이 규제의 짐만 되는 신세로 전락한 셈이다.

공간정보에 대한 개인과 기업의 요구가 커지고 이동성이 대폭 확장된 오늘날, 대중 노출을 차단하고 보호하여야 시설은 최소한으로 국한되어야 한다. 꼭 필요한 시설물을 보호할 때, 보호 조치는 의미가 있다. 정부는 케케묵은 목록을 민간 업체에 던져주고 손 놓고 있을 게 아니라, 변화한 상황을 반영하여 보호 대상 시설물을 재정의하고 실질적인 보호조치를 마련해야 한다.

민간 업체들도 상황 개선에 얼마나 노력을 기울였는지 자문해 봐야 할 일이다. 과도한 정부 지침을 그대로 이행하기만 하는 데 바쁘지 않았는지, 자신의 서비스를 이용하는 소비자 입장에서 문제를 바라본 적은 있는지를 돌아볼 수 있을 것이다. 불합리하거나 무리한 규제를 별다른 문제의식 없이 그대로 수용하면서 서비스 품질을 떨어뜨릴 때, 그런 일을 하지 않는 경쟁자를 어떻게 감당할 수 있을까도 고민해볼 일이다.

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.08.16.)

CyFy 2016 참가 후기

글 | 김가연(오픈넷 변호사)

일시: 2016년 9월 28일 – 9월 30일
장소: 뉴델리, 인도

오픈넷 김가연 변호사, 박경신 이사는 “디지털 아시아: 새로운 거버넌스 질서 세우기(Digital Asia: Scripting the New Governance Order)” 란 주제로 열린 CyFy 2016에 토론자로 초대 받아 참가했습니다. “사이버보안과 인터넷 거버넌스에 관한 인도 컨퍼런스(The India Conference on Cyber Security and Internet Governance)”의 줄임말인 CyFy 2016은 올해 4번째 열린 것으로, 인도 및 아·태지역 국가뿐만 아니라 아프리카와 유럽 등 45 개국에서 130여 명의 전문가 패널과 600여 명의 대표단이 참여한 아시아권에서 가장 큰 규모의 인터넷 거버넌스 컨퍼런스였습니다. ‘디지털 경제(Digital Economy)’, ‘사이버 보안(cyber Security)’, ‘국제 협력(International Engagement)’, ‘접근권과 포섭(Access & Inclusion)’, ‘역량배양(Capacity Building)’ 총 5개 분야에서 다양한 세션이 진행되었습니다. 박경신 이사는 ‘접근, 프라이버시, 보안의 트릴레마(the Trilemma of Access, Privacy and Security)’, 김가연 변호사는 ‘인터넷의 분열(Internet Fragmentation Session)’ 세션에서 발표 및 토론을 진행했습니다.

○ 9월 30일 금요일

참여세션 1: 접근, 프라이버시, 보안의 트릴레마(the Trilemma of Access, Privacy and Security)

- 패널 소개:

적법한 정보 접근권과 프라이버시 보호가 대립하는 암호화 논쟁 등 최근 전개되는 논의를 조망하고, 이러한 간극을 조정하기 위해 새로이 도출해야 할 규범이 무엇인지 토론한다.

This panel will take stock of some of the recent developments like the encryption debate that purportedly pits privacy against legitimate access to electronic data. It will identify norms that must be developed anew to reconcile these differences.

- 패널 토론자:

1. Isabel Skierka, Researcher, Digital Society Institute, European School for Management and Technology
2. Seda Gürses, Post-Doctoral Researcher, Center for Information Technology Policy, Princeton University
3. Solange Ghernaouti, Professor, University of Lausanne
4. KS Park, Director, OpenNet Korea
5. Alexander Klimburg, Director, Cyber Policy And Resilience Program, Hague Centre for Security Studies
6. Paula Kift, Ph.D Candidate, New York University (Chair)

- 박경신 이사 발표문

참여세션 2: 인터넷의 분열(Internet Fragmentation Session)

- 패널 소개:

다양한 통상협정 체제의 인터넷에 대한 사회적, 경제적, 정치적 함의를 검토한다. 특히 TPP(the Trans-Pacific Strategic Economic Partnership, 환태평양경제동반자협정)와 RCEP(Regional Comprehensive Economic Partnership, 역내포괄적경제동반자협정)이 아시아 지역 인터넷 거버넌스에 미칠 영향에 대해 토론한다.

The internet fragmentation panel will examine the social, economic and political implications of differential trading regimes. With universal, affordable connectivity yet to be achieved, are we already witnessing parallel internet regimes that cater to emerging economies?

- 패널 토론자:

1. Kelly Kim, General Counsel, Open Net Korea
2. Hoang Tran, Partner, EZLAW
3. Anahita Mathai, Junior Fellow, Observer Research Foundation
4. Hugo Zylberberg, Fellow for Technology & Policy, Columbia University School of International & Public Affairs
5. Burcu Kilic, Policy Director, Public Citizen (Chair)

- 김가연 변호사 발표 요지(업데이트 중)

위험한 게임: 빅데이터와 개인정보 비식별 조치 가이드라인

글 | 민노씨(슬로우뉴스 편집장)

개인정보 플랫폼 기업이 개인정보를 판매 촉진 목적으로 활용하려고 할 때, 정보주체의 동의를 받아야만 하는지, 동의를 받지 않고도 분석, 가공, 판매할 수 있는지에 따라서 개인정보 플랫폼 기업에는 막대한 이윤 발생 여부가 결정된다. 이들의 이해관계가 첨예하게 걸려 있는 사안이다. (이은우 변호사, 정보인권연구소)

강원도에 사는 스무살 대학생 철수가 페이스북에 재잘거리는 한담이, 제주도에 사는 서른살 직장인 영희가 트위터에 올리는 짧은 한탄이 경제적인 가치를 지니는 ‘고급 정보’가 될 가능성은 그 자체로는 제로다. 하지만 10만 명의 철수가 100만 명의 영희가 모이면 얘기는 달라진다.

빅데이터, 그것이 문제로다 

오늘날 컴퓨팅 기술은 천문학적인 규모로 생산되는 무수히 다양한 개인의 디지털 정보를 드디어 ‘정복’하는 단계에 들어섰다. 그걸 상징하는 용어는 ‘빅데이터’다. 이제 쓰고, 말하며, 대화하고, 소비하는 물리적인 컴퓨터 서버의 어딘가에 저장된다. 이제 디지털 저장기술은 인간의 기억을 대신한다. 우리는 그저 끊임없이 생산하고, 소비하며, 흘려보내면 그뿐이다.

그런데 그렇게 디지털 전자신호로 서버 속 공간 아닌 공간을 흘러갔던 정보는, 철수와 영희는 영영 모르는 채로, 이제 산업적인 가치를 가지는 정보로 재가공된다. 누구도 감히 시도하지 못했던 정보의 총체적 재구성이다. 모든 흩어진 의미가 ‘찬란한 귀향의 축제’를 맞는다. 기업 입장에서는 서비스를 더욱더 진화시키고, 이윤을 극대화할 기회이자 재료다.

luckey_sun, “big data”, CC BY SA

하지만 개인정보 주체들에게는 디스토피아의 서막일 수도 있다. 근대 이후 개인은 자신의 권리를 지키기 위해 국가 권력으로부터 자신을 숨길 수 있는 권리(홀로 있을 권리)를 ‘획득’했다. 그리고 오늘날 문명화한 국가는 국가권력의 부당한 간섭으로부터 자신을 숨기는 것에 그치지 않고, 자신의 개인정보를 통제할 수 있는 권리를 명문의 법률로 규정했다. 자기 정보 통제권(혹은 개인정보 자기 결정권)은 그렇게 탄생했고, 그 권리는 그저 주어진 것이 아니다. 개인정보에 관한 권리에 눈뜬 근대적 자아가 획득한 전리품이다. (→ 참고: 거짓말할 수 있는 권리)

단, 이 자기 정보 통제권이 각자 자신에 대한 정보를 공개된 정보와 비공개된 정보 가릴 것 없이 자신이 소유한 자동차를 소유하듯이 마음대로 통제할 수 있는 절대적인 권리로 해석하면 그것은 곤란하다. 이는 타인들 간에 진실한 정보를 공유하는 생활에 검열권을 가지게 하는 셈이라서 자기 정보 통제권은 균형을 고려한 해석이 불가피하다.

