중국 진출 해외 기업의 사이버보안 규제 강화

[보안뉴스= 이창무 중앙대 산업보안학과 교수] 지난 2016년 11월 제정돼 2017년 6월부터 시행되기 시작한 중국의 ‘사이버보안법’이 국내 기업에 새로운 위협요인으로 떠오르고 있다. 중국이 사이버보안법을 통해 중국에 진출한 해외 기업의 사이버보안 규제를 강화하고 있는 것이다.


중국의 사이버보안법에 따르면, 중국에서 IT와 운송, 에너지, 금융 등 중요한 정보 인프라를 운영하는 기업은 데이터를 반드시 중국 국내에 저장하고 중국 정부가 원할 경우 데이터를 제공해야 한다. 중국 정부 허가 없이 데이터를 해외에 저장하거나 반출하면 영업 정지나 허가 취소까지 당할 수 있다. 또한, 중국정부가 금지하는 내용은 기업이 자체검열을 통해 차단해야 하며, 이를 위반할 경우 막대한 벌금을 내야 한다. 물론 중국 정부는 언제든지 데이터 검열을 할 수도 있고 인터넷 접속도 차단할 수 있다.

중국에 진출한 글로벌 IT 기업과 국내 기업들로서는 사업 철수를 고려해야 할 정도의 난제가 생긴 셈이다. 때문에 애플은 어쩔 수 없이 2018년 3월부터 중국 사용자의 아이클라우드 계정을 중국의 데이터 업체에 맡겨 보관·관리하고 있다. 심지어 애플은 계정의 암호 해제에 필요한 암호화 키까지 중국 정부에 넘겨 줬다.

게다가 2019년 1월부터 중국에서 다른 나라로 개인정보 및 중요한 데이터를 보낼 때 중국정부의 사전 심사가 의무화된다. 중국 정부가 얼마든지 자의적으로 데이터를 해외로 반출하는 것을 막을 수 있는 법적 권한을 갖게 된 것이다. 하지만 보다 근본적인 문제는 이러한 중국 사이버보안법에 대해 국내 기업들이 제대로 알지 못한다는 사실이다. 한국화학융합시험연구원이 2017년 7월 국내 정보보안 제품·서비스 분야 기업들을 대상으로 조사한 결과에 따르면, 응답한 업체의 절반 이상이 중국의 사이버보안 규제를 인지하지 못하고 있는 것으로 나타났다.

중국에 진출하지 않은 국내 기업이 거의 없을 정도로 중국 의존도가 높은 우리나라 기업 여건을 고려할 때 심각한 문제가 아닐 수 없다. 더욱이 중국정부가 국내 기업의 중국 현지 공장에 대한 보안심사를 통해 중요한 영업비밀을 빼낼 가능성도 존재하기 때문이다.

이와 함께 데이터 주권의 문제점을 지적하지 않을 수 없다. 국내 기업의 데이터임에도 불구하고 중국이 해외기업과 상관없이 자국 내에서 생산되는 모든 데이터에 대한 주권을 주장하기 때문이다. 이러한 중국의 데이터 국유화에 마땅히 대응할 방법이 없다는 것이 더욱 심각한 문제라고 할 수 있다. 유럽연합(EU) 역시 이미 2018년 5월부터 개인정보보호법(GDPR)을 시행하고 사이버보안 검증 절차를 강화하는 법안을 통과시켰다. 이처럼 세계가 전반적으로 사이버보안 규제를 강화하는 추세에 접어들면서 IT 기업들의 고민은 깊어만 가고 있다. 적절한 대책 마련이 시급한 상황이 아닐 수 없다.
[글_ 이창무 중앙대 산업보안학과 교수/한국산업보안연구학회 명예회장(jbalanced@gmail.com )]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>