Offcanvas

디지털 트랜스포메이션 / 보안 / 비즈니스|경제

美 FTC, 데이터 보호 법안 자체 추진한다… 국민참여형 규제 계획 공개

2022.08.17 Cynthia Brumfield  |  CSO
미국연방거래위원회(Federal Trade Commission, FTC)가 기업의 지나친 사용자 추적과 미흡한 개인 정보 보호 체계를 개선하는 법안 발의에 본격적으로 나선다. 위원회는 규제안 작성에 관한 사전공고(Advanced Noticed of Proposed Rulemaking, ANPR)’을 11일(현지 시각) 발표했다.

이에 대한 평가는 엇갈린다. 개인 정보 보호에 대한 위원회의 일관된 노력을 인정하는 측이 있는 한편, 의회가 추진 중인 미국연방 개인정보보호법(American Data Privacy and Protection Act, 약칭 'ADPPA')과 겹쳐 오히려 방해가 될 수 있다는 지적도 있다.

 
ⓒDepositphotos

사용자 데이터 유출이 수그러들 기미를 보이지 않는다. 몇몇 기업은 금융 및 위치 데이터를 비롯한 온갖 개인 정보를 수집해 브로커에게 판매하기까지 한다.

특히 올해 초 미 연방대법원이 ‘로 대 웨이드 사건(Roe v. Wade Case)’의 판결을 뒤집으면서 디지털 개인 정보 보호 문제가 뜨거운 화두로 떠올랐다. 사법 및 정부 기관이 병원에 다니며 낙태를 고려하고 있는 일반 시민의 디지털 발자국을 추적했다는 의혹이 제기됐기 때문이다. 대중은 법집행기관이 노출된 국민들의 디지털 정보를 악용해 무기로 사용했을 수도 있다는 공포감에 휘말렸다.

이런 상황에서 FTC가 규제안 작성에 관한 사전공고(Advanced Noticed of Proposed Rulemaking, ANPR)’을 발표했다. ANPR은 정부 기관이 규제 법안을 작성하기 전에 평소보다 많은 정보수집이 필요하다고 판단한 경우 실시하는 제정 방식이다. FTC는 오는 9월 8일(현지 시각) '사기업의 사용자 추적 및 개인 정보 보호에 대한 공청회 Commercial Surveillance and Data Security Public Forum)'을 개최해 ANPR에 대한 국민의 의견을 수렴하겠다고 밝혔다. 

FTC 위원장 리나 칸은 “오늘날 기업은 사용자 삶의 모든 부분에 깊숙이 침투해 대규모의 데이터를 수집한다”라며 “디지털 전환 속에서 민감한 사용자 데이터를 무분별하게 캐내고 이를 활용해 경쟁 우위를 점하는 전략이 많은 기업의 비즈니스 모델이 됐다. 이 과정에서 기업이 불법적인 행위를 범했을 가능성을 간과할 수 없다”라고 설명했다.

2017년 '아마존의 반독점 역설(Amazon's Antitrust Paradox)'이라는 논문을 발표해 일명 '빅테크 저격수'로 이름을 알린 리나 칸 컬럼비아대 법대 교수는 2021년 3월 바이든 정부 초창기에 FTC 위원장으로 임명됐다. 1989년생인 그는 FTC 역사상 최연소 위원장이다.

FTC가 주장하는 사기업의 사용자 추적(commercial surveillance)이란 사용자의 데이터와 여기서 파생되는 모든 기타 데이터의 수집, 취합, 분석, 부관, 전송 및 수익화 같은 행위를 모두 포괄한다. FTC에 따르면 사용자 추적은 “데이터가 유출, 사기, 조작 및 악용”될 가능성을 높이며, 데이터 보안을 강화하기 위해서는 “유출 위험 완화, 데이터 관수, 수집 데이터 최소화, 데이터 유출 알림 및 유출 시 대응 방법 매뉴얼화” 등의 조치가 있다. 

ANPR은 포괄적인 자체 규제안을 만들려는 FTC의 첫걸음에 해당한다. FTC는 새로운 규제를 입법하는 데 유용하게 쓰일 방대한 공식 기록을 남기고자 한다고 전했다. 위원회는 ‘FTC법(The FTC Act)’에 의거해 관련 데이터 보안 법을 입법시킬 권한을 충분히 지니고 있다고 주장했다. 규제와 정책 분야 모두에서 수십 년 넘게 쌓아온 전문성도 강조했다.

질문 가득한 논의안으로 광범위한 규제안 모색
이번 ANPR의 주 내용은 규제의 테두리를 벗어나 있는 데이터 수집, 악용 및 판매 행위를 아우르며, FTC가 ANPR로 이루고자 하는 목표는 개인 정보 보호에 대한 국민의 의견을 얻고 사회적 논의를 이끌어내는 것이다. 

ANPR은 데이터 부정 사용행위(사용자 추적, 허술한 데이터 보안)의 남발을 다룰 뿐만 아니라 소비자 후생과 활발한 시장 경쟁을 우선으로 이러한 부정행위가 유발하는 장단점을 비교한다.
 
