By MATT BURGESS, WIRED UK

페이스북이 유럽에서 문제를 겪었다. 메타는 모두가 페이스북이 직면한 문제를 알기를 바란다. 메타는 2018년 6월부터 3개월 단위로 기업 재무 보고서를 유럽 전역에서의 페이스북, 인스타그램 서비스 운영 중단 결정을 내릴 수밖에 없는 경고 지표로 이용해왔다. 만약, 메타가 유럽연합과 미국 간 데이터 전송을 할 수 없다면, 사용자 수백만 명과 메타 서비스에 의존하던 기업 수천 곳이 페이스북과 인스타그램 등 계열사 앱을 사용하지 못할 수 있다.

메타의 속임수가 분명해질지는 곧 알게 될 것이다.

데이터 규제 당국이 다년간의 사건 판결을 내릴 날이 곧 다가오고 있다. 현재 유럽 규제 당국은 페이스북이 유럽에서 미국으로 데이터를 전송하던 관행을 막을 것으로 예상한다. 메타는 지난 몇 년간 유럽 프라이버시 옹호 세력과 미국으로의 데이터 전송 방식을 두고 다툼을 이어왔다. 법원에서는 메타가 유럽 데이터를 제대로 보호하지 않았으며, 미국 국가안전보장국(NSA)을 포함한 미국 정보기관의 수사에서 유출될 위험성이 있다는 판결을 수차례 발표했다.

사건은 메타에 초점을 맞추었으나 그 파장은 널리 확산돼, 구글과 아마존, 마이크로소프트 등 대기업 서비스에 의존하던 유럽 기업 수천 곳에 영향을 미칠 수 있다. 그와 동시에 미국과 유럽연합 협상단은 오랜 기다림 끝에 미국 정보국이 건넬 수 있는 정보를 제한하는 신규 데이터 공유 합의 최종 결정을 내리려 서두른다. 협상단이 올바른 판단을 하지 못한다면, 유럽 시민 프라이버시는 계속 유출 위험 상태에 노출돼, 거래 금액 수십억 달러를 잃을 수도 있다.

2022년 7월 초, 페이스북의 유럽 주요 규제 기관인 데이터 보호위원회(Data Protection Commission)는 메타가 유럽 이외 지역으로 데이터를 공유하지 못하도록 차단할 규제 초안을 제출했다. 초안의 구체적인 사항 중 결정된 부분은 알려진 바가 없지만, 시행된다면 페이스북 서비스가 유럽 전역에서 일시적으로 서비스 운영이 중단될 것이다.

개인정보보호 규정(GDPR)에 따라 유럽 대륙 전역의 국가가 30일간 아일랜드 데이터 보호위원회의 메타에 대한 결정을 꼼꼼하게 검토하고 잠재적인 변경 사항이나 항의에 대응해야 한다. 그러나 이제 그 기간이 종료되었다. 데이터 보호위원회 대변인은 소수 국가가 규제 변경 사항에 대한 부분적인 반대 반응을 보였으며, 지금은 해당 문제를 해결 중이라고 밝혔다. 다수 전문가는 전체 판결을 번복할 문제보다는 몇 가지 사소한 문제가 있다고 말한다.

그렇다면, 메타가 실제로 유럽에서 자사 서비스를 철수할 확률은 얼마나 될까? 실질적으로 메타가 유럽 사업을 완전히 중단할 확률은 매우 희박할 것이다. 메타는 유럽 사업 철수를 원하지 않는다고 밝혔으며, 공식 블로그에는 ‘메타는 유럽을 떠나야 한다는 위협을 받은 것이 절대 아니다’라는 제목으로 글을 게재했다. 유럽의 30여개 국은 메타의 대규모 시장이며, 일시적으로라도 서비스를 중단할 때 비용 부담이 클 것이다. (이와 근접한 비교 사례로 2021년 초, 페이스북이 호주에서 언론 출판 기관과의 다툼 이후 일시적으로 뉴스 게재를 금지했던 사례를 언급할 수 있다.) 메타가 유럽을 떠나지 않더라도 데이터 보호위원회의 최종 발표 이후 데이터 저장 및 전송 방법을 변경해야 할 것이다. 다만, 정해진 시점은 없다. 어쩌면 메타는 벌금형을 선고받을 수도 있다.

