EU(유럽연합)의 새로운 정보보호법인 GDPR이 본격 시행되면서 그 여파가 인터넷 통신망에 대한 정보를 제공하는 후이즈(WHOIS) 시스템을 덮쳤다.
후이즈란 도메인이나 IP 주소의 관리 책임자가 누구인지 확인할 수 있는 시스템으로, 후이즈에 게시된 정보는 도메인 상표권 보호 및 사이버 범죄 해결의 중요한 열쇠가 되어왔다.
그러나 개인정보 수집과 공개를 엄격히 제한하는 GDPR의 시행으로, 도메인 소유자의 주소와 연락처 등 방대한 개인정보를 게시해왔던 후이즈 시스템도 큰 변화의 기로에 놓이게 되었다.
ICANN VS GDPR, 알 권리와 잊힐 권리의 충돌
도메인 최상위 기관인 ICANN은 지금까지 ‘알 권리’를 중시하는 기조에 따라 후이즈의 모든 정보를 투명하게 공개하는 것을 원칙으로 해왔다. ICANN은 이 기조를 유지하여, GDPR 시행에도 후이즈가 지속적으로 기능할 수 있는 방향을 모색했다.
그러나 GDPR의 목표는 개인정보의 통제권을 정보 주체인 시민들에게 돌려주는 것으로, 조항 중에 ‘잊힐 권리’인 정보주체의 삭제요청권이 포함되어있다. 뿐만 아니라 개인정보 수집과 처리에 합당한 이유를 요구하며, 최소한의 정보만을 수집하고 다룰 것을 원칙으로 하고 있어 ICANN의 기조와 정면충돌된다.
이 문제는 GDPR 적용 후 나흘만인 지난달 29일, ICANN과 독일 도메인등록대행업체(레지스트라)인 EPAG가 법정에서 맞붙으면서 본격적으로 불거졌다. EPAG 측이 GDPR 규정 위반을 우려해 도메인 등록 시 후이즈에 필요한 기술 및 관리 책임자 정보를 수집하지 않겠다고 통보한 것에 대해 ICANN이 소송을 제기한 것이다. 세계에서 두 번째로 큰 레지스트라인 EPAG의 이런 선언에 ICANN은 후이즈의 존속가능성을 우려하지 않을 수 없게 되었다.
ICANN은 기술 및 관리 정보가 후이즈 시스템을 정상적으로 운영하는데 반드시 필요한 정보라고 주장했으나, 독일 법원은 끝내 GDPR에 따라 최소한의 개인정보만을 수집하겠다는 EPAG의 입장이 정당하며 손을 들어주었다. 현재 ICANN은 항소를 진행 중이다.
WHOIS가 맞이한 변화, 개인정보 비공개 조치 확산
항소 결과에 따라 다른 영향이 있을 수 있지만, GDPR 시행으로 이미 후이즈는 많은 변화를 겪고 있다. 인터넷 네트워크가 정상적으로 작동하기 위해 후이즈가 얼마나 중요한 역할을 하고 있는지 고려하면, 이 변화에 주의 깊게 주목할 필요가 있다.
후이즈는 도메인이 생겨나기도 전인 ARPANET 시절부터 인터넷의 역사를 함께 써왔다. 초기에는 네트워크 안정성을 유지하는 호스트 관리 시스템에서 시작해, 지금은 각종 분쟁과 범죄 해결의 단서를 제공하며 인터넷 질서를 유지하는 버팀목으로 성장했다.
후이즈는 매해 3천 건씩 발생하는 도메인 소유권 분쟁에 있어, 도메인 상표권을 침해하는 등 문제 발생 시 도메인 소유자에게 연락을 취할 수 있는 수단을 제공해주었다. 또한 검찰과 경찰이 불법 사이트 운영을 적발하거나 사기 혐의 피의자를 추적할 때도 후이즈 정보가 수사의 중요한 단서가 되었다.
후이즈가 이런 역할을 지속할 수 있게 하고자, ICANN은 지난 1월까지 후이즈 기능 제한을 최소화하는 GDPR 적용 모델을 제안해왔다. 현행 후이즈에 비해 개인정보 공개 범위를 축소하고, 정보 접근에 별도의 절차를 요구하는 방식이다. 여기에는 기존에 수집하던 모든 등록 데이터를 계속 수집하되 개인정보의 일부만을 공개하며, 비공개 정보에 접근할 경우 법적 절차를 요구하는 내용이 포함되어 있다.
그러나 EPAG와 소송에서 확인된 바와 같이 이 모델은 여러 쟁점을 안고 있다. 특히 정보 수집 및 공개 범위가 가장 큰 쟁점으로, 최상위 기관인 ICANN의 원칙과 GDPR이 충돌하자 시행사와 레지스트라들은 각자 방식대로 대응을 시작한 상황이다.
현재 도메인 기술 정보 외 소유자 정보를 후이즈 시스템 상에서 모두 비공개 처리하거나, 소유자 정보를 일체 받지 않는 방식의 대응이 확산되고 있어 후이즈 기능은 심각한 제약을 받고 있다. 이로 인해 업계 관계자들은 사이버 범죄 대응 등에 미칠 부정적 여파를 우려하고 있으며, 후이즈가 결코 전과 동일하지 못할 것이라고 시인했다.
ICANN은 잠정적 모델로 후이즈 시스템을 운영하면서 후이즈를 향후 차세대 RDS(Registration Directory Service) 시스템으로 대체할 계획을 발표했다. 그러나 인터넷 질서를 밝히던 후이즈 정보들이 빠르게 지워져가는 지금, 이를 대체할 수단 마련은 한시가 바쁜 상황이다.
황윤주 가비아 마케팅팀