ANPR는 아래와 같은 질문으로 데이터 보호 규제의 핵심 쟁점에 대해 논의한다. 

1.    사기업의 사용자 추적 활동 및 미흡한 개인 정보 보안 체계는 구체적으로 소비자에게 어떻게, 얼마나 손해를 끼치는가? 
FTC는 입법 계획서에 소비자가 입을 수 있는 여러 가지 피해를 나열하는 한편 새로운 규제가 적용돼야 하는 데이터의 구체적인 종류, 심리적 피해 같은 간접적 영향을 다루는 방법 및 다양한 업종의 다양한 소비자에게 모두 적법하게 적용할 수 있는 새로운 규제에 대한 구상을 기술했다. 

2.    10대를 포함한 아동에게는 어떤 영향을 끼치는가? 
위원회는 미성년자의 개인 정보 침해에 특정한 논의의 화두를 던진다. 미성년자들이 특히 취약한 데이터 부정 사용행위로는 어떤 것들이 있는지, 데이터 보호 기법 중 하나인 이레이저 메커니즘(eraser mechanism)은 미성년자에게 어느 정도 수준으로 제공되어야 하는지 묻는다. 이 외에도 새로운 규제가 대규모의 미성년 사용자 층의 데이터를 수집할 수 있는 모든 서비스에 더 엄격한 개인 정보 보호 기준을 적용해야 하는지에 대한 질문이 기술돼 있다. 

3.    비용과 편익의 균형을 어떻게 맞춰야 하는가? 
한편 FTC는 현재 기업의 데이터 보안 행태에 대한 장단점도 총체적으로 같이 고려했다. 특정 기업이 사용자 데이터를 다루는 어떤 특정한 방식이 초래할 수 있는 순기능과 역기능을 파악하고 비교하는 일련의 질문도 논의안에 담겼다.
 
ⓒDepositphotos

여기에 더해 역기능을 완화할 수 있는 규제에 대한 아이디어, 새롭게 부상하는 사용자 추적 및 데이터 침해 기법을 충분히 판단하는 데 필요한 시간, 그리고 악질적인 보안 행위를 규제할 방법에 대한 질문이 포함됐다.

데이터 보안 및 수집 최소화에 대한 문제
사전 입법 계획에는 개인 정보 보호 규제에 대한 논의와 더불어 위원회가 실제로 규제를 집행하는 데 필요한 기술적 기준(데이터 보안, 보관, 수집 최소화)에 대한 논의도 간략하게 제시돼 있다. 위원회는 ANPR에서 다음과 같은 방안의 잠재적 효과를 분석했다.
 
데이터 수집 최소화. ⓒDepositphotos

1. 개인 정보 보호에 대한 행정적, 기술적, 물리적 조치를 의무화하는 방법.
대표적인 예로는 암호화가 있다. 관련 데이터의 보안, 기밀, 무결성을 확보할 수 있다.

2. 개인 정보 처리 방침 위반에 대한 처벌을 입법화해 위원회가 부정 기업에게 민사 처벌을 부과할 수 있도록 하는 방법.  

3. 다른 연방 정부 및 주정부의 개인 정보 보호 법안을 검토하는 방법.

4. 기업이 의무적으로 명확한 보안 기준을 준수했다는 것을 인증하도록 만드는 방법.
이 점에서 FTC는 이런 기준의 주체가 위원회가 돼야 하는지 제3자가 되어야 하는지에 대해서도 고민이 필요하다고 설명했다. 

5. 기업의 사용자 데이터 수집, 사용 및 보관을 제한하는 새로운 규제를 적용하는 방법.
이런 규제를 적용하자면 수집하는 데이터의 양을 기준으로 정량적 규제를 할지, 아니면 데이터의 사용 용도를 기준으로 정성적 규제를 해야 하는지도 풀어야 할 숙제라고 위원회는 설명했다. 

이 밖에도 ANPR은 논란의 여지가 다분한 생체인식(얼굴, 지문 등) 인증 기술에 대해서도 깊게 파고들었다. 법안 계획서는 인증을 용이하게 해준다는 목적(혹은 명분)으로 사용자의 생체 데이터를 수집하는 기업의 규제 필요성을 모색했다.

ANPR에서 다루는 또 다른 민감한 주제는 알고리즘 기반의 자동화된 의사결정 시스템의 사용에 관한 것이다. 기업이 사용하고 있는 자동화 기반의 의사결정 시스템이 정확성, 유효성, 신뢰성, 오류 등에 관한 명확한 표준을 준수하는지 평가하고 인증하도록 요구해야 하는지도 중요한 사안으로 검토됐다.  
 
ⓒDepositphotos

마지막으로 ANPR은 사용자 동의 절차에 대해 논의했다. 사용자가 개인 정보 처리 약관에 동의하는 지금의 방식이 얼마나 효과적인지, 그리고 사용자가 처음에 개인 정보 공유에 동의했더라도 나중에 결정을 철회할 권한을 부여해야 하는지에 관해 얘기했다.

