-
유럽연합 회원국인 독일은 유럽에서 가장 먼저 경쟁법이라고 부르는 법률을 만든 나라이다. 57년 처음 제정되었으니 약 60년 정도 지났다. 독일 이전에 이와 유사한 법률을 갖고 있던 나라는 미국뿐이었다. 미국에서는 1890년부터 반트러스트법이라고 부르는 일련의 법률을 만들어 이미 하나의 법체계를 갖추고 있었다. 경쟁법 또는 반트러스트법이라 부르는 이 법률은 우리나라에서는 독점규제 및 공정거래에 관한 법률 또는 공정거래법이라는 형태로 80년대 말에 들어옴. 경쟁법은 경쟁을 제한하는 사업자의 행위로부터 경쟁을 보호하기 위한 법. 경쟁법 집행의 주체는 나라마다 다른데, 독일은 연방 카르텔청이라 부르는 정부기관이 담당. 하는 일이 똑같지는 않지만 대체로 이 기관의 역할은 우리나라 공정거래위원회와 비슷함. 누가 경쟁법을 집행하든 간에 효과적인 집행을 위해 먼저 해결해야 할 문제는 사업자의 어떤 행위가 경쟁을 제한하는 행위인지 분별하는 것. 독일 연방카르텔청이 페이스북의 행위에 대한 경쟁법 적용을 검토하고 있다는 소식은 페이스북의 사업방식이나 사업형태가 경쟁을 제한하고 있다고 보거나 이를 의심할만한 근거가 되는 그럴듯한 설명이 가능한 상황을 포착했다는 뜻으로 읽을 수 있다.
- 독일 경쟁당국이 문제 삼은 것은 페이스북의 데이터 정책이다. 페이스북이 제공하는 서비스를 이용하기 위해서는 회원가입을 하면서 페이스북이 제시하는 이용약관에 동의해야 한다. 그런데 약관에 따른 거래를 할 때는 으레 그렇듯이 글자도 작고 그 내용도 너무 많다. 페이스북이 나름대로 이용자가 그 내용을 읽어보고 동의여부를 판단할 수 있도록 기회를 준다고는 하지만, 필자를 포함해서 실제로 이를 꼼꼼히 살펴보가 가입하는 사람은 드물 것이다. 그럼에도 동의라는 단추를 눌러 회원으로 가입한 이상 이 이용약관은 나와 페이스북 사이에 이루어진 계약내용이 된다. 페이스북이 제공하는 사회관계망 서비스는 그 자체로 개인 이용자에게 대가를 요구하지 않으므로 대개는 이용약관도 이용자에게 특별히 불리한 내용은 없을 것이라 추측함. 그런데 독일 경쟁당국은 이용약관에 포함된 데이터 정책에 주목했다. 페이스북은 데이터 정책에서 회원의 활동과 회원이 제공한 정보, 그 회원과 관련된 다른 사람의 활동과 다른 사람이 제공한 정보, 네트워크 및 연결정보 등 실로 다양한 정보를 수집한다고 밝히고 있다. 예를 들어 내가 페이스북 서비스를 이용하면서 사진을 업로드하면 그 사진 쵤영장소나 파일생성 날짜처럼 내가 제공한 콘텐츠 또는 콘텐츠에 포함된 정보가 수집될 수 있다. 페이스북은 이렇게 보유한 정보를 회원에게 관련 광고를 표시하고 광고 및 서비스 효과와 도달범위를 측정하기 위해 광고와 측정 시스템을 개선하는 용도로 활용함. 독일 경쟁당국은 이처럼 페이스북이 수집한 개인정보를 이용하기 위해 설정한 거래조건이 이용자에게 불공정한 제약을 가하고 있다고 의심하고 있다.
- 페이스북은 세계적으로 가장 강력한 인터넷 광고회사 중 하나. 페북의 16년 한해 매출액은 276억불로, 이중 광고매출액이 268억불. 이는 전년대비 57% 증가한 수치. 페북이 광고로 이처럼 많은 매출액을 올리는 이유는 어느 사업자도 따라올 수 없을 만큼 정확한 맞춤형 광고매체이기 때문. 페이스북은 광고주에게 사람들이 원하는 것이 무엇인지를 결정하는 데 도움이 되는 서비스를 제공함. 페이스북 광고 페이지에 올라와 있는 광고주의 경험담은 또다른 광고주들을 정말 솔깃하게 만든다.
- 개인정보 보호법은 개인정보에 대해 개인이 스스로 결정할 수 있는 권리를 갖는다는 것을 전제로 함. 개인정보보호법이 이 권리를 보호하는 방식은 자신에 대한 개인정보가 누구에 의하여 어떤 목적으로 얼마만큼 수집되고 이용되는지, 그리고 누구에게 제공되는지를 미리 알려주는 방식이다. 이를 옵트인 방식이라고 함. 여기에는 개인이 미리 알고 대비하면 권리침해를 예방할 수 있다는 사고방식이 깔려 있음. 동의한 후에도 자신의 개인정보가 어떻게 쓰이는지를 나중에 확인하거나 마음이 변하여 동의를 거둬들이고 정보의 정정, 삭제를 요구할 수 있음. 이를 옵트아웃방식이라고 함. 우리법은 두가지 방식을 다 규정하고 있지만, 옵트인 방식에 따른 의무가 워낙 강하다보니 사업자도 이용자도 동의를 한 후의 보호절차에는 별로 신경을 쓰고 있는 것 같지 않다.
