[방은주의 보안산책] 9월 열리는 GPA 총회···세계 프라이버시 지수를 만들자
오는 9월 한국(서울)에서 개인정보(프라이버시) 관련 큰 국제 행사가 열립니다. 'GPA(Global Privacy Assembly) 제 47차 총회'죠. 서울 그랜드 하얏트 호텔에서 4일간(16~19일) 개최됩니다. GPA는 개인정보 분야 세계 최대 규모의 각국 감독기구 간 국제협의체입니다. 한국을 비롯해 미국, 영국, 일본, 중동 등 95개국 148개 기관이 참여하고 있죠. '프라이버시의 UN'입니다. 1979년 처음으로 국제회의가 열렸고, 올해가 47회째입니다. 매년 1회 정기총회를 열어 글로벌 개인정보 보호 이슈를 논의하고 결의안을 채택합니다. 산하에 워킹(실무)그룹이 12개(글로벌 개인정보 법제, 디지털경제, 개인정보보호 및 기타 권리·자유, 디지털교육, 국제집행협력, 인공지능 윤리와 개인정보보호, 디지털 시민과 소비자, 공익을 위한 정보공유, 국제개발원조, 국제 인도주의 지원 및 위기관리에서의 개인정보보호, GPA 발전방안) 있구요. GPA 총회가 아시아에서 열리는 건 2017년 홍콩 이후 서울이 두 번째입니다. 우리나라의 프라이버시 위상이 그만큼 높다는 거겠죠. 영국, 프랑스와 맞먹는 세계 톱3 수준이라는게 당국 판단입니다. 실제 지난달 말 이뤄진 한국, 영국, 프랑스, 호주, 아일랜드 등 선진 5개국 개인정보보호 감독기구 수장들의 공동선언문 작성도 우리나라가 주도했죠. 우리나라 개인정보 감독기구는 개인정보위원회(개인정보위)입니다. 위원장은 장관급으로 대통령이 주재하는 국무회의에도 참석하죠. 개인정보감독기구 수장이 장관급인 나라는 한국과 일본 정도로 세계서 몇 안된다는 군요. 개인정보위에 따르면 올해 GPA총회에는 각 나라 감독기구와 산업계, 학계 등 국내외 전문가와 일반국민 등 1000명 이상이 참여할 예정입니다. 올해 주제는 '인공지능 시대의 개인정보 이슈(Artificial Intelligence in Our Daily Lives: Data and Privacy Issues)'구요. 행사 구성은 ▲환영 리셉션 ▲개‧폐회식 ▲기조연설 ▲패널 세션 ▲감독기구 간 비공개회의 ▲부대행사 등 크게 6가지로 이뤄져 있습니다. 기조연설자는 계속 섭외중이고 패널 세션은 7개 주제로 열립니다. AI에이전트와 프라이버시를 비롯해 ▲AI 리스크 평가 ▲AI 등 신기술 관련 PETs(개인정보 강화 기술)와 합성데이터 ▲신뢰기반의 AI 생태계 구축을 위한 국제 데이터 거버넌스 ▲AI 시대 민관협력을 통한 상생전략 ▲공개된 정보 및 사용자 데이터의 적법한 처리 근거에 대한 논의 ▲국경 간 데이터 이전 제도의 상호운용성 강화 등이 다뤄집니다. 하나하나가 매우 중요한 어젠다입니다. 비공개 회의도 주목할 만 합니다. 회원국 및 옵저버 가입 승인과 워킹그룹들의 연례 활동 보고가 이뤄집니다. 특히 GPA 결의안 채택과 올해의 개인정보 보호 시상, 의장 및 집행위 선정과 발표도 예정돼 있습니다. 부대행사도 빠질 수 없죠. AI, AX 등 신기술 체험과 PET(Privacy Enhancing Technology) 우수사례, 데이터 이동권 적용 사례 등의 부스 전시와 함께 아동과 청소년 대상 개인정보 인식 제고 행사가 열립니다. 개인정보 분야 국제 싱크탱크인 IAPP(국제프라이버시전문가협회)가 주최하는 전문가 세미나도 열리구요. IAPP는 2000년 설립한 북미 최대 정보보호 프라이버시 비영리 단체입니다. 외국인을 대상으로 한 한국 문화(음식 등) 체험과 한국을 대표하는 AI기업 투어도 진행됩니다. 작년 GPA 총회는 영국령인 저지(Jersey)에서 열렸습니다. 이 곳은 프랑스 노르망디 해안에 자리 잡은 곳으로 채널 제도의 영국 왕실령 섬입니다. 외딴 곳이여서 그랬을까요? 미국 야후 뉴스 검색에서 '2024년 GPA 행사'를 치면 뉴스가 거의 나오지 않습니다. 2025년 GPA 총회를 한국에 유치하기 위해 개인정보위원회는 사전에 만반의 준비를 했습니다. 2023년 4월 총회 유치 제안서를 제출했고, 이어 약 두달만인 같은해 6월 유치 잠정 확정을 통보 받았습니다. 최종 승인은 같은 해 10월 버뮤다에서 열린 '제 45차 GPA 총회'에서 이뤄졌구요. 