속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
인공지능AI 초안

EU, 구글에 안드로이드 개방 명령…AI 경쟁 촉진 vs 개인정보보호 약화 우려

EU가 구글에 2027년 7월부터 안드로이드 11개 핵심 기능을 오픈AI 등 경쟁사에 개방하라고 명령했다. AI 시장 경쟁 촉진이 목적이나, 개인정보 보호와 사이버 보안 약화 우려가 제기된다.

백남정 기자
입력 2026년 7월 17일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/945a62

핵심 요약

- EU가 구글에 2027년 7월부터 안드로이드 운영체제 11개 핵심 기능을 오픈AI 등 경쟁업체 AI에 개방하도록 명령 - AI 시장 경쟁 촉진과 혁신 도모가 목적이나, 구글은 유럽 이용자의 개인정보 보호와 사이버 보안 약화를 우려 - 검색 데이터 공유 의무화로 AI 학습 데이터 접근성은 높아지나, 다층 보안 체계 약화 가능성 존재

주요 내용

유럽연합(EU) 집행위원회가 2026년 7월, 구글에 안드로이드 운영체제의 핵심 기능을 경쟁사에 개방하라는 명령을 내렸다. 이번 조치는 EU 디지털시장법(DMA) 이행의 일환으로, 2027년 7월부터 구글은 안드로이드의 11개 핵심 기능을 오픈AI 등 AI 경쟁업체에 제공해야 한다. 또한 검색 데이터를 경쟁사와 공유하도록 의무화되었다.

EU는 이번 결정이 AI 시장의 경쟁을 촉진하고 혁신을 가속화할 것으로 기대하고 있다. 특히 생성형 AI 시장에서 구글의 독점적 지위를 견제하고, 신흥 AI 기업들이 모바일 생태계에 접근할 수 있는 기회를 제공하려는 의도다. 안드로이드가 유럽 스마트폰 시장의 약 70%를 점유하고 있는 상황에서, 운영체제 수준의 개방은 AI 서비스 경쟁 환경을 근본적으로 변화시킬 것으로 예상된다.

그러나 구글의 켄트 워커 법률 담당 임원은 "이번 조치가 유럽 이용자들의 개인정보 보호와 사이버 보안을 약화할 수 있다"고 우려를 표명했다. 운영체제 핵심 기능을 제3자에게 개방할 경우, 통합 보안 아키텍처가 약화되고 개인정보 처리의 책임 소재가 불명확해질 수 있다는 지적이다. 특히 검색 데이터 공유는 이용자의 검색 행태, 위치 정보, 개인 선호도 등 민감한 데이터가 다수의 AI 기업에 분산되는 결과를 초래할 수 있다.

이번 EU의 결정은 AI 시장 경쟁 촉진과 개인정보 보호 사이의 긴장 관계를 명확히 보여준다. 플랫폼 개방이 혁신을 가져올 수 있지만, 동시에 데이터 보호 수준의 하향 평준화와 보안 취약점 증가라는 부작용도 예상된다. 향후 EU가 어떻게 이 균형을 유지하며 세부 이행 지침을 마련할지 주목된다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 이번 조치는 정보보호 거버넌스 측면에서 중대한 도전 과제를 제기한다. 안드로이드 운영체제의 11개 핵심 기능 개방은 단일 보안 주체에서 다중 보안 주체로의 전환을 의미하며, 이는 보호조치 통제점의 분산과 책임 추적성(accountability) 약화로 이어질 수 있다. 특히 AI 기업들이 운영체제 수준에서 개인정보에 접근할 경우, 데이터 최소화 원칙과 목적 제한 원칙 준수 여부를 검증하기가 더욱 어려워진다. 각 AI 기업의 정보보호 성숙도가 상이한 상황에서, 가장 취약한 지점이 전체 생태계의 보안 수준을 결정하는 '최약 연결 고리(weakest link)' 문제가 발생할 수 있다.

기업 실무 대응 관점에서는 제3자 AI 서비스 통합 시 엄격한 보안 검증 절차가 필수적이다. 안드로이드 개방 API를 활용하는 AI 기업들은 ISO 27001, ISMS-P 등 국제 표준 인증 획득을 기본으로 하고, 데이터 처리 계약(DPA)에 명확한 보안 요구사항과 침해사고 시 책임 범위를 명시해야 한다. 또한 EU AI Act와 GDPR의 교차 준수 요구사항을 충족하기 위해 개인정보영향평가(DPIA)를 의무적으로 실시하고, 사용자에게 명확한 동의 절차와 데이터 이동권을 보장해야 한다. 구글과 같은 플랫폼 제공자는 API 수준에서 기본 보안 통제(암호화, 접근제어, 감사 로깅)를 강제하는 기술적 조치를 구현해야 한다.

CPPG·ISMS-P 연계 포인트

1. 제3자 제공 및 위탁 관리 (ISMS-P 2.8.3) 안드로이드 핵심 기능 개방은 개인정보의 제3자 제공 또는 위탁 처리에 해당할 수 있다. ISMS-P 인증 기준에 따라 제공·위탁 시 법적 근거 확보, 이용자 동의, 수탁자 관리·감독, 재위탁 제한 등의 통제가 필요하며, 특히 수탁자의 보안 수준을 정기적으로 평가하고 계약서에 명시해야 한다.

2. API 보안 및 접근통제 (ISMS-P 2.5.2, 2.6.1) 운영체제 수준의 API 개방은 강력한 인증·인가 체계를 요구한다. OAuth 2.0, API 키 관리, 요청 속도 제한(rate limiting), 입력값 검증 등의 기술적 보안 통제가 필수적이며, 모든 API 호출에 대한 로깅과 이상 징후 탐지를 통해 부적절한 데이터 접근을 실시간으로 모니터링해야 한다.

#EU#구글#안드로이드#AI경쟁#개인정보보호
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사