- 디지털 시대의 정보를 저물어가는 산업시대의 석유나 석탄처르 그 자체로 거래되는 자산으로 또는 다른 제품의 공정과정에 투입되는 요소정도로 취급하는 것은 문제가 있다. 오늘날 시장에서 정보가 가지는 의미를 과거의 시각으로 이해하는 데 그치면 정작 기업들이 중요하게 생각하는 경쟁의 핵심을 간과할 수 있기 때문. 오늘날 정보가 핵심경쟁요소로 인식되는 정보기반산업의 기업들은 정보를 확보하기 위해서도 노력을 경주하지만, 그들이 궁극적으로 원하는 것은 그런 정보의 취득경로이자 제품의 판매경로이기도 한 당신에 대한 액세스이다. 인터넷을 주로 PC화면을 통해 접하던 시기에는 이를 눈알, 또는 관심으로 표현하기도 했다. 하지만 오늘날 기업들이 눈독을 들이고 있는 액세스는 사람들의 수면시간처럼 무의식의 시공간도 포함. 이런 액세스의 가치는 정보 그 자체를 거래하거나 활용하여 얻을 수 있는 돈을 쉽게 뛰어넘을 수 있다. 구글의 목표가 당신이 지메일 서비스나 검색엔진인 구글서치를 더 많이 사용하도록 하는 것, 그리고 그 사이사이에 광고를 더 많이 끼워놓는 것 정도로 이해하는 것은 구글이 참여하고 있는 시장에서 일어나고 있는 경쟁의 본질을 간과한 것이다. 구글이 자사 서비스를 사용하는 이용자 정보에 눈독을 들인다고 말하는 것도 마찬가지다. 구글에게 궁극적으로 가치가 잇는 것은 바로 당신에 대한 액세스다. 이 액세스를 꿰차고 있는 자가 당신에게 접근하고 싶어하는 다른 모든 자를 상대로 돈을 벌 수 있기 때문. 액세스를 확보하면 관련정보도 자연스레 확보가능. 안드로이드로 모바일 플랫폼 시장의 강자가 된 구글에게 또 하나의 위협이 다름 아닌 그 플랫폼 위에서 돌아가는 앱이라는 지적이 업계에서 나오는 것도 실은 액세스에 관한 경쟁을 두고 말하는 것이다. 이런 액세스 경쟁의 주요 전장 가운데 하나가 바로 인공지능을 활용한 개인비서. 구글도, 아마존도, 마이크로소프트도, 애플도, SKT도 서로 형태나 양상에는 차이가 있지만 모두 이 경쟁에 뛰어들었다고 볼 수 있다. 그들만 액세스에 눈독을 들이고 있는 것이 아니다. 앞으로 자율주행차를 통해 이동시간 동안 손과 발이 휠에서 자유로워지고 도로와 주변에 신경을 써야 했던 머리도 자유로워 질 것. 그 결과 주행시간 동안 당신에 대한 액세스 가치는 높아질 것임. 자율주행 자동차 탑승자에 대한 미래의 액세스를 확보하기 위한 전쟁은 이미 시작됨
- 교통수단은 오랜 역사를 갖고 있으며 교통수단의 혁신이 일어날 때마다 혼란과 반발이 있었다. 자동차가 처음 등장할 때도 그랬다. 독일 황제 빌헬름 2세는 1905년 "나는 말의 신봉자다. 자동차는 스쳐가는 현상에 불과하다"고 말했다. 그러나 그의 호언과는 달리 자동차는 말을 내몰고 세계를 뒤덮었다. 자율주행차의 출현에 의심을 품는 사람도 있다. 그러나 자동차의 자율화는 거스를 수 없는 대세다
- 온라인 신용카드 결제 메커니즘의 배후에는 사실 한국 특유의 온라인 쇼핑 시장의 발달과정, 이에 따른 온라인 결제대행업자의 합법화 과정과 그 업자들의 기술경쟁과 표준화, 전자금융거래에 대한 금융당국의 촘촘한 규제와 보안성 심의 규제, PKI기술에 기반한 공인인증 기술의 표준화 및 전자 금융거래에서의 사용강제, 마이크로소프트 윈도우 운영체제와 인터넷 익스플로러 웹 브라우저의 과도한 시장점유율 등 다양한 문제가 복합적으로 존재. 이런 간편하지 않은 간편결제의 문제, 그리고 이를 대체하기 위한 사업자들의 노력에 대한 금융감독 당국의 보수적, 방어적 규제 운영을 둘러싸고 꾸준히 비판이 제기됨. 특히 국경의 구분이 없는 온라인 쇼핑 시장 특성상, 우리나라 이용자들이 해외 주요사업체의 편리한 온라인 결제를 경험하게 되면서 이런 한국형, 또는 갈라파고스 형태의 결제 프로세스에 대수술이 필요한 상황이었다. 그러던 중 유명한 천송이 코트 사건이 벌어짐. 즉, 박근혜 정부는 창조경제의 일환으로 금융규제 개혁을 통한 산업 활성화 정책을 추진하게 되는데, 2014년 3월 규제제개혁 끝장토론에서 박 대통령이 불필요한 규제 때문에 중국에서 천송이 코트를 구입하지 못한다는 발언을 통해 범정부적 대책 마련을 주문한 사건, 이에 따라 정부는 전자상거래 결제 간편화 방안을 발표하며, 2015년까지 공인인증서 의무사용규정 폐지, 액티브 엑스 컨트롤 폐지, 30만원 이상 결제시에도 대체 인증수단 허용, 적격 PG회사에 대한 카드정보 저장 허용, 보안성 심의의 원칙적 자율화 등의 조치가 이루어짐
- 사실 2013년 당시 외국인들이 한국 쇼핑몰을 이용하지 못한 것은 공인인증서와 액티브 엑스 컨트롤이 주된 이유는 아니었음. 당시 몇몇 유명 쇼핑몰은 해외 접속을 위한 영문 사이트를 열고 해외 결제업자를 통한 결제가 가능한 상태였지만, 한국 쇼핑몰 대부분은 영문 사이트를 오픈하지 않은 상태였다. 결국 천송이 코트는 그다지 정확한 원인분석에 따른 이슈제기는 아니었으나 결과적으로 한국의 전자상거래와 금유발전에 어느정도 기여한 셈
- 식별의 개념은 대략 다음과 같이 세가지 유형이 있다.