위험한 게임, ‘개인정보 비식별 조치 가이드라인’

기업에 빅데이터가 잠재적 부가가치를 창출할 가능성이라면, 자기 정보 통제권을 자신도 모르는 사이에 빼앗길 수 있는 개인에게는 잠재적 공포다. 그 ‘위험한 게임’이 지금 막 시작됐다. 이름은 ‘개인정보 비식별 조치 가이드라인’.

• 국무조정실
• 행정자치부
• 방송통신위원회
• 금융위원회
• 미래창조과학부
• 보건복지부

참여 부처의 이름에서 확인할 수 있듯 그야말로 통합 가이드라인이다. 그 골자는 이렇다.

‘개인정보라고 하더라도 비식별 조치(익명화)를 거치면 정보주체의 사전 동의 없이 기업이 이를 활용하도록 할 수 있다.’ 

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

가이드라인의 쟁점 

이 글은 가이드라인의 개요와 쟁점을 단계적 ‘Q&A’ 형식으로 독자에게 최대한 쉽게 전하는 것을 목표로 한다.

1. ‘빅데이터’란 무엇인가

가이드라인의 중심에 있는 화두는 ‘빅데이터’다. 빅데이터 산업 육성이라는 가치와 개인보호라는 가치를 조화롭게 공존하게 하는 게 가이드라인의 취지라면, 이에 시민단체(오픈넷)와 정부(행자부)의 평가와 시각 차이는 명확하다.

오픈넷은“법률적으로 빅데이터에 대하여 정의된 바는 없다”고 전제한 뒤, “최근 빅데이터라는 단어 자체에 천착하여 빅데이터 산업의 진흥만이 주로 논의될 뿐, 빅데이터 환경이 정보 주체의 개인정보 자기결정권에 미치는 영향에 대한 논의는 부족“하고, 가이드라인도 이런 “흐름의 연장선”에 있다고 지적한다.^[2]

Intersection Consulting, CC BY NC

이에 대해 행자부는 빅데이터 산업 진흥과 개인정보의 관계는 “단순하게 이야기할 수 있는 성격은 아니”라면서, 이번 가이드라인이 데이터 이용함에 있어 “개인정보 보호를 위한 기준을 제시”했다고 자평한다.^[3]

2. ‘비식별 조치’란 무엇인가

가이드라인의 골자는 ‘비식별 조치’(익명화)다. 가이드라인은 비식별 조치 방법과 그 적정성을 평가하는 기준을 제시한다. 그런데 ‘비식별 조치’라는 용어, 익숙한가? 용어 정의부터 잘못됐다는 비판과 이에 대한 정부의 입장을 살펴보자.

연구소는 ‘비식별 조치’라는 표현 자체가 부적절하다면서 “용어 자체가 부적절한 법률용어”라고 말한다. 그렇다면 비식별 조치는 과연 어떤 의미일까? 개인정보 보호법제와 유사한 유럽연합과 일본의 용어 정의를 참고해보자.

• 유럽연합: “익명화된 데이터”(data rendered anonymous)^[4]
• 일본: 개인정보보호법의 개정시 “익명가공정보” 규정한다. 익명가공정보는 ‘특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 말한다’고 정의한다.^[5]

더불어 ‘비식별 조치’ 혹은 ‘비식별화’라는 표현이 너무 모호하다고 지적한다. 가이드라인의 ‘비식별 조치가’가 ‘익명화’나 ‘익명정보’ 혹은 ‘익명가공정보’와 같은 의미라면 그냥 ‘익명화’나 ‘익명정보’로 쓰면 될 것을 “문법에도 맞지 않는 신조어”를 사용해 국민에게 혼동을 초래한다고 비판한다.

‘비식별 조치’는 쉽게 말해 ‘익명화’라고 할 수 있다.

반면 행자부는 익명화든 비식별 조치든 “이는 용어 선택의 문제일 뿐”이라고 일축하면서, “내용이 중요하지 용어 선택은 부차적”이라고 말한다. 그러면서 “요즘은 국제적으로 ‘비식별화’를 쓰는 추세”라고 부연한다.^[6]

한편, 오픈넷은 연구소 입장에 동의하면서, ‘익명화’라고 표현해야 정확하다는 입장이다.^[7]

3. 가이드라인의 ‘비식별 조치’ 평가 기준은 타당한가

여러 문제와 논란은 별론으로, 우선 가이드라인의 내용에 집중해 보자. 가이드라인은 ‘비식별 조치’와 이에 대한 적정성의 평가 기준과 절차를 규정한다. 그럼 가이드라인에서 제시하는 ‘비식별 조치’의 기준은 과연 합리적일까.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

연구소는 가이드라인의 위 해당 문답을 해석하면 “이는 재식별 가능성이 현저하지 않은 것은 개인정보보호법을 준수하지 않아도 된다는 것”이라면서 “유럽연합에서 익명정보가 ‘더 이상 재식별 가능성이 없는 것’을 의미한다고 지적한다. 더불어, 일본의 개인정보보호법에서도 ‘익명가공정보’란 복구 불가능한 것이라고 정의하고 있는 것과 비교할 때 잘못”이며, “재식별 위험이 현저하지만 않다면 개인정보 주체는 그 위험을 감수하라”는 가이드라인이라고 비판한다.

이에 대해 행자부는 해당 문답의 표현 중 “현저히”는 ‘강조 수사’에 불과”하다며, “해당 문구에 큰 의미를 부여할 필요가 없다”고 답변했다. 가이드라인의 “전체 체계”가 중요하고, 해당 문구는 “강조 수식에 불과”하다는 입장이다. 참고로, 행자부는 인터뷰에서 가이드라인의 법적 성질을 묻는 질문에 “유권해석집”이라고 답했다

한편, 오픈넷은 “표현의 모호성 때문에 ‘가이드’의 역할도 제대로 하지 못할 것”이라고 말하면서 가이드라인이 ‘유권해석집’이라면, “구체적인 법 규정에 대한 해석이어야” 할 텐데, “비식별 조치라는 것은 기존 법에도 없는 새롭게 창조한 개념”이고, 이를 해석한다고 하니 “내용뿐만 아니라 법적인 근거나 성질도 모호할 수밖에 없다”고 비판했다.

4. 비식별 조치에 대한 적정성 평가 

가이드라인은 비식별 조치가 제대로 이뤄졌는지 평가하는 기준을 정한다. 이 적정성 평가 기준은 과연 타당한 것일까. 연구소는 ‘형식적이기 짝이 없다’고 비판하고, 행자부는 ‘다른 대안이 없다’고 말한다.

연구소는 가이드라인의 “적정성 평가 기준은 형식적이기 짝이 없다”면서 “K(익명성), L(다양성), T(근접성)의 세 가지 방법의 익명화 기술을 적용하라는 것”은 “겉으로는 복잡해 보이지만, 단순하기 그지 없다”고 지적한다. 그리고 무엇보다 이들 방법과 기준은 “재식별 가능성이 농후한 방법으로 지목받아 왔던 기술”이라고 비판한다.

