인도네시아의 여러 정부기관과 기업들은 새롭게 부상하고 있는 미래 기술 ‘메타버스’에 많은 관심을 보이고 있다. “메타”(meta; 넘어서는)와 “유니버스”(universe; 우주)의 의미를 갖는 메타버스는 인터넷을 통한 사회적 연결성을 극적으로 확대하는 것은 물론, 관광과 문화 탐구에서부터 양방향 은행, 소비자 판매, 업무 소통, 교육 및 일상생활에 이르기까지 다양한 분야에서 가상의 3D 경험을 제공한다.
그러나 디지털 세상과 현실 세계를 하나로 통합하는 메타버스에도 논란의 여지가 있다. 개인의 실제 모습과 동일한 캐릭터가 가상의 메타버스에서 활동하려면 개인 식별에 필요한 생체 정보 수집이 필요하기 때문이다. 본질적으로 잠재적 위험에 취약한 생체 정보를 입수하는 것도 민감한 문제이지만, 인도네시아의 규제 체계는 사이버공격에 대한 개인정보보호 및 안전장치에 국한되어 있다.
이번 기사에서, 저자들은 기존의 규제 체계와 최근에 인도네시아 하원에서 통과된 개인정보보호법(PDP법)에 대해 살펴보면서 메타버스가 보편화되는 경우에 생체 정보에 대한 한층 구체적인 규제가 필요한 것은 아닌지 들여다보고자 한다. 본 기사를 작성할 무렵에 개인정보보호법은 대통령의 승인을 기다리고 있었고, 승인되지 않더라도 30일 후에는 자동적으로 효력을 발생하게 된다.
메타버스의 출현
파트너
Jakarta 소재 Melli Darsa & Co
전화:+62 815 9728 113
이메일: danar.sunartoputra@pwc.com
코로나19가 기승을 부리면서, 많은 기업들은 어떻게 하면 사업을 효율적으로 수행할 것인지에 대해 다시 검토하기 시작했다. 예상과 다르지 않게 대다수의 업체들이 비디오 컨퍼런스, 웨비나(webinar) 및 기타 여러 가지 형태의 인터넷 소통 등 디지털 미팅 플랫폼을 이용할 수 있는 온라인에 눈길을 돌렸다. 이러한 방식에 어느 정도의 장점이 있는 것은 분명하지만, 현실 세계에서 한층 탄력적으로 경험할 수 있는 내용과 비교하면 제한적인 부분이 있었다. 메타버스가 등장하면서 이러한 문제 해결에 필요한 형이상학적 차이(gap)가 해소된 것은 물론, 물리적으로 참여하지 않더라도 자신을 대리하는 아바타를 통해 당사자들이 한층 효과적으로 교류하고, 미팅에 참석하고, 행사에 동참할 수 있는 물리적으로 복제된 공간을 통해 가상 세계에서 현실 세계와 동일하게 활동할 수 있게 되었다.
다른 국가들과 마찬가지로, 인도네시아에서도 이러한 메타버스를 통해 국가 경제를 개선하고 활성화시킬 수 있는 많은 기회가 창출될 수 있기 때문에 이해 당사자들은 사업 활동을 강화하기 위해 이미 이러한 가상 세계에 대한 연구를 시작했다. 최대 국영 은행 중 하나인 Bank Rakyat Indonesia는 메타버스 생태계 개발에 필요한 양해각서를 체결했다. 이를 통해 고객들은 가상의 은행 서비스를 이용할 수 있는 새로운 기회를 접할 수 있다. 또한, 개발 과정에 비용이 수반되기는 하겠지만 메타버스 사업은 물리적 사업장 구축에 소요되는 비용 또한 절감할 수 있다.
한편, 최근 인도네시아의 관광창조경제부 장관은 인도네시아 관광을 전세계적으로 홍보하고 국내 업체들의 자사 제품 판매가 가능한 가상 공간이 있는 메타버스 플랫폼 “WonderVerse”를 출시하기 위한 협업계획서에 서명했다.
메타버스는 지금도 계속 새롭게 진화하고 있으므로 완성된 모습이라 할 수 없다. 아직은 개발 초기 단계이기 때문에 최적의 생태계 구축을 위해 서로 경쟁하고 있는 기술 관련 업체들 또한 자신들이 생각하는 완성된 메타버스의 모습을 찾아내기 위해 노력하고 있다. 가상 세계에 참여할 수 있는 방법은 많지만 접근 통일성 문제는 여전히 민감한 문제로 남아 있다. 승인을 받은 사람만 시스템에 접근할 수 있게 하려면 다양한 유형의 데이터를 제출하여 사용자 프로파일(생체 정보 포함)을 등록해야 한다.
생체 데이터 규정
파트너
Jakarta 소재 Melli Darsa & Co
전화:+62 811 1071 678
이메일:
indra.allen@pwc.com
생체 정보에 대한 문제를 어느 정도 다루고 있는 인도네시아 법안으로는 시민 관련 행정에 대한 제23호 법(2006)이 있는데, 2013년 제24호로 개정되었다. 여기에는 생체 정보에 해당하는 지문과 안구 홍채처럼 반드시 보호해야 하는 여러 유형의 개인정보가 기술되어 있다. 그러나, 이 법에는 생체정보에 필요한 보호 장치가 구체적으로 정의되어 있지 않다. 최근까지도, 심지어 2016년 제11호 법으로 개정된 전자정보 및 거래에 관한 제11호 법(2008)에도 생체정보를 구체적으로 명시한 규정이 없었다.