(1) 주어진 정보를 이용하여 특정 개인의 신원정보나 개인 식별정보를 파악하고 확인할 수 있느 상황. 예를 들어 주어진 데이터베이스에 포함된 정보를 통하여 또는 추가적 분석을 통해 특정한 개인의 이름이나 주민번호, 연락처 등의 파악이 가능한 상황을 생각할 수 있다. 이와 같은 의미의 식별은 좁은 의미의 식별임. 식별의 또 다른 의미, 좀더 넓은 의미에서 보면, 주어진 데이터를 통해 특정 개인의 신원정보를 파악할수는 없지만, 한 개인의 특징을 파악하거나 서로 다른 데이터베이스에 있는 여러 사람의 정보중에서 같은 사람의 정보를 추려내는 것은 가능한 상황이 있을 수 있다.
(2) 현실속 비즈니스 맥락에서는 매우 중요. 특히 인터넷 매체를 활용하는 맥락에서는 더욱 중요. 인터넷 쇼핑몰에서 특정 상품을 살펴보가 난 뒤 해당상품에 대한 광고를 다른 여러 사이트에서 한동안 지속적으로 접하는 상황이 종종 있다. 이는 개인의 신원정보는 파악할 수 없어도 동일인의 인터넷 활동에 대한 추정은 가능하기 때문. 이런 광고방식은 흔히 리타게팅이라 부르는데, 이는 일반적으로 인터넷 브라우저에 쿠키 파일을 전송하는 방식을 통해 소비자의 선호를 파악하여 작동. 쿠키는 글 몇줄 수준의 매우 간략한 텍스트 파일로, 이를 활용하는 방식을 통해 신원정보는 파악하지 못하지만 해당 컴퓨터, 좀더 정확하게는 인터넷 브라우저를 파악하는 것이 가능. 따라서 동일한 브라우저를 이용하여 인터넷을 검색하고 다양한 사이트를 방문한다는 것을 파악하고 분석한 다음. 이에 기초하여 맞춤형 광고를 할 수 있는 것이다.
(3) 개인을 특정할 수는 없지만 범위를 크게 좁힐 수 있는 경우를 가리킴. 어떤 독특한 특징이나 몇가지 특징의 조합을 보이는 개인을 파악하고자 시도하는 상황을 생각해보자. 그 결과 한명의 개인을 특정할 수는 없지만 수십만명의 모집단으로부터 몇 십명 또는 몇 명의 소그룹을 추출해낼 수 있다고 하자. 한명이 특정된 것이 아니니 이 경우는 법적으로 식별이라 보기 어려움. 그러나 이 정도로 대상그룹을 좁혀가는 것만으로도 비즈니스 맥락, 특히 광고맥락에서는 매우 커다란 의미가 있다. 특히 맞춤형 광고를 통해 애초에 의도했던 것을 달성하는 데 유용할 것이다
- 토종 플랫폼을 보호하자는 주장은 자유무역을 근간으로 하는 오늘날 국제질서에서 금기에 가까움에도 종종 언급됨. 토종 플랫폼들이 세계적 혁신의 흐름을 따라가지 못해 미국 IT플랫폼 수준이 되기까지는 시간이 필요하니, 중국처럼 법과 규제로 어떻게든 외국 플랫폼의 시장진입을 막아달라는 것. 예컨대 09년 아이폰 국내출시를 둘러싼 상황을 보면, 정부의 의도가 실제로 그랬는지는 의문이나 어쨌든 그 효과로 당시의 3대 국내 휴대폰 규제가 아이폰 국내출시를 2년가량 늦춘 것은 부인할 수 없다. 지금까지의 모바일 플랫폼들의 게임, 음원, 전자결제 등 국내 서비스 출시 지연도 대략 규제가 원인이라고 보면됨. 이런 일을 겪으며 트렌드에 예민한 소비자들은 소비자의 선택권을 제한하는 국내시장보호론에 상당한 거부감을 느끼게 된 것으로 보임. 법 집행이나 규제와 관련한 국내 사업자 역차별론은 이에 비하면 현실적이다. 현재 한국 IT규제는 방대하고 가혹하며 불합리해서 대수술이 시급. 실리콘밸리에서 한국은 중국, 브라질과 함쎄 세계에서 가장 불합리한 IT규제를 가진 3대국가로 언급됨. 각 부처가 첨단부처의 위상을 드높인다며 IT라면 무조건 법부터 만든 덕에, 대부분 같은 현상이라도 온라인이면 오프라인보다 강력한 규제나 처벌을 받음. 예를 들어 무심코 맵 API를 활용하여 모바일 앱을 만든 고교생을 전과자로 만드는 위치정보법이 그런 사례
- 다국적 기업들은 법인세율이 낮은 나라에 세운 해외법인이 지적재산권 등을 보유하면서 이를 근거로 국내에서 벌어들인 소득을 직접 인식하고, 국내 자회사에는 임직원 월급과 사무실 임대료 등 원가에 약간의 마진만 덧붙여 보전해주는 식으로 운영하는 경우가 많음. 이때 국내에서 인식되는 수익이 거의 없으므로 과세가 어려움. 이론적으로는 과세관청이 이런 해외법인과 국내 자회사간 내부거래에 적용된 이전가격의 적정성 여부를 문제삼을 여지는 있으나, 적정성의 기준이란 게 모호해서 이도 쉽지 않다. 이런 상황에서 국내의 주된 사업을 위한 IT시스템을 국내에 두면 고정사업장이 인정되기 때문에 우리나라에서 벌어들인 소득에 과세할 근거가 생길 여지가 좀더 생기는 것이다. 다만, 통상 국내에 시스템을 두게 한다고 할 때 규제기과이 기대하는 것은 이보다는 앞서 살펴본 대로 아무래도 국내법과 규제를 좀더 쉽게 적용할 수 있지 않겠냐는 것이다. 그러나 국내 IT법의 품질이 낮고, 아직 해외 플랫폼의 소비자 보호문제와 관련해서 심한 문제제기가 없는 것으로 보이는 만큼, 먼저 법을 합리적으로 잘 정비하고 나서 생각할 문제일 것이다.