이에 대해 행자부는 연구소의 비판은 “비판을 위한 비판”이라고 반박한다. “현재로썬 KLT 외에는 현실적인 대안이 없”고, “(오히려) 유럽에서는 K를 의무화하지 않았지만, 우리는 K를 의무화했다”면서 그만큼 개인정보 보호에 신경 쓰고 있다고 강조했다.

오픈넷은 해당 기술의 재식별 가능성도 중요한 이슈지만, “개인정보처리자 입장에서 특정 기술을 이용한 비식별 조치만을 취하면 개인정보가 아닌 것으로 추정되는 것인 양 오독할 여지가 큰 가이드라인 규정의 모호성이 가장 큰 문제”^[8]라고 지적한다.

5. 적정성 평가단: 고양이에 생선가게 맡기기? 

가이드라인은 분야별 전문기관을 두고, 이 전문기관이 비식별 조치의 적정성을 평가하게 한다. 그런데 이 적정성 평가 기관에 ‘한국신용정보원’과 같은 빅데이터 산업과 이해가 직결한 이익단체가 속해 있어 문제다. ‘고양이에게 어물전을 맡기는 꼴’이라는 비판이 나오는 이유다.

연구소는 이들 기관이 “공정성을 기대하기도 어렵고, 혼란만 야기할 것”이라면서 특히 분야별 전문기관 중에는 “특히 사업자들 모임인 한국신용정보원이 포함”돼 있고, 금융보안원, 사회보장정보원, 한국정보화진흥원 등은 “성과 위주의 조직”임을 지적한다.

특히, 한국신용정보원은 금융업계 모든 고객의 신용정보를 통합해서 관리하는 기관(세계 최초)으로 여기엔 이들은 빅데이터 활용에 가장 큰 이해관계를 가진 다음 ‘이익단체’들이 참여한다. 더불어 이들 협회 소속 기업에서 그동안 각종 개인정보 유출 사고가 연례행사처럼 이어져 왔던 건 주지의 사실이다.

• 은행연합회
• 금융투자협회
• 여신금융협회
• 생명보험협회
• 손해보험협회 등

빅데이터 산업에 직접적인 이해관계를 가진 ‘이익단체’가 적정성 평가를 한다?

이에 대해 행자부는 연구소 측에서 특히 문제 삼은 ‘한국신용정보원’은 “우리가 지정한 게 아니라 금융위원회가 지정한 것”이라면서, “분야별로 소관 부처에서 관련 기업을 지원할 수 있는 기관을 지정한 것”이라고 우회적으로 답변했다.

이 문제 관해 오픈넷은 “전문기관 자체가 법률에 근거가 없”고, “정보주체들로부터 개인정보의 처리 권한에 대한 동의를 받지 않”았으므로, “사업자 모임 여부와 상관없이 부적절하다”고 답했다.

6. 입증책임 문제 

가령, A라는 기업이 철수와 영희의 신용카드 구매 정보를 ‘비식별 처리’해서 B라는 기업에 팔았다고 가정해보자. 이때 비식별 처리가 제대로 이뤄졌다는 ‘입증’ 책임은 누가 질까? 철수와 영희일까? 아니면 A와 B라는 기업일까?

연구소는 가이드라인이 “비식별 조치가 적정하다는 평가를 받으면 해당 정보는 개인정보가 아닌 것으로 추정”된다고 규정하므로, 해당 정보를 어떤 개인이 “개인정보라고 주장하려면 개인정보 주체가 이를 입증해야 한다”고 해석한다.

이에 대해 행자부는 연구소 측 주장은 “근거 없는 주장”이라면서, “가이드라인에는 그런 내용이 없”으며, “당연히 비식별 조치를 한 측에서 (비식별 조치의 정당성과 적정성을) 입증해야 한다”고 말한다.

개인정보 비식별 조치 가이드라인 (국무조정실, 행정자치부, 방송통신위원회, 금융위원회, 미래창조과학부, 보건복지부, 2016. 6) 중에서

입증책임 논란에 대해 오픈넷은 법원에 까지 가는 사안이 생기면, 법률에 근거가 있는 것은 아니지만  “가이드라인이 ‘추정한다’고 하니 반증이 없는 한 개인정보가 아닌 것으로 판단”될 가능성이 높다고 연구소 측에선 해석한 것이고, 행자부 쪽에선 원칙적으로 법원이 가이드라인에 구속되지 않으니 “각자도생’해야 한다는 식으로 답변”한 것으로 보인다면서, “가이드라인에 법적 근거가 없는 이상 개인정보처리자인 기업들 역시 가이드라인에 따라 비식별조치된 정보를 섣불리 수집 목적 외로 이용하거나 제3자 제공에 나서지는 않을 것”이라는 게 현 시점에서 가이드라인의 위치라고 답했다.

‘비식별 처리’ 문제로 ‘분쟁’이 생겨 법원에 가는 일이 생기면, 기업과 일반 시민 중에서 누가 입증책임을 질까?

연구소 측에 행자부 답변 내용을 전하자, 연구소 측에선 “가이드라인이 입증책임과 관련 없다면, 가이드라인(의 해당 문구)은 존재할 필요가 없다”면서, “가이드라인의 논리 체계에 반하는 해석을 주무 공무원이 공식적으로 답하는 것은 아주 무책임하다”고 논평했다. 더불어 가이드라인에 참여한 행정부처들을 고려하면 현실적으로 “어떤 개인이 ‘재식별화가 제대로 되지 않았다고 신고했을 때, 경찰이 어떤 기준을 따르겠는가?”라고 반문하면서, “경찰 수사에 있어서 가이드라인은 실질적인 수사 기준이 될 것”이라고 전망했다.

생각건대, 행자부의 답변은 궤변이다. 연구소나 오픈넷의 지적처럼, 가이드라인를 준수한 기업조차 다시 재판에서 ‘입증책임’의 부담을 져야 한다면 가이드라인의 존재 근거가 없고, 기업은 가이드라인을 따를 이유도 없다. 반면에 그렇다고 입증책임을 개인에게 지운다면 이는 더 큰 문제다. 가이드라인의 딜레마인 셈이다.

7. ‘결합지원’ 문제 

가이드라인은 각각 비식별 조치를 한 개인에 관한 별개 정보집합물을 전문기관에서 개인별로 결합시켜 주겠다고 한다. 예를 들면, 비식별 조치를 한 통신사 고객정보와 비식별 조치를 한 신용카드사 고객의 신용카드 사용정보를 전문기관에 보내주면 각 개별로 결합시켜 결합정보를 제공하겠다는 것이다.

예를 들어 가이드라인은 00홈쇼핑의 고객정보와 xx카드사의 구매금액 상위 10% 고객의 구매 내역 정보를 결합하여 xx카드사의 구매금액 상위 10% 고객 중 00홈쇼핑 고객을 골라 내서 구매내역을 분석할 수 있다고 한다. 이것은 홈쇼핑과 카드사가 고객의 동의도 받지 않고, 카드 구매내역을 분석하도록 허용하는 것과 같은 결과를 초래한다.

특히 결합은 산부인과나 산후조리원, 초등학생이나 유아 등 민감한 정보에도 무방비다. 이런 식이면 산부인과나 산후조리원은 환자나 산모의 동의도 받지 않고 임신, 출산한 고객 중 월 500만 원 이상 신용카드를 이용한 고객의 구매내역을 분석할 수도 있고, 초등학생 대상 학원에서는 초등학생이나 부모의 동의를 받지 않고도 통신사로부터 초등학생의 이동경로를 분석할 수도 있게 된다. 당사자는 이런 정보 결합에 대해 알지도 못하고, 반대할 기회도 갖지 못한다. (연구소 발제문 참조)

연구소는 비식별 조치를 했지만, 개인을 결합할 수 있다는 것은 “비식별 조치를 한 정보가 익명정보가 아니라는 것을 반증”하는 것이라면서 “만약 개인을 식별할 수 없도록 익명정보로 만들었다면 익명정보가 누구의 정보인지를 알 수 없는 것이기 때문에 다른 정보와 결합하는 것은 불가능하다”하다고 지적한다.

