2019년 5월 27일 월요일

국제화 #1 - 유럽 개인정보보호법(GDPR)과 글로벌 소프트웨어


GDPR(General Data Protection Regulation)은 EU가 제정한 현존하는 가장 강력한 개인정보보호법이다. 2016년 5월부터 2년간의 유예를 거쳐 2018년 5월25일 발효되었다. 발효 즉시 몇 시간 지나지 않아 페이스북과 구글이 소송을 당했다. GDPR의 벌금액은 상상을 초월한다. 가벼운 위반 사항은 1000만 유로(125억)나 회사매출의 2%, 무거운 위반사항은 2000만유로(250억)나 회사매출의 4%중 큰 금액이 최대 벌금액일만큼 심각한 법이다. 지금까지는 적당히 개인 정보에 대한 법을 무시해 왔다면 지금부터는 장난이 아니다.

지금까지 대부분의 소프트웨어 회사들이 도덕적 해이로 혹은 기술상의 어려움으로 개인정보보호에 소홀히 해온 것이 사실이다. 그래서 개인 정보 DB가 해킹도 당하고 범죄자들에게 이용당하기도 했다. GDPR과 같은 강력한 법령은 당연히 장단점이 있기 마련이다. 불편성과 안전성의 트레이드오프이다. 근래에 웹에 접속할 때 매번 Cache 규정에 대한 응답을 하도록 귀찮게 구는 것이 바로 GDPR의 영향 때문이다. 사용자에게도 불편을 초래하지만 소프트웨어 개발사에게는 엄청난 부담이 된다.

이름이나 전화번호와 같은 개인정보는 물론이고 심지어는 서버에 개인 패스워드까지도 보관했던 과거도 있었다. 잊어버린 패스워드를 이메일로 보내주는 코미디 같은 시절도 오래 전의 얘기가 아니다. 그래서 필자는 조금이라도 위험성이 있거나 엉성한 사이트에는 모든 사람이 알아도 무방한 패스워드를 사용하거나 아예 회원 등록을 하지 않는다. 혹시 암호화 기술을 모르는 독자들을 위해 간단하게 설명하자면 로그인 패스워드는 해시(hash)라는 기술로 원복 불가능한 암호화 방식으로 저장하며 사용자가 입력한 패스워드와 값이 일치하는 지만 확인하여 접속을 허용한다. 이런 방식에서 DB에 패스워드가 직접 저장되지는 않지만 당연히 프로그래머라면 그 과정에서 아주 쉽게 한두 줄의 코딩으로 얼마든지 패스워드를 훔쳐낼 수가 있다. 그래서 필자의 패스워드는 몇 가지 등급으로 나누어 훔쳐가도 무방한 패스워드를 사용하는 사이트도 많다. 특히 중국의 사이트에서 그렇게 한다. 구글과 같은 글로벌 업체들의 경우 적어도 프로그래머가 장난을 치지는 않을 것이라는 믿음을 가지고 사용하는 수 밖에 없다.

가장 중요한 로그인 패스워드마저도 이런 기술의 무지나 의도적인 해킹에 노출되어 있는데 일반적인 개인 정보는 더욱 위험할 수 밖에 없다. 인터넷에 수집되는 정보에는 상상을 초월할 정도로 개인의 사생활 정보가 노출된다. 편리함을 위하여 필수적인 정보들이 수집되기 때문이다. 이런 모든 개인정보들을 보호하기 위한 것이 GDPR이다. GDPR 규정은 너무 방대하기 때문에 전문 컨설팅을 받아야 할 정도로 복잡하고, 조항도 많고, 이해하기도 힘들다. 그 중에는 당연히 입력된 개인정보를 암호화해서 숨기기 위한 Tokenization이나 Pseudonymisation과 같은 암호화 기술도 언급된다. 많은 소프트웨어 제품의 경우에 암호화에 필요한 패스워드를 프로그램에 포함하는 엉터리 암호화 흉내는 무지한 대중을 상대로 홍보용으로 사용되어 오기도 했지만 GDPR에는 당연히 허용될 수 없다. 이제는 더 이상 눈 가리고 아웅하는 식의 가짜 암호화 방식은 사용될 수 없는 상황이 된 것이다. 너무나 당연한 결과이다.

여기서는 GDPR 규정 자체를 설명하는 것은 불가능하고 각자 알아서 연구할 일이지만 GDPR로 인한 전세계 소프트웨어 회사들의 동향을 소개하려고 한다. 먼저 GDPR의 대상이 되는 경우는 EU 국가 중의 국민이 한 명 이라도 개인 정보를 입력하고 저장되는 소프트웨어 패키지나 웹사이트이다. 그러므로 기본적으로 글로벌 소프트웨어라고 말하는 모든 소프트웨어가 대상이 된다.

