Home > 전체기사

데이터법 추진한 EU가 사업데이터 접근 권한 확대한 이유

  |  입력 : 2022-05-03 11:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
EU, 데이터법 추진 통해 데이터 공유 활성화 나서
IoT 제품 제조사 중심으로 데이터법 비판


[보안뉴스 엄호식 기자] 2021년 11월 데이터 거버넌스 법안(DGA : Data Gvernance Act)의 승인 이후, 2022년 2월 23일 집행위는 데이터법(Data Act)의 초안을 발표했다. 초안을 통해 EU는 역내 데이터 단일 시장을 형성하고 데이터 공유를 활성화하기 위한 주체별 접근조건을 규정하고 있다. 또한, 이에 대한 인센티브 지급 규정을 명시해 데이터 공유 가능성을 높이고, 데이터 경제의 가치 창출을 확대할 계획이다.

이렇듯 2022년 EU는 4차 산업 시대의 데이터 경제를 주도하기 위해 구체적인 법안들을 추진하고 있다. 여기에서 주목할 점은 기존에 산업 데이터 접근이 제한됐던 사물인터넷(IoT : Internet of Thing) 제품 사용자와 중소기업의 접근 권한이 확대된 것이다. 정부기관 역시 비상사태 대응과 공공 이익 실현에 데이터를 적극 활용할 수 있도록 하는 등 기업의 데이터 공유의무를 법안으로 명시하고 있다.

[이미지=utoimage]


EU가 데이터법을 제안하는 배경은 두 가지로 정리할 수 있다. 먼저 산업 데이터의 법적 소유권이 불분명해 사용 권한이 IoT 제품 제조사에 독점적으로 귀속된 상황이다. EU는 제조사의 데이터 독점 등 업계 관행의 고착화를 방지하기 위해 데이터 공유 조건을 규정하고 제조사에 데이터 공유 의무를 부과할 계획이다.

둘째는 공유 활성화를 통해 역내 데이터 경제를 육성하고 EU가 주도권을 확보하겠다는 것이다. 법안 발표에서 티에리 브르통 EU 내부시장 위원은 “데이터는 많은 사람이 사용할 수 있으며, 공유로 인해 품질에 영향을 미치거나 고갈되지 않는 비경쟁제(non-rival goods)”임을 강조했다. 또한 “현재 공유가 제한된 80% 이상의 산업 데이터가 활용될 경우, 2028년까지 2,700억유로의 추가 GDP를 창출할 수 있을 것”이라고 전망함에 따라 데이터 공유를 통해 관련 서비스와 기술을 개발, EU의 데이터 경제 주도권을 확보하고자 하는 것이다.

2020년 수립된 EU 데이터 전략 기반한 ‘데이터법’
데이터법은 데이터 경제 육성을 위해 2020년 수립된 EU 데이터 전략에 기반하고 있다. EU 데이터 전략은 4차 산업의 핵심산업인 데이터 산업에서 EU의 주도권 확보를 위해 역내 데이터 단일시장을 형성, 합법적이고 원활한 공유환경 조성을 목표로 하고 있다.

데이터 전략이 추진 중인 주요 법인은 총 3가지이다. 2021년 11월 발효된 ‘데이터 거버넌스법’은 EU 내 데이터 주권을 수립하고, 데이터가 자유롭고 안전하게 이동할 수 있도록 법적 프레임을 마련하는 것이다. 두 번째 법안인 ‘데이터법’은 거버넌스법의 법적 토대를 바탕으로 구체적인 데이터의 주체와 공유 조건을 규정하고 있다. 마지막으로 EU는 ‘산업별로 역내 공동 데이터 공간을 개발’해 본격적으로 데이터 공유를 촉진할 계획이다. 현재 개발이 예정된 10개 핵심 분야는 △건강 △농업 △제조 △에너지 △운송 △금융 △공공 행정 △기술 △연구 데이터 △그린딜이다. 이 중 건강 분야의 공동 데이터 공간에 대한 입법을 가장 먼저 준비하고 있으며, 자동차에서 발생하는 산업 데이터의 공유 규칙을 다루는 운송분야 데이터 공간도 발표될 예정이다.