결합지원 이슈에 대해 행자부는 “리스크를 최소화하면서 나름으로 안을 짰는데, 결과적으로 유럽과 유사”하게 됐다면서 “신뢰할 수 있는 제3기관을 통해서 지원”하는 것이라고 답했다.

오픈넷은 “법률적 근거가 없는 전문기관에 의한 결합지원 역시 개인정보 자기 결정권을 침해”할 수 있다고 지적했다.

비식별 조치된 정보의 ‘결합지원’ 문제 역시 가이드라인이 다루는 중요한 문제 중 하나다.

왜 가이드라인가, 누구를 위한 가이드라인가 

행자부는 가이드라인의 법정 성질을 (개인정보보호법에 관한) “유권해석집”이라고 말한다. 그런데 왜 법을 개정하지 않고, 가이드라인으로 만들었을까? 행자부는 “법 개정은 오히려 업계에서 하는 주장”이라면서, “일본법은 개정안이 통과돼서 내년부터 시행될 예정”이라며 “(일본은) 법에서 규정한 안전조치(비식별 조치)를 준수하면, 기업의 책임이 면제”되므로, 우리나라 “업계에서도 법 개정을 원한다”고 말한다.

하지만 연구소 측은 “법률 개정이 필요한 사항을 가이드라인으로 만드는 것은 입법권을 무시하는 처사”라면서 가이드라인은 “상당한 재식별 가능성이 있어도 이를 무시하고 개인정보보호법의 적용을 배제”하고 있으므로, “즉각 폐기해야” 한다고 주장한다.

말도 많고, 탈도 많은 가이드라인, 과연 누구를 위한 것일까?

기업의 선의를 믿는다면, 기업은 더 좋은 서비스를 위해 비식별화한 정보를 활용할 것이고, 이는 서비스를 향유하고 소비하는 이용자에게도 좋은 일이다. 그리고 기업이 자신의 이익을 극대화하기 위해 재식별화하려는 욕망을 표출할 수밖에 없다는 견해도 부정적인 선입견일 수 있다.

하지만 인간은 과거에 있었던 행위를 회고하고, 성찰함으로써 미래를 전망한다. 기업의 개인정보 유출 사고뿐만 아니라 기업의 개인정보 ‘매매 사건’(홈플러스 사건), 거기에 더해 이런 개인정보 관련 사건 사고를 처리하는 국가권력(검찰)과 이를 최종적으로 판단하는 법원의 개인정보에 관한 인권 감수성(홈플러스 무죄 선고)을 떠올리면 개인정보의 주체, 그러니 평범한 시민이 기업의 선의, 관리자이자 감시자로서의 국가, 공정한 심판관으로서의 법원을 손쉽게 믿어주기 어려운 것 역시 사실이다.

홈플러스가 법을 위반해 번 돈은 4년간 약 232억 원. 2015년 4월 27일 공정위가 부과한 과징금은 4억3,500만 원. 그리고 법원에서는 무죄. 홈플러스 사건은 기업이 개인정보를 다루는 관점과 방식, 국가기관의 관리감독 능력, 그리고 공정한 심판자로서의 법원의 판단, 이 모두가 여전히 신뢰를 보내기에는 부족하다는 사실을 여실히 드러낸 사건이다.

여기서 하나 더 질문해보자. 가이드라인이 아니면 정말 기업이 빅데이터 산업 분야에 제대로 뛰어들 수 없는 걸까. 우리나라 개인정보 보호법제는 빅데이터 산업 육성에 방해 요소일까. 이미 개인정보보호법^[9]은 “통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우” 동의 없이 새로운 목적으로 이용하거나 제3자에게 제공할 수 있다고 규정한다. 빅데이터는 바로 통계를 목적으로 삼고 있지 않나.

연구소는 “현재의 개인정보 보호법제는 빅데이터 활용에 장애 요소가 아니”라고 말하면서, 우리나라 공공 부문에서 발주하는 사업을 분석해 보더라도 공공 부문 빅데이터 활성화를 위해서는 “개인정보를 익명화하여 처리하거나 동의받는 것을 기초로 하더라도 충분하며, 비식별정보 동의 면제가 있어야만 빅데이터를 활용할 수 있다는 근거를 찾기 어렵다”고 주장한다.^[10]

빅데이터와 개인정보의 문제는 기본적으로 정보 처리 주체와 관리감독 기관에 대한 신뢰의 문제다. (출처: Julien Belli, CC BY)

그렇다면 가이드라인을 둘러싼 이 온갖 논란에 관한 해법은 무엇일까. 명확한 현실 인식은 그 해법을 마련하는 초석이다. 오픈넷의 답변으로 결론을 대신한다.

가이드라인 제정이 지나치게 급한 호흡으로 이루어졌다. 특히 시민사회의 의견 수렴이 매우 형식적으로 이루어졌다. 즉 가이드라인은 빅데이터 산업 진흥이라는 버즈워드(buzz word)에 천착한 것이라고 본다. 그리고 가이드라인 상 비식별 조치에 의한 “동의” 면제 시도는 개인정보 자기 결정권을 무력화할 우려가 크다.

정보주체의 동의 없이는 원칙적으로 개인정보를 수집하거나 이용할 수 없다는 “동의” 제도는 개인정보 자기결정권을 실질적으로 구현하는 방법으로 현재 개인정보 보호 법제에서 핵심적인 위치를 차지하고 있기 때문이다. 가이드라인의 뼈대라 할 수 있는 “비식별조치에 의한 동의 면제”는 개인정보 자기결정권의 핵심을 이루는 “동의” 제도를 무력화하는 것으로 이는 법률 개정으로 다루어야 할 문제이다.

특히 가이드라인에 따른 비식별 조치를 거쳤다고 하더라도 개인정보 재식별 위험성은 주민등록번호 제도 및 인터넷 상 본인확인을 강요하는 수많은 법률에 의해 그 어느 나라보다도 크다. 특히 본인확인기관으로 지정된 이동통신사는 식별 가능성이 가장 크다.

오히려 사물인터넷과 빅데이터 시대에 동의에 기반한 개인정보보호가 불충분하다. 어떻게 개인정보 자기 결정권을 보장할 수 있을 것인가에 대한 발전적 논의가 필요한 시점이라고 할 수 있다. 더불어 법적 근거 없는 전문기관의 운영은 매우 위험한 발상이며 개인정보보호위원회의 개인정보보호 콘트롤 타워로서의 기능 확립 필요하다.

우리나라의 주민등록제도는 특히 재식별화의 치명적인 위험 요소다. 왜냐하면, 주민등록번호가 모든 자물쇠를 여는 ‘만능열쇠’ 역할을 할 수 있기 때문이다.

——————————————-

[1] 이은우, 마케팅 활용 목적 빅데이터 활용과 판매: 개인정보 플랫폼 기업의 탐욕과 비식별화 조치 가이드라인 (빅데이터 시대 개인정보 보호를 위한 정책토론회, 2016. 9. 7. 국회의원회관 제9간단회의실) 별도 인터뷰 인용이 아닌 문단에는 문단이 끝나는 위치에 괄호( )로 해당 발제문의 페이지 수를 표시했음.