구글과 페이스북이 2년의 유예기간을 포함하여 수년간 준비를 했음에도 불구하고 발효 즉시 소송을 당할 정도로 준수하기 어렵다. 애플과 아마존도 추가적인 소송대상에서 벗어나지 못했다. 발효 후 1년이 지난 지금까지 10만개 정도의 소송이 생긴 것으로 보고되어 있다. 어떤 소프트웨어 회사들은 아예 EU에서의 접속을 차단하고 사업을 중지하기도 했다. 전세계 행동기반 온라인 광고 유럽 매출이 2018년 5월 25일 발효 즉시 25~40%가 감소했다. 벌금을 내느니 차라리 유럽고객을 차단하는 것이 좋다고 생각했기 때문이다.

GDPR은 이제 발효 후 1년이 지난 태동 단계인 만큼 지금은 거대 기업들부터 순차적으로 고발과 소송이 진행되고 있지만 언젠가는 EU 국가에 사용자가 있는 모든 소프트웨어 회사들이 소송의 대상이 될 것이다. 한 번에 완벽한 준수는 어렵지만 점진적으로 개발해 나가고 있는 것이 현실이다. 작은 회사의 경우일수록 조금 더 시간 여유가 있겠지만 언젠가 자기 차례가 돌아오기 전까지 준비를 해 놓아야 한다. 악의에 찬 고객 한 명이 고발을 할 정도로 쉬우니 피해갈 생각은 하지 않는 것이 좋다.

그런데 국내 회사들의 상황은 어떤가? 전세계에서 난리인 GDPR이라는 용어를 아는 사람도 국내에는 많지 않다. 전세계에 전자제품을 수출하는 대기업들은 이미 준비를 해서 대웅하고 있지만 대부분의 국내 소프트웨어 회사들에게는 GDPR은 관심의 대상이 아니다. 대부분 Active-X 사용, 주민등록 번호, 공인인증서, 은행과의 연계 등 국내인이 아니면 거의 사용 불가능한 국내용 소프트웨어이기 때문이다. 국내 온라인 사이트는 외국인 특히 유럽인을 상대로 사업을 하는 경우가 거의 없다. 이런 상황에서 글로벌 소프트웨어를 추구하겠다는 회사들에게는 GDPR은 생각지도 못했던 큰 짐이다..

GDPR은 소프트웨어 요구사항 분석 과정에서 명시된 소프트웨어 국제화(Internationalization)와 안전성(Security) 요구사항 중의 하나이면서 가장 중요한 항목으로 추가 되었다. 필자가 늘 얘기하듯이 영원히 국내에서만 판매하겠다는 소프트웨어라면 값비싼 국제화나 GDPR을 걱정할 필요가 없다. 하지만 나중에 필요한 때가 되면 국제화 개발이나 GDPR을 준수하겠다는 순진한 생각은 전략도 없이 아무 때나 조그만 기능하나 추가하면 되겠지 라는 큰 착각이다. 그렇게 간단하다면 구글이나 페이스북이 수년간 못했을 리 없다. 소프트웨어의 뼈대라고 하는 아키텍처의 중요성이 국제화와 GDPR 준수의 핵심이다. 아키텍처를 변경한다는 것은 재개발이나 마찬가지일 만큼 방대하고 어렵다. 대부분의 회사는 아키텍처가 중요하다는 인식을 했을 때는 이미 늦었다.

GDPR에 대한 국내 소프트웨어 회사들의 인지도나 관심 혹은 실제 행동여부로 보면 과연 글로벌 진출을 하겠다는 의지나 역량이 있는 것인지 의심이 간다. 그러지 않아도 어려운 소프트웨어의 글로벌화에 거대한 장벽이 하나 더 생긴 것이다. 전세계에서 몇 십 년 동안 연구되어온 소프트웨어 국제화라는 거대한 주제도 국내에서는 개발자들 한두 명의 머리에서 나온 자화자찬의 방식으로 진행해서는 글로벌에서 이미 이삼십 년 전에 버려진 경쟁력 없는 방식의 재현이 되기 쉽다. 자연 진화의 필연적인 시행착오의 결과이다.

필자가 경험한 거의 모든 국내 소프트웨어 회사들은 그런 자연진화론적 방식으로 진행되어 왔다. 이미 글로벌 기술보다 이십 년 이상 뒤떨어진 국제화 방식으로 글로벌 경쟁력이 생기기도 어려운데 GDPR이라는 거대한 장벽까지 생겼으니 소프트웨어의 글로벌 진출이 더 어려워진 것은 엄연한 사실이다. 국내에서만 사업을 하겠다면 이 복잡한 것 필요 없이 마음 편하다. 하지만 “진정으로 깨달았을 때는 관속에 들어가기 하루 전”이라는 속담도 있지만 글로벌화를 주장한다면 이제부터라도 과연 소프트웨어 글로벌화가 무엇인지 혹은 구체적으로 수십 개의 국가나 언어를 지원하기 위해 지금 충분한 아키텍처가 고려되어 있는지에 대한 심각한 고찰이 필요할 때다.