- 스노든 사건과 관련한 맥락에서 아무래도 외국 사업자가 국내에 서버 등 IT 서비를 두면 가입정보, 과거 통신내용에 대한 압수수색이나 실시간 통신 내용에 대한 통신제한 조치(감청)등 강제수사에 대한 협조가 쉬워질 수 있음. 역으로 이용자 입장에서는 토종 플랫폼이 가입정보나 통신내용 등이 무방비로 국내 수사기관에 넘긴다는 이유를 앞세워 외국 플랫폼으로 소위 사이버 망명을 할 수도 있음
- 인증서의 기술적 구조와 인증방식. 전자서명으로서 일반적으로 사용되는 디지털 서명, 즉 PKI(public key infrastructure)방식의 전자서명은 기본적으로 (1) 서명자의 신원을 확인하는 신원의 동일성 확인기능, (2) 전자서명 작성자가 작성한 내용이 송신과정에서 위조 또는 변조되었는지 그 여부를 확인할 수 있는 전자서명의 무결성 확보기능, (3) 전자문서를 서명하여 보낸 사람이 그 문저 전송을 부인하거나 수신된 문서가 전송한 내용과 동일하지 않다고 주장할 수 없는 거래사실 부인방지기능을 가짐. 이는 PKI방식의 암호화 구조가 가지는 기술적 특성으로 보장됨. PKI방식의 전자서명 알고리즘은 다음과 같다. (1) 송신자는 송신할 전자문서에 해시함수를 적용하여 일정한 고정크기를 가지는 해시값(메시지 다이제스트)를 구한다. (2) 위 해시값을 전사저명생성키(전자서명생성정보, 개인키, 비밀키)에 의해 암호화하여 전자서명을 만든다.(즉 전자서명은 해시값을 비밀키로 암호화한 데이터다) (3) 송신자는 위 전자서명을 전자문서와 함께 송신한다. (4) 전자문서와 전자서명을 수신한 수신자는 통상 송신자의 인증서에 수록된 전자서명검증키(전자서명검증정보, 공개키)를 이용하여 수신한 전자서명을 복호화한다. 이렇게 함으로써 수신자는 송신자가 생성한 전자문서 해시값을 얻을 수 있다. (5) 수신된 전자문서 원본에 대하여 송신자가 사용한 해시함수를 이용하여 전자문서 원본의 해시값을 구한다 (6) 전자서명을 복호화하여 얻은 해시값과 앞서 구한 전자문서 원본의 해시값을 비교한다. 두 해시값이 동일하면 수신된 전자문서가 송신된 전자문서 원본과 동일하다는 것을 의미하고 전자서명의 서명자가 해당 전자문서를 송신한 것으로 기술원리상 추정한다. 인증서는 이 과정에서 인증서에 수록된 전자서명검증키가 서명자의 전자서명생성키에 대응된다는 사실을 보증함
- 인증은 크게 클라이언트 인증과 서버인증으로 나뉨. 클라이언트 인증은 특정 서비스를 요구하는 클라이언트 컴퓨터를 식별하기 위한 인증이고, 서버인증은 특정 서비스를 제공하는 서버 컴퓨터를 식별하기 위한 인증이다. 우리에게 익숙한 공인인증서는 클라이언트 인증서다. 서버 인증서는 주로 웹서버와 클라이언트가 SSL(secure socket layer)이라는 암호화 통신을 하기 위해 사용됨. 사이트 주소가 http:// 로 시작하고 웹브라우저 주소창에 열쇠표시나 색상표시가 나타나면 해당 웹사이트와 내 컴퓨터의 웹브라우저가 SSL암호화 통신을 하고 있다는 것을 의미. PKI기반의 인증방식은 기술적으로 신원확인, 무결성, 부인방지기능을 보장. 이런 기술적 알고리즘에 근거하여 전자서명법 제3조는 공인인증서에 기초한 공인전자서명이 있는 전자문서는 문서의 진정 성립과 전자서명 이후 당해 전자문서가 위조 또는 변조되지 않았음을 추정하고, 사설인증서에 기초한 비공인 전자서명에는 당사자간 약정에 따른 서명으로서만 효력을 부여. 여기서 당사자간 약정에 따른 서명이라는 표현의 의미가 다소 불분명하다. 그러나 대체로 이 표현자체에 큰 의미를 두지 않는다. 공인 전자서명과 대비하여 문서의 진정 성립에 대한 법률적 추정력이 없다는 것에 불과하다는 의미로 해석하고, 비공인 전자서명도 서명으로서 효력이 있으나 다만 법관의 자유심증에 따라 진정성립여부에 대한 판단이 달라질 수 있다는 정도로 해석한다.
- 공인인증서 의무사용이 폐지된 지금, 금융기관이 사설 인증서를 사용하지 않고 여전히 공인인증서를 고집하는 이유
(1) 금융기관 입장에서는 99년 이래 20여년 동안 검증된 기존의 공인인증서를 굳이 마다할 필요가 없다. 시장의 강한 요구가 없는 한 FIDO(fast identity online)등의 새로운 인증기술을 바쁘게 도입할 이유가 없다.
(2) 공인전자서명은 법률적으로 전자금융거래의 이상적 형태라는 점. 계좌 이체신청서라는 전자문서에 고객이 공인전자서명을 하고 이를 은행이 보관하는 방식은 종래 오프라인에서 금융기관이 익숙하게 수행하던 작업이자 법률적으로 봤을 때도 가장 이상적 형태의 법률행위다.
(3) 공인인증제도는 지금까지 전자금융거래법상 금융기관의 책임에 대해 금융기관이 감내할 수 있을 정도의 무난한 리스크 분배를 해왔다는 점. 문서에 서명하는 이유는 거래의 진정성을 확보하는 동시에 향후 분쟁과정에서 면책증거로 사용하기 위해서다. 금융기관의 책임을 규정한 전자금융거래법 제9조가 공인인증서에 대해 지금까지 어떤 태도를 보였는지를 살펴보면 향후 공인인증서의 미래를 어느정도 가늠할 수 있을 것이다.