[2] 다만, 빅데이터는 통상적으로 사용되는 데이터 수집, 관리 및 처리 소프트웨어의 수용 한계를 넘어서는 크기의 정보라고 정의되며, 데이터의 양(volume), 데이터 입출력 속도(velocity), 데이터 종류의 다양성(variety)데이터의 양(volume), 입출력 속도(velocity), 종류의 다양성(variety)이라는 세 개의 차원에서 분석할 수 있다(가트너 보고서). 이를 빅데이터의 3V라고 하는데, 3V가 커질수록 그 데이터의 산업적 가치는 높아지지만, 이에 비례하여 개인정보의 유출 위험성이나 개인정보 자기결정권이 침해될 가능성도 커진다.

[3] 현 가이드라인이 기존에 행자부, 미래부, 방통위에 존재했던 개별안들이 ‘비식별’ 기술를 소개하고, 안내하는 수준이었다면, 검증절차와 보호조치에 관한 내용을 보완하면서 기존 개별안들을 통합한 것이다.

[4] 개인이 더는 식별될 가능성이 없다면(“no longer possible”) 개인정보로 보지 않는다고 규정한다.

[5] 그러면서 미국은 ‘개인정보’라는 개념 대신 ‘개인식별가능정보’(personally identifiable information)라는 개념이 법령에 정의되어 제한적인 보호 대상이 되고 있다고 더불어 언급하는데, 미국은 우리나라의 개인정보보호법제와 다르기 때문에 미국에서 개인정보호보규범이 적용되지 않는 범위를 규정한 비식별화(‘de-identification’) 규정이나, 그에 따른 비식별화(‘de-identification’) 가이드라인을 법제가 다른 우리나라 개인정보보호법에서는 그대로 적용할 수 없는 규정이라고 설명한다.

[6] 참고로, 현행 개보법에는 ‘비식별 조치’라는 용어나 표현은 없다. 다만 법(제18조 제2항 제4호)에서는 개인정보처리자 동의 없이 수집 목적 외로 이용하거나 제3자 제공이 가능한 예외로 “통계작성이나 학술연구 등의 목적으로 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공할 수 있다.” 고 규정하는데, 이 규정에서 개인정보를 “특정 개인을 알아볼 수 없는 형태”로 변환하면 제한적 목적(통계작성이나 학술연구 등)이긴 하나 동의 없는 이용이나 제공이 가능하므로 이를 ‘비식별 조치’ 혹은 ‘익명화’를 간접적으로 언급한 규정이라고 할 수 있다.

[7] 가이드라인이 창설한 비식별화(비식별 조치) 개념은 재식별화하여 개인정보로 인정될 위험성이 상존해 있는 상태를 의미하며, 만약 비식별화를 거쳐 동의 없이 이용, 제공한 경우 식별 여부에 대한 사법적 판단에 따라 특정 시점에서는 개인정보보호법을 위반할 우려가 있는 법적으로 매우 불안정한 상태를 의미한다.(오픈넷)

[8] 물론 가이드라인에서는 특정 기술조치 여부뿐 아니라 종합적 관점에서 판단한다고 이야기하고 있긴 하다.

[9] 제18조 제2항 제4호

[10] 유럽연합은 우리 법제보다 빅데이트 활용과 관련하여 프로파일링에 대한 규율을 신설, 보완하고, 동의에 대한 규정, 투명성에 대한 규정 등과 관련하여 개인정보주체의 권리를 강화하는 방향으로 법률을 개정하고 있다. 그런데 유럽에서 개인정보보호법제 때문에 빅데이터 활용에 제약이 있다는 움직임을 보이지는 않는다. 기업이 재식별화할 의사가 없더라도 재식별화할 가능성이 있다는 것이 문제고, 비식별화한 정보가 다른 업체에 매매됐을 때 다른 정보와 결합해서 손쉽게 재식별화된다는 것이 문제다. 이는 MIT 미디어랩의 연구를 통해서도 실증됐다. 가령 카드사의 구매 정보를 비식별화해서 이 정보를 이통사(이동정보)에 넘겼다면, 두 가지 정보가 결합되면 누가 어디서 어떤 물건을 구매했는지 알게 된다. 재식별화 의지가 없다라도 자동적으로 재식별화된다. 재식별화하면 훨씬 더 가치 있는 정보가 되는데 기업에서 안 할 이유가 있겠나. 더불어 재식별화 의지가 없더라도 해당 정보가 유출되어 악용될 가능성이 상존하니 그것도 문제다. (연구소)

* 위 글은 슬로우뉴스에 동시 게재하고 있습니다. (2016.10.06.)

종이호랑이 정보공개법에 처벌 조항을 도입하라

글 | 허광준(오픈넷 정책실장)

한국이 아시아 최초로 정보공개법을 제정한 지 20년이 지났다. 공공기관이 보유하는 정보는 국민의 세금으로 생산되고 축적된다. 이들 정보는 국민의 생명과 재산을 보호하는 국가 기능에 영향을 미치고 또 그 실행 결과이기도 하다. 이러한 각종 정보를 공개해야 한다는 원칙(공공기관의 정보공개에 관한 법률 제3조, 이하 “정보공개법”)은 열린 정부, 투명하고 공정한 사회로 나아가는 중요한 이정표가 아닐 수 없다. 비교적 이르게 도입된 한국의 정보공개법 제1조는 법의 목적으로 △국민의 알권리 보장 △국민의 국정 참여 △국정 운영의 투명성 확보 등을 들고 있다.

그러나 아무리 법과 제도가 좋더라도 실제 현장에서 그 규정을 무시할 여지가 있다면, 좋은 취지는 공염불이 될 가능성이 있다. 그동안 시민사회에서는 일껏 제정된 정보공개법이 그 근본 취지를 제대로 실현하고 있는지에 꾸준히 의문을 제기해 왔다. 국민이 정보공개법에 따라 신청한 정보가 공공기관에 의해 정당한 이유 없이 공개 거부되는 사례가 흔하고, 공공기관 입장에서는 시간만 끌면 정보공개를 하지 않는 것이나 다름없는 효과를 거둘 수 있으며, 국민이 소송을 통해 이에 대응하는 데에 많은 시간과 노력을 들여야 한다는 점 때문이다. 한마디로 공공기관이나 공직자가 정당한 이유 없이 정보공개법을 회피하려고 마음만 먹으면 얼마든지 그럴 수 있다.

국민이 알아야 할 공적 정보가 왜 정부에 의해 닫혀 있는 것일까?

이런 사태가 벌어지는 한 이유는 정보공개법에 처벌 조항이 없다는 것이다. 법의 취지와 내용이 아무리 좋더라도 강제력이 없으면 무용지물이다. 법의 구속력은 이를 강제하는 데서 나온다. 법은 도덕률이 아니기 때문에, 어떠어떠해야 한다는 당위만으로는 존재할 수 없으며 그 실효성을 보장할 수도 없다. 그런데 현행 정보공개법은 그런 꼴을 하고 있다. 정보공개 제도가 그 선진적인 의미를 구현하고 실효를 거두기 위해서는 정부가 행정편의주의, 비밀주의, 보신주의 관행에서 벗어나야 하고 공직자의 의식이 뒷받침되어야 한다. 이런 조건이 갖추어지지 않은 사회에서 처벌 조항조차 없는 정보공개법은 종이호랑이 꼴이 될 수밖에 없다.

사례: 세월호 참사 당시 청와대 문서 공개 신청

세월호 사건 당시 정부의 늦장 대응과 대통령의 행적은 큰 논란 거리가 되어 왔다. 당시의 상황이 실제로 어떻게 전개되었는가는 3백 명 이상이 숨진 참사의 한 원인을 밝힌다는 의미와, 국가의 긴급 상황 대응 시스템을 따지고 점검할 수 있다는 의미에서 아주 중요한 일이며 국민의 큰 관심사가 아닐 수 없다.

