11.16
주요뉴스
뉴스홈 > 기고
[특집 / 데이터 공유] 미, 정부와 기업 간 정보 공유, 적정수준 놓고 첨예한 대립국가안보상 필요성 확대 불구 보안 취약해 악용소지 높아
테러나 기타 위험으로부터 사람들을 보호하기 위해 미국 정부 기관들은 방대한 데이터베이스에 대한 심도 있는 분석을 단행하기 시작했다. 또한 연방 정부는 기업들에게 데이터를 공유하도록 공식 요청하고 나섰다. 하지만 이러한 기업과 정부기관의 데이터 공유는 그 프로세스가 매우 복잡하고 비용도 만만치 않으며, 일부 기업들의 경우 고객의 프라이버시 보호를 내세우며 연방 정부의 요청을 거부하고 있는 상황이다.

미 정부, 기업에 고객 정보 제공 요구 거세져
미성년자 온라인 보호법(COPA) 시행의 일환으로 인터넷 업체들에게 검색 용어나 URL 검색 결과를 비롯해 다양한 정보를 요청한지 얼마 되지 않아 미국 법무부는 이보다 한층 강화된 법안을 시행하기에 이르렀다. 미국 법무장관인 알베르토 곤잘레스는 구글과 AOL, 버라이존 등의 업체들에게 가입자 정보나 기타 고객 데이터를 최소 2년 동안 유지, 정부가 범죄자 조사를 필요로 할 때마다 데이터를 제공해줄 것을 요청하고 있다. 현재 인터넷 업체들의 경우 모든 데이터를 저장해놓아야 한다는 의무 규정은 없다.

사람들은 정부 기관이 범죄나 테러리스트와 싸우는데 필요한 데이터를 보유하고 있길 바라지만 개인의 신원 정보인 이름과 주소, 사회보장번호, 웹 검색 기록 등에 대한 잠재적인 오용의 가능성이 제기될 수 있다.
최근 유럽 재판소는 유럽집행위원회와 국토안보 세관이민국 간에 체결된 데이터 공유 협약에 대해 유럽의 프라이버시 법에 위반된다며 무효 판결을 내렸다. 양측의 협정은 테러리스트를 막기 위해 2004년부터 고안된 것이다.

이에 따라 양측은 데이터 공유 방법에 대해 다른 대응책 마련에 부산한 움직임을 보이고 있다. 이는 정부 기관이 기업의 데이터를 공유하는 사례 중의 하나이다. 미국 국가안전보장국은 AT&T를 비롯한 통신 회사들로부터 방대한 전화 통화 내역을 받고 있다. 트럭 회사들은 미국으로 들어갈 경우 화물에 대한 보고가 의무화되어 있다. 금융 회사의 경우는 의심스러운 거래 내역을 보고해야 한다. 또한 소환장을 발부해 개별 회사들로부터 데이터를 확보하고 있다.

연방 정부기관들의 기업 데이터 공유는 대부분 성공적으로 이루어져왔다. 9/11 테러 공격 이후, 정부는 운송 업체 특히 항공 업체들과 협력해 승객과 직원들의 정보를 넘겨 받아 테러리스트 목록과 대조해보고 있다. 항공 회사들의 경우, 컴퓨터를 통한 승객들의 사전 스크린 시스템인 CAPPS II이나 시큐어 플라이트(Secure Flight)라 불리는 테러감시자 명단 검색 시스템의 일환인 국토안보 프로젝트에 따라 탑승객과 항공사 직원의 자료를 제공하고 있지만 데이터 분실이나 오용의 가능성이 제기되고 있다.

프라이버시 옹호론자들은 수백만 건에 이르는 데이터의 양과 저장되는 기간, 제공되는 데이터의 범위 등을 걱정하고 있다. 이번 협약에 따라, 유럽의 항공사들은 관세이민국에 최대 34비트의 탑승객 정보를 제공해야 하는데, 탑승객 정보에는 이름을 비롯해 항공권을 현금으로 구입했는지 혹은 카드로 결제했는지 등의 구매 방법에서부터 기내식으로 무엇을 주문했는지 등이 포함되어 있다.

국토안보국은 최대 3년 6개월 동안 해당 정보를 보유할 수 있다. 이번 협정은 유럽연합 법원이 정한 만료시한 9월30일 전에 재협상이 될 예정이다. 데이터 공유가 매우 정밀하고 조심스럽게 시행되고 있지만 또 다른 문제가 있다. 미국 질병통제 및 예방 센터는 조류 독감의 발발에 대비해 국제 항공사들에게 탑승객들의 긴급 연락처 정보를 6개월 동안 저장해둘 것을 요청하고 있다. 유럽항공연합의 정보 관리자인 데이비드 핸더슨은 "이러한 요청을 수행하기 위한 인력과 비용이 만만치 않다"고 밝혔다.

'국가안보영장'이라는 이름으로 무소불위의 파워 과시
정부는 소환장이나 '국가안보영장'의 형태로 데이터를 요청하고 있다. 소환장은 판사의 승인을 받아야 하며 구글이 올해 초에 했던 것처럼 비즈니스에 어려움을 겪게 하거나 너무 모호할 경우 기각될 수 있다. 국가안보영장은 판사의 서명을 받지 않아도 되는 FBI가 발부하는 소환장으로, 은행과 보험, 전화, ISP와 신용 기록을 확인할 수 있다(의료 기록은 제외). 일반적인 소환장과는 달리, 국가안보영장을 받은 기업들은 거부할 권리가 없다.