디지털 권리 연구 비영리 단체 전자개인정보센터(Electronic Privacy Information Center) 세계 프라이버시 자문위원인 칼리 쉬로더(Calli Schroeder)는 “메타가 유럽연합 사업을 이어가고자 한다면, 일종의 지리적 고립화 형태를 모색할 것으로 예상한다”라고 말했다. 과거, 여러 기업과 국제 데이터 전송을 위해 협업한 적이 있는 쉬로더는 지리적 고립화를 원한다면, 메타가 유럽연합에 광범위한 데이터베이스와 연결하지 않을 자체 서버와 데이터센터를 연결해야 할 것이라고 설명했다.
 
현재 GDPR을 연구 중인 트리니티 칼리지 더블린의 컴퓨터 과학 연구 펠로인 하쉬바드한 판딧(Harshbardhan Pandit)은 데이터 당국이 “지금도 메타 사건을 고려 중인 상황에서 현재 최종 판결 발표 전이지만, 메타가 받아들여야 할 몇 가지 경고나 단계가 최종 판결에 포함될 것으로 보인다”라고 말했다. 예를 들어, 최근 유럽의 어느 한 데이터 보호 사건 판결은 해당 기업에 사업 방식 변경 기간 6개월을 부여했다.

판딧 연구원은 “가장 실용적인 해결책은 유럽 데이터센터 여러 곳을 둔 구글과 아마존처럼 유럽 인프라를 생성하는 것이다”라고 언급했다. 이어서 메타가 데이터 저장 방식을 위한 암호화 기술을 추가로 도입하고 유럽연합 내 보관 방식을 최대화해야 한다고 덧붙여 전했다. 그러나 모두 막대한 비용 부담이 따른다. 메타 총괄 자문 책임자 잭 길버트(Jack Gilbert)는 문제를 해결 중이라고 밝혔다. 페이스북은 데이터 보호위원회의 판결에 대한 계획 질문에 답변하지 않았다.

유럽 관료는 유럽연합과 미국 간 데이터 공유가 이루어지는 곳에서 시민 데이터를 제대로 보호하지 않는다고 두 차례 판결을 내렸다. 항소는 2010년대 초반부터 지금까지 진행 중이다. 유럽 법원은 2015년, 국제 데이터 공유 합의가 충분하지 않았다고 판결을 내렸다. 그리고 2020년 7월, 프라이버시 보호(Privacy Shield) 합의가 불법이라는 판결을 내렸다.

시장 조사 기관 가트너(Gartner) 프라이버시 및 데이터 보호 전문 연구부사장 나더 헤네인(Nader Henein)은 “유럽연합이 묻는 부분은 기관이 다른 국가로 데이터를 전송하는 행위가 GDPR 규정에 따른 데이터 보호 여부이다. 문제는 미국에 거주하지 않는 외부인의 데이터 보호 법률이 매우 비효율적인 탓에 페이스북과 같은 조직이 미국 현지 법률과 GDPR 규정을 모두 준수하기 어렵다는 사실이다”라고 분석했다.

메타가 데이터 공유 관행으로 문제가 된 기업 중 가장 규모가 크고 유명한 기업이지만, 실제로 유럽 기업의 미국 데이터 전송 방식이 모호한 탓에 피해를 본 기업이 많다. 메타 최고 전략 관리자 데이비드 웨너(David Wehner)는 2022년 7월 실적 발표 현장에서 “데이터 전송 문제는 메타만의 문제가 아니다. 모든 미국 기업과 유럽 기업의 미국과 유럽 간 일반적인 데이터 전송 방식과 관련된 문제이다”라고 말했다.

