무역 이어 데이터 보호주의 확산 … 손 놓은 한국

중국에 진출한 정보기술(IT) 기업들의 사이버 보안 규정을 강화한 네트워크 안전법(사이버 보안법) 시행이 내년 1월로 다가오면서 한국 기업들에도 비상이 걸렸다. 중국은 물론 유럽연합(EU)·미국 등 주요 국가들이 정보 보호 규정을 강화하고 있지만 우리 정부가 제대로 대처하지 못하고 있다는 지적이 나오고 있다.

네트워크 안전법은 중국에서 중국인 개인정보를 다루는 기업들은 반드시 중국 내에 데이터 서버를 두게 하는 내용이 골자다. 사업상의 이유로 데이터를 해외로 옮겨야 한다면 중국 공안당국의 보안 평가를 거쳐야 해 사실상 데이터 이전이 불가능하다. 이 법은 지난해 6월부터 본격 시행됐지만 한국·미국을 포함한 외국계 기업들이 “외국 기업에 대한 견제”라고 반발해 법 시행이 내년으로 유예됐다.

자국민의 데이터를 보호한다는 명목하에 해외 기업들에 엄격한 보안 규정을 적용하는 이른바 ‘데이터 보호주의’는 세계적인 추세다.

지난 5월부터 EU에서 발효된 개인정보보호 규정(GDPR)은 EU 국가에 진출한 기업이 허락 없이 이용자 정보를 남용하거나 빼돌리는 등의 행위를 하면 과징금을 부과받는다. 서비스 이용을 위해 수집하는 정보도 ‘반드시 필요한 수준’으로 제한했다. EU는 이미 GDPR의 후속 법안인 ‘e프라이버시’ 보호법도 추진하고 있다. 이 법은 메신저·게임 등 서비스를 제공하는 업체가 데이터 수집·추적에 대해 고객들에게 명시적 동의를 받게 하는 것이 요지다.

미국 캘리포니아주는 IT 기업들이 이용자들의 어떤 정보를 수집하는지 사용자들에게 사전에 공개하게 하는 ‘소비자 프라이버시법’을 지난달 주 의회에서 통과시켰다. 데이터 제공을 거부한 사용자의 데이터에 대해서는 다른 기업들에 마음대로 제공할 수 없게 했다.

구태언 테크앤로 변호사는 “중국·유럽의 이 같은 조치는 보호무역주의의 일환”이라며 “자국민의 콘텐트 이용 비용, 광고비, 개인정보까지 모조리 가져가는 해외 IT 기업들을 견제하기 위한 목적”이라고 설명했다. 이런 데이터 보호주의 법안들은 징계 수위도 높다. EU 국가에서 GDPR을 심각하게 위반하면 전 세계 연간 매출액의 4% 혹은 2000만 유로(약 264억원) 중 더 높은 금액을 내야 한다. 중국 네트워크 안전법을 위반하는 경우 최대 50만 위안(약 8400만원)을 내야 한다.

[그래픽=김주원 기자 zoom@joongang.co.kr]

박훤일 경희대 법학전문대학원 교수는 “클라우드·데이터 센터 등 인프라 대부분을 빌리는 신생 기업들에 정보 규제는 큰 타격이 될 것”이라고 경고했다.

하지만 한국 정부의 대응은 안이하다. 주관 기관인 한국인터넷진흥원(KISA)은 오는 12월까지 중국에 진출한 국내 기업들의 개인정보 보호 현황을 조사하고 중국 법 체계를 분석하겠다는 입장이다. 그러나 법안 시행이 1년 반 동안 유예됐는데도 손을 놓고 있다가 이제야 현황 파악에 나서는 것이 때늦지 않으냐는 지적이 나오고 있다.

중국 상하이에서 O2O(Online to Offline·온라인과 오프라인 연결) 사업을 준비하고 있는 스타트업 창업자 손모씨는 “해외로 데이터를 이전하는 것을 금지하는 조항은 결국 기업의 중요한 영업비밀과 지식 재산권을 국가 차원에서 통제하겠다는 것으로 보인다”며 “현지에선 외국 기업이라는 이유로, 한국에서는 외국에 본사를 두고 있다는 이유로 정부나 기관으로부터 아무 도움을 받을 수 없다”고 호소했다.

정부가 중국 네트워크 안전법에 늑장 대응했다는 비판에 대해 김주영 KISA 개인정보대응센터장은 “맞는 지적”이라고 인정했다. KISA 측은 “중국 정부가 국외 이전 조항에 대한 구체적인 시행령을 내놓으면 이와 관련한 본격적인 대응책을 내놓겠다”고 해명했다.

김범수 연세대 정보대학원 교수는 “국경을 넘는 데이터 교류가 확산할수록 해외로 진출하는 한국 기업들의 피해도 커질 것”이라며 “정부기관이 정보가 취약한 중소기업들을 적극적으로 도울 필요가 있다”고 강조했다.

하선영 기자 dynamic@joongang.co.kr