[데이터넷] 디지털 대전환기를 맞아 ICT 기술의 역할은 더욱 막중해지고 있다. 팬데믹을 극복할 수 있었던 주요 요인 중 하나인 ICT는 포스트 팬데믹 시대에도 많은 위기와 위협을 새로운 기회로 바꾸는 동력으로 작용하며 진화를 지속할 전망이다. ICT 업계는 혁신의 여정에 나서며 실패도 맛봤고, 불투명한 경제 사정이 발목을 잡기도 했지만 새로운 기술과 비즈니스 모델을 정립해 나가며 차세대 시장을 향해 전진하고 있다. 2023년 ICT 업계의 주요 이슈를 되돌아본다. <편집자>

#7 개인정보 안전한 활용으로 데이터 경제 이끌어야

개정 개인정보 보호법이 지난 9월 15일 시행됐다. 개정법은 정보주체의 권리를 보장하고, 온·오프라인 이원화된 개인정보 처리 기준을 디지털 환경에 맞게 일원화했다. 내년 3월 시행되는 개정안에서 개인정보 전송요구권이 포함돼 마이데이터 사업의 법적 근거를 마련하게 된다. 

9월 1차 시행된 개정법에서는 긴급 구조, 전염병 등 개인과 공공의 안전을 위해 긴급하게 개인정보를 수집·이용해야 할 경우, 정보주체의 동의를 받지 않고 개인정보 안전조치를 취한 범위내에서 먼저 이용할 수 있게 했다. 드론, 자율주행차 등 이동형 영상정보처리기를 이용해 업무 목적으로 촬영하는 경우, 정보주체가 명시적으로 거부의사를 표시하지 않는 한 촬영할 수 있게 했으며, 온·오프라인에서 동일행위 동일규제 원칙이 적용되도록 했다. 

더불어 공공분야 개인정보 접근 통제를 강화했으며, 개인정보 국외이전 요건을 다양화하고, 과징금 제도를 개선해 위반행위와 관련 없는 매출액을 제외하도록 했다. 

개인정보보호위원회는 개인정보보호 강화기술(PET)도 사용할 수 있도록 해 새로운 기술을 이용한 개인정보 보호와 활용이 가능하게 한 개선책도 내놓았다. PET는 가명·익명처리 기술, 동형암호, 합성데이터, 차분프라이버시 기술 등 다양한 프라이버시 향상 기술로, 그동안 프라이버시 우려, 모호한 규제적용 등으로 실제 적용이 어려웠던 기술이다. 

위원회는 개인정보 안심구역에서 PET와 같은 새로운 개인정보 보호·활용 기술을 적용할 수 있도록 지원한다. 여기에서는 환경적 안전성 강화 수준에 비례하여 가명처리 수준을 적정 수준으로 완화하거나, 연계정보(CI) 일부 등 다양한 결합키를 활용할 수 있다. 

AI 활용 신기술에서도 개인정보보호법을 준수하면서 발전시킬 수 있는 사전 적정성 검토제도 실시된다. 이 제도는 개인정보위와 사업자가 AI 등 신기술 분야에서 개인정보보호법을 준수하는 방안을 마련한 후, 사업자가 이를 적용했다면 환경과 사정의 변화가 없는 한 행정처분을 하지 않도록 한다. 

여러 환경에서 개인정보를 보호할 수 있는 방법도 다양하게 논의되고 있다. 개인정보위원회와 통계정은 통계작성 시 개인정보 보호를 위한 가이드라인을 마련해 배포했다. 자율주행차와 로봇 산업에서 요구하는 영상데이터 원본 활용 방법에 대한 논의도 진행되고 있다. 현행 개인정보보호법에서는 본인 동의가 없을 경우 모자이크 처리된 영상데이터를 이용해야 해 인식률이 저하된다. 정부는 규제샌드박스를 이용해 필요한 안전조치를 마련하고, 이 조치 내에서의 영상 데이터 활용이 가능하도록 할 방침이다. 

전 산업 마이데이터 확산도 가속을 붙인다. 정부는 범 정부 마이데이터 추진단에 이어 협의회를 구성하고 민·관 협력 제도 설계와 선도 프로젝트 추진 등을 논의한다. 내년 3월 개인정보 전송요구권이 포함된 개인정보보호법 개정안이 시행되면 산업은 더 빠르게 발전할 것으로 기대된다.

개인정보 보호와 활용을 강화하는 것은 세계적인 추세다. 유럽의 경우 GDPR에서 중대한 개인정보 침해 사고의 경우 전 세계 매출의 최대 4%까지 과징금을 부과하는데, 실제로 빅테크 기업이 잇달아 대규모 과징금을 부과받고 있다. 

아일랜드 데이터보호위원회는 메타에 12억유로, 왓츠앱에 2억2500만유로를 부과했으며, 틱톡은 영국에서 1270만파운드의 과태료를 부과받았다. 국제 로펌 DLA 파이퍼에 따르면 유럽 데이터 규제 당국이 지난해 GDPR 위반으로 부과한 벌금이 29억2000만유로로, 전년대비 168% 증가했다. 

