왜 국가 주도형 사이버보안 거버넌스가 확산하는가?

 

인터넷이 1990년대 세계 각국에 소개될 당시 전화, 우편과 같은 하나의 통신 수단으로 인식되었으나, 30년이 되어가는 오늘날 인터넷은 새로운 통신기술이 아닌 국가, 사회 전반의 운영에 필수 불가결한 기반기술로 자리 잡았다. 이에 안전한 인터넷 사용은 통신부처와 기업만의 고민이 아니라 국가 안보적 측면에서 고려되고 있으며, “어떻게 사이버보안을 이끌어 나갈 것인가?”는 전 국가, 사회적 고민이자, 세계 각국의 주요 관심사로 떠오르고 있다.

 

이 같은 사이버보안 거버넌스에 관한 고민에 대한 대안으로 떠오르고 있는 것이 국가 주도형 사이버보안 거버넌스이며, 대표적으로 중국, 러시아, 쿠바 등 소위 비서구(Non-Western) 및 비자유주의(Illiberal) 국가들은 사이버 공간을 육해공과 같은 기존 주권국가의 담당 지역으로 보는 속지주의적 관점에 기반을 둔 데이터 및 개인정보의 현지 저장(Data Localization) 의무화와 반 정치 체제적 콘텐츠 유포 금지를 추진 하고 있으며, 중국뿐아니라 베트남, 인도네시아에서도 이러한 조항이 실시되고 있다.

 

본고는 이와 같은 속지주의 및 국가 주권적 관점에 입각한 사이버보안 거버넌스가 중국을 넘어 동남아시아로 향해가고 있다는 점을 주목해서 중국을 비롯한 베트남, 인도네시아, 캄보디아 등 주요 국가들의 사이버보안법 내용을 검토하고 이러한 법률이 주는 함의를 살펴봄으로써 국가 주도형 사이버보안 거버넌스에 관한 고민을 제시하고자 한다. 구체적으로 제2절에서는 데이터 현지화와 같은 새로운 흐름을 야기한 중국의 사이버보안법과 데이터 국외이전, 네트워크 제품 관련 조례를 분석해서 중국 사이버 거버넌스의 특징을 확인하고, 이어 제3절에서는 베트남, 인도네시아, 말레이시아, 태국 및 캄보디아, 라오스의 사이버보안 법률에서 중국적 특색이 수용되었는지를 확인할 예정이다. 제4절에서는 이런 중국 사이버보안 거버넌스의 단점과 더불어 어떠한 장점이 동남아 국가들에 매력적으로 다가왔는지를 분석하고자 하며, 마지막으로 해외 국가들의 변화 속에서 자리매김한 국가 주도형 사이버보안 거버넌스의 함의와 시사점을 제시함으로써 본고를 마무리하고자 한다.

 

중국식 사이버보안 법률 주요 특징

 

중국의 사이버보안 주요 법률로서는 사이버보안법(‘17.11), 개인정보 및 중요데이터의 국외이전 리스크 평가 방법(’17.4), 사이버 제품 및 서비스 보안 심사 방법(‘17.5), 인터넷 정보 서비스 관리 방법(’11.2), 주요 정보통신 보호시설 보호 조례(‘17.7)가 있다. 또한, 공공인터넷 사이버 보안사고 대응 방안(’17.12), 사이버보안보호 등급 제도(‘18.7), 정보보안기술 개인정보 보안규정(’18.5), 정보보안기술 개인정보 영향평가 가이드라인(‘18.5), 인터넷 개인정보보호 가이드라인(’18.11) 등이 있다.

 

