구글은 2012년 3월 1일부터 자사의 개인정보취급방침 및 서비스 약관을 변경한다고 발표했다. 60여개가 넘는 서로 다른 개인정보취급방침을 통합해 간결하고 읽기 쉬운 내용으로 대체하겠다는 것이다. 또 기존 보다 간단하고 사용이 쉬운 하나의 통합된 환경을 제공하고 사용자는 공유하려는 항목에 대한 선택권과 관리권한을 가진다고 밝혔다. 이를 통해 구글은 더 나은 검색결과와 광고 및 기타 콘텐츠를 이용자들에게 제공하겠다는 것이다.
 
데쉬보드를 통해 어떤 정보를 수집하고 있는지 투명하게 공개하고 사용자에게 정보가 사용되는 방식에 대한 선택권을 제공하겠다고 한다.
 
이러한 구글의 입장에 대해 세계 여러 나라들이 개인정보보호와 관련 문제제기를 하고 나섰다. 마찬가지로 한국도 개인정보보호에 대한 인식이 향상되고 개인정보보호법이 시행되고 있는 중이라 민감하게 받아들이고 있다. 아래내용은 3월 26일 ‘최근 구글의 개인정보 통합관리, 무엇이 문제인가?’란 주제로 열린 개인정보보보호 리더스 포럼에서 이경호 고려대학교 정보보호대학원 교수가 주장한 토론문 내용이다. 

 
구글은 2012 년 글로벌 검색점유율 82.7%의 독보적인 위치에서 서비스를 하고 있으며, 미국내 점유율은 66.2 %로 독보적인 사업자 이다. 보유한 서버의 수가 100 만대를 초과하는 것으로 예측되며(페이스북은 3 만대 보유), 전 세계의 모든 서버수의 2%를 보유하는 것으로 추정되고 있다. 이러한 압도적인 점유율과 인프라스트럭쳐, 선점한 다양한 서비스는 인터넷비지니스의 특성상 상당기간 지배적 지위를 유지할 것임이 분명하다.
 
구글의 연간 매출 370 억 불의 96% 는 온라인 광고에서 발생하고 있으며, 지속적인 성장세를 유지하고 있다. 하지만 애플의 순익 규모에도 미치지 못하는 매출액이며, 최근의 페이스북, 애플의 압도적 성장세로 인하여 새로운 성장동력을 발굴하고 이용자를 강하게 유인하여 묶어 둘 수 있는 매력적인 서비스가 필요한 상황이다. 구글과 같은 클라우드 환경의 서비스는 세가지 측면에서 관점을 유지할 필요가 있다.
 
첫째, 거버넌스이다. 압도적 지배사업자가 주도하는 현재의 클라우드 시장은 seller's market 이며, 사업자가 가격과 정책을 결정하고 수요자는 따를 수 밖에 없는 구조이다. 또한 이용자는 자신의 데이터를 위탁한 상태에서 무료로 이용할 경우,(광고효과로 인하여 반드시 무료라고 단정할 수는 없지만) 데이터 손실 발생 시 대책 수립이 곤란하고, 대량의 데이터를 백업 받거나 다른 사업자에게 이관하고자 할 때의 데이터 포맷의 상이성으로 인한 비용 발생, 이용자가 원하는 서비스로의 업그레이드를 주도할 수 없는 점, 장애에 대한 책임부과 곤란, 사업자가 제공하는 서비스 정책에 종속 등 거버넌스를 사업자에게 넘겨줄 수 밖에 없다. 사업자는 이러한 지배적 상황에서 사용자의 빅데이터 행태분석을 통한 타깃 마케팅으로서 수익을 창출 및 극대화 하고자 한다. 결국 거버넌스(광고 클릭에 대한…)가 수익을 만드는 것이다.
 
둘째, 리스크 관점이다. 정보보호 및 개인정보보호 측면에서 사고 발생 시 다른 이용자를 목표로한 공격에도 클라우드 안의 이용자는 동시에 피해를 입을 수 있고, 서비스 마비 시 클라우드와 연계된 비지니스에 피해가 이전된다. 과거 Gmail 서비스 다운 등의 사고로 인하여 이용자 피해가 발생했고 종종 클라우드 서비스에 대한 공격이 감행되고 있다.
 
셋째, Compliance 측면이다. 정보를 클라우드 안에 위치시킴으로서 재판관할권이 모호해지고, 형사사법권이 미치지 못한 사례가 발생하고 있다. 구글이 한반도에 서버를 가지고 있지 않으므로 인하여 경찰의 수사 및 조사권이 발동할 수 없는 것일까? 압수수색은 어떤 형태로 이루어져야 하며, 그 범위는 어떠한가?
 
위에서 언급한 관점과 현 구조로 인하여 메이저 클라우드 사업자를 대상으로한 규제는 현실적으로 장애요소가 많다. 강력한 규제의 날을 세운다 할지라도 서비스를 차단하거나 할 경우에 미치는 영향을 고려한다면 쉽지 않은 상황이다. 또한 국내 클라우드 사업자에게 동일한 잣대를 들이댈 경우 규제가 용이한 국내 사업자만 역차별 할 수 있는 여지도 있다. 물론 역으로 해외 클라우드 서비스의 국내 진출을 막아주는 진입장벽으로 활용될 수도 있으나 한미 FTA 체계에서는 다른 양상을 보일 것이다.
 
조금 다른 관점에서 이러한 클라우드 서비스에 대한 경직된 규제는 오히려 신기술을 기반으로한 새로운 서비스의 출현의 걸림돌이 될 수도 있다. 시시각각 변화하는 기술의 트렌드는 후행적 규제가 얼마나 유효하지 않은지 잘 보여준다. 따라서 메이저 클라우드 사업자에 대한 규제는 전략이 필요하다.
 
1. 메이저 사업자가 표방하는 모토는 도덕적이며 선하다. 글로벌 시장에서 현실주의자의 이익 추구에 대한 접근은 인정하지만 국제적 공조에 따른 도덕적, 규범적 압박은 글로벌 사업자가 잃고 싶지 않은 평판에 공격을 가할 수 있다. 이러한 접근의 조건은 타 국가의 규제기관과의 협업과
정보공유가 필수적이다.
 
2. 클라우드 사업자가 시장의 이해당사자들에게 수익의 원천인 개인행태정보의 이용 기술과 플랫폼에 대한 정보공개를 할 수 있도록 유도하는 것이다. 정보를 공개하고 이 과정에서 발생할 수 있는 세부적인 이슈들을 함께 논의할 수 있는 자리와 이를 합리적으로 처리 조정하겠다는 확신이 들 때 사업자는 자리를 함께 할 것이다.
 
3. 메이저 클라우드 사업자간에 경쟁을 유발시키는 전략이다. 독점이 깨지고 대체제가 있으면 가격은 하락한다. 규제가 꼭 필요하다면 사업자간 경쟁을 촉발 시킬 수 있는 요인을 찾아 이를 활용할 필요가 있다.
 
4. 제 3 자 규제이다. 미국에서 도박사이트를 단속할 때 중간 결제자인 카드회사를 규제 함으로서 차단에 성공한다. 제 3 자에 대한 규제 틀을 이용하면 일부 강력한 규제의 힘을 가져갈 수 있는 여지가 있다.
[이경호 고려대학교 정보보호대학원 교수]