개인정보 보호 규제로 인한 리스크는 점점 더 높아질 것으로 보인다. 국경이 사라지는 디지털 세상에서 개인정보의 이동은 피할 수 없으며, 보호를 위해 필요한 컴플라이언스는 더 까다로워질 것이기 때문이다. 더불어 위·수탁 계약 시 서비스 제공 국가·지역에서 지켜야 할 규제준수 요건을 파악하는 것이 필수사항이 되고 있다. 

#8 공공·금융 망분리 규제, 현실적인 개선 시급

정부가 공공·금융 클라우드 확산을 위한 규제개선을 진행하고 있지만, 실제 시행되는 개정안을 보면 클라우드에 대한 의지를 의심할 수밖에 없게 만들고 있다. 

망분리 규제개선 방향이 이를 분명히 보여준다고 할 수 있는데, 금융망에서 클라우드를 사용하려면 규제 샌드박스에 선정되어야 하는데, 규제 샌드박스 지정 범위가 매우 제한적이다. 

금융당국은 금융 내부망 SaaS 사용을 위한 규제 샌드박스로 교보생명, KB라이프생명보험, 삼성생명, 한국스탠다드차타드은행, 한국씨티은행, 엠유에프지은행 등 6곳을 혁신금융서비스로 지정했다. 금융당국은 앞으로도 금융혁신을 위해 필요한 경우 규제 샌드박스를 확대한다는 방침을 밝히고 있는데, 이를 위한 조건이 매우 까다롭다. 

규제 샌드박스를 통해 허용된 SaaS에서 민감한 개인정보·신용정보·거래정보를 처리하는 업무는 배제된다. 챗GPT와 같은 생성형AI를 사용할 때에도, 내부망에서 직접 챗GPT와 연결하거나, 고객정보를 외부로 전송해서는 안된다. 외부 연구개발망에서 고객정보 없이 개발에 필요한 내용을 질의하는 것은 가능하다 해도, 그 과정에서 민감정보가 유출될 우려도 있기 때문에 신중해야 한다.

공공분야에서는 클라우드 도입 촉진을 위해 클라우드 보안인증(CSAP) 등급제를 실시하고 있지만, 클라우드 시장 성장을 이끌 중등급 이상은 2024년 이후로 미뤄질 것으로 예상된다.

우리나라 정부·금융기관은 망분리로 인해 사이버 보안 위협이 다른 국가에 비해 낮은 편이라고 자부하고 있지만, 10년 전 IT 환경에 맞게 설계된 망분리 규제는 이제 더 이상 유효하지 않다. 망분리된 행정망·금융망에서도 데이터가 유출되고 있으며, 업무망 내에서도 무단 외부 연결로 인해 외부 침입이 가능하다. 

정부가 야심차게 추진하고 있는 디지털플랫폼정부는 클라우드 이용이 불가피한데, 현행 망분리 규제로는 ‘혁신’을 위한 클라우드 사용이 불가능하다. 오래된 레거시 환경에서 효과를 보았던 망분리 규제는 하루 빨리 개선해야 한다.

#9 서비스형 애플리케이션 플랫폼 ‘aPaaS’ 부상

디지털 전환이 확산되면서 클라우드 기반의 서비스형 소프트웨어(SaaS)가 대세를 이루고 있다. 팬데믹 이후 근무 형태가 다양화되면서 클라우드 활용이 빠르게 늘고, 애플리케이션의 SaaS화가 급진전되고 있는 것으로, 소프트웨어 업계의 기업용 SaaS 시장 진출이 러시를 이루고 있다.

특히 기술 패권 확보를 위한 글로벌 경쟁이 치열하게 전개되면서 소프트웨어의 중요성은 더욱 강조되고 있다. 최근에는 SaaS 기반을 강화하고 소프트웨어 개발 환경을 혁신할 수 있는 서비스형 애플리케이션 플랫폼(aPaaS)이 주목을 받고 있다.

aPaaS는 애플리케이션 서비스를 위한 개발 및 배포 환경을 제공하는 클라우드 기반의 서비스다. 소프트웨어 개발 프레임워크를 위한 환경 및 운영 등을 수행하는 aPaaS는 노코드/로우코드 사용으로 단기간에 애플리케이션을 개발할 수 있는 수준의 높은 생산성을 제공하는 것이 강점이다.

aSaaS는 소프트웨어 소비자와 공급자 간의 양면시장으로 네트워크 효과를 창출해 고성장에 보다 유리하다는 평가다. SaaS 선도 기업들은 aPaaS에 서드파티 솔루션을 올려 공급을 확대하며 관련 시장 주도에 적극 나서고 있다.

소프트웨어 정의와 재정의가 가능한 aPaaS 환경은 마켓플레이스 활성화로도 이어져 거래 플랫폼과 혁신 플랫폼의 성격을 동시에 지니고 있다. 또한 개발자 커뮤니티도 지원해 사용자들의 참여 활성화를 유도할 수도 있다. 

SaaS는 소프트웨어 개발 전문가가 개발해야 하지만 노코드/로우코드 확산과 맞물려 aPaaS는 코딩이 거의 필요 없이 모델링을 통해 최종사용자가 직접 개발이 가능해 소프트웨어 생태계 활성화에 기여할 전망이다. 소프트웨어 개발과 공급 프로세스를 플랫폼 기반으로 혁신해야 하는 이유로, SaaS 기업의 글로벌 진출은 물론 디지털 주권 확보 차원에서도 aPaaS 활성화가 시급하다.