- 새로은 시대에 규제의 목적이 유지되어야 하는 가는 규제마다 달라 일률적으로 결론지을 수 없으므로, 여기서는 따로 논의하지 않는다
(1) [혁심금지규제] 혁신이 몰고오는 변화에 기존 규제틀이 대응하느 방법은 새로운 혁신을 불법으로 결론짓고 금지시키거나 기존의 규제틀에 맞추도록 요구하는 방법이 있다. 반면
(2) [규제틀 확대] 규제틀 확대를 불가피한 것으로 받아들이고 기존 규제틀을 변화, 확대시켜 혁신을 규제틀 속으로 받아들이는 방법도 있으며,
(3) [규제틀 신설] 기존의 규제틀 과는 다른 새로운 규제틀을 만들어 혁신에 맞춰주는 방법도 있다
(4) [규제철폐] 기존의 규제틀을 없애고 완전히 자유롭게 혁신을 허용해주는 방법도 있다
- 독일 경쟁당국이 문제 삼은 것은 페이스북의 데이터 정책이다. 페이스북이 제공하는 서비스를 이용하기 위해서는 회원가입을 하면서 페이스북이 제시하는 이용약관에 동의해야 한다. 그런데 약관에 따른 거래를 할 때는 으레 그렇듯이 글자도 작고 그 내용도 너무 많다. 페이스북이 나름대로 이용자가 그 내용을 읽어보고 동의여부를 판단할 수 있도록 기회를 준다고는 하지만, 필자를 포함해서 실제로 이를 꼼꼼히 살펴보가 가입하는 사람은 드물 것이다. 그럼에도 동의라는 단추를 눌러 회원으로 가입한 이상 이 이용약관은 나와 페이스북 사이에 이루어진 계약내용이 된다. 페이스북이 제공하는 사회관계망 서비스는 그 자체로 개인 이용자에게 대가를 요구하지 않으므로 대개는 이용약관도 이용자에게 특별히 불리한 내용은 없을 것이라 추측함. 그런데 독일 경쟁당국은 이용약관에 포함된 데이터 정책에 주목했다. 페이스북은 데이터 정책에서 회원의 활동과 회원이 제공한 정보, 그 회원과 관련된 다른 사람의 활동과 다른 사람이 제공한 정보, 네트워크 및 연결정보 등 실로 다양한 정보를 수집한다고 밝히고 있다. 예를 들어 내가 페이스북 서비스를 이용하면서 사진을 업로드하면 그 사진 쵤영장소나 파일생성 날짜처럼 내가 제공한 콘텐츠 또는 콘텐츠에 포함된 정보가 수집될 수 있다. 페이스북은 이렇게 보유한 정보를 회원에게 관련 광고를 표시하고 광고 및 서비스 효과와 도달범위를 측정하기 위해 광고와 측정 시스템을 개선하는 용도로 활용함. 독일 경쟁당국은 이처럼 페이스북이 수집한 개인정보를 이용하기 위해 설정한 거래조건이 이용자에게 불공정한 제약을 가하고 있다고 의심하고 있다.
- 페이스북은 세계적으로 가장 강력한 인터넷 광고회사 중 하나. 페북의 16년 한해 매출액은 276억불로, 이중 광고매출액이 268억불. 이는 전년대비 57% 증가한 수치. 페북이 광고로 이처럼 많은 매출액을 올리는 이유는 어느 사업자도 따라올 수 없을 만큼 정확한 맞춤형 광고매체이기 때문. 페이스북은 광고주에게 사람들이 원하는 것이 무엇인지를 결정하는 데 도움이 되는 서비스를 제공함. 페이스북 광고 페이지에 올라와 있는 광고주의 경험담은 또다른 광고주들을 정말 솔깃하게 만든다.
- 개인정보 보호법은 개인정보에 대해 개인이 스스로 결정할 수 있는 권리를 갖는다는 것을 전제로 함. 개인정보보호법이 이 권리를 보호하는 방식은 자신에 대한 개인정보가 누구에 의하여 어떤 목적으로 얼마만큼 수집되고 이용되는지, 그리고 누구에게 제공되는지를 미리 알려주는 방식이다. 이를 옵트인 방식이라고 함. 여기에는 개인이 미리 알고 대비하면 권리침해를 예방할 수 있다는 사고방식이 깔려 있음. 동의한 후에도 자신의 개인정보가 어떻게 쓰이는지를 나중에 확인하거나 마음이 변하여 동의를 거둬들이고 정보의 정정, 삭제를 요구할 수 있음. 이를 옵트아웃방식이라고 함. 우리법은 두가지 방식을 다 규정하고 있지만, 옵트인 방식에 따른 의무가 워낙 강하다보니 사업자도 이용자도 동의를 한 후의 보호절차에는 별로 신경을 쓰고 있는 것 같지 않다.