[이미지=utoimage]


EU 데이터법, 기존 데이터 시장 약자의 접근성 강화로 공유 활성화 목적
EU 데이터법의 목표는 IoT 기기에서 생성되는 산업 데이터에 대한 기존 데이터 시장 약자(개인과 중소기업)의 접근성을 강화해 공유를 활성화하는 것이다. 한편, IoT 제조사는 데이터 제공에 따른 보상의 정당성을 확보해 데이터 공유 활성화에 따라 인센티브를 획득할 수 있다. 즉, 데이터법은 누가 어떻게 데이터에 접근할 수 있는지와 어떻게 가치를 창출할지에 대한 조건을 규정하고 있는 것이다. 또한, 공유의 안전성과 합법성 확보를 위한 보안 규정도 강조하고 있다. 데이터법의 적용 대상은 IoT 제품 제조사 및 서비스 업체와 클라우드 업체로 기존 산업 데이터를 보유·제공할 수 있는 기업이지만, 중소기업은 공유 의무에서 제외됐다.

구체적인 법안 내용을 살펴보면 데이터 접근 주체별로 사용자와 중소기업, 정부기관으로 나누어 접근조건을 규정하고 있다. 이와 같은 데이터 공유의 플랫폼을 제공하는 클라우드 서비스 업체에 대한 의무 규정들이 있다.

①사용자 : 데이터법은 IoT 제품을 사용하고, 산업 데이터 생산에 기여하는 개인 사용자의 접근 권한을 강화하고 있다. 사용자는 자신이 생산에 기여한 데이터에 언제든지 접근할 수 있으며, 원하는 3자 서비스 업체에 데이터를 무상으로 전송할 수 있다. 여기서 3자 서비스 업체란 제품의 유지와 보수, 컨설팅과 같은 애프터 마켓 서비스를 제공하는 업체를 말한다. 주로 중소기업을 대상으로 이미 시장에서 지배력을 행사하고 있는 게이트 키퍼(Gate Keeper) 기업은 이와 같은 무상 제공 대상에서 제외된다.

EU 의회의 DMA 합의 발표(3.24)에 따르면 게이트 키퍼는 비즈니스 사용자가 최종 사용자에게 도달할 수 있는 중요한 문턱 역할로, 내부 시장에 영향을 미치는 핵심 플랫폼 서비스 기업이다. 게이트 키퍼 적용 대상은 EU의 또 다른 디지털 법안인 디지털 시장법(DMA)에서는 게이트 키퍼 기업을 연간 매출액 75억유로 이상, 시가총액 750억유로 이상, 월간 사용자 4,500만명 이상, 연간 비즈니스 사용자 1만명 이상인 플랫폼 서비스로 규정하고 있다.

②중소기업 : 데이터법은 중소기업이 서비스 개발이나 혁신을 위해 IoT 제품 제조사의 산업 데이터에 접근하는 경우 공정하고 수평적인 계약을 체결할 수 있도록 중소기업을 보호하고자 한다. 현재 IoT 제품을 제조하는 대기업이 산업 데이터를 보유하고 독점적으로 활용하고 있기 때문에 언제든지 대기업에 유리한 불공정 계약이 성립할 수 있는 상황이다. 이에 집행위는 중소기업의 협상 권한을 강화하고, 공정한 계약 모델을 개발할 예정이다. 또한, 불공정 계약에 대한 규제와 불공정 조건 판단 및 법적 구속력 상실 등의 조항을 명시하고 있다. 따라서 데이터 공유가 활성화될 경우, 데이터 제공 기업들이 정당하게 인센티브를 취득할 수 있는 법적 프레임을 제공하고 있다.

③정부 : 데이터법에 의하면 산업 데이터에 대한 정부의 접근 조건은 두 가지로 정의할 수 있다. 먼저 재난이나 국가 비상사태에서 정부는 기업에 데이터를 요청할 수 있으며, 기업은 데이터를 무상으로 제공할 의무가 있다. 이 밖에 공공이익을 위한 목적이나, 피해 복구 등을 위한 데이터 활용을 위해서도 정부는 기업에 데이터를 요청할 수 있는데, 이 경우에는 중소기업과 마찬가지로 데이터 제공에 대한 비용을 보상해야 한다.

④클라우드 서비스 업체 : 클라우드 서비스 업체는 데이터의 보관과 유지 및 공유에 필요한 기술을 통해 서비스를 제공하는 업체로, 데이터 공유에는 이와 같은 클라우드 서비스 업체의 역할이 필수적이다. 따라서 데이터법은 산업 데이터에 대한 불법적인 접근 방지를 위해 클라우드 업체의 보안에 대한 의무를 부과하고 있으며, 소비자의 자유로운 선택권 보장을 위해 클라우드 서비스는 사용자의 데이터 이동과 전환을 보장해야 한다. 만약 소비자의 서비스 이용 종료 시에는 데이터 전환을 위해 최소 30일간 데이터 유지 기간도 보장해야 한다. 이 경우 클라우드 기업은 데이터 전환에 필요한 비용을 사용자에게 청구할 수 있으나, 점차 즉각적인 스위치 전환이 가능해지도록 클라우드 기술의 표준을 마련해 법 발효 후 3년 이후부터는 무상 이동을 보장해야 한다.

