4차 산업혁명은 데이터를 통한 현실과 가상의 융합혁명이다. 4차 산업혁명의 1 단계인 데이터화와 2 단계인 정보화의 클라우드 문제를 살펴봐야 하는 이유다. 우선 1 단계인 데이터화 단계에서는 데이터 수집 역량이 국가 역량이 된다. 다행스러운 것은 데이터 전송을 위한 한국의 통신 인프라는 세계적 수준이라는 것이다. 여기에 추가로 사물인터넷을 위한 규제개혁과 주파수 정책이 필요하다. 그런데 데이터화 단계의 가장 심각한 문제는 경제협력개발기구(OECD) 국가 중 최악의 데이터 수집 규제다. 우선 개인정보 수집 문제를 살펴보자. 4차 산업 혁명의 지능화는 빅 데이터를 통해 이뤄진다. 빅데이터가 형성되지 않으면 4차 산업혁명은 시작부터 불가능하다. 지금의 데이터 수집은 사전동의 원칙이나, 빅데이터는 사후 활용을 기본 속성으로 하고 있다. 현재의 개인정보 수집 규제와 빅데이터는 원초적으로 충돌하는 개념이다. 미국은 사전 규제가 아니라 사후 징벌을 하는 ‘옵트아웃(opt-out)’이란 네거티브 데이터 규제를 하고 있다. 유럽도 5월부터 시행되는 새로운 개인정보 기준인 개인정보보호법(GDPR)에서 조건부 사후 동의를 허용하고 있다. 우리도 포괄 동의와 사후 징벌 강화로 전환해야 할 것이다.

개인정보의 보호와 활용의 균형 속에서 개인의 행복과 사회적 가치가 최대화될 수 있다. 아무도 내가 누군지를 모른다면 각종 사회 서비스도 불가능하다. 그러나 나의 모든 것이 노출된다면 사생활이 보호될 수 없다. 결론적으로 ‘안전한 활용’이 지향점이 된다. 개인정보에 대해 매우 보수적이었던 유럽까지 개인정보의 일방 보호에서 안전한 활용을 목표로 정책을 변경했다. 개인정보의 안전한 활용은 비식별화 법적 기준을 충족한 개인정보의 활용과 불법적 재식별화에 대한 강력한 징벌이 실질적으로 유일한 대안이다. 현재 한국의 비현실적인 재식별화 가이드라인 탓에 빅데이터 형성은 가로막혀 있다. 이와 달리 재식별화 징벌은 너무 느슨해 실제적인 보호는 되지 않고 있다. 공인인증서 사례와 마찬가지로 우리는 불편하고 안전하지 않은 규제 속에 매몰돼 있는 것이다.

4차 산업혁명의 물결에서 뒤쳐지지 않으려면 올해 안에 반드시 개인정보에 관한 규제가 우리의 경쟁상대인 일본을 앞서는 수준으로 선진화시켜야 한다. 유럽의 GDPR은 블록체인 등의 신기술 관점에서 이미 시대에 뒤쳐지고 지나치게 복잡하다. 일본은 이미 유럽보다 미래지향적인 개인정보 기준을 만들었다. 그 핵심에 익명가공정보라는 개념이 있다. 우리의 비식별화에 해당되는 익명 정보를 기준에 맞추어 가공하는 가공 업체를 통해 데이터의 안전한 활용을 촉진하는 것이다. 유럽의 GDPR은 300 페이지의 방대한 분량으로 너무나 복잡하다. 결과적으로 한국에서는 시행 규칙 및 행정 가이드라인에 의해 실질적으로 규제될 가능성이 너무나 크다. 악마는 항상 디테일에 있지 않은가. 미국과 같은 사후 규제의 옵트아웃이 어렵다면 적어도 일본 수준의 단순한 사전 규제의 옵트인(opt-in) 제도가 4차 산업혁명으로 가는 길을 열어 줄 것이다. 현재의 일방적 데이터 쇄국주의는 19세기 구한말 상황을 재현할 우려가 너무나 크다.

다음으로 실명 개인정보는 개인에게 통제권을 부여해야 한다. 통신사와 유통 업체 등 대기업이 수집한 개인정보를 소비자가 필요에 따라 다른 기업으로 이전할 권리가 있어야 한다는 것이다. 일본이 개인정보 통제권을 부여한 이유는 대기업의 데이터 집중을 견제하고 스타트업·벤처기업 활성화를 위해서다.

