[김두식의 이코노믹스] 데이터 주권 확보 위해 거버넌스·사이버 보안 정비해야
AI 시대 핵심 요소인 데이터 경쟁력 강화 전략은
김두식 외국인투자 옴부즈만 변호사
AI 모델과 컴퓨팅서 뒤처진 한국
양질 데이터 도메인 보유는 우위
전략·민감데이터 규제 관련해
국내 기업 보호만 치중해선 곤란
AI와 사이버 위협 대응하기 위한
관련 법령과 규제 체제 보완해야
양질 데이터 도메인 보유는 우위
전략·민감데이터 규제 관련해
국내 기업 보호만 치중해선 곤란
AI와 사이버 위협 대응하기 위한
관련 법령과 규제 체제 보완해야
김주원 기자
김주원 기자
데이터 경쟁력을 강화하려면 무엇보다 국내 데이터의 양과 질, 이용 가능성을 높이는 제도 정비가 요구된다. 예컨대 공공 데이터를 디지털 형태로 전환해 민간의 접근을 확대할 필요가 있다. AI 학습 데이터의 수집·사용과 관련한 저작권 침해 논란을 입법적으로 정리하고, 개발자의 학습데이터 사용 공개 의무나 데이터 권리자의 라이센싱·옵트 아웃(opt-out) 등을 도입하는 것도 데이터 이용상의 불확실성 해소를 위해 필요하다.
대외적으로는 ‘데이터 주권’(Data Sovereignty)이 국가 데이터 정책의 방향을 제시하는 키워드로 떠오르고 있다. 데이터 주권이 부각되는 이유는 데이터가 가진 경제·안보적 가치 때문이다. 한 나라의 국민과 산업이 만들어낸 대량의 데이터셋은 혁신과 생산성 증대의 재료가 된다. 동시에 데이터는 민감한 안보 자산이다. 데이터를 통해 한 나라의 인프라와 경제적 취약성, 인구 동향 등을 들여다볼 수 있다. 이런 이유로 데이터를 보호·관리하는 것이 국가의 중요한 주권적 기능으로 인식되기 시작한 것이다.
데이터 주권은 대개 데이터의 국외 이전을 통제하거나, 서버를 국내에 두도록 하는 ‘현지화’(localization) 요구 형태로 행사된다. 데이터 이동 규제 실태는 국가마다 다르지만 크게 3가지 유형이 있다. 첫 번째는 현지화는 요구하지 않되 데이터의 국외 이전은 정보보호조치를 조건으로 허용하는 경우다. 두 번째는 일반 데이터의 국외 이전은 조건부로 허용하고 민감 데이터에 대해서는 현지화를 요구하는 경우다. 세 번째는 데이터 전반에 대해 현지화를 요구하고 국외 이전도 극도로 제한하는 경우 등이다. 한국은 두 번째 유형에 속한다고 할 수 있다.
김주원 기자
국가마다 서로 다른 데이터 정책은 필연적으로 국가별 데이터 분절, 즉 ‘데이터 사일로’ 상황을 초래한다. 데이터의 국경간 이동이 제한되면서 글로벌 디지털 경제의 발전이 지연되고, 다양한 데이터셋으로 학습해야 하는 고성능 AI모델 개발도 지장을 받게 된다.
세계무역기구(WTO)는 2025년 ‘세계무역보고서’에서 AI 도입시 2040년까지 세계 교역은 34~37%, 국경 간 재화·서비스 흐름은 약 40%까지 증가할 수 있다고 추산하며, 교역 확대를 위해 글로벌 데이터 규제의 통합을 촉구하고 있다.
하지만 글로벌 데이터 규제의 통합 전망은 밝지 않다. 2017년 71개 WTO 회원국의 ‘전자상거래 공동 선언’에 근거해 시작된 전자상거래 규범 협상이 이를 보여준다. 이 협상은 2023년 10월 미국의 갑작스런 태도 변경으로 인해 핵심 데이터 규범이 빠진 ‘속 빈 강정’이 돼 버렸다. 그 이전까지 미국은 국경 간 데이터 이전의 자유, 데이터 현지화 요구 금지, 소스코드 공개 요구 금지 등 핵심 규범 도입을 주창해 왔다.
그러나 인종 간 차별을 조장하고 민주주의 질서를 위협하는 등 심각한 위험을 내포한 고성능 AI 모델이 출현하면서 정부가 이를 통제할 필요가 있다는 이유로 조 바이든 행정부는 종전 입장을 철회했다. 이는 그동안 환태평양경제동반자협정(CPTPP)이나 북·미무역협정(USMCA) 등 지역 협정에 뿌리내렸던 디지털 자유무역 패러다임이 각국의 ‘데이터 규제권’을 강조하는 쪽으로 이동하고 있음을 보여준 상징적인 사건이다.
우리나라가 체결하는 디지털협정에서도 데이터 주권을 강조하는 변화가 감지된다. 우리나라가 2024년 가입한 디지털경제동반자협정(DEPA)은 수준 높은 디지털무역 자유화 규범을 담고 있었다.