FBI는 국가안보영장을 남용하고 있는 것처럼 보인다. 워싱턴 포스트는 지난해 정부가 3만 건의 영장을 발부했다고 보도했다. 법무부 대변인은 워싱턴 포스트의 보도가 정확하지 않다고 지적했지만 얼마나 발부되었는지는 확인해주지 않았다. 법무부는 검찰이나 검사가 발부한 소환장이 얼마인지 추적하지 않는다. 게다가 법무부는 영장의 수신자에게 부과되는 비용을 모니터링 하지도 않는다. AOL의 경우 수십 명의 직원들이 연간 12,000건의 법률 집행 요청을 처리하고 있다. 이러한 요청의 1/5는 정보 공유에 관한 것이다.

한편, 기본원칙도 바뀌고 있다. ISP 업체들의 전자 정보 제공을 의무화한 미국에 이어 유럽 의회와 법원은 지난해 12월 통신 업체들이 전화와 인터넷 기록을 2년 동안 저장토록 해 테러방지 조사에 협조해야 한다는 법안을 승인했다. 마이크로소프트는 '유럽의 데이터 저장 및 유지 법안'에 따르기 위해 내부 데이터 유지 정책을 재검토하고 있다고 밝혔다.

기업들은 정부의 데이터와 정보 요청에 대해 때때로 거부하고 있다. 구글의 경우가 그러하다. 구글은 법원의 규칙에 따르면서도 법무부가 처음에 요청했던 것보다 훨씬 적은 데이터만을 제공했다. 구글의 변호사인 니콜 웡은 "법원이 정한 내용이 정부나 그 누구도 인터넷 업체들로부터 데이터를 요청할 때 '백지 위임장'을 가진다는 것을 의미하지는 않는다"고 회사 블로그에서 밝혔다.

소규모 ISP인 Lariat.net의 브렛 글라스 사장은 정부로부터 고객 데이터에 대한 요청을 받아본 적이 없으며 만일 요청을 받는다면 이를 거부할 것이라고 말했다. 그는 "연방 정부나 의회 또는 FCC 등 누구라도 우리에게 데이터를 제공하라고 요청해온다면 법률적인 소송을 정식으로 제기할 것"이라면서 "데이터는 우리의 것이 아닌 고객의 것"이라고 밝혔다.

컨설턴트인 리차드 윈터는 데이터를 공유하는 기업들의 경우 기술적인 문제가 있다면서 특히 중앙의 데이터 웨어하우스를 보유하고 있지 않을 경우 어려움이 있다고 말했다. 그는 정부 기관들이 여러 IT 시스템에 분산된 자료를 찾는 것은 쉽지 않을 것이라면서 많은 기업들이 분산된 데이터를 한 곳에 모아 회사 내부에서 사용하는 데에도 상당한 작업이 요구된다고 지적했다.

데이터 공유는 예민한 문제이다. 어스링크와 마이크로소프트, 비자 등은 이에 대해 공식적인 언급을 하지 않고 있으며, 구글은 정부의 소환장을 받은 것은 인정하지만 구체적인 수치는 밝히질 않고 있다.

비즈니스에 도움되지 않으면서 '부담'만 가중
국토안보부와 EC의 협정은 시큐어 플라이트 프로그램보다 한층 강화된 것이다. 미국 운송보안국(TSA)은 지난해 10월, 탑승권을 가진 탑승객을 테러리스트 목록과 비교해보는 등 실시간 트랜잭션 데이터를 통합하려는 시큐어 플라이트의 계획이 항공사의 IT 시스템을 업그레이드하지 않고는 구현하기 어렵다고 인정한 바 있다.

일부 항공사들은 고객의 프라이버시를 보호하는 것을 넘어선 행위에 대해 공개적으로 불만을 제기해왔다. 제트블루(JetBlue)는 액시엄(Acxiom)을 위탁 업체로 선정해 150만 명 이상의 승객 정보 5백만 건을 토치 컨셉트(Torch Concepts)에 이관하기로 한 2003년의 시도에 많은 비난을 받은 바 있다. 토치 컨셉트는 군사 시설에 접근을 시도하는 사람들의 특성을 분석하는 데이터 마이닝 툴을 개발하고 있다. 제트블루는 TSA의 공식 요청 문서를 받은 다음에 참여하기로 동의했었다. 훗날 제트블루의 CEO인 데이비드 닐맨은 데이터 제공이 자사의 프라이버시 정책을 위반한 것이라고 시인했다.

안보 이유로 인해 항공 업계는 정부가 주도하고 있는 데이터 공유 프로젝트에 참여해야 하는 필요성을 이해하고 있다. 하지만 미국과 유럽의 업계 전문가들은 미국 정부가 더욱 체계적으로 조직화해야 할 것을 촉구하고 있다. 항공사들은 미국을 목적지로 향해 가는 항공기에 탑승한 승객의 정보를 이륙 후 15분 내에 제공할 것을 요구하는 TSA 시큐어 플라이트 프로그램과 관세이민국의 API(Advanced Passenger Information) 프로그램에 적용 받는 것을 원치 않고 있다.

항공운수협회의 CEO인 제임스 메이와 유럽항공협회의 회장인 울리히 슐레트-스트라트하우스는 국보안보부