- 디지털 시대의 정보를 저물어가는 산업시대의 석유나 석탄처르 그 자체로 거래되는 자산으로 또는 다른 제품의 공정과정에 투입되는 요소정도로 취급하는 것은 문제가 있다. 오늘날 시장에서 정보가 가지는 의미를 과거의 시각으로 이해하는 데 그치면 정작 기업들이 중요하게 생각하는 경쟁의 핵심을 간과할 수 있기 때문. 오늘날 정보가 핵심경쟁요소로 인식되는 정보기반산업의 기업들은 정보를 확보하기 위해서도 노력을 경주하지만, 그들이 궁극적으로 원하는 것은 그런 정보의 취득경로이자 제품의 판매경로이기도 한 당신에 대한 액세스이다. 인터넷을 주로 PC화면을 통해 접하던 시기에는 이를 눈알, 또는 관심으로 표현하기도 했다. 하지만 오늘날 기업들이 눈독을 들이고 있는 액세스는 사람들의 수면시간처럼 무의식의 시공간도 포함. 이런 액세스의 가치는 정보 그 자체를 거래하거나 활용하여 얻을 수 있는 돈을 쉽게 뛰어넘을 수 있다. 구글의 목표가 당신이 지메일 서비스나 검색엔진인 구글서치를 더 많이 사용하도록 하는 것, 그리고 그 사이사이에 광고를 더 많이 끼워놓는 것 정도로 이해하는 것은 구글이 참여하고 있는 시장에서 일어나고 있는 경쟁의 본질을 간과한 것이다. 구글이 자사 서비스를 사용하는 이용자 정보에 눈독을 들인다고 말하는 것도 마찬가지다. 구글에게 궁극적으로 가치가 잇는 것은 바로 당신에 대한 액세스다. 이 액세스를 꿰차고 있는 자가 당신에게 접근하고 싶어하는 다른 모든 자를 상대로 돈을 벌 수 있기 때문. 액세스를 확보하면 관련정보도 자연스레 확보가능. 안드로이드로 모바일 플랫폼 시장의 강자가 된 구글에게 또 하나의 위협이 다름 아닌 그 플랫폼 위에서 돌아가는 앱이라는 지적이 업계에서 나오는 것도 실은 액세스에 관한 경쟁을 두고 말하는 것이다. 이런 액세스 경쟁의 주요 전장 가운데 하나가 바로 인공지능을 활용한 개인비서. 구글도, 아마존도, 마이크로소프트도, 애플도, SKT도 서로 형태나 양상에는 차이가 있지만 모두 이 경쟁에 뛰어들었다고 볼 수 있다. 그들만 액세스에 눈독을 들이고 있는 것이 아니다. 앞으로 자율주행차를 통해 이동시간 동안 손과 발이 휠에서 자유로워지고 도로와 주변에 신경을 써야 했던 머리도 자유로워 질 것. 그 결과 주행시간 동안 당신에 대한 액세스 가치는 높아질 것임. 자율주행 자동차 탑승자에 대한 미래의 액세스를 확보하기 위한 전쟁은 이미 시작됨
- 교통수단은 오랜 역사를 갖고 있으며 교통수단의 혁신이 일어날 때마다 혼란과 반발이 있었다. 자동차가 처음 등장할 때도 그랬다. 독일 황제 빌헬름 2세는 1905년 "나는 말의 신봉자다. 자동차는 스쳐가는 현상에 불과하다"고 말했다. 그러나 그의 호언과는 달리 자동차는 말을 내몰고 세계를 뒤덮었다. 자율주행차의 출현에 의심을 품는 사람도 있다. 그러나 자동차의 자율화는 거스를 수 없는 대세다
- 온라인 신용카드 결제 메커니즘의 배후에는 사실 한국 특유의 온라인 쇼핑 시장의 발달과정, 이에 따른 온라인 결제대행업자의 합법화 과정과 그 업자들의 기술경쟁과 표준화, 전자금융거래에 대한 금융당국의 촘촘한 규제와 보안성 심의 규제, PKI기술에 기반한 공인인증 기술의 표준화 및 전자 금융거래에서의 사용강제, 마이크로소프트 윈도우 운영체제와 인터넷 익스플로러 웹 브라우저의 과도한 시장점유율 등 다양한 문제가 복합적으로 존재. 이런 간편하지 않은 간편결제의 문제, 그리고 이를 대체하기 위한 사업자들의 노력에 대한 금융감독 당국의 보수적, 방어적 규제 운영을 둘러싸고 꾸준히 비판이 제기됨. 특히 국경의 구분이 없는 온라인 쇼핑 시장 특성상, 우리나라 이용자들이 해외 주요사업체의 편리한 온라인 결제를 경험하게 되면서 이런 한국형, 또는 갈라파고스 형태의 결제 프로세스에 대수술이 필요한 상황이었다. 그러던 중 유명한 천송이 코트 사건이 벌어짐. 즉, 박근혜 정부는 창조경제의 일환으로 금융규제 개혁을 통한 산업 활성화 정책을 추진하게 되는데, 2014년 3월 규제제개혁 끝장토론에서 박 대통령이 불필요한 규제 때문에 중국에서 천송이 코트를 구입하지 못한다는 발언을 통해 범정부적 대책 마련을 주문한 사건, 이에 따라 정부는 전자상거래 결제 간편화 방안을 발표하며, 2015년까지 공인인증서 의무사용규정 폐지, 액티브 엑스 컨트롤 폐지, 30만원 이상 결제시에도 대체 인증수단 허용, 적격 PG회사에 대한 카드정보 저장 허용, 보안성 심의의 원칙적 자율화 등의 조치가 이루어짐
- 사실 2013년 당시 외국인들이 한국 쇼핑몰을 이용하지 못한 것은 공인인증서와 액티브 엑스 컨트롤이 주된 이유는 아니었음. 당시 몇몇 유명 쇼핑몰은 해외 접속을 위한 영문 사이트를 열고 해외 결제업자를 통한 결제가 가능한 상태였지만, 한국 쇼핑몰 대부분은 영문 사이트를 오픈하지 않은 상태였다. 결국 천송이 코트는 그다지 정확한 원인분석에 따른 이슈제기는 아니었으나 결과적으로 한국의 전자상거래와 금유발전에 어느정도 기여한 셈
- 식별의 개념은 대략 다음과 같이 세가지 유형이 있다.
(1) 주어진 정보를 이용하여 특정 개인의 신원정보나 개인 식별정보를 파악하고 확인할 수 있느 상황. 예를 들어 주어진 데이터베이스에 포함된 정보를 통하여 또는 추가적 분석을 통해 특정한 개인의 이름이나 주민번호, 연락처 등의 파악이 가능한 상황을 생각할 수 있다. 이와 같은 의미의 식별은 좁은 의미의 식별임. 식별의 또 다른 의미, 좀더 넓은 의미에서 보면, 주어진 데이터를 통해 특정 개인의 신원정보를 파악할수는 없지만, 한 개인의 특징을 파악하거나 서로 다른 데이터베이스에 있는 여러 사람의 정보중에서 같은 사람의 정보를 추려내는 것은 가능한 상황이 있을 수 있다.
(2) 현실속 비즈니스 맥락에서는 매우 중요. 특히 인터넷 매체를 활용하는 맥락에서는 더욱 중요. 인터넷 쇼핑몰에서 특정 상품을 살펴보가 난 뒤 해당상품에 대한 광고를 다른 여러 사이트에서 한동안 지속적으로 접하는 상황이 종종 있다. 이는 개인의 신원정보는 파악할 수 없어도 동일인의 인터넷 활동에 대한 추정은 가능하기 때문. 이런 광고방식은 흔히 리타게팅이라 부르는데, 이는 일반적으로 인터넷 브라우저에 쿠키 파일을 전송하는 방식을 통해 소비자의 선호를 파악하여 작동. 쿠키는 글 몇줄 수준의 매우 간략한 텍스트 파일로, 이를 활용하는 방식을 통해 신원정보는 파악하지 못하지만 해당 컴퓨터, 좀더 정확하게는 인터넷 브라우저를 파악하는 것이 가능. 따라서 동일한 브라우저를 이용하여 인터넷을 검색하고 다양한 사이트를 방문한다는 것을 파악하고 분석한 다음. 이에 기초하여 맞춤형 광고를 할 수 있는 것이다.