상기 법률, 조례, 방법 및 가이드라인과 기존 서구 국가들의 법률체계와 상이한 점으로는 1) 속지주의, 2) 네트워크 주요 장비의 국가 부처 인증 의무화, 3) 이용자 실명제 및 불법 정보 규제, 4) 네트워크 사업자의 국가 안보 및 범죄 수사 협조 의무 등을 들 수 있다. 우선 속지주의에 입각한 사이버공간 거버넌스는 중국과 서구 국가 간의 가장 큰 차이점이라고 하겠으며, 이는 비단 중국의 법률체계뿐 아니라 UN GGE 논의에서 재차 확인되는 점이다. 사이버공간은 육해공과 달리 단말기와 서버, 네트워크에 의해 구성되는 가상공간으로 어디부터 어디까지가 특정 국가의 관할지역임을 확인할 수 없다는 점이 미국, 유럽, 한국, 일본 등 서구 국가들에 의해 받아들여졌다. 반면, 중국, 러시아 등 비서구 국가로 분류되는 국가들은 사이버공간은 육해공과 마찬가지로 국가 주권의 관할지역이며, 서비스가 시행되는 곳의 정부에서 서비스 제공기업을 감독해야 한다고 주장한다. 중국은 이와 같은 속지주의에 기반을 둔 중국 내 서비스 시행사에 대한 법률 감독(사이버보안법 제2조) 및 중국 내 주요 정보통신 기반 시설 운영자의 보유 개인정보 및 주요 데이터의 중국 내 저장 의무(사이버보안법 제37조)를 법률에 명시하였다.

 

두 번째로 네트워크 장비에 관한 감독규정이다. 사이버보안법 제23조는 사이버 정보 주관부처와 국무원 유관 부처는 네트워크 핵심 장비 및 관련 제품의 목록을 제정하고 발표할 것을 규정하고 있다. 또한, 동 조항은 네트워크 운영에 사용되는 핵심 장비 및 보안 전용제품은 반드시 사이버보안 기관 및 유관 부처의 안전인증을 획득하는 한편 안전검사를 거쳐야 할 것을 규정하고 있다. 사이버공간을 구성하는 단말기 및 네트워크의 안전성은 반드시 구현되어야 하는 필수조건이지만, 국가 주관부처 주도의 인증 필수획득은 시장이 아닌 국가가 제정한 기준에 따른 거버넌스의 실현이라고 평가할 수 있다. 2017년 5월 발표된 사이버 제품 및 서비스 보안심사방법(이하 ‘보안심사방법’ 약칭)에는 국가 안보 및 공익 시스템 관련 제품 및 서비스는 반드시 사이버보안 심사를 통과한 후에 공급(보안심사방법 제2조)될 수 있다. 심사와 관련해서는 국가인터넷판공실 주도의 인터넷보안심사 위원회 및 관련 판공실(보안심사방법 제6조)에서 심사업무를 주관(보안심사방법 제5조)에서 주관한다. 심사는 정부 감독, 제3자 평가, 기업의 자체 평가를 결합해서 추진되며(보안심사방법 제3조), 심사는 정부 감독, 제3자 평가, 기업의 자체 평가를 결합해서 추진될 예정이며(제3조 및 6조), △실험실 검사, △현장 검사, △인터넷 모니터링, △기업 배경을 중심으로 1) 불법 통제, 간섭, 운영 중단, 2) 연구개발 및 기술 지원상 리스크, 3) 사용자 정보 불법 수집, 저장, 처리 및 이용, 4) 불공정 거래, 5) 국가 안보 및 공공이익 훼손 등 주요 항목들이 심사된다.

 

세 번째로 국가 주도의 데이터 감독을 들 수 있다. 개인정보 및 중요 데이터 국외이전 리스크 평가 방법(이하 ‘리스크평가방법’ 약칭)은 중국 내 기업이 보유하고 있는 개인정보 및 중요 데이터를 국외로 이전 시 반드시 정부 주관부처의 리스크 평가와 더불어 개인정보 주체의 동의 획득을 의무화하고 있다. 여기에서 개인정보는 전자(electron) 또는 기타 방식에 기록되어 단독 또는 기타 정보와 결합 시 자연인의 개인 신분을 식별할 수 있는 정보로서, 성명, 출생 일자, 신분증 번호, 개인 생물식별정보, 주소, 전화번호 등을 지칭하며, 중요 데이터는 중요 데이터는 국가 안보, 경제발전 및 사회 공공이익과 밀접하게 관련이 있는 데이터이다(리스크 평가방법 제4조). 인정보 및 중요 데이터의 국외이전 시에는 반드시 유관 정부 부처에 이전 목적, 범위, 유형을 보고(리스크 평가방법 제12조)하는 한편, 개인정보 주체에 개인정보 이전 목적, 범위 및 유형을 설명하고 본인 동의를 획득해야 한다. 리스크 평가는 ⓵총 개인정보 및 누적 개인 정보가 50만 건 이상 사례, ⓶1,000GB 초과 데이터, ⓷원자력 설비, 화학 생물, 국방, 인구 및 건강, 대형 프로젝트, 해양환경, 민감 지리 정보 포함, ⓸핵심 정보인프라 시스템 버그, 리스크 방호 등 사이버 보안 정보 포함, ⓹핵심 정보인프라의 개인정보 및 중요 데이터 국외이전, ⓺국가 안보 및 사회 공공이익에 영향을 주는 경우의 경우 리스크 평가를 필히 받아야 이전이 가능하다. 이를 위해 국외이전 과정에서 주관부처가 구성한 심사위원회에서 ⓵해외이전 필요성, ⓶개인정보 수량, 범위, 유형, 민감도 및 개인정보 주체의 동의, ⓷중요 데이터 수량, 범위, 유형 및 민감도, ⓸국외 데이터수신자의 보호조치, 능력, 수준 및 소재국의 사이버보안 환경, ⓹국외이전 및 전송 이후의 데이터 노출, 소멸, 변조 및 남용 리스크, ⓺국외이전 시 국가 안보, 사회, 공공이익 및 개인이 직면 가능한 리스크를 심사한다.

