[디지털데일리 권하영기자] 국내 통신사 KT가 미국 빅테크 마이크로소프트(MS)와 인공지능(AI) 및 클라우드 분야 기술 협력을 결의한 가운데, 일각에선 우리나라 데이터주권을 침해할 수 있다는 걱정이 계속해서 따라붙고 있다.

우려의 단초는 2018년 미국 트럼프 1기 행정부가 통과시킨 ‘클라우드법’(CLOUD Act)이다. 클라우드법은 명칭과 달리 우리가 일반적으로 알고 있는 클라우드 컴퓨팅에 관한 법은 아니며, 여기서 ‘CLOUD’는 ‘Clarifying Lawful Overseas Use of Data’의 약자다. 즉, 법안은 ‘합법적인 해외 데이터 이용 명확화를 위한 법률’이라 할 수 있다.

클라우드법은 자국 빅테크의 데이터 공개 의무를 ‘역외적용’할 수 있게 명시적 근거를 신설한 것이 핵심이다. MS와 같은 원격컴퓨팅 또는 전자통신서비스제공사는 자신들이 보유한 이용자 및 가입자의 통신·기록 등 데이터를 ‘자국 내에 있든 국외에 있든 상관없이(regardless)’ 미국 정부에 제출할 수 있도록 규정돼 있다.

이 법은 최근 KT가 MS와 손잡고 국내에서 AI·클라우드 사업을 본격화하겠다고 밝히면서 재조명됐다. KT와 MS는 망분리 등 보안 요구가 높은 공공 및 금융시장을 정조준해 ‘시큐어 퍼블릭 클라우드 서비스’를 공동 개발할 계획으로, 이 과정에서 자칫 국내 데이터가 MS를 통해 미국에 반출될 위험이 있다는 지적이 잇따른다.

우리 국회도 이 문제를 심각하게 들여다보고 있다. 국회 과학기술정보방송통신위원회(이하 과방위)는 지난 20일 전체회의를 통해 과학기술정보통신부(이하 과기정통부)로 하여금 ‘KT·MS 간 협력 관련해 미국 클라우드법으로 인한 우리 국민의 데이터주권 침해가 우려되므로 이에 대한 대책을 마련해 보고’하라고 주문한 상태다.

◆ KT·정부는 “문제 없다”는데

이에 대해 KT와 주무부처인 과기정통부 등은 데이터주권 침해 가능성이 낮다고 판단하고 있다. MS 클라우드 서비스를 이용하더라도 국내 데이터 관리 권한은 KT에 있고, 국내법상으로도 관계당국의 제재 조치가 충분히 가능하다는 것이다.

최근 KT가 국회 과방위 소속 이훈기 의원실에 제출한 답변서에 따르면, KT 측은 “KT 시큐어 퍼블릭 클라우드 서비스는 미국 기업인 MS가 한국에 구축·운영 중인 애저(Azure) 클라우드 서비스를 기반으로 하므로 클라우드법의 적용 대상이 될 수 있다”고 인정하면서도, “고객 정보가 저장되는 모든 단계에 암호화 기술을 적용하며, 암호화 키는 클라우드서비스제공사(CSP)인 MS도 알 수 없다”고 주장했다.

과기정통부도 어느 경우에든 국내법과 절차를 따라야 한다는 점을 강조한다. 클라우드법상으로는 범죄 연루 등 사유가 있을 때 법원 영장 발부를 거쳐 데이터를 요구할 수 있고, ‘외국정부 법률 위반 소지’가 있으면 데이터 열람을 거부할 수 있는 조항도 있다는 이유에서다. 우리나라는 개인정보보호법에 의거해 국내 데이터의 국외 반출을 금지하고 있고, 국제형사사법 공조조약에 따른 수사공조 절차도 존재한다는 입장이다.

김영섭 KT 대표는 지난 10월 국정감사에서 MS와의 협력에 따른 우려가 불거지자 오히려 “MS와 협력해야 국민의 데이터주권을 확실하게 지킬 수 있다”고 피력하기도 했다. KT 측은 “빅테크와의 기술 격차가 점점 커지는 상황에서 국내 기술개발만 고집하면 오히려 빅테크 기술에 종속될 수 있다”고 판단한다.

◆ 외국 빅테크 믿을 수 있나?