그러나 정부는 이러한 일과 관련한 내용을 극구 공개하지 않으려 했고, 결국 성공했다. 녹색당이 세월호 당일 청와대 비서실 등에서 어떤 보고와 지시가 이루어졌는지를 밝혀달라고 신청한 정보공개 청구는 정부에 의해 거부되었다. 구제 절차로 법에 보장된 데 따라 제기한 행정소송에서도 청와대는 다양한 꼼수를 동원하며 시간 끌기에 나섰으며, 법원은 이를 용인하거나 방치했다.

정보공개 신청이 이루어진 것은 세월호 참사가 있은 지 넉 달 만인 2014년 8월 18일이다. 공개거부 결정에 따라 행정소송을 제기한 것은 10월 10일이다. 정부의 시간 끌기로 지지부진하던 재판은 1년 5개월이 지난 2016년 3월에야 선고가 내려졌다.

정보공개법은 제기된 정보공개 신청을 처리하는 각 단계에서 시한을 규정해 두고 있지만, 이 시한을 어기더라도 불이익이나 처벌은 없다. 미국식 재판 진행 방식인 ‘인 카메라(in camera) 심리’를 위해 법원은 공개대상 문서를 재판부에 비공개 심사케 할 것을 명령했지만, 청와대는 이를 묵살했다. 역시 강제력은 가해지지 않았다. 이렇게 문서 보유측이 정보공개법이 규정한 과정과 절차에 비협조적인데도, 재판 결과는 세월호 관련 보고서 등 주요 문서 공개신청에 대해 원고 패소였다(원고 일부 승소). 정보를 공개할 경우 “대통령의 직무수행에 현저한 지장이 초래된다”라는 것이 이유였다. 정보공개법에서 규정한 ‘비공개 대상 정보’에 이런 항목은 없다. 세월호 사건이 벌어진 지 2년도 넘었으나 재판은 지금도 진행 중이다.

• 참고 기사 – 한겨레, 청와대-사법부가 세월호 정보공개를 막는 방법

비슷한 내용에 대해 참여연대와 한겨레가 제기한 정보공개 신청에 대해서도 청와대는 ‘공개대상 정보 중에 국가안보 등에 관한 사항이 포함되어 있어 공개될 경우 국가의 중대한 이익을 현저히 해할 우려가 있으며, 대통령 개인에 관한 사항이 포함되어 있어 사생활의 비밀을 침해할 우려가 있다’는 이유를 들어 비공개 결정을 내렸다.

한마디로 정보공개법이 있더라도 담당 공직자나 부처가 정당하지 않은 이유로 공개를 얼마든지 거부할 수 있으며, 법원이 정보공개법의 정신인 국정 운영의 투명성이나 국민의 알권리를 적극 옹호하러 나서지 않는 한, 이러한 부당한 거부는 별다른 규제나 처벌 없이 그대로 통용되는 것이다.

처벌 조항 삽입 시도가 있긴 있었다

우리나라 정보공개법에 처벌 조항을 넣으려는 시도가 없었던 것은 아니다. 2007년 참여정부 당시 언론 관련 정책을 조정하여 기자실 폐쇄와 ‘취재지원 시스템 선진화 방안’을 추진하면서, 이로 인해 생긴 정보 수집의 공백을 메우기 위해 정보공개법 개정을 도모한 바 있다. 행정자치부 및 법제처, 학계, 언론계, 시민단체 등 각계각층으로 구성된 ‘정보공개강화 태스크포스’는 오랜 논의를 거친 끝에 정보공개법 개정안을 만들어 냈다.

이 개정안은 당시는 물론이고 지금 기준으로 보더라도 상당히 전향적인 방안을 담고 있었다. 정보공개심의회에 외부 전문가를 절반 이상 위촉하도록 했고, 여기서 행정심판 기능을 담당하여 공개 신청 처리를 신속하고 공정하게 진행하도록 했다.

가장 획기적인 것은 처벌 조항을 도입한 것이다. 법 제29조를 신설해, 공직자가 정보를 위변조하거나 허위 내용을 공개할 경우, 또 정보를 은닉할 목적으로 비공개할 경우 금고 또는 벌금 1천만 원 이하의 처벌을 받도록 했다. 이 처벌 조항은 개정안 입안 과정에서 정부와 시민단체, 언론이 가장 크게 대립한 사안이었다.

그러나 이렇게 사회 각 분야가 총의를 모아 마련한 개정안에 대해 정부 각 부처는 다양한 이유를 들어 반발하였으며, 언론계와 시민사회의 적극적인 지지에도 불구하고 결국 시간이 지나면서 흐지부지되고 말았다.

정보공개 관련 내부 징계 방안

2007년 개정안 중 처벌 조항에 대해 정부 각 부처는 다양한 반대 의견을 내놨다. 국정원이나 국방부는 ‘실무자의 업무 수행을 위축시킨다’고 주장했고, 서울시 등 지자체는 ‘악의적 논쟁을 일으킬 소지가 있다’고 주장했다. 노동부는 ‘공개 거부에 대해 징계 요구나 감사로도 통제할 수 있다’고 주장했다.

실제로 정보공개와 관련하여 내부 규정에 징계 기준을 마련하고 이를 운영하는 공공기관들이 존재한다. 두 군데만 살펴보면 다음과 같다.

그러나 이러한 규정이 있다는 것과 이에 따라 징계가 내려진다는 것은 다른 문제다. 게다가 이러한 징계 조항이 존재한다는 것은, 거꾸로 보면 행정심판이나 행정소송으로 정보공개 판결이 내려젔음에도 일선 공공기관에서는 이를 제대로 따르지 않는다는 반증이기도 하다. 법의 불이행을 각 기관이 내부 징계로 강제하는 것의 유효성도 따져볼 일이 아닐 수 없다.

미국의 정보공개법 관련 처벌

우리보다 앞서거나 뒤처져서 정보공개법을 제정한 선진국들의 법안에는 처벌 조항이 없는 것으로 흔히 알려져 왔다. 이들 국가들은 대개 소송을 통해 정보공개를 둘러싼 갈등을 해소하려 하고 있고, 이는 우리나라와 비슷하다. 즉, [시민의 정보공개 청구 → 공공기관의 거부 → 행정 소송] 의 방식으로 불복과 재신청 과정을 보장하고 있는 것이다.

그러나 드물긴 하지만 공공정보나 공공회의를 공개하지 않을 경우 공직자를 형사 처벌하는 경우가 아주 없는 것은 아니다.

미국의 정보공개법은 연방법과 주법으로 나뉜다. FOIA(Freedom of Information Act)로 불리는 미국 정보공개법은 흔히 특정한 연방법을 말하는 것으로 이해하지만, 각 주 역시 나름의 정보공개 법안을 갖고 있다. 미국의 정보공개법은 넓은 범위에서 볼 때 이렇게 연방법과 주법을 모두 통칭한다. 연방법은 연방기관과 그 공직자를 대상으로 하는 것이지만, 주법들은 주정부 등 지방단위 기관과 그 공직자를 대상으로 하기 때문에 똑같이 중요하다.

정보공개 청구가 거부되었을 때, 연방 차원에서 가장 흔한 대응은 정부기관과 공직자를 상대로 하여 민사소송을 제기하는 것이다. 이 경우 막대한 소송 비용이 소요되며, 원고(정보공개 청구자)가 가 승소하였을 때는 피고(공직자)는 해당 정보를 공개함은 물론 소송 비용까지 지불해야 한다. 이렇게 막대한 소송 비용을 뒤집어 쓰는 것은 정부 입장에서 볼 때 상당한 부담이 되며, 이 때문에 공공기관에서 정보공개를 거부하는 일은 큰 재정적 위험 부담이 된다. 물론 정보공개 책임자인 개별 공무원에 대해 징계도 부과할 수 있다. 그러나 법률상 형사처벌의 수준에 이르는 것은 아니다.