개인정보와 더불어 공공정보의 개방이 양대 축이 된다. 공공데이터는 3등급 분류를 통해서 영국을 포함한 선도 국가 수준인 90% 이상으로 개방해야 한다. 공무원에게 개방에 따른 인센티브를 줘야 한다. 개방에 따른 불이익이 없어야 될 것이다. 예를 들어 데이터의 오류 등에 대해 한시적 면책 특권이 있어야 한다. 지금과 같이 개방을 승인받는 체제에서 비 개방을 승인받는 네거티브 데이터 원칙으로 가야 한다. 그리고 개방 과정은 쉬워야 한다. 공무원에게 데이터 인터페이스까지 만들라는 것은 개방하지 말라는 얘기와 동일하다. 가장 중요한 이해관계자인 공무원에게 개방의 보상은 높고 페널티는 적어야 공공데이터 정책이 활성화된다.

2 단계인 정보화 단계 정책을 정리해 보자. 흩어진 현실세계의 인간과 공간의 데이터를 통합해 빅데이터로 만드는 과정이 정보화 단계다. 빅데이터를 통해 부분과 전체가 통합되는 4차 산업혁명의 융합이 가능하게 된다. 그렇다면 이런 부분의 정보가 모여 전체가 되기 위해서는 정보화는 반드시 클라우드에서 이뤄져야 한다. 기업과 기업, 민간과 공공이 융합되는 4차 산업혁명에서 특정 조직의 서버에서 데이터가 융합될 수는 없다. 결론적으로 4차 산업혁명의 정보화는 필연적으로 클라우드에서 이뤄지게 된다.

이미 주요 국가들은 클라우드 퍼스트(cloud first) 정책을 표명한 지 오래다. 미국 CIA와 국방성 등 비롯한 최고 비밀을 다루는 정부 기관도 민간 클라우드를 활용하고 있다. 미국은 더 나아가 2017년 클라우드 퍼스트에서 클라우드 유일(cloud only) 정책으로 변경했다. 이제는 클라우드와 서버는 선택의 문제가 아니라 무조건 클라우드로 가야 한다는 의미다.

클라우드의 가장 큰 오해는 클라우드는 보안에 취약할 것이라는 잘못된 시각이다. 서버와 클라우드의 해킹 및 랜섬웨어 등의 정보보안 분석 통계는 압도적으로 서버가 더 취약한 것으로 입증됐다. 각종 보안 기준을 준수한 클라우드는 보안에 강하다. 실질적으로 개별 서버가 보안에 훨씬 더 취약하다. 의료정보 클라우드 활용을 금지한 기간 중 개별 병원에 보관된 개인 의료정보는 해커들이 쉽게 탈취해 갔다. 이런 잘못된 클라우드 정책의 결과가 대한민국을 정보화 후진국으로 추락시켰다. 인터넷 트래픽 중 OECD 국가의 클라우드 비중은 90%를 넘는데 한국은 한 자리 수에 불과하다. 한국도 2015년 클라우드 퍼스트를 원칙으로 하는 법을 공포했다. 그런데 현실은 OECD 최저의 클라우드 활용에 그치고 있다. 4차 산업혁명의 혁신과 융합의 공간인 클라우드를 도외시하고 한국은 3차 산업혁명의 잔재인 개별 서버에 집착하고 있다. 갈라파고스적인 정보화 쇄국주의 결과는 하늘이 준 마지막 기회인 4차 산업혁명 대열에서 대한민국이 탈락하는 결과를 초래할 것이다.

이제 퍼블릭 클라우드와 프라이빗 클라우드라는 구분은 의미가 사라졌다. 한국의 지자체들이 추진하는 프라이빗 클라우드는 이제는 진정한 클라우드가 아니라는 개념이다. 혁신과 융합의 장이 아니기 때문이다. 한국 정부의 통합전산 센터도 마찬가지다. 이미 영국을 포함한 많은 나라가 포기한 방식이다. 에스토니아 사례와 같이 민간과 공공의 데이터는 퍼블릭 클라우드에서 통합돼야 한다. 국가 안보에 필요한 10% 미만의 핵심 데이터만 내부 관리하는 것이 세계적인 추세다. 그런데 한국은 공공기관의 외부망 PC에는 클라우드 공유 데이터가 전무한 실정이다. 클라우드 규제 혁신 없이는 4차 산업혁명의 미래는 존재할 수 없다. 3년 내 클라우드 트래픽을 50% 이상 끌어올리는 특단의 대책이 필요하다. 클라우드가 없는 스마트시티는 사상누각에 불과하다. 스마트 공장, 스마트 교육, 스마트 금융에도 클라우드가 필수불가결한 요소다. 엄청난 국가 예산이 투입되는 스마트 시티 프로젝트들은 데이터와 정보화의 굴레를 벗어나기 이전에는 예산 낭비에 불과하게 될 우려가 너무나 크다.