지킬 권리 vs. 잊힐 권리…싸이월드가 불러온 데이터 주권 논쟁

지킬 권리 vs. 잊힐 권리…싸이월드가 불러온 데이터 주권 논쟁 AhnLab 콘텐츠기획팀 ㅣ 2019-12-04         ‘도토리’라는 단어를 들으면 곧바로 연상되는 것은?   미니미, 미니홈피를 떠올리는 사람이 적지 않을 터. 국내 최초의 소셜네트워크 서비스로 인정받지만 사실상 이미 추억이 되었던 ‘싸이월드’가 얼마 전 다시 화두에 올랐다. 싸이월드 제공사가 사이트를 폐쇄했기 때문이다. 시스템 상에서는 그저 ‘데이터’에 불과하지만 사용자에게는 소중한 ‘추억’이기에 이것을 보존해야 하느냐, 마느냐를 둘러싸고 각각 사용자와 서비스 제공자 관점에서 논쟁이 일었다. 이와 함께 한때 이슈가 됐던 ‘잊힐 권리’도 다시 화두에 올랐다. ‘데이터 주권’은 과연 어디까지 허용되어야 하는지 다시 한 번 생각해보자.   2019년 10월 11일 싸이월드가 사전에 아무런 통보 없이 갑자기 접속 불능 상태가 됐다. 한때 월간 이용자가 2,000만 명에 이를 정도로 많은 사람들이 여기에 사진과 글, 영상을 남겼더랬다. 싸이월드를 가끔이라도 접속했던 사람들은 그야말로 ‘멘붕’에 빠졌다. 그 안에 담겨 있는 글과 사진, 동영상이 한순간에 사라졌기 때문이다. 그러나 지난 수년간 새로운 소셜미디어들이 늘어나며 경쟁이 치열해지면서 싸이월드의 서버를 운영하던 회사는 경영난으로 이미 문을 닫은 상태나 다름없었던 것. 과학기술정보통신부는 회사에 남아 있는 싸이월드 관계자들과 연락을 취해 도메인 사용기한을 연장하기로 하고 며칠 뒤 싸이월드 사이트는 다시 접속이 가능해졌다.   ▲ 싸이월드의 대표적인 미니홈피 초기 화면(*출처: 싸이월드)   이른바 ‘싸이월드 접속 불능 사태’는 ‘데이터 주권(Data Sovereignty)’에 대한 논쟁에 불을 붙였다. 데이터 주권이란 신체나 개인의 재산처럼 개인에게 정보 권리를 부여해 스스로 자신의 데이터가 어디서, 어떻게, 어떤 목적으로 사용될지 결정할 수 있는 권리를 말한다. 즉, 개인의 데이터, 즉 정보에 대한 권리는 개인에게 있으며 자신의 데이터가 어디에서 어떻게 쓰이는지 알아야 한다는 주장이다.   영리를 추구하는 기업이 보유한 사이트이지만 개인이 남긴 데이터를 이용자 스스로 삭제하거나 다운로드할 수 있는 데이터 주권이 보장되어야 한다는 주장과 반대로 잊힐 권리에 대한 부분도 제기되고 있다. 서비스 업체가 폐업해 데이터를 삭제해 버리면 이용자는 이를 보상받을 방법이 없기 때문이다.   데이터 ‘폐기’는 불법이 아니다   정보통신망법 제29조에 따르면 인터넷 사업자가 사업을 폐업하게 되면 보유한 개인정보는 모두 파기하도록 규정하고 있다. 사이트의 폐쇄는 곧 정보의 폐기를 의미한다. 개인정보의 유출을 막기 위함이다. 이 법에 따르면 이용자가 1년 기간 동안 서비스를 이용하지 않을 경우 이용자의 개인정보 보호를 위해 개인정보 파기도 가능하다. 따라서 싸이월드 서비스가 종료되거나 이용자가 싸이월드에 오랜 기간 접속하지 않으면 데이터를 싸이월드가 삭제하는 건 불법이 아니다.   싸이월드 외에도 그동안 많은 인터넷 서비스가 사라졌다. 포털 서비스 프리챌 역시 2000년대 초반 전성기를 누렸지만 싸이월드가 인기를 끌면서 서비스가 종료됐다. 데이터 백업을 위한 기간은 1달이 주어졌지만 해당 기간 내에 백업 되지 않은 데이터는 그대로 폐기됐다. 한때 세계 1위의 인터넷 포털 업체였던 야후 역시 국내 서비스 중단을 발표하고, 데이터 백업을 위해 주어진 한 달 뒤에 해당 기간 동안 백업되지 않은 데이터는 모두 폐기된 바 있다.   몇몇 이용자들은 싸이월드 데이터를 백업하기 위해 백업 자동 프로그램을 개발하는 등 발벗고 나서기도 했다. 