하지만 주법으로 가면 이야기가 달라진다. 미국 많은 주는 연방 FOIA의 경우와 마찬가지로 민사소송을 제기함으로써 정부의 비공개 결정에 대응하도록 하고 있다. 역시 소송 비용이 정보공개 압력이 되는 셈이다. 한편, 소송 비용이 높다는 것은 원고(정보공개 신청자)에게도 부담이 된다. 따라서 플로리다를 비롯한 몇몇 주는 정보공개 관련 민사소송이 개시되면 소송 비용을 피소된 정부 기관이 자동으로 부담하도록 하고 있기도 하다. 다양한 방식으로 소송 비용이 정보를 공개하는 강력한 동기가 되도록 한 셈이다.

Dan4th Nicholas, “Justice sends mixed messages”, CC BY

이에 더하여 정보공개법을 어긴 공직자에 대해 형사 처벌도 가능하도록 하고 있다. 25개 이상의 주에서 민형사상 벌금 처벌 조항을 두고 있다. 벌금액은 100~1,000 달러 수준으로 다양하다. 또 7개 주에서는 정보공개법을 어긴 공직자에 대해 구류나 징역 등 신체형도 부과할 수 있다. 그 기간은 30일(아칸소)에서 1년(오클라호마, 플로리다)까지 역시 다양하다. 정보공개법 관련 교육 이수 명령을 내리기도 한다. 정보공개법의 한 분야라 할 수 있는 공공회의 공개 의무(open meeting laws)와 관련해서 42개 주는 정부가 회의 내용을 공개하지 않으면 회의 결정 사항을 무효화하는 법안이 존재하기도 한다.

그러나 이같은 형사처벌 규정에도 불구하고 실제로 주 검찰이 기소를 하러 나서는 경우는 드물고, 연방법의 경우와 마찬가지로 민사소송 제기가 흔한 형태로 나타난다. 이것은 민사소송을 제기하는 것만으로도 강력한 구제 효과가 나타나기 때문인 것으로 보인다.

정보공개를 거부한 공직자가 형사처벌된 사례

1) 1986년 오클라호마 시의원 멜빈 믹스는 공공 회의를 비공개로 진행하고 그 의사록을 공개하지 않은 혐의로 1일 구류에 처해졌다. 이는 미국에서도 정보공개법과 관련해 형사 처벌을 한 최초의 사례다. 구금 일자가 짧은 것은, 당사자가 처벌을 받게 되자 의사록을 뒤늦게 서둘러 공개했기 때문이며, 이 같은 사정은 아래에서도 비슷하다.

2) 1988년 디트로이트 시 법무담당관 도널드 페일린은 공공문서에 대한 공개 신청을 거부한 혐의로 4일 구류를 살았다. 그는 이후 문서를 공개하고 석방되었다.

3) 1999년 플로리다 시교육위원 베닛 웹은 공공 정보를 의도적으로 비공개 혐의로 30일 징역 선고받고, 그 중 일주일을 복역했다.

4) 2003년 전 플로리다 주 상원의원이자 당시 군 행정위원회 의장이던 W. D. 칠더스는 지역 재개발과 관련한 회의를 비공개로 연 혐의로 60일 징역에 처해졌고 500달러 벌금이 병과되었다. 게디가 3,600달러에 달하는 소송 비용도 물어냈다.

대법원

강제 없는 의무는 무의미하다. 중요한 국정 사안에 대해 정부가 이해할 수 없는 이유를 들어 국민의 권리인 정당한 정보공개를 거부하고, 이를 엄히 따져야 할 법원이 오히려 방치하는 상황에서, 이미 논의되어 개정안으로 입안된 바 있고 외국에서도 도입하고 있는 처벌 조항을 긍정적으로 검토해 볼 필요가 있다. 실제로 법원이 재판을 통해 공직자에게 형벌을 부과하는 일이 자주 벌어지지 않더라도, 그러한 조항이 존재하는 것만으로도 국민의 정당한 정보공개에 응해야 하는 상당한 압력으로 작용할 것이기 때문이다.

- 이 글은 지난 10월 7일 ‘투명사회를 위한 정보공개센터’ 주최로 열린 토론회 ‘정보공개의 현재와 미래를 말한다’에서 발표한 내용을 정리한 것입니다. (필자)

* 위 글은 슬로우뉴스에 게재하였습니다. (2016.10.27.)

아시아의 중심에서 인터넷을 재학습하다

글| 허광준 (오픈넷 정책실장)

이 글은 2016년 9월 태국에서 열린 2016 아시아태평양 인터넷 거버넌스 스쿨(APSIG)에 참가한 뒤 그 경험을 쓴 글입니다. (필자)

“그래, 누군가 그런 일을 해야 하긴 하겠지!”

내가 인터넷 거버넌스와 관련한 교육 행사에 갈 예정이라고 말을 했을 때, 지인 중에서 이런 반응을 보인 사람은 딱 한 명이었다. 다른 사람들은 행사의 내용에 주목하지 않았다. 출장을 가는 시기나 장소만이 잠깐 이야깃거리가 되었다. 이들 탓만은 아니다. ‘거버넌스’라는 낯선 말이 붙는 경우는 대개 다 그렇듯, 인터넷 거버넌스는 보통사람들에게는 도무지 피부에 와 닿지 않는 개념인 것이다.

인터넷 거버넌스? 

‘인터넷 거버넌스’는 쉽게 말하면 단일한 관리자가 없는 세계적 통신망인 인터넷을 체계적이고 안정적으로 관리하기 위해 여러 영역의 이해당사자가 참여하는 ‘집단적’ 노력과 과정이라고 할 수 있다.

“인터넷이 안정적으로 작동하기 위해서는 나름의 ‘규칙’이 필요하다. 우선 IP 주소와 도메인 네임, 그리고 기술적 프로토콜과 같이, 전 세계적으로 연결된, 하나의 네트워크로서 인터넷이 작동하기 위한 기술적인 조정이 필요하다. 또한 인터넷이 우리 삶과 사회의 일부가 되면서, 스팸, 보안, 저작권 등 인터넷으로 인해 새롭게 등장한 문제들을 어떻게 처리할 것인가 하는 문제도 있다. 이와 같이 인터넷의 안정적인 운영, 이용과 관련된 공공정책의 결정, 그리고 그러한 정책의 원칙들과 정책결정 과정 등을 ‘인터넷 거버넌스(Internet Governance)’라고 한다.” (진보넷, [정보인권의 이해] 중에서)

※ 참고 동영상(한국어 자막): Who runs the Internet’s address book?

9월 11~15일 태국 방콕의 AIT(Asian Institute of Technology)에서 열린 ‘2016 아시아태평양 인터넷 거버넌스 스쿨(APSIG)’은 그런 목적으로 개설되었다. 인터넷이 어떻게 관리되어야 하는지에 관심이 큰 사람들이 모여 거버넌스의 현재와 미래에 대해 집단으로 공부하고 토론하는 자리다. 주관하는 측은 ‘아시아태평양 인터넷 거버넌스 포럼(APrIGF)’이다. ‘스쿨’이라는 이름에서 짐작할 수 있듯, 하루종일 강의 형태의 수업을 듣고 마지막에 조별 토론을 하는 방식으로 일정이 진행되었다.