 

개인정보 및 중요 데이터뿐 아니라 이용자 신원정보 확인 또한 주요 특징 중 하나이다. 사이버공간의 특징 중 하나인 익명성은 논쟁이 치열한 의제 중 하나이며, 사이버보안법 제24조는 유무선 네트워크 사업자의 서비스 이용자 신원정보 확인 의무를 규정하고 있다. 현재 중국 내 휴대폰 이용 서비스는 장기이용 및 선불형 서비스를 막론하고 서비스 이용자의 신분증 확인 및 사본 보존을 시행 중이다. 또한, 개인의 의견표현이 가능한 포럼형 웹사이트 및 댓글도 서비스 제공자의 서비스 이용자 본인 확인을 의무화하고 있고, 위반 시 최대 인가취소까지 명시하고 있다. 이처럼 논의가 치열한 이슈로는 불법 정보 규제 조항(제47조)을 들 수 있다. 음란, 폭력, 테러리즘 관련 정보의 경우 불법 정보로 분류되는데 세계적으로 이론의 여지가 없으나, 중국의 경우 분리주의(대만, 홍콩, 신장웨이우얼 및 티베트 독립), 공산당 비방, 중국 근현대사 등 정부가 통상적으로 민감하게 여기는 내용이 포함된다. 마지막으로, 네트워크 사업자의 국가 안보 및 범죄 수사 협조 의무(제28조)도 앞에서 언급한 불법 정보와 상응하여 국가가 자의적으로 해석할 공간이 너무 넓고, 국가 안보 위해라는 명목 하에서 중국 내 인권, 사회운동가들이 다수 체포된 과거 사례를 볼 때 논쟁의 여지가 비교적 크다고 하겠다.

 

중국의 사이버보안 법률체계는 사이버공간 또한 서비스가 시행되는 국가의 영토를 기준으로 감독 되어야 한다는 관점에 기반을 두고, 국가 기관 주도하에서 네트워크 장비의 인증 의무를 추진하고, 이용자의 개인정보를 수집하고 중국정치체제에 반하는 정보를 불법 정보 및 국가 안보 이슈로 분류해서 감독에 중점을 두고 있다. 이는 “데이터 현지화” 및 “국가 안보 중심의 콘텐츠 감독”으로 요약할 수 있으며, 특히 사이버공간 또한 서비스 지역을 기준으로 해당 국가의 감독을 받게 하고, 감독과정에서 비단 사이버공간의 안정적인 이용을 위한 네트워크 보안뿐 아니라 자국 체제에서 금하는 콘텐츠도 보안의 영역에 포함한 것이 특징이다.

 

동남아시아 국가들의 변화

 

상기 논의한 중국의 사이버보안 거버넌스의 특징은 “데이터 현지화” 및 “국가 안보 중심의 콘텐츠 감독”이며, 이와 같은 특징은 중국과 인접한 동남아시아 국가들의 사이버보안법에서 쉽게 확인할 수 있다. 현재 동남아시아 내에서 베트남을 비롯해 말레이시아, 브루나이, 인도네시아는 사이버보안 관련 법률에 서비스사의 서비스지역을 기준으로 현지에 서비스 이용자 개인정보 및 데이터를 저장할 것을 명시하고 있다. 태국과 필리핀은 별도의 개인정보보호법을 두고 있으며, 여기에 명확히 데이터 현지저장 의무를 명시하지 않고 있으며, 싱가포르는 데이터 저장 의무를 명시하지 않고 있다. 우선 중국과 정치체제가 다른 베트남의 경우 데이터 현지화 및 국가 안보 중심의 콘텐츠 감독 현황이 쉽게 확인된다.