(3) 개인을 특정할 수는 없지만 범위를 크게 좁힐 수 있는 경우를 가리킴. 어떤 독특한 특징이나 몇가지 특징의 조합을 보이는 개인을 파악하고자 시도하는 상황을 생각해보자. 그 결과 한명의 개인을 특정할 수는 없지만 수십만명의 모집단으로부터 몇 십명 또는 몇 명의 소그룹을 추출해낼 수 있다고 하자. 한명이 특정된 것이 아니니 이 경우는 법적으로 식별이라 보기 어려움. 그러나 이 정도로 대상그룹을 좁혀가는 것만으로도 비즈니스 맥락, 특히 광고맥락에서는 매우 커다란 의미가 있다. 특히 맞춤형 광고를 통해 애초에 의도했던 것을 달성하는 데 유용할 것이다
- 토종 플랫폼을 보호하자는 주장은 자유무역을 근간으로 하는 오늘날 국제질서에서 금기에 가까움에도 종종 언급됨. 토종 플랫폼들이 세계적 혁신의 흐름을 따라가지 못해 미국 IT플랫폼 수준이 되기까지는 시간이 필요하니, 중국처럼 법과 규제로 어떻게든 외국 플랫폼의 시장진입을 막아달라는 것. 예컨대 09년 아이폰 국내출시를 둘러싼 상황을 보면, 정부의 의도가 실제로 그랬는지는 의문이나 어쨌든 그 효과로 당시의 3대 국내 휴대폰 규제가 아이폰 국내출시를 2년가량 늦춘 것은 부인할 수 없다. 지금까지의 모바일 플랫폼들의 게임, 음원, 전자결제 등 국내 서비스 출시 지연도 대략 규제가 원인이라고 보면됨. 이런 일을 겪으며 트렌드에 예민한 소비자들은 소비자의 선택권을 제한하는 국내시장보호론에 상당한 거부감을 느끼게 된 것으로 보임. 법 집행이나 규제와 관련한 국내 사업자 역차별론은 이에 비하면 현실적이다. 현재 한국 IT규제는 방대하고 가혹하며 불합리해서 대수술이 시급. 실리콘밸리에서 한국은 중국, 브라질과 함쎄 세계에서 가장 불합리한 IT규제를 가진 3대국가로 언급됨. 각 부처가 첨단부처의 위상을 드높인다며 IT라면 무조건 법부터 만든 덕에, 대부분 같은 현상이라도 온라인이면 오프라인보다 강력한 규제나 처벌을 받음. 예를 들어 무심코 맵 API를 활용하여 모바일 앱을 만든 고교생을 전과자로 만드는 위치정보법이 그런 사례
- 다국적 기업들은 법인세율이 낮은 나라에 세운 해외법인이 지적재산권 등을 보유하면서 이를 근거로 국내에서 벌어들인 소득을 직접 인식하고, 국내 자회사에는 임직원 월급과 사무실 임대료 등 원가에 약간의 마진만 덧붙여 보전해주는 식으로 운영하는 경우가 많음. 이때 국내에서 인식되는 수익이 거의 없으므로 과세가 어려움. 이론적으로는 과세관청이 이런 해외법인과 국내 자회사간 내부거래에 적용된 이전가격의 적정성 여부를 문제삼을 여지는 있으나, 적정성의 기준이란 게 모호해서 이도 쉽지 않다. 이런 상황에서 국내의 주된 사업을 위한 IT시스템을 국내에 두면 고정사업장이 인정되기 때문에 우리나라에서 벌어들인 소득에 과세할 근거가 생길 여지가 좀더 생기는 것이다. 다만, 통상 국내에 시스템을 두게 한다고 할 때 규제기과이 기대하는 것은 이보다는 앞서 살펴본 대로 아무래도 국내법과 규제를 좀더 쉽게 적용할 수 있지 않겠냐는 것이다. 그러나 국내 IT법의 품질이 낮고, 아직 해외 플랫폼의 소비자 보호문제와 관련해서 심한 문제제기가 없는 것으로 보이는 만큼, 먼저 법을 합리적으로 잘 정비하고 나서 생각할 문제일 것이다.
