본문 바로가기 주메뉴 바로가기 검색 바로가기
유럽의 구글 애널리틱스 문제 대응, 이제 시작이다
상태바
유럽의 구글 애널리틱스 문제 대응, 이제 시작이다
오스트리아 데이터 당국이 구글 애널리틱스의 GDPR 위반 증거를 발견했다. 유럽과 미국 간 신규 데이터 협약이 부재한 상황에서 다른 국가도 오스트리아의 선례를 따를 듯하다.
By MATT BURGESS, WIRED UK

의학 뉴스 기업 넷닥터(NetDoktor)의 오스트리아 웹사이트는 여느 웹사이트와 같은 방식으로 작동한다. 웹사이트를 실행하면, 구글 애널리틱스의 쿠키가 기기에 설치돼 웹사이트 접속 도중 사용자 활동을 추적한다. 추적 범위는 사용자가 읽는 페이지와 웹사이트 접속 시간, 사용자의 기기 정보 등이 포함된다. 또한, 구글은 다른 데이터와 연결할 수 있는 브라우저 식별 번호도 제출한다.

넷닥터는 분석 데이터를 이용해 구독자 수와 사용자의 관심사를 확인하며, 웹사이트는 수집할 정보를 선택한다. 그러나 구글의 감시 서비스인 구글 애널리틱스를 사용하면서 모든 데이터가 구글 서버를 통과하면서 결국 미국으로 전달된다. 유럽 규제 당국은 유럽 사용자의 개인 데이터를 미국으로 전달하는 것을 문제 삼는다. 이에, 오스트리아의 소규모 의학 웹사이트는 미국과 유럽의 강력한 프라이버시 규제 간 거대한 강경한 다툼의 중심에 서게 되었다.

2021년 12월 22일, 오스트리아 데이터 규제 당국인 데이텐슈츠베회르드(Datenschutzbehörde)는 넷닥터의 구글 애널리틱스 사용이 유럽연합의 개인정보보호 규정(GDPR) 위반 사항에 해당한다고 발표했다. 오스트리아 당국은 2022년 1월 발표한 결정 사항을 통해 미국으로 전송하게 되는 데이터는 미국 정보기관의 접근 대상이 될 수도 있는 상황에서 제대로 개인 정보를 보호하지 않는다고 지적했다. 그로부터 며칠 전, 유럽 데이터보호감독청(EDPS)은 유럽 의회의 코로나19 테스트 웹사이트도 구글 애널리틱스와 스트라이프(Stripe)의 쿠키를 사용하면서 GDPR 규정을 위반했다는 판단 결과를 발표했다.

넷닥터와 유럽 의회 코로나19 웹사이트의 문제는 2020년 7월, 무수히 많은 기업이 유럽연합과 미국 간 데이터 이전에 사용하는 메커니즘인 프라이버시 실드(Privacy Shield)가 불법이라는 판결 이후 처음 발생한 데이터 이전 관련 문제이다. 중대한 의미가 있는 프라이버시 실드 사건은 프라이버시 실드를 대체해 유럽 대륙과 미국 간의 새로운 데이터 공유 방식에 활용할 방안을 모색하는 미국과 유럽의 협상 기관에 압박을 더할 것이다. 미국과 유럽 간 데이터 공유 방식을 둘러싼 합의 기간이 길어진다면, 유럽 전역에서 넷닥터와 유럽 의회 코로나19 웹사이트에 제기된 것과 같은 소송 사례가 도미노 효과처럼 급격히 증가할 것이다. 아마존과 페이스북, 구글, 마이크로소프트의 클라우드 서비스 모두 한 국가에서 한꺼번에 다루고자 양립할 수 없다는 문제가 함께 제기될 것이다. 비영리 국책연구소 퓨처 오브 프라이버시 포럼(Future of Privacy Forum) 글로벌 부사장인 가브리엘라 잔피르 포투나(Gabriela Zanfir-Fortuna)는 “경제와 사회생활의 모든 측면에 영향을 미치는 문제이다”라고 말했다.

넷닥터의 쿠키 사용 행위 자체가 이례적인 사례는 아니지만, 여전히 유럽 규제 당국은 미국 테크 기업이 대서양을 넘어 데이터를 전송하는 것을 원하지 않는다는 점을 매우 분명하게 암시한다. 외국 정보 감시법(Foreign Intelligence Surveillance Act) 제702조와 행정명령 12333호 등 현행 미국 감시 법률은 미국 거주자와 외국 거주자의 데이터를 보호하지 않는다. 다시 말해, 이론적으로 미국 감시 기관이 타국에서 미국으로 전송된 다량의 데이터를 수집할 수 있다는 의미이다.