 

2019년 1월부터 시행되는 베트남의 사이버보안법 또한 중국과 상이한 서비스 시행지역의 국가 주권 기반 거버넌스를 시행하고 있다. 우선 데이터 현지저장(사이버보안법 제26조 3항) 의무를 들 수 있다. 베트남에서 1) 전화 네트워크, 2) 인터넷 또는 사이버상 부가가치 서비스 제공 기업은 베트남 국경 내에 사업 데이터를 저장해야 하며, 베트남 내 이용자 관련 개인정보 처리, 분석, 개발, 수집과 관련 기업도 여기에 포함된다. 두 번째로, 개인정보의 경우 중국과 달리 구체적으로 명시되지 않고 단지 서비스 이용자 관련 정보로 통칭하며, 세 번째로 불법콘텐츠에 관한 정의는 중국과 동일하게 국가체제에 반하는 콘텐츠를 포함한다고 언급하고 있고, 이는 사이버보안법 제8조(불법 자료 금지), 제16조(베트남 사회주의 공화국에 반하는 자료), 제18조(사이버, 정보기술 및 전자적 수단을 통한 국가 안보, 사회 안전 및 질서법률 위반)에 명시되어 있다.

 

2019년 1월 미국 국제정치 전문웹진 디플로맷은 베트남의 사이버군 사령부 창설 소식을 보도했으며, 47군으로 명명되는 이 부대는 약 5,000~10,000명의 병력을 갖추고 사이버상에서 서구 사상, 라이프 스타일 및 베트남 공산당의 리더십에 도전하는 콘텐츠에 대응하는 것이 주 업무라고 한다. 베트남은 중국과 같은 공산당 주도 정치체제 국가로서 정치체제 보전과 더불어 관련 논의에 매우 민감하다. 이런 측면에서 베트남의 사이버보안법에 데이터 현지화와 더불어 국가체제 관련 정보를 유해정보로 분류 및 유포 방지 조항이 포함된 것이다.

 

중국과 베트남과 달리 정당제 및 국민의 직접투표로 대통령과 국회의원을 선출하는 인도네시아의 경우 데이터 현지화 조치는 법률에 명시되었으며, 유해정보에 국가 안보 관련 정보는 포함되지 않았다. 인도네시아는 정보 및 전자거래법(82호 규정)에 인터넷서비스 및 관련 부가서비스 기업은 반드시 관련 데이터 및 고객정보를 인도네시아 국내에 저장할 것을 규정하고 있다. 그러나 루디안타라(Rudiantara) 인도네시아 정보통신기술부 장관은 최근 CNN 인도네시아와의 인터뷰에서 데이터 현지화 조치가 효율적이지 못하고 디지털 경제 성장에 도움이 되지 않는다고 지적한 것은 향후 데이터 현지화 조항의 변경이 가능할 수도 있다는 예측도 불러일으킨다. 그러나 루디안타라 장관은 상기 인터뷰에서 이 같은 고민과 더불어 일부 민감 데이터는 현지에 저장해야 한다고 언급하는 등 고민 하는 모습도 함께 보였다. 인근의 브루나이의 경우, 자국 내 사업을 영유하는 기업은 반드시 데이터를 브루나이 내 서버에 저장해야 하는 의무를 규정한 바 있다. 마지막으로, 태국의 경우 현재 데이터 현지화를 강제하는 법률이 없는 실정이며, 아세안 포스트는 2018년 4월 15일 태국이 사이버보안 법률 및 개인정보보호 법률 제정을 준비하고 있으며, 여기에 데이터 현지화 조치에 관한 내용이 포함될 것이라고 보도했다.