IoT 제품 제조사 중심으로 데이터법 비판
업계는 IoT 제품 제조사를 중심으로 데이터법 발표에 대해 거센 반대 의견을 표명하고 있다. 글로벌 자동차와 미디어 기기 제조업체들은 데이터법이 제조업 중심의 대기업에 인센티브 보다는 의무를 부과하고 있으며, 지나치게 중소기업과 스타트업 친화적이라는 것이다. 또, 정부와 공공기관의 접근 규정 역시 이미 공공 부문과 데이터 공유가 자발적으로 이루어지고 있음을 강조하며, 기업의 의무사항이 지나치다고 전하고 있다.

한편, 공공기관의 데이터 보안 취약성을 지적하며 데이터 공유 활성화를 위한 보안 인프라가 아직 구축되지 않았다는 비판도 있다. 집행위는 데이터법이 연내 유럽 의회와 이사회의 승인을 거쳐 2023년부터 발효될 것으로 예상하고 있지만, 업계의 강한 반대와 로비가 이어지고 있어 승인 과정은 난항이 예상된다.

[이미지=utoimage]


데이터법, GDPR과 유사한 보안수준 요구 예상
EU 데이터 전략과 관련 추진 입법의 가장 중요한 두 축은 ‘보안’과 ‘공유’다. 데이터에 대한 불법적인 접근을 차단하고 합법적인 틀 안에서의 공유는 활성화하겠다는 것이다. 2022년 3월 25일 바이든 미국 대통령의 EU 방문 성과 중 하나인 미국-EU 간 개인정보 이전 협정 합의도 이와 같은 EU의 기본 방침을 재확인하고 있다.

2020년 유럽 사법재판소는 미국 정보기관의 불법 개인정보 수집 가능성에 의해 미국과 EU 간 데이터 전송 협정을 무효화 판결했고, 현재까지 EU에서 생성된 개인 데이터에 대한 미국 전송은 불법인 상황이다. 하지만 이번 합의로 인해 양측 간 데이터 교환 가능성에 파란불이 켜지게 됐다. 아직 미국 정보기관의 접근 억제책 마련 등 기술적 협의가 남아있지만 데이터에 대한 불법적인 접근을 차단하는 선에서 공유를 활성화하겠다는 EU의 데이터 전략을 확인할 수 있다. 이번에 발표한 데이터법 역시 이미 실행 중인 GDPR(General Data Protection Regulation)에 기반하고 있어, EU 역내 생산된 산업 데이터에도 GDPR과 유사한 보안수준 요구가 예상된다.

KOTRA 브뤼셀무역관은 “한국은 현재 GDPR의 적정성 평가 결정(Adequacy decisions, EU와 비슷한 수준의 데이터 보호를 시행하고 있는지에 대한 평가 후 추가 보호장치없이 개인 데이터 이동을 허용하는 방식)을 받아 EU와 개인 데이터 전송이 이루어지고 있다. 만약 데이터법에도 GDPR 적정성 평가와 유사한 매커니즘이 도입된다면, 한국 기업이 EU 데이터를 활용할 수 있는 기회가 될 수 있다”고 강조했다. 더불어 “데이터 활용 기업들은 데이터법의 법제화 과정과 보안 요건 등에 대해 긴장을 늦추지 말고 주시해야할 것”이라고 강조했다.

이어 “데이터법 발효 시 유럽으로 IoT 제품을 수출하고 역내에서 생산된 데이터를 보유하는 기업들은 사용자와 3자 서비스 기업과 정부로부터 데이터 공유 요청이 있을 것으로 예상된다”며, “자동차나 미디어 기기를 비롯한 국내 IoT 제조 수출기업은 EU 역내에서 생산된 산업 데이터 공유에 대비해야 할 것”이라고 덧붙였다.

마지막으로 데이터법은 기존 지적재산권을 준수하고 있으며, 법안에 제조 경쟁사의 공유 데이터 사용 방지 규정 등이 마련됐지만 영업비밀 보호를 위한 기업 차원의 대응책도 필요하다고 강조했다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 시작 6월30일~ 시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)