1. 쿠팡 사태의 전말과 본질
최근 대한민국 전자상거래 시장에서 독점적 지위를 누리는 쿠팡과 관련하여, 이용자 데이터 관리의 투명성과 안정성이 중대한 문제로 부상하고 있다. 이 사태의 핵심은 단순히 기술적인 보안 취약점을 넘어, 대한민국 국민의 데이터 주권이 외국에 기반을 둔 특정 기업에 의해 위협받고 있다는 근본적인 문제이다.
쿠팡은 방대한 이용자 정보, 구매 기록, 물류 데이터를 자체 개발하고 운영하는 '쿠팡 인텔리전트 클라우드(CIC)'를 통해 관리한다. 쿠팡의 본사가 미국에 위치해 있고, 핵심 데이터 관리 주체 또한 외국 기업의 통제 아래 놓여 있다는 구조적 특징은, 유사시 대한민국 정부나 정보 주체(국민)가 이 데이터에 대한 통제권을 행사하기 어렵게 만드는 근본적인 위험 요인으로 작용한다. 이는 곧 데이터 주권(Data Sovereignty)의 침해 가능성을 내포한다.
사진: 법무법인 휘명 박휘영 대표변호사
2. 데이터 주권의 중요성과 시대적 의미
데이터 주권의 중요성이 점점 커지는 배경과 그 의미는 다음과 같다.
① 국가 안보 및 경제적 이익의 핵심 자원
데이터 주권은 데이터가 저장, 처리, 유통되는 지역의 법률을 따라야 한다는 원칙이다. 국가 안보 및 통제 측면에서, 핵심 데이터가 해외 관할권 아래 놓이는 것을 방지하여 국가의 독립적인 정책 결정과 위기 대응 능력을 확보하는 데 필수적이다. 또한, 데이터는 21세기 경제의 핵심 자원이다. 데이터 주권은 자국 내 데이터가 해외로 유출되어 경제적 가치를 타국이 독점하는 것을 막고, AI 시대의 산업 주권을 지키는 기반이 된다.
② 글로벌 클라우드 의존과 현지화 요구 증대
AWS, Azure 등 소수의 글로벌 빅테크 기업이 제공하는 클라우드 인프라에 의존도가 높아지면서 관할권 문제가 심화되고 있다. 서버가 해외에 있다면 해당 데이터는 서버가 위치한 국가의 법률 적용을 받는다. 이에 따라 EU, 중국 등은 특정 유형의 데이터는 반드시 자국 내 서버에 저장(데이터 현지화)하도록 강제하는 등 규제를 강화하고 있다.
③ 인공지능(AI) 시대의 데이터 통제권 확보
인공지능 기술의 발전은 방대한 데이터에 의존하며, AI 주도권은 데이터를 통제하고 활용하는 능력에서 나온다. 데이터 주권은 개인정보 보호뿐만 아니라, 국가 경쟁력을 좌우하는 핵심 요소가 된 것이다. 유럽연합(EU)의 GDPR이 개인정보 이동권 등을 부여하여 개인의 통제권을 회복시키려 한 것도 데이터 주권 확립 노력의 대표적인 사례이다.
3. 국내 독과점 외국 사업자의 데이터 통제 문제
이번 쿠팡 사태가 던지는 가장 큰 경고는, 국내에서 독과점적 지위를 가진 사업자(쿠팡, 우버 등)가 외국에 본사를 두었을 때 발생하는 국민 데이터의 무방비 상태이다.
쿠팡처럼 국내 거의 대부분 국민의 쇼핑, 생활 패턴 등 민감한 데이터가 외국에 자체 클라우드를 둔 사업자에 의해 관리될 경우, 해당 데이터는 외국 사업자나 외국 정부의 관할권 아래 놓이게 된다. 이로 인해 다음과 같은 심각한 문제가 발생할 수 있다.
* 법적 강제력 부재: 외국 정부나 사법 당국이 자국의 법에 근거하여 쿠팡의 클라우드 데이터에 접근하거나 활용을 명령하더라도, 대한민국 정부나 정보주체는 외국 정부에 직접적으로 법적 통제권을 행사할 수 있는 수단이 미흡하다.
* 부당 이용 및 악용 우려: 국내의 엄격한 개인정보보호법의 규제를 벗어나 외국 사업자나 외국 정부에 의해 국민의 데이터가 부당하게 이용되거나, 심지어 악용되어도 국내 정보주체, 우리나라는 효과적인 국민 데이터 주권을 행사하기 어렵게 된다.
4. 대한민국 데이터 주권 확보를 위한 즉각적 조치 요구
대한민국의 데이터 주권과 국민의 안전한 데이터 이용 환경을 확보하기 위해, 국회와 개인정보보호위원회는 다음과 같은 강력한 조치를 취해야 한다.
① 국회의 입법 의무: 네거티브 데이터 현지화 법률 제정
국회는 중국이 시행하고 있는 것처럼, 데이터의 중요성을 감안하여 국내 이용자들의 핵심 데이터는 특별한 예외가 없는 한(포지티브 방식으로 규제) 국내에 있는 사업자의 클라우드 등 설비에 저장되어야 하며, 대한민국 정부의 관리감독을 받아야 한다는 내용의 법률을 신속히 제정해야 한다. 이는 국가 안보와 경제 주권 차원에서 더 이상 미룰 수 없는 과제이다.
② 개인정보보호위원회의 시정조치 발동 촉구
현재 미흡한 법률 체계 속에서도 국민의 데이터 주권을 지키기 위한 최대한의 조치를 취해야 한다. 개인정보보호위원회는 개인정보 보호법 제64조 제1항 제3호에 따라, 개인정보 침해 위험을 근본적으로 해소하기 위해 "개인정보의 보호 및 침해 방지를 위하여 필요한 조치"를 명할 수 있는 포괄적인 권한을 가지고 있다.
보호위원회는 이 권한을 충분히 활용하여, 현재 쿠팡 내부의 쿠팡 인텔리전트 클라우드가 아닌 국내의 네이버 클라우드 등 국내 사업자가 관리하고 우리나라의 법적 관할권 아래에 놓이는 클라우드로 국민의 핵심 데이터를 모두 이전토록 시정조치를 명해야 한다. 이는 데이터 주권 위협이라는 중대한 사안에 대한 선제적이고 단호한 행정 조치가 될 것이다.
개인정보보호위원회는 포괄적인 법적 권한을 적극적으로 행사하여, 대한민국 국민의 데이터를 보호하고 국가의 데이터 주권을 수호하는 데 일말의 주저함도 없어야 한다.
법무법인 휘명 박휘영 대표변호사
){kind=small}
){kind=small}
){kind=small}
){kind=small}