2020년 프라이버시 실드 사건과 그에 앞선 미국과 유럽 간 데이터 전송 사건인 2015년 10월의 세이프 하버(Safe Harbor) 사건을 담당한 법률 비영리 단체 noyb의 명예 의장 맥스 쉬렘스(Max Schrems)는 “미국 규제 당국이 자국민의 개인 정보를 보호하지 않았다면, 대상 수정헌법 제4조 위반 사항이다”라며, “그러나 미국이 보호를 소홀히 한 개인 정보의 주인이 외국인이라는 이유 때문에 위헌 요건이 성립되지 않는다”라고 주장했다. 2020년 프라이버시 실드 사건 판결의 결과 중 하나는 유럽연합에서 미국으로 데이터를 전송할 때, 해당 정보를 보호하기 위한 추가 조치를 시행하는 것이다. 이제 오스트리아 데이터 보호 당국은 전 세계로 데이터를 전송하는 과정에서 데이터 센터 접근 권한 제한과 데이터 암호화 등 구글 애널리틱스가 적용한 기술적 조치가 미국 정보기관의 잠재적인 데이터 침해 행위를 멈추지 못한다고 판단했다.

오스트리아 당국의 판단 내용에 따르면, 구글이 암호화되지 않은 일반 텍스트 상태에서 데이터에 접근할 수 있어 데이터는 잠재적인 감시 보호가 되지 않았다. 오스트리아 데이터 규제 당국 부총괄인 마티아스 쉬미들(Matthias Schmidl)은 “데이터 전송이 불법이라고 판단한 이유는 개인 데이터 전송 시 적절한 수준의 정보 보호가 이루어지지 않았기 때문이다”라고 말했다. 이어, 웹사이트 운영 기관이 구글 애널리틱스를 사용할 수 없으며, GDPR을 따라야 한다고 덧붙였다.

문제 제기 당시의 결정은 오스트리아에서만 적용된 것이 아니며, 문제가 끝난 것도 아니다. 유럽 전역의 웹사이트가 순식간에 구글 애널리틱스 사용을 중단했다. 넷닥터는 이번 문제와 관련된 질문에 어떠한 대응도 하지 않았다. 구글 글로벌 문제 부사장이자 최고 법률 관리자인 켄트 워커(Kent Walker)는 “오스트리아 당국의 이번 결정이 특정 웹사이트와 특수한 상황에만 영향을 미치지만, 더 광범위한 문제가 될 수 있다는 징조이다”라고 말했다. 워커는 1월 19일 게재한 블로그 게시글을 통해 구글이 그동안 사용자의 데이터 보호를 위해 기술적 조치를 적용했으며, 유럽과 미국의 비즈니스 생태계 전반에 걸친 데이터 전송에 영향을 미칠 수 있을 것이라고 주장했다.
 
[사진=Unsplash]
[사진=Unsplash]

그러나 이번 문제는 시작에 불과하다. 2020년 8월, noyb가 넷닥터를 고발했을 당시 유럽 전역의 데이터 보호 당국에 다른 사건 100건을 함께 제출했다. 쉬렘스 명예 의장은 “구글 애널리틱스만의 특수한 문제가 아니다. 기본적으로 미국 공급사 외주 관계와 함께 전반적으로 발생하는 문제이다”라고 말했다.

유럽 30개국의 규제 당국은 현재 구글 애널리틱스와 페이스북의 사용자 계정과 다른 웹사이트 간의 관계 연결 툴인 페이스북 커넥트(Facebook Connect) 사용 문제를 조사 중이다. 에어비앤비와 스카이, 이케아, 허핑턴포스트 등 특정 국가의 웹사이트도 피소됐다. 잔피르 포투나 부사장은 “대다수 결정은 똑같거나 비슷한 결과를 낳을 것이다”라고 말했다. 즉, noyb가 다른 모든 사건에 똑같은 법률문제를 주장한 바와 같이 데이터 보호 규제 당국이 똑같은 전담팀을 형성해 법적 문제를 논의할 수 있다는 의미이다. 쉬렘스는 “데이터 보호 문제와 관련, 문제를 적용할 수 있는 곳마다 국가 단위로 문제를 제기할 것으로 예측한다”라고 말했다.