그러나 최근 체결된 유럽연합(EU)과의 디지털무역협정(DTA)은 정부의 규제 권한을 전면에 내세우고, 데이터의 국외 이동 등을 제한할 수 있는 근거가 되는 ‘정당한 공공정책 목적’의 내용을 상세히 규정하는 등 정부 규제 권한을 강조하고 있다.
이런 데이터 규제의 큰 흐름 안에서 향후 우리의 대외 데이터 거버넌스의 핵심 이슈는 전략적 가치를 가진 데이터에 대한 국가적 통제를 어느 수준에서 어떻게 유지할 것인가에 모일 것으로 예상된다. 최근 구글에 대한 고정밀 지도 반출 허가가 대표적인 사례다. 한국 정부는 2007년 구글이 최초로 지도 반출 신청을 한 지 19년 만인 지난 2월, 1대5000 고정밀 지도 반출을 허가했다. 그러나 허가 조건으로 구글의 국내 제휴사 서버에서 원본 지도 데이터를 1차 가공하도록 요구했고, 나아가 한국 영토 영상의 보안 처리, 정밀 좌표 표시 제거 또는 노출 제한, 등고선 등 안보 민감정보 반출 금지, 국가안보 위협 발생 시 긴급대응조치(‘레드 버튼’) 구현 등의 조건을 부과했다.
전략 데이터의 국가 통제 수준이 핵심
정부의 고정밀 지도 반출 허가는 아직 한·미 간 데이터의 자유로운 국외 이동을 허용하는 디지털협정이 없는 상황에서 이뤄졌다. 2012년 체결된 한·미자유무역협정에서는 단지 ‘국경 간 자유로운 정보 흐름을 위해 노력할 의무’만 언급하고 있을 뿐이다. 그러나 미국 정부는 ‘국가별 무역장벽보고서’에 한국의 지도 데이터 반출 제한을 무역장벽의 하나로 올리고, 트럼프 2기 행정부의 상호관세 협상 의제에 이를 포함시켜 이와 같은 고정밀 지도 데이터의 반출 허가를 얻어낸 것으로 평가된다. 그럼에도 국가 안보 등 우리의 정당한 정책 목적을 훼손하지 않으려는 정부의 노력이 그 허가 조건에 반영돼 있다.
미국의 한국경제연구소(KEI)는 지난해 10월 ‘한국이 미국과 디지털협정을 체결해야 하는 이유’라는 제목의 기사에서 한국이 수비적 자세에서 기술적 리더십을 확보하기 위한 적극적 전략으로 나가야 한다고 주장했다. 그러나 디지털협정 체결이 곧바로 우리의 기술적 리더십 확보로 연결되는 것은 아닐 것이다.
다만 외국 기업에 민감 데이터 제공을 허용할지 여부를 판단함에 있어 그 외국 기업이 한국 기업과의 상생이나 기술 발전에 실질적으로 기여할 수 있는지를 중요한 고려 요소로 삼을 수는 있을 것이다. 그렇다고 오로지 국내 기업을 보호하기 위한 데이터 정책은 정당성을 인정받기 어렵다. 결국 어디까지가 정당한 정책 목적에 의한 규제인지를 결정하는 것이 대외 데이터 거버넌스의 핵심 과제라 할 것이다.
데이터 거버넌스의 또 다른 중요한 영역은 ‘사이버 보안’이다. 최근 앤트로픽의 미토스가 제기한 보안 위험은 사이버 보안을 데이터 거버넌스의 최우선 과제로 올려 놓았다. 미토스가 발견한 보안 취약점의 99%가 미패치 상태다. 게다가 AI가 사이버 공격에 사용되면서 패치가 확산하기도 전에 공격에 노출될 수 있다. 전문가들은 공격자가 미토스급 AI 능력에 접근하기 전에 사이버 방어 아키텍처를 재설계해야 한다고 조언한다.
범국가적 데이터 보안 강화해야
보호되지 못한 데이터는 가치를 잃을 뿐 아니라 국가 체제를 위협할 수 있다. 이제 범국가적으로 데이터 보안을 강화하고 치밀한 사이버 위협 대응 체계를 갖추는 것이 급선무가 됐다. 정부·업계·관련기관이 협력해 신속히 종합적·다층적 대응체계를 구축해 나가야 할 것이다.
아울러 AI 법령도 보완할 필요가 있다. 지난 1월부터 시행된 ‘인공지능 발전과 신뢰 기반 조성 등에 관한 기본법’은 AI 위험이나 사이버 위협에 대응할 규제 체계가 미흡한 것이 사실이다. 그러나 이제 고성능 프런티어 AI 모델 그 자체가 위협이 되고, AI와 관련한 각종 위험도 날로 심각해지고 있다. 현실로 다가온 제반 위험에 대응하기 위해 AI 및 데이터 거버넌스 관련 법령을 재정비해야 할 것이다.
김두식 외국인투자 옴부즈만 변호사