그러나 우려는 여전하다. 글로벌 빅테크의 클라우드에 데이터가 저장되는 순간, 데이터에 대한 통제권은 빅테크에 넘어갈 수밖에 없다는 지적도 있다.

국내 IT서비스 회사 삼성SDS의 황성우 대표는 지난 7일 열린 금융정보보호 컨퍼런스 발표에서 “글로벌 클라우드 회사들이 잘 얘기하지 않는 아주 불편한 진실이 하나 있다”며 “클라우드 하는 사람들은 ‘컨트롤 플레인’이라는 이야기를 절대 입 밖에 내지 않는데, 이게 뭐냐면 전세계 클라우드를 한 번에 컨트롤하는 것”이라고 설명했다.

그러면서 “이건 글로벌 클라우드를 만드는 핵심 기술자들과 CEO들만 하는 이야기”라며 “결국 다 미국 클라우드인데, 미국의 클라우드법에 대해 공부해보면 좋을 것”이라 언급했다. 이 같은 발언은 미국 클라우드 기업들이 가진 ‘컨트롤 플레인’과 클라우드법을 기반으로 국내 데이터를 내줘야 할 가능성에 대해 경고한 것으로 풀이된다.

강력한 자국우선주의를 표방하는 트럼프 행정부가 재집권하는 점도 불확실성을 키우는 대목이다. 애초에 자국 기업은 물론 각국 데이터 주권을 위협할 수 있는 클라우드법이 탄생할 수 있었던 것도 다름아닌 트럼프 집권기여서 가능했다는 게 법조계 중론이다. 트럼프 2기 행정부에서 클라우드법의 강제력이 한층 높아질 수 있는 셈이다.

이와 관련해 이훈기 의원(더불어민주당)은 본지에 “자국우선주의를 내세우는 트럼프 정부가 2018년에 제정했던 법이 클라우드법”이라며 “2기 트럼프 정부에서 미국 정부에 의한 우리나라 데이터 접근 및 반출 등과 관련해 정부가 빅테크의 데이터 관리에 대한 적극적인 관리‧감독 방안을 마련해야 한다”고 강조했다.

◆ 데이터주권 보호방안 필요

이러한 이유로 국회와 산학연 등은 KT와 MS 간 협력이 국내 데이터주권 침해로 이어지는 조금의 여지도 발생하지 않도록 충분한 대책이 필요하다고 보고 있다.

관련해 일각에선 미국 정부와의 행정협정 체결에 따른 명확한 정보제공절차를 마련할 것을 제언하고 있다. 외국 정부와의 행정협정 체결은 해외 기반 서비스제공사로부터 디지털 증거 수집시 상충되는 법적 의무를 해소하기 위한 것으로, 법률에 저촉되지 않는 선에서 상대국의 정보제공 요청에 응할 수 있다.

최경진 한국인공지능법학회장(가천대 교수)은 “행정협정을 체결하게 되면 미국뿐만 아니라 한국 역시 경제·안보 등을 위해 미국에 있는 데이터에 접근할 수 있게 되는 것”이라며 “한미 간 상호 협의로 데이터에 접근할 수 있는 합법적인 절차를 만들어서 데이터를 이유 없이 가져가지 못하도록 요건을 상세화하는 것이 필요하다”고 설명했다.

다만 행정협정이 체결되면 그만큼 미국 정부의 데이터 요청 절차가 쉬워진다는 해석도 있다. 이러한 이유 등으로 우리나라 경찰청 수사국은 현재 협정 체결 계획이 없는 것으로 확인된다. 국회입법조사처도 “행정협정은 새로운 효율적 수단일뿐 또 다른 권한이 부여되는 것은 아니므로, 외국 사법기관의 요청에 대한 대응요건을 마련해야 한다”며 “개인정보의 국외 이전에 대한 기술적·관리적 보호방안을 강화해야 한다”고 지적했다.

클라우드 업계 한 관계자는 “꼭 이번 일이 아니더라도 제도적으로 글로벌 빅테크는 늘 법적 사각지대에 있어 왔다”며 “빅테크와 국내 기업이 협력할 땐 하더라도 소버린(Sovereign·주권) AI·클라우드의 영역은 반드시 지켜져야 한다”고 말했다.