네덜란드 데이터 보호 당국인 개인정보 감독 기구(Autoriteit Persoonsgegevens)는 자체 조사를 마무리했으며, 현재와 같은 형태로 구글 애널리틱스로 사용하는 행위를 금지할 가능성을 배제하지 않았다. 지역 단위로 데이터 문제를 규제하는 독일에서는 함부르크 데이터 보호 당국이 noyb의 항소 사건 두 건을 받아들였다. 이후 한 사건에서 문제 웹사이트가 구글 애널리틱스를 제거해 “해당 사건과 관련, 별도의 명령이나 과징금을 부과하지 않을 것”이라고 밝혔다. 다른 사건은 여전히 조사 중이다.

맥가르 솔리시터스(McGarr Solicitors)의 유럽 데이터 규정 준수 총괄인 사이먼 맥가르(Simon McGarr)는 여러 데이터 규제 당국이 협력하고 있지만, 여전히 어느 정도 의견 차이가 있다고 말한다. 맥가르 총괄은 “오스트리아 당국의 견해는 한 가지 극단적인 의견의 범주에 해당하며, 가장 극단적인 결과를 나타낼 수도 있다”라며, 다른 국가의 데이터 규제 기관은 사건의 사유를 승인하거나 개정, 거부할 수 있다고 덧붙였다. 유럽연합의 GDPR 시행 집행기관 27곳 간의 의견 불일치는 흔한 일이다. 2021년, 아일랜드 데이터 보호 당국은 다른 규제 당국이 최종 판단 결과에 동의하지 않자 왓츠앱에 부과한 과징금이 1억 7,500만 파운드로 증가했다. 맥가르 총괄은 noyb의 사건을 담당하는 다른 유럽 규제당국이 각각의 사건의 사실을 기반으로 다른 결론을 내릴 수 있다고 언급했다.

EDPS 대변인은 미국으로 개인 데이터를 전송할 때, 효과적인 보안 조치와 함께 데이터 보호가 이뤄져야 한다는 견해를 밝혔다. EDPS는 현재 유럽연합 공식 기관의 아마존 웹 서비스(AWS)와 마이크로소프트 오피스365 사용 방식도 조사 중이다.

그다음에는 어떤 일이 발생할까? 오스트리아 당국은 현재 조사를 고려 중인 다른 비슷한 사건과 마찬가지로 유럽의 엄격한 프라이버시 법률과 법률 규정 적용 범위가 유럽연합을 벗어날 때 발생할 수 있는 일 간의 갈등을 부각한다. 일각에서는 주요 미국 테크 기업에 대한 유럽의 회복력이 감소할 수 있다는 낙관론을 제시하지만, 반대로 유럽과 미국 양측 협상 기관이 데이터 전송 및 경제 파괴 문제 발생 전 데이터 공유가 이루어지도록 할 새로운 협상안에 확실히 합의해야 한다는 중요성을 강조하는 의견도 있다.

클라우드 개발 플랫폼 클레버 클라우드(Clever Cloud)의 공공 문제 총괄인 기욤 샴포(Guillaume Champeau)는 기업이 오스트리아 당국의 판결을 지켜보면서 잠재적인 대체 수단을 고려하는 동시에 다른 국가 데이터 기관의 판결 추가 발표를 기다릴 수 있다고 전했다. 샴포 총괄은 “기업의 흐름이 유럽에서 더 공정한 경쟁이 이루어지는 방향으로 변하도록 도움을 줄 수 있다”라고 덧붙였다. 이어, 구글 애널리틱스만큼 주목받지 못한 유럽의 수많은 클라우드 기반 분석 사업이 매우 많으며, 전 세계 웹사이트 2,800만 개가 사용 중인 것으로 추산했다.

쉬렘스 명예 의장은 2023년에도 비슷한 결정이 계속 발표된다면, 은행가를 비롯한 일부 대기업이 GDPR 문제를 책임질 대상을 두고 의문을 제기하기 시작할 것이라고 예상한다. 그는 “결국 불법으로 밝혀진 클라우드 솔루션에 거액을 투자한다면, 투자금을 부담하게 되는 이는 누구인지 중대한 의문을 제기하게 될 것이다”라고 말했다.

그보다 더 광범위한 문제를 보자면, 쉬렘스 명예 의장은 실리콘밸리의 대기업이 자체 기술이나 태도를 바꾸지는 않을 것으로 본다. 쉬렘스 명예 의장은 “단순히 실리콘밸리 대기업이 데이터 보호 관련 규정을 적용할 의지가 없기 때문이다”라고 말했다. 폴리티코가 입수한 페이스북 내부 문건에는 페이스북이 유럽연합 데이터를 미국으로 전송하는 것을 전혀 문제가 된다고 보지 않으며, 페이스북 사내 변호사는 미국 법률이 유럽연합 사용자의 데이터를 유럽연합과 마찬가지로 미국 법률로 보호한다고 생각한다는 사실이 드러났다. 구글 대변인은 유럽 사용자 데이터 처리 방법 변경 의사를 묻자 “관련 사항을 공유할 계획이 없다”라고 답변했다.