아시아 인터넷의 아버지 전길남 박사 

행사 첫 순서인 11일 저녁 식사 자리는 이채로웠다. 참석자들이 간단히 자기소개를 하였는데, 국가와 소속 기관이 다양함은 물론이고 그 연령대가 20대 초반에서 70대까지 아주 넓게 펼쳐져 있었다. 행사에서 강의를 맡은 강사들이 상대적으로 연령대가 높긴 했지만, 평균 연령을 확 끌어올린 것은 아시아 지역 인터넷의 아버지로 불리는 전길남 박사 때문이었다.

사실 이번 첫 APSIG가 성사된 것은 오로지 전 박사님과 그가 이끄는 스태프들의 헌신적인 노력 때문이라고 할 수 있다. 전 박사님은 행사 기획 및 준비는 물론이고 행사 기간 내내 일정을 주도하며 성공적인 교육이 되도록 보살폈다. 직접 강의를 맡기도 했다. 인터넷의 기술적 측면을 조망하는 강의였다. 아시아 각국에서 온 사람들이 전 박사님에게 보이는 존경은 절대적인 것이었으며, 이번 행사는 나로서는 말로만 듣던 전 박사님의 지도력을 실제로 확인하는 계기가 되기도 했다.

APSIG에서 강의하는 전길남 박사

행사가 열린 AIT는 방콕 외곽에 있는 대학과정 교육 기관이다. 기술, 공학, 경영학 중심 특성화 대학인데, 그곳의 컨퍼런스 센터에서 행사가 진행되었다. 나흘 일정이 강도 높게 이어진 데다, AIT는 공항을 중심으로 방콕 시내와 반대 방향에 있어서, 나는 이번 여행에서 방콕 등은 구경도 하지 못했다.

행사장인 AIT는 1959년에 설립되었다. 컨퍼런스에 딸린 숙박 시설도 연륜의 흔적을 보였으나, 학술 행사를 진행하는 데 큰 문제는 없었다. 숙소에는 간소한 침대와 책상이 놓여 있었다. 수도원 같은 분위기다. 책상 서랍을 열어보았다. 서구 숙박시설의 경우 이곳에 성경 한 권이 놓여 있게 마련이다. 요즘은 종교적 의미를 부여하지 않기 위해 성경을 치우는 곳도 많다고 들었다. 그런데 AIT의 객실 서랍 속에는 자그마치 네 권이나 들어 있었다. 성경 두 권, 꾸란 한 권, 그리고 “The Great Teaching of Buddha”라는 영문판 불경 한 권이었다. 낯선 숙박시설에서 잠을 설치는 편이지만, 무려 세 종파의 성인이 보호하는 곳에서라면 아주 편안히 잘 수 있을 것 같았다.

다자간 모델, 망중립성

강의는 월요일 아침, EFF(Electronic Frontier Foundation)의 제레미 말콤(사진) 하는 다자간(multi-stakeholder) 모델 수업으로 시작되었다. (인터넷 거버넌스와 친해지기 위해서는 우선 마구 쏟아져 나오는 각종 영어 약자와 친해져야 한다. 관련 단체나 개념이 모두 영어 약자로 표현되기 때문이다. 전길남 박사가 편찬한 영문서 [아시아 인터넷사(An Asian Internet History)]의 앞부분에는 ‘두문자어(Acronyms)’라는 표제 아래, 책에서 쓰인 인터넷 관련 영어 약자가 무려 8쪽에 이르는 분량으로 정리돼 있다.)

물밀듯 쏟아져 나오는 인터넷 관련 두문자어들

다자간 모델은 인터넷을 관리하는 이상적인 방식으로 간주된다. 특정한 한 측이 인터넷을 통제하는 것이 아니라, 국가(정부)·시민사회·기업·학계 등 관심이 있는 모든 당사자가 동등한 지위로 참여하여 협의하며 관리해 나가는 방식이다.

인터넷의 특성을 고려하면, 사실 다른 접근이 존재하기 어려울 것 같기도 하다. 국가가 주도하여 성장한 기존 통신 인프라와는 달리, 인터넷은 자율적인 민간 기구가 주도하는 형태로 진화되어 왔기 때문이다. 말콤은 △인터넷망에 개별 국가의 법령을 적용하기 어렵고 △국제 단위에서는 대표자를 뽑아 결정을 맡기는 민주 대의제를 적용하기 어려우므로 그 대안으로 다자간 참여-협상 모델이 필요할 수밖에 없음을 설명하였다.

다자간 참여-협상 모델(멀티 스테이크홀더리즘) 

“인터넷 거버넌스는 민주적인 다자간 협의·결정 과정에 기초하여야 한다. 이러한 과정에서 정부, 사기업, 시민사회, 기술공동체, 학문공동체, 이용자를 포함한 모든 당사자가 의미 있게 실질적으로 참여할 수 있도록 보장해야 한다. 당사자 각각의 역할과 책임은 논의되는 이슈의 맥락 안에서 융통성 있게 해석되어야 한다.” (NETmundial Initiative, 2014)

두 번째 시간은 인도 ComFirst의 디렉터 마에시 우팔이 망중립성에 대해 강의했다. 이번 행사에는 인도에서 여러 사람이 강사와 학생으로 참석했다. 엄청난 인구와 급신장하는 경제력을 바탕으로 하여 인터넷 사업에 매진하는 분위기가 잘 전달됐다.

첫날 오후에는 APNIC(Asia Pacific Network Information Center)의 파블로 히노호사(사진)가 특이한 방식으로 수업을 진행했다. 인터넷망을 통해 전달되는 패킷과 그 전달 규약을 설명하기 위해 특수 제작한 카드를 선보인 것이다. 그는 이 카드를 참석자에게 나눠주고, 그 속에 담긴 암호에 규정된 대로 패킷이 전달되는 양상을 시연하면서 인터넷의 구조를 이해시켰다. 게임을 하듯 진행하다 보니 정보 전달 흐름과 그 규약이 자연스럽게 이해되었다.

“새로 10억 명 연결하기” 

매일의 마지막 시간은 분반 토의 순서로 진행되었다. 각 스테이크홀더 영역별, 즉 정부·시민사회·사기업·기술-학계의 네 팀으로 나누어, 각자의 영역에서 주어진 주제를 토론했다. 공동 주제는 “새로 10억 명을 연결하기”였다.

오늘날 전 세계 인터넷 이용자는 35억 명, 세계 인구의 절반 정도다. 그중 60%가 아시아인이다. 인구가 많으므로 이용자 숫자도 크지만, 인터넷 보급률로 따지면 세계 평균에 뒤처진다. 아시아 지역은 앞으로 급격한 양상으로 이용자가 늘어날 것으로 예견된다. 이렇게 새로 늘어날 이용자들을 어떻게 효과적으로 연결하고, 개인과 사회 발전에 도움이 되도록 할 것인가가 새로운 숙제가 된다. 참가자들은 각자의 영역에서 문제를 조망하고 토론을 벌였다. 토론 내용은 마지막 날에 취합하여 발표되었다. 소속 위치에 따라 문제를 보는 시각이 조금씩 달랐지만, 결국 다양한 측이 서로를 보완하면서 거버넌스를 만들어 나가야 한다는 데에는 이견이 없었다.

둘째 날은 인터넷을 둘러싼 사회정치적 환경에 대한 수업이 진행되었다. ICANN(Internet Corporation for Assigned Names and Numbers)의 애덤 피크가 인터넷 거버넌스의 원칙들에 대해 강의하였고, 일본에서 활동하는 짐 포스터가 인터넷을 둘러싼 정치 사상적 측면을, 그리고 고려대 교수이자 오픈넷 이사인 박경신 교수가 법률적인 측면을 강의하였다. 나중에 공개된 교육생 강의 평가에 따르면, 모두 흥미롭고 의미 있는 수업이었다.

인터넷의 법률적 측면에 대해 강의하는 박경신 교수