2020년 7월 판결 이후 사라진 프라이버시 보호 합의의 여파를 느낄 수 있다. 2022년 1월부터 유럽 데이터 규제 당국 여러 곳이 구글의 웹사이트 트래픽 모니터링 서비스인 구글 애널리틱스(Google Analytics)를 이용하는 행위가 GDPR 위반 행위라는 판결을 내렸다. 덴마크 당국은 더 나아가 공교육 현장에서 제한 없는 크롬북 사용을 금지했다. 비영리 국책 연구소 퓨처 오브 프라이버시 포럼(Future of Privacy Forum) 글로벌 프라이버시 부사장 가브리엘라 잔피르 포르투나(Gabriela Zanfir-Fortuna)는 “법적 불확실성과 규정 준수 위험서이 매우 크다”라고 말했다.

정치계에서도 데이터 공유 관행 법률문제를 자세히 인식한 상태이다. 2022년 3월, 조 바이든 미국 대통령과 우르줄라 폰 데어 라이엔(Ursula von der Leyen) 유럽연합 집행위원장은 유럽연합과 미국 간 데이터 전송 방식을 변경할 신규 범대서양 데이터 프라이버시 프레임워크를 발표했다. 이로써 미국 정보기관이 접근할 수 있는 데이터는 제한되며, 유럽은 미국 정보기관의 불법 도청 의심 사례를 신고할 수 있는 새로운 시스템을 구축한다.

그러나 범대서양 데이터 프라이버시 프레임워크 발표 후 법률 문건을 포함한 어떠한 구체적인 사항도 발행되지 않았다. 2022년 6월, 수 주 이내로 협상 내용을 공식 발행할 예정이라는 발표가 있었으나 지금까지 공개적으로 거둔 진전 사항은 거의 없었다. 미국 상무부는 2022년 8월 초 진행된 논의를 포함해, 미국과 유럽연합 양측 관료가 계속 논의 중이라고 밝혔다. (유럽연합 집행위원회 대변인은 새로운 합의 협상이 진행 중이지만, 정확한 합의 시간은 공개할 수 없다고 말했다.) 협상 기간이 길어질수록 금지 명령이 중단될 확률이 높다. 웨너는 2022년 초, “데이터 프라이버시 프레임워크가 완성되지 않는다면, 페이스북의 데이터 전송 능력에는 피해가 더 커질 것이다”라고 말한 바 있다.

데이터 프라이버시 프레임워크를 시행하는 데 시간이 어느 정도 걸릴 것이다. 잔피르 포르투나 부사장은 “현재 시점에서는 범대서양 데이터 전송 프레임워크가 2023년 중으로 발표하기 적합할 만한 결정을 찾고 있다. 아마도 2023년 1분기 중으로 발표될 것으로 보인다”라고 전했다. 세부 사항이 공개되면, 유럽연합 관료는 수개월 동안 구체적인 사안을 검토하여 법원 명령을 준수하는지 살펴볼 예정이다.

데이터 전송 프레임워크 발표와 규정 준수 여부를 살펴보는 것에서 끝나지 않을 것이다. 프라이버시 보호 세력과 변호사 집단은 데이터 전송 프레임워크 합의를 구체적으로 살펴보고, 유럽에서 미국으로 데이터를 전송할 때 강력한 법적 보호가 충분하지 않을 때 추가로 발생할 법적 제재를 시행하고자 한다. 쉬로더는 “특히, NSA 내부고발자인 에드워드 스노든(Edward Snowden)이 폭로한 바와 미국에서 다른 곳으로 옮기는 테크 업계 대기업이 만연하다는 사실을 고려하면, 데이터 전송 관련 문제는 합리화되지 않을 것이다. 전반적으로 미국은 세계에서 선두 지위를 확고히 다지고자 하는 테크 업계에서 훌륭하게 법적 책임을 질 수 있다는 사실을 입증해야 한다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Will Europe Force a Facebook Blackout?