하지만 결국 이용자가 일일이 다운로드하는 방법밖에 없다. 특정 SNS나 클라우드에 축적되는 데이터를 다른 서비스로 쉽게 이전할 수 있도록 하는 개념인 데이터 포빌리티(Portability, 이전) 서비스가 싸이월드엔 없기 때문이다. 페이스북의 경우엔 이용자가 자신이 올렸던 사진이나 댓글, 영상 등 모든 데이터를 모아 다운로드할 수 있는 기능을 제공하고 있다.   세계 각국의 ‘데이터 주권’ 관련 법   미국은 개인의 데이터 주권을 소비자 권리로 규정하고 있다. 캘리포니아 주는 소비자 프라이버시 법(Consumer Privacy Act of 2018 : CCPA)을 2018년 6월에 제정해 2020년부터 시행할 예정이고, 일본은 새로운 데이터 유통 모델로 정보주체인 개인 중심의 데이터 생태계를 구축하고 있다. 중국은 개인의 데이터 권리보다 국가의 데이터 권리를 내세우며 자국 기업들의 데이터 활용을 장려하고 있다.   EU(유럽연합)에서는 일반정보보호법(General Data Protection Regulation : GDPR)을 제정, 2018년 5월부터 실시하고 있다. EU 내에서 운영하는 회사 또는 EU 시민에게 서비스를 제공하는 회사는 소비자를 보호하기 위한 새로운 개인정보 보호 지침을 준수해야 한다. 이를 어기는 기업에게는 연간 매출의 4%에 해당하는 벌금이 부과된다. GDPR에서도 사용자가 기업이 보유한 자신의 개인 데이터를 삭제하거나 다운로드할 수 있어야 함은 물론 자신의 데이터를 자신이 지정한 제3자에게 제공할 수 있도록 하는 데이터 결정권을 강화했다.   우리나라도 ‘마이데이터’로 데이터 주권 강화 나서   우리나라는 마이데이터 사업을 통해 데이터 주권 강화를 시도하고 있다. 자신의 정보에 대한 소유권을 자신이 갖고, 자신의 원하는 방식으로 관리, 활용하는 것이 마이데이터이다. 예를 들어, 은행, 보험회사 등에 수집된 내 정보를 통합 서비스에서 관리하거나 공유가 가능한다. 은행, 증권사, 보험사 등에 분산되어 있는 금융 정보를 한곳으로 모아 상품 가입, 자산 내역 등의 신용 정보를 파악해 관리할 수 있도록 한다는 것이다.   마이데이터 활성화를 위해 개인정보보호법, 정보통신망법, 신용 정보법 등 데이터 3법의 법적 규제 완화 작업이 진행 중이다. 데이터 3법이 통과되면, 각각 금융회사에 별도로 접근할 필요 없이 한 플랫폼에서 정보관리, 자산관리, 신용 관리 등의 업무를 수행할 수 있다.   마이데이터와 관련해 과학기술정보통신부와 한국데이터산업진흥원은 의료, 금융, 에너지, 유통, 학술연구 등 국민 생활과 밀접한 5개 분야의 8개 과제를 선정, 데이터 주권을 강화하고 나섰다. 이를 통해 과학기술정보통신부는 본인정보 활용에 따른 혜택을 체감해 개인중심의 데이터 유통체계를 확립하도록 적극 지원하겠다는 계획이다.   데이터 주권 vs. 잊힐 권리….결국 개인의 선택에 달려   개인의 데이터를 보호해야 한다는 ‘데이터 주권’ 주장 못지 않게 원하지 않는 데이터는 지워야 한다는 프라이버시 관점에서의 ‘잊힐 권리’도 꾸준하게 제기되고 있다. 안랩은 시큐리티레터 641호를 통해 ‘잊힐 권리’에 대해 자세히 다룬 바 있다.   ▶시큐리티레터 641호 다시 보기   ‘잊힐 권리’는 데이터 주권과는 상반된 개념이지만 반쪽의 권리를 주장하기에 앞서 언젠가 잊어야 할, 잊고 싶을 가능성이 있는 정보들은 SNS나 인터넷에 가급적 노출하지 않는 것이 가장 최선의 방법일 수도 있음을 강조했다. 결과적으로 데이터 주권이나 잊힐 권리 모두 개인의 책임일 수밖에 없다. 데이터를 지키는 것도, 데이터를 지우는 것도 개인의 몫이다.