- 스노든 사건과 관련한 맥락에서 아무래도 외국 사업자가 국내에 서버 등 IT 서비를 두면 가입정보, 과거 통신내용에 대한 압수수색이나 실시간 통신 내용에 대한 통신제한 조치(감청)등 강제수사에 대한 협조가 쉬워질 수 있음. 역으로 이용자 입장에서는 토종 플랫폼이 가입정보나 통신내용 등이 무방비로 국내 수사기관에 넘긴다는 이유를 앞세워 외국 플랫폼으로 소위 사이버 망명을 할 수도 있음
- 인증서의 기술적 구조와 인증방식. 전자서명으로서 일반적으로 사용되는 디지털 서명, 즉 PKI(public key infrastructure)방식의 전자서명은 기본적으로 (1) 서명자의 신원을 확인하는 신원의 동일성 확인기능, (2) 전자서명 작성자가 작성한 내용이 송신과정에서 위조 또는 변조되었는지 그 여부를 확인할 수 있는 전자서명의 무결성 확보기능, (3) 전자문서를 서명하여 보낸 사람이 그 문저 전송을 부인하거나 수신된 문서가 전송한 내용과 동일하지 않다고 주장할 수 없는 거래사실 부인방지기능을 가짐. 이는 PKI방식의 암호화 구조가 가지는 기술적 특성으로 보장됨. PKI방식의 전자서명 알고리즘은 다음과 같다. (1) 송신자는 송신할 전자문서에 해시함수를 적용하여 일정한 고정크기를 가지는 해시값(메시지 다이제스트)를 구한다. (2) 위 해시값을 전사저명생성키(전자서명생성정보, 개인키, 비밀키)에 의해 암호화하여 전자서명을 만든다.(즉 전자서명은 해시값을 비밀키로 암호화한 데이터다) (3) 송신자는 위 전자서명을 전자문서와 함께 송신한다. (4) 전자문서와 전자서명을 수신한 수신자는 통상 송신자의 인증서에 수록된 전자서명검증키(전자서명검증정보, 공개키)를 이용하여 수신한 전자서명을 복호화한다. 이렇게 함으로써 수신자는 송신자가 생성한 전자문서 해시값을 얻을 수 있다. (5) 수신된 전자문서 원본에 대하여 송신자가 사용한 해시함수를 이용하여 전자문서 원본의 해시값을 구한다 (6) 전자서명을 복호화하여 얻은 해시값과 앞서 구한 전자문서 원본의 해시값을 비교한다. 두 해시값이 동일하면 수신된 전자문서가 송신된 전자문서 원본과 동일하다는 것을 의미하고 전자서명의 서명자가 해당 전자문서를 송신한 것으로 기술원리상 추정한다. 인증서는 이 과정에서 인증서에 수록된 전자서명검증키가 서명자의 전자서명생성키에 대응된다는 사실을 보증함
- 인증은 크게 클라이언트 인증과 서버인증으로 나뉨. 클라이언트 인증은 특정 서비스를 요구하는 클라이언트 컴퓨터를 식별하기 위한 인증이고, 서버인증은 특정 서비스를 제공하는 서버 컴퓨터를 식별하기 위한 인증이다. 우리에게 익숙한 공인인증서는 클라이언트 인증서다. 서버 인증서는 주로 웹서버와 클라이언트가 SSL(secure socket layer)이라는 암호화 통신을 하기 위해 사용됨. 사이트 주소가 http:// 로 시작하고 웹브라우저 주소창에 열쇠표시나 색상표시가 나타나면 해당 웹사이트와 내 컴퓨터의 웹브라우저가 SSL암호화 통신을 하고 있다는 것을 의미. PKI기반의 인증방식은 기술적으로 신원확인, 무결성, 부인방지기능을 보장. 이런 기술적 알고리즘에 근거하여 전자서명법 제3조는 공인인증서에 기초한 공인전자서명이 있는 전자문서는 문서의 진정 성립과 전자서명 이후 당해 전자문서가 위조 또는 변조되지 않았음을 추정하고, 사설인증서에 기초한 비공인 전자서명에는 당사자간 약정에 따른 서명으로서만 효력을 부여. 여기서 당사자간 약정에 따른 서명이라는 표현의 의미가 다소 불분명하다. 그러나 대체로 이 표현자체에 큰 의미를 두지 않는다. 공인 전자서명과 대비하여 문서의 진정 성립에 대한 법률적 추정력이 없다는 것에 불과하다는 의미로 해석하고, 비공인 전자서명도 서명으로서 효력이 있으나 다만 법관의 자유심증에 따라 진정성립여부에 대한 판단이 달라질 수 있다는 정도로 해석한다.
- 공인인증서 의무사용이 폐지된 지금, 금융기관이 사설 인증서를 사용하지 않고 여전히 공인인증서를 고집하는 이유
(1) 금융기관 입장에서는 99년 이래 20여년 동안 검증된 기존의 공인인증서를 굳이 마다할 필요가 없다. 시장의 강한 요구가 없는 한 FIDO(fast identity online)등의 새로운 인증기술을 바쁘게 도입할 이유가 없다.
(2) 공인전자서명은 법률적으로 전자금융거래의 이상적 형태라는 점. 계좌 이체신청서라는 전자문서에 고객이 공인전자서명을 하고 이를 은행이 보관하는 방식은 종래 오프라인에서 금융기관이 익숙하게 수행하던 작업이자 법률적으로 봤을 때도 가장 이상적 형태의 법률행위다.
(3) 공인인증제도는 지금까지 전자금융거래법상 금융기관의 책임에 대해 금융기관이 감내할 수 있을 정도의 무난한 리스크 분배를 해왔다는 점. 문서에 서명하는 이유는 거래의 진정성을 확보하는 동시에 향후 분쟁과정에서 면책증거로 사용하기 위해서다. 금융기관의 책임을 규정한 전자금융거래법 제9조가 공인인증서에 대해 지금까지 어떤 태도를 보였는지를 살펴보면 향후 공인인증서의 미래를 어느정도 가늠할 수 있을 것이다.
- 새로은 시대에 규제의 목적이 유지되어야 하는 가는 규제마다 달라 일률적으로 결론지을 수 없으므로, 여기서는 따로 논의하지 않는다
(1) [혁심금지규제] 혁신이 몰고오는 변화에 기존 규제틀이 대응하느 방법은 새로운 혁신을 불법으로 결론짓고 금지시키거나 기존의 규제틀에 맞추도록 요구하는 방법이 있다. 반면
(2) [규제틀 확대] 규제틀 확대를 불가피한 것으로 받아들이고 기존 규제틀을 변화, 확대시켜 혁신을 규제틀 속으로 받아들이는 방법도 있으며,
(3) [규제틀 신설] 기존의 규제틀 과는 다른 새로운 규제틀을 만들어 혁신에 맞춰주는 방법도 있다
(4) [규제철폐] 기존의 규제틀을 없애고 완전히 자유롭게 혁신을 허용해주는 방법도 있다
'경제' 카테고리의 다른 글
| 대과잉의 시대가 온다 (0) | 2018.03.31 |
|---|---|
| 뉴노멀 중국 (0) | 2018.03.27 |
| 금리는 경제의 미래를 알고 있다 (0) | 2018.02.28 |
| 새로운 미래 어떻게 번성할 것인가_소비의 경제에서 공생의 경제로 (0) | 2018.02.25 |
| 풀프루프_안전시스템은 어떻게 똑똑한 바보를 만들었는가 (0) | 2018.02.20 |
