[시론] 중국의 사이버보안 규제와 新보호주의 확산

미ㆍ중(美中) 무역 전쟁으로 촉발된 '신(新) 보호주의'는 전 세계적으로 '사이버 보안 규제' 영역으로 확산되고 있다. 2018년 5월 시행된 유럽연합(EU)의 개정 개인정보보호법 'GDPR'는 정보 주체에게 삭제요구권, 정보이동권, 프로파일링 거부권 등을 보장하고 있다. 법 위반 시 전 세계 매출액의 4% 또는 2000만유로(약 250억원) 중 높은 금액을 부과할 수 있다. 영국도 GDPR에 맞춰 새로운 '데이터보호법(Data Protection Act 2018)'을 제정했다.

특히 우리 기업들이 눈여겨봐야 할 중국 법률이 있다. 2017년 6월부터 시행되고 있는 '네트워크안전법(網絡安全法)'이다. 이 법은 개인정보 보호와 국가 안전을 위해 제정된 것이지만 중국 내 외국 기업에 커다란 부담을 주는 보안 심사 규정들을 대거 포함한다. 시진핑 중국 국가주석이 제정 준비 기구의 총책임자였다. 공안(公安), 국가 네트워크 정보기관, 국무원 공업정보화부, 중국정보기술보안평가센터(CNITSEC) 등 다양한 기관도 법 집행에 관여했다. 그만큼 중요하게 여긴다는 뜻이다.

이 법은 중국 내에서 활동하는 거의 모든 기업을 대상으로 삼고 있다. 소위 '네트워크 보안 등급제도'에 따라 등급별로 보호 의무를 부과하는데, 문제는 그 기준이 매우 모호하다는 점이다. 예컨대 최상위 등급에 있는 '핵심 정보 인프라 운영자(critical information infrastructure operator)'로 지정되면 중국에서 수집한 개인정보와 주요 데이터를 중국 내에 저장해야 한다. 즉 데이터 서버를 중국에 둬야만 하고, 중국 정부가 지정하는 네트워크 장비와 서비스만을 사용해야 한다. 그리고 정부는 안전 수준에 대해 지속적으로 점검하고 모니터링할 수 있다. 표면적으로는 개인정보 보호 강화 및 국가와 국민의 안전을 목표로 내세웠지만 사실상 사이버 보안시장의 국산화, 자국 산업 보호, 인터넷 뉴스 정보 활동의 통제, 기업체 검열 강화 등이 진짜 의도라는 의혹이 제기되고 있다. 삼성전자도 상당히 오랜 시간 등급을 받지 못했는데, 심사를 장기간 지속하면서 현장 점검 등을 수차례 실시한 바 있다.

이 법은 에너지, 금융, 교통, 수자원, 위생ㆍ의료, 교육, 사회보험, 식품 등 여러 분야에 영향을 미친다. 특히 기준과 적용 범위가 매우 모호해 오ㆍ남용의 우려가 제기된다. 예를 들어 대한통운의 사업은 전형적인 B2B(기업 간 거래) 기반으로 개인정보를 거의 취급하지 않지만, 중국 정부는 운송물에 주안점을 두고 법 적용이 가능하다고 해석한다. 이렇다 보니 중국 기업을 상대로 특허ㆍ영업비밀 침해 소송을 진행하는 외국 기업들에 대해 차별적인 법 적용의 염려까지 낳고 있다.

또한 이 법 때문에 드롭박스, 아마존웹서비스(AWS) 등 클라우드 서비스 사업자는 사실상 중국에서 서비스 제공이 어렵게 됐다. 중소기업은 데이터 서버에 대한 추가 투자와 인력 보강의 부담을 토로하고 있다. 구글, 삼성전자, 애플, 인텔 등 글로벌 IT기업들은 중요 정보 유출을 우려한다. 일부는 중국 진출 자체를 전면 재검토하고 있다.

이러한 '사이버 보안 보호주의'는 다른 국가에도 퍼지는 분위기다. 한국 기업들의 진출이 증가하고 있는 베트남은 이미 네트워크안전법과 유사한 법률을 제정했다. 인도네시아, 나이지리아, 탄자니아 등도 비슷한 법안을 추진하고 있다. 한편 중국은 최근 'CAC블록체인 정보 서비스 관리 규정'을 제정(2019년 2월15일 시행)했는데 이 역시 네트워크안전법과 비슷한 성향의 규제를 포함하고 있다.

미국은 자국 기업에 악영향을 미치는 이 법을 미ㆍ중 무역 협상의 주요 의제로 정할 정도로 민감하다. 이미 여러 전문가로 구성된 자문단을 파견해 중국 정부에 대응할 뿐만 아니라 자국 기업을 지원하고 있다. 이에 반해 우리 정부는 단순히 정보를 제공하는 수준에 머물고 있다. 중국 진출 한국 기업을 제대로 지원하지 못하고 있다. 동 법이 우리 기업들에 미치는 영향을 고려해본다면 정부 관료와 기술 및 법률 전문가 등으로 구성된 전문가 그룹을 파견해야 한다. 나아가 우리와 이해관계를 같이하는 미국 등 주요 국가들과 공동으로 대응하는 접근을 모색해야 할 것이다.

손승우 중앙대 산업보안학과 교수