만장일치 승인이였는데요, 사실 신청자가 우리나라 밖에 없었습니다. 이와 관련해 고학수 개인정보위 위원장이 한 언론과 인터뷰 한 내용을 보면 우리가 세운 '전략'이 주효했습니다. 다음은 고 위원장 워딩입니다. "보통 총회를 유치하기 위해 물밑에서 눈치보기를 하는데, 우리가 쓴 전략은 한국이 준비를 많이 해 신청할 것이라는 소문을 많이 낸 거다. GPA총회 유치에 관심을 보인 유럽 한 국가에서 한국이 확실히 신청서를 낼 것인지 물어볼 정도였다. 결론적으로 제안서를 낸 곳은 한국 뿐이었다." 고 위원장은 지난 2022년 10월 취임했죠. 부임 1년만에 '잭팟'을 터트렸습니다. 그에 따르면, 동남아시아와 남미, 중동 지역 국가들이 개인정보 관련 법을 만들었는데 어떻게 조직체계를 구성해 운영해야 할지 우리나라 개인정보위를 방문하고 문의하는 일들이 많다는 군요. 다시 언론에 난 고 위원장 워딩입니다. "개인정보 영역은 전통적으로 유럽 중심으로 이뤄져 왔으나, 지난 10년간 유럽 이외 많은 나라들도 개인정보 관련 법안을 만들었다. 그러면서 한국이 한 수 가르쳐줄 수 없겠느냐는 문의가 주기적으로 들어왔다.” 우리 정부는 현재 'AI 3대 강국 달성'을 목표로 여러 정책을 펴고 있습니다. 고 위원장에 따르면, 개인정보 보호 분야는 이미 우리가 영국, 프랑스와 어깨를 나란히 하는 세계 3강입니다. 특히 AI와 관련한 개인정보 보호는 한국이 톱레벨이고, 아시아 지역에서는 독보적인 전문성을 갖추고 있다는게 고 위원장 생각입니다. “그동안은 유럽·미국 등 선진국에서만 개인정보 보호를 다뤘지만 최근은 개발도상국을 포함해 개인정보 관련 법이 없는 나라가 거의 없습니다. 다만 그 법을 어떻게 운영하고 적용할 것인지에 대한 고민이 깊은 나라들이 많기 때문에 이번 GPA에서 한국이 방향을 제시하는 국가로 자리매김할 것입니다." 지난 금요일(6일) 개인정보위는 서울 대한상공회의소에서 인공지능(AI) 및 데이터 산업계와 간담회를 개최했는데요, 이 자리서 고 위원장은 "인공지능·데이터 생태계 발전을 위해서는 무엇보다 기업의 도전과 혁신이 중요하다"면서 "국민이 신뢰할 수 있는 인공지능 시대 개인정보 규율체계를 만들어 나감으로써, 데이터에 기반한 민간의 창의적 혁신이 끊임없이 일어날 수 게 적극 지원하겠다"고 밝혔습니다. 기자는 '데이터에 기반한 민간의 창의가 끊임없이 일어나게 하는 것', 이 워딩이 매우 중요하다고 생각합니다. 데이터에 기반한 끊임없는 민간 창의, 이 건 우리가 어떻게 하는 냐에 따라 세계 3강이 아니라 세계 1등이 될 수 있고, 또 대한민국 숙원인 G3, G5 국가 도약의 지렛대가 되기 때문입니다. 하여, 이런 제안을 해봅니다. 세계 프라이버시 지수를 우리나라가 만들어 오는 9월 GPA 총회에서 발표하자구요. 이미 국제정보보호지수(Global Cybersecurity Index)는 있습니다. 국제전기통신연합(ITU)이 격년마다 조사해 발표하죠. 2021년엔 우리나라가 세계 4위를 기록했구요. 2019년 15위에서 11단계나 상승한 쾌거였습니다. 사이버보안과 프라이버시는 다릅니다. 사이버보안은 네트워크, 시스템, 데이터 등을 해킹해 악성코드와 데이터를 유출하는 걸 보호하는 거고, 프라이버시는 개인의 데이터를 어떻게 수집하고 사용하며 공유하는 지를 관리하는 개념입니다. 국제정보보호지수는 5가지 기준(법률, 기술, 조직, 역량, 협력)으로 세계 각국을 평가합니다. 이를 벤치마킹해 프라이버시 지수를 만들면 될 듯 합니다. 그동안 우리는 다른 나라가 만든 평가와 지수를 보며 울고웃어왔습니다. 국가경쟁력 지수가 그렇고, 세계 디지털 및 AI지수가 그렇습니다. 왜 우리는 이런 지수를 먼저 만들지 못할까요? 앞서 이야기했듯, 프라이버시는 우리나라가 세계 톱 수준입니다. 지수든 기술용어든 무언가를 처음 만든다는 건 그가 그 분야 톱수준이기 때문에 가능합니다. 그렇지 않으면 세계가 인정을 안해주겠죠. 프라이버시 지수도 마찬가지입니다. 세계 프라이버시 지수가 만들어진다면 각국의 개인정보 보호 수준을 객관적으로 평가하고 비교할 수 있는 중요한 기준이 될 겁니다. 개인정보 보호 의식 향상과 정책 개선에도 도움이 될 거구요. 과연, 우리나라는 프라이버시 지수를 세계 처음으로 만들어 낼 수 있을까요?