 

말레이시아의 경우 데이터 현지화 원칙을 받아들이지 않고 있으며, 개인정보 국외이전 절차를 개인정보보호법에 담고 있다. 말레이시아는 2010년 제정한 개인정보보호법(Personal Data Protection Act)에 데이터 사용자의 데이터 국외이전 시 주관부처 장관의 동의 및 커미셔너의 추천 등을 의무화하는 내용을

명시했다. 이 과정에서 장관은 데이터 이전지역이 1) 관련 법률 유무와 2) 개인정보보호 적정수준을 명시해야 한다. 인근의 싱가포르 또한 말레이시아와 더불어 데이터 현지화를 수용하지 않고 있다. 싱가포르는 데이터 현지화가 기업의 관리 및 설비설치 부담이 자칫 자국의 디지털 경제육성에 방해될 것을 우려하고 있으며, 시장경제체제 속에서도 국가의 역할이 어느 곳보다 강조되는 싱가포르는 이 이슈에 관해서는 주변국과 견해차가 크다고 하겠다.

 

시사점

 

상기 논의를 검토해보면, 중국과 베트남은 데이터 현지화 및 자국 체제에 반하는 콘텐츠 감독을 사이버보안 이슈로 포함해 감독하고 있다. 특히, 두 나라는 데이터 현지화에 관한 입장이 매우 확고하며, 기업이 보유하고 있는 개인정보 및 중요데이터를 자국 영토 내에 반드시 저장할 것을 의무화하고 있다.

 

또한, 베트남의 사이버보안군은 아시아 역내 사이버군(중국, 호주, 대만, 뉴질랜드)의 사이버상 외부세력의 사이버 공격에 대한 대응보다는 자국 언어로 된 콘텐츠 중 정치적으로 민감한 콘텐츠 단속을 주 업무로 하고 있다. 데이터 현지화는 인도네시아와 브루나이에서 시행되고 있으며, 싱가포르와 말레이시아의 경우 반면 이를 받아들이지 않고 있고, 자국 체제에 반하는 콘텐츠 단속은 중국 및 베트남에서만 확인되었다. 이런 국가 주도형 사이버보안 거버넌스는 작게는 기업의 비용증대 및 신규투자 이슈 측면에서 볼 수 있다. 그러나 비용 및 투자 측면을 제쳐 두고 왜 국가가 이를 주도하려 하는지 라는 원론적인 고민으로 돌아가 본다면, 이는 결국 사이버공간을 어떻게 인식하느냐는 문제와 직면하게 된다. 1990년 신규 통신수단으로 등장한 인터넷 세상은 이제 세계 대다수 국가가 경제, 사회의 중추기술로 자리매김했으며, 이 새로운 세상에 대한 인식은 거버넌스 모델과 직결된다.

 

특히, 사이버공간을 국경을 초월한 새로운 공간이라고 보는 다국적 IT 기업들의 세금 납부와 더불어 사이버보안 사고 발생 시 책임 이슈는 현재 국가와 기업 간의 첨예한 이슈로 자리매김하고 있다. 이에 국가는 자국 내 데이터 저장을 의무화하면서 자국 이익 중심의 거버넌스를 추진하고자 하며 기업과 갈등을 겪고, 중국의 경우 자국 특유의 정치체제를 고려할 것을 요구하고 있다. 최근 우리 사회에서도 데이터 현지화에 관한 논의가 진행되고 있으면서 국내외적으로 이에 관한 찬반 의견이 첨예하게 제기되고 있으며, 이를 데이터 관리 측면뿐 아니라 거버넌스적 측면에서 본다면, 이를 무리하게 추진하는 데 따른 비용이 쉽게 추산되지 않는다는 결론에 도달하게 된다.

 

[참고문헌]

[1] 전자신문, 2018.9.18., 한중 ‘디지털 경제’ 협력 강화… ‘온라인 실크로드’ 탄력받나

[2] 중앙일보, 2019.05.22., [차이나인사이트] 육·해상 실크로드 이어 온라인으로 뻗는 천라지망

[3] Global Compliance News, July 2, 2018, Vietnam National Assembly Passes the Law on Cybersecurity

[4] The Diplomat, Prashanth Parameswaran, January 12, 2018, What’s Behind Vietnam’s New Military Cyber Command?

[5] The ASEAN Post, Angaindrankumar Gnanasagaran, 15 April 2018, Data localisation in Southeast Asia

[6] ASEAN Business Law Journal, Enrico Iskandar and Debu Batara Lubis, Bagus Enrico &Partners, 23 July 2019, Keeping up with latest technologies in Indonesia

[7] KrAsia, Nadine Freischlad, Sep 28 2018 , Indonesian IT minister says to rethink strict data localization la