ADPPA의 향방은?
기자단 브리핑에서 위원 레베카 켈리 슬래프터는 자신이 이미 3년 전에 데이터 남용에 대한 규제가 효과적으로 작동하고 있지 못하다 말하고 다녔으며, 그 후 연방 정부 차원의 포괄적 규제를 주장해왔다는 점을 언급했다. 
 
미국 의회는 올해 6월 미국연방 개인정보보호법 초안을 발의했으며, 현재 심사 과정을 거치고 있다. ⓒDepositphotos

그 이후 미 의회는 미국연방 개인정보보호법(American Data Privacy and Protection Act. 약칭 'ADPPA')이라는 광범위한 법안을 추진해왔다. 미국 의회는 올해 6월 ADPPA 초안을 발의했으며, 현재 심사 과정을 거치고 있다. 슬래프터는 ADPPA가 “놀랍도록 인상적”이며 FTC의 ANPR과는 상호보완적인 듯 하다는 생각을 비췄다. 

이에 더해 FTC 위원 알바로 베도야는 ADPPA를 지지한다고 밝히며 “입법 직전까지 간 개인 정보 보호 법안 중 가장 강력하다. 입법되기를 바란다”라고 말했다. 그는 “만약 ANPR을 시작으로 ADPPA와 겹치는 규제가 나온다면 ANPR을 굳이 지지하지 않을 생각"이라고 덧붙였다.

FTC의 공화당 위원 2명은 ANPR에 부정적인 의사를 밝혔다. 이미 ADPPA라는 연방 법안이 진행 중이기 때문이라는 점이 가장 큰 이유다. 크리스틴 윌슨 위원은 “오늘 발표된 ANPR에 반대하게 된 이유 중 하나가 ADPPA의 모멘텀이다. ADPPA 법안 반대 측의 일부가 ANPR을 이용해 ADPPA의 입법을 방해할까 봐 우려된다”라고 밝혔다.

다른 공화당 위원 노아 조슈아 필립스는 “전국적인 개인 정보 보호법은 그 영향력이 매우 광범위하므로 FTC가 아닌 의회에서 제정해야 한다고 반복적으로 주창해왔다. 실제로 미 의회가 비슷한 규제를 입법 중이니 위원회가 기획하고 있는 규제안이 의회에 악영향을 끼치지 않기를 바란다”라고 말했다.

FTC 입법 움직임에 대한 반응: 일관적 행보 vs 독단적 행동
美 로펌 버클리 LLP(Buckley LLP)의 파트너 변호사 엘리자베스 맥긴은 FTC의 새 개인 정보 보호 규제안 움직임에 대해 "당연한 행보다"라는 입장을 밝혔다. “FTC가 대중의 의견을 요청하고 있는 이 모든 현안은 예전부터 위원회가 계속 신경 써왔던 사항이다. 이와 관련된 성명과 지침을 많이 밝혀왔으며 관련 조사와 집행에 대한 워크샵도 개최해왔다”라고 그는 설명했다.
 
ⓒDepositphotos

이전에 FTC에서 개인 정보 보호 분야를 다뤘으며 현 美 로펌 퍼킨스 코이(Perkins Coie)의 파트너 변호사로 재직 중인 재니스 케스텐바움은 “현재 미국 의회도 FTC와 비슷한 주제로 ADPPA라는 포괄적 개인 정보 보호 법안을 입법화하려는 중이니, 비슷한 내용의 두 법안이 동시에 추진되고 있는 희한한 상황이다. FTC는 ADPPA가 법제화되면 FTC 규제를 무효 처리 하겠다고 했지만 그럼에도 현재로서는 또 다른 비슷한 규제를 제정하는 데 FTC의 귀중한 자원과 시간이 투입되고 있다는 점이 아쉽다”라고 평가했다.

미국 의회의 공화당 의원들 역시 FTC의 새로운 법안 계획을 호의적으로 바라보지 않았다. 미 상원의원 로저 위커(R-MS)는 “실질적인 소비자 개인 정보 보호법을 현실화하려면 결국 의회가 움직여야 한다. FTC 자신도 위원회 차원의 규정만으로는 역부족이라는 점을 인정하지 않았는가? 단지 FTC의 이런 활동이 ADPPA의 중요성을 부각시키고, 상원 상업 위원회가 ADPPA 법안을 통과시키도록 촉진하는 역할을 해 주길 바랄 뿐이다. 다시 한번 말하지만, 지금 미국에 필요한 건 ADPPA다”라고 말했다.

심지어 민주당 의원이자 재생에너지 및 상업 위원회(REEEAC)의 위원장 프랭크 팰런도 FTC를 조심스럽게 비판했다. “소비자를 보호하려는 FTC의 시도는 존중하지만, 모든 기업이 준수해야 할 소비자 정보 보호법을 만들 책임은 궁극적으로 의회에 있다. 현재로서 미국 전역에 적용될 수 있는 포괄적인 개인 정보 보호법은 ADPPA다. 나는 전적으로 이 법안을 지지한다”라고 그는 말했다. ciokr@idg.co.kr, ethan_moon@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.