최근에 거론되고 있는 개인정보보호법은 개인정보를 한층 중요하게, 엄중하게 그리고 통합된 방식으로 보호하도록 규정하고 있다는 측면에서 매우 중요하다. 개인정보보호법에서는 개인정보를 일반 정보와 구체적인 정보로 분류하고 있는데, EU의 개인정보보호규정(GDPR)이 생체정보를 “민감한 정보”로 분류하고 있는 것과 마찬가지로 생체정보를 구체적인 개인정보로 명시하고 있다.
개인정보보호법에서는 생체정보를 안면 인식이나 지문 감별처럼 개인의 고유성을 식별하는 물리적, 생리적 또는 행동적 특징과 관련한 정보로 정의하고 있다. 철저하고 관리해야 하는 개인의 고유성 및/또는 특징에 대해서도 기술하고 있고, 여기에는 지문 기록, 망막 스캔 및 DNA 샘플이 포함되나 이에 국한되지 않는다.
사이버 취약성
식별에 필요한 생체정보는 패스워드 기반의 방법보다 더 안전한 것으로 평가를 받고 있지만, 여전히 민감하고 매우 민감한 정보이기 때문에 사이버 위협에 취약한 개인의 프로파일과 특성이 노출될 가능성이 많다. IT 시스템을 통한 사이버 공격이나 접속 가능 여부에 의한 단순한 내부 위협 등 생체정보를 해킹할 수 있는 방법이 많고, 기타 여러 가지 가능성도 배제할 수 없다. 예를 들면, 고해상도 디지털 사진을 이용하여 얼굴 인식 시스템을 조작할 수 있다.
선임 소속 변호사
Jakarta 소재 Melli Darsa & Co
전화:+62 813 1771 8778
이메일:daniel.radityo@pwc.com
개인정보보호법 제27조와 제28조에 따르면, 개인정보 관리 주체는 법적으로 유효하고 투명하면서 제한적이고 구체적인 방식으로만 개인정보를 처리해야 한다. 이는 처리 목적에 따라 개인정보 수집이 제한되어야 하고, 수집 시점에 분명하게 결정해야 한다는 것을 의미한다.
개인정보 처리는 관련 법규와 규정에 따라 실행되어야 하고, 정보 당사자에게는 자신의 개인정보가 어떻게 처리되는지 소상하게 알려주어야 한다. 또한, 제34조에서는 개인정보 관리 주체는 정보 처리가 정보 당사자에게 큰 위험을 초래할 수 있는 경우에 개인정보 보호에 미치는 영향 또한 평가해야 한다.
제58조에 의거하면, 정부는 대통령이 직접 지정하고(또한 이와 관련한 책임을 부담하는) 데이터 보호 기관 설립을 통해 관련 법에 따라 개인정보를 보호하는 역할을 수행해야 한다. 해당 기관은 개인정보 보호, 감독에 필요한 정책과 전략 수립, 행정법 집행 및 이와 관련한 분쟁 해결 업무를 수행해야 한다.
정리하자면, 정보보호법에는 이전의 정책들보다 훨씬 구체적인 사항들이 명시되어 있다. 특히 기업들이 72시간 이내에 위반 사항을 정보 당사자 및 관계 당국에 통지하지 않으면 연간 소득이나 수익의 최대 2%에 해당하는 벌금이 부과된다. 회사 규모가 큰 경우에는 2%의 벌금이 적다고 생각할 수 있지만, 생체정보의 민감한 특성을 고려하여 기업들은 이전의 통지 기간 14일에 비해 한층 짧아진 기한을 염두에 두고 신속하게 조치를 취해야 할 것이다.
향후 전망
실제로, 메타버스는 인도네시아 디지털 경제 강화의 해결 방안 중 하나가 될 수 있다. 그러나, 엄청난 속도로 발전하는 지금의 기술 수준만큼 사이버 공격 또한 줄어들지는 않을 것으로 보인다. 메타버스의 핵심 요소인 생체정보는 특별한 관리가 필요한 매우 민감한 고위험 정보이고, 앞으로도 그러할 것이다. 개인정보보호법은 생체정보 보호에 필요한 한층 구체적인 규정을 명시한 것으로 보이지만, 그 처리 과정은 엄격하고 지극하 제한된 방식으로 진행되어야 한다. 지금과 같은 사업 환경에서는 첨단 기술 활용이 더욱 늘어날 것이므로, 현행 법규와 규정이 최전방에서 과연 수문장 역할을 제대로 수행할 것인지는 계속 지켜봐야 할 부분이다.
개인정보보호법에서 정보 보호 주체가 되는 기관의 설립을 강제하고 있지만, 이러한 기관이 완전히 독립적으로 활동할 수 있는지 여부는 지켜봐야 할 것이다. 생체정보를 독립적으로 모니터링하면서 미래의 사이버 위협을 예방할 수 있도록 생체정보의 확보, 처리, 감독 및 파기 기준을 규제하는 전담 기구의 설립도 충분히 검토할 가치가 있을 것이다.
마지막으로, 개인정보가 불법적으로 유출되면 그 피해를 복구하는 일이 사실상 불가능하기 때문에 법 집행 기관에서 강력한 억제 효과를 창출할 수 있도록 관련 법에 따라 개인정보 위반 사항을 조사하고 처벌할 수 있는 능력과 자격을 충분히 갖추는 것 또한 매우 중요하다.
MELLI DARSA & CO
Indonesian member law firm of PwC global network
World Trade Center III
Jl Jenderal Sudirman Kavling 29-31, Kuningan
South Jakarta – 12920, Indonesia
전화:+62 21 521 2901
이메일:id_contactus@pwc.com