유럽연합과 미국 협상 담당 기관이 주요 테크 기업의 과감한 데이터 접근방식을 변화하기 전 새로운 데이터 공유 방식 협상에 합의할 확률이 높다. 유럽연합과 미국은 2020년 7월, 프라이버시 실드 사용 무효화 이후 대체 방안을 논의해왔다. 그러나 프라이버시 실드 대체 관련 논의는 여전히 확고한 제안 사항을 제시할 수 없을 듯하다. 각국 관료는 유럽연합 데이터 수집 행위의 합법 여부 판단 담당 기관을 포함해 미국 보안 기관 감시 강화를 제안했다. 쉬렘스 명예 의장은 “가장 쉬운 방법을 말하자면, 어느 정도 감시 사법 관할 승인이 필요하며, 미국 시민을 대상으로 적용하는 것과 같은 규정과 보호 조치가 필요하다”라고 언급했다.

유럽연합 집행위원회 대변인은 지난 몇 개월간 협상이 강화되었으며, 유럽연합과 미국 양측도 협상을 우선순위로 둔다고 밝혔다. 그러나 유럽연합 집행위원회가 프라이버시 실드의 뒤를 이어 등장한 구글 애널리틱스가 법정에서 패소하는 것을 원하지 않을 것이라는 한계가 있다. 유럽연합 집행위원회 대변인은 “유럽연합 법원이 정한 요구사항을 완벽하게 충족하는 합의만이 유럽연합과 미국 양측의 특정 이해당사자를 대상으로 안정성과 법적 확실성을 전할 수 있을 것이다”라고 주장했다. 미국 대표 기관은 이 기사가 송출될 시점까지 어떠한 의견도 밝히지 않았다.

잔피르 포투나 부사장은 오스트리아 당국이 유럽연합과 미국 양측 협상단에 더 압력을 가할 수 있으나 미국의 법안 개정이 이루어질 확률이 낮다고 예측한다. 연방 미국 프라이버시 법률은 감시 법률 전면 개정과 어느 정도 거리가 멀면서 실제 개정을 원하지 않는다는 점이 드러났다. 대신 잔피르 포투나 부사장은 프라이버시 실드 대체를 인정하는 변화가 정치적 논쟁이 비교적 적은 상태에서 통과될 수 있는 행정명령 형태로 이루어질 수 있다고 보았다.

잔피르 포투나 부사장이 제시한 바는 구글이 적극적으로 동의하는 의견이기도 하다. 구글과 유럽연합 집행 위원회 간 몇 분간의 회의 이후 정보의 자유 법률에 따라 공개된 바와 같이 구글은 프라이버시 실드를 대체할 프로그램이 미 의회의 행동이 필요하지 않으리라는 점을 바란다는 사실을 밝혔다. 워커는 블로그 게시글을 통해 유럽연합과 미국 협상 기관에 프라이버시 실드의 뒤를 이을 솔루션 관련 문제의 결론을 재빨리 내릴 것을 촉구했다. 그는 “지금 즉각적으로 드러난 문제에서 신속한 솔루션을 찾을 때 실패할 위험성이 너무 높다. 유럽과 미국 간 국제 데이터 전송은 수백만 명의 삶에 매우 중요한 문제이다”라고 주장했다.

궁극적으로 현재 진행 중인 법적 논쟁 참여와 정치적 협상은 법적 검토가 더 철저하게 이루어진 프라이버시 실드 대체 방안을 찾을 가능성을 열어 둔다. 만약, 유럽 당국이 미국으로의 데이터 이전 과정에 적절한 감시 보호가 적용되지 않았다면, 프라이버시 실드 대체 프로그램 사용 중단 합의가 이루어질 수도 있다. 잔피르 포투나 부사장은 “앞으로 2개월 후면 프라이버시 실드 대체 수단이 등장할 확률이 높다. 그러나 미국의 관련 법률 개정이 없는 상황에서 프라이버시 실드의 새로운 대체 수단이 데이터 보호 확실성을 얼마나 보호할 수 있는가가 문제가 될 것이다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Europe’s Move Against Google Analytics Is Just the Beginning
이 기사를 공유합니다
RECOMMENDED