국내에서 약 3300만명의 개인정보 유출 사태를 일으킨 쿠팡이 미국 무역대표부(USTR)에 "서버나 인프라를 각 국가에 의무적으로 설치·운영하도록 하는 현지화 규정을 피해야 한다"는 의견을 전달한 것으로 확인됐다. 개인정보 등이 저장된 데이터와 서버를 어디에 둘지 기업이 자유롭게 정할 수 있게 해달라는 취지다.
일각에서는 개인정보 유출 사고를 겪은 쿠팡이 자율성을 요구하기에 앞서 보호·보상 체계를 갖춰야 한다고 지적한다.
23일 조선비즈 취재를 종합하면 쿠팡은 2022년 4월 인도·태평양 경제 프레임워크(IPEF) 출범을 앞두고 USTR에 국경 간 데이터의 자유로운 이동을 보장하고, 서버·인프라 현지화 의무를 배제해달라는 의견서를 제출했다.
IPEF는 미국 바이든 행정부 주도로 만들어진 인도·태평양 지역 경제 안보 플랫폼과 국제기구다. 한국과 미국, 일본, 호주 등 14개 국가가 참여하고 있다.
중국과 러시아, 베트남 등은 기업이 현지에 데이터를 저장하도록 요구하는 규정을 시행하고 있다. 국내를 비롯해 유럽연합(EU)과 일본 등은 서버 현지화를 명시적으로 의무화하고 있지는 않다. 다만 개인정보의 국외 이전에 대해 엄격한 동의·보호 조치·책임 요건을 두고 있다. 개인정보와 거래 데이터가 중요한 자산인 데다, 사고 발생 시 정부가 신속하게 조사·감독에 개입할 수 있기 때문이다. 자국 내 서버 보관이 일반화된 이유다.
구글, 마이크로소프트 등 테크 기업들은 서버 위치를 강제하기보다 기업이 관리해야 한다고 주장하고 있다. 쿠팡 역시 USTR에 서버와 기타 인프라에 대한 국가별 현지화 요구를 피하고, 기업이 자율적으로 운영할 수 있어야 한다는 의견을 제출했다.
서버 등을 각국 내에 의무적으로 설치·운영하면 비용이 많이 들고, 장애나 규제 대응 체계가 서로 달라 관리가 어렵다.
특히 알고리즘 기반 상품 추천이나 물류 최적화 등 대규모 데이터를 실시간으로 활용해야 하는 서비스는 국가별 데이터 분산으로 운영 효율이 떨어질 수 있다. 이 때문에 쿠팡은 서버·인프라의 국가별 현지화 의무가 서비스의 운영과 확장에 제약이 될 수 있다는 점을 USTR에 전달했다.
문제는 개인정보 등 서버 관리에 대한 신뢰다. 쿠팡에서 최근 국내에서 3300만건이 넘는 개인정보 유출 사고가 발생하면서 그 전제인 보안 역량과 책임 이행이 충분했는지를 두고 지적이 나오고 있다.
한 IT 보안 전문가는 "쿠팡이 강력한 보안 로그인 장치인 '패스키'도 서비스 운영 국가에 일관되게 적용하지 않으면서 서버 관리 자율성만 요구해선 안 된다"며 "높은 수준의 보안과 사고 대응, 조사 협조 체계를 구축한 뒤 서버 현지화 완화를 요구해도 늦지 않을 것"이라고 말했다.
현재 쿠팡 고객의 개인정보는 국내에서 보관되고 있다. 헤롤드 로저스 쿠팡 대표는 17일 국회 과학기술정보방송통신위원회 청문회에서 "현재 개인정보로 규정되는 정보는 AWS(아마존웹서비스) 한국 리전(지역 데이터센터)에 저장돼 있고, 백업 데이터는 싱가포르 리전에 저장된 것으로 알고 있다"고 답했다.
최경진 가천대 법학과 교수(한국인공지능법학회장)는 "서버 현지화를 풀어주느냐 마느냐보다 중요한 건 이용자를 보호하려는 의지와 실천이 핵심"이라며 "(쿠팡이) 서비스가 중단됐을 때 복구할 수 있는 체계를 갖췄는지, 가용성과 안정성, 보안성을 일정 수준 이상 가져가겠다는 약속과 신뢰를 먼저 보여줘야 한다"고 말했다.