보안 / 프라이버시

GDPR과 유사한 중국 데이터 기밀보호법 5월 발효

Tamlin Magee | Computerworld UK 2018.06.19
중국이 올해 새로운 데이터 기밀보호 표준의 최종 버전을 조용히 내놨다. 이 표준은 유럽의 일반데이터보호규정(GDPR)보다 한층 더 엄격하며, 결과적으로 EU와 중국에서는 타국과 동떨어진 상호 대등한 수준의 데이터 관련 법이 시행됐다.


Credit: Getty Images Bank

지난 주 런던 와핑에서 열린 클라우드플레어 인터넷 서밋(CloudFlare Internet Summit) 연설자로 나선 씽크탱크 CSIS의 기술 정책 프로그램 선임 연구원인 샘 삭스는 중국 데이터 보호법 초안을 이끈 인사와의 대화 내용을 적극적으로 공유했다.

중국은 중화인민공화국 주석 시진핑이 중앙 사이버 보안 및 정보위원회(Central Leading Group for Cyberspace Affair) 수장으로 임명된 2014년부터 인터넷 보안법 마련에 착수했다. 그 당시 처음으로 '사이버보안 유지(maintain cybersecurity)'라는 단어를 중국 법규에 공식적으로 성문화했다. 사이버보안법은 핵심 인프라에서부터 데이터 거버넌스에 이르기까지 모든 요소를 포괄하며 2017년 6월 발효됐다.

삭스는 클라우드플레어 최고 매출 책임자인 크리스 메리트가 사회자로 나선 토론에서 가장 먼저 중국의 인터넷 환경에 대한 몇 가지 대표적인 오해를 들며, 역설적인 두 가지 유의해야 할 '추세'를 언급했다. 하나는 중국이 세계에서 가장 복잡하고 광범위한 검열 시스템을 두고 있다는 점이며, 다른 하나는 이와 동시에 중국의 디지털 경제가 세계에서 가장 발전된 형태 가운데 하나라는 점이다.

외부인 시각에서는 중국의 극히 엄격한 개인정보보호 규칙 도입이 모순되게 보일 수 있지만, 삭스는 "하나는 기업이 할 수 있는 일에 관한 것이고, 다른 하나는 정부가 할 수 있는 일에 관한 것"이라고 말했다.

삭스는 "중국 정부는 이런 새로운 기술을 통제하고 모니터링하기 위한 정부 역량이 뒤쳐지고 있음을 인지하고, 세계에서 가장 포괄적인 사이버 공간에 대한 법 시스템을 마련했다", 면서, "중국 정부가 핵심 정보 인프라로 칭하는 디지털 콘텐츠를 규제하는 방법과 중국 안팎으로 전송이 가능한 데이터 종류에 대한 규제는 다른 어떤 나라보다 엄격하다"고 말했다.

삭스는 중국에 데이터 기밀정보 보호에 대한 인식이 존재하지 않는다는 생각은 "오해"라고 덧붙였다. 지난해에도 중국인들은 민간 기업에 의해 개인 데이터가 불법적으로 수집돼 지하 시장에 판매되는 것에 대한 시민들의 우려를 소셜 미디어를 통해 적극적으로 표현했다.

삭스는 "많은 사건이 발생한 끝에 지난해 말 중국은 첫 데이터 보호 표준을 공표했다. 이 표준은 콘텐츠의 정의, 기업이 개인 데이터를 수집, 처리, 저장, 공유하거나 전송할 수 있는 조건에 대한 매우 세분화된 규칙을 제공한다"고 말했다.

또한 삭스는 "중국 규정이 사실 GDPR의 영향을 받았다"면서, "규정의 의도를 파악하기 위해 초안 작성 책임자와 대화를 나눴다. 믿기 어렵지만 이들은 GDPR을 기준으로 삼아 규정을 마련했으며, 중국 사용자가 자신의 정보에 대해 더 강력한 통제권을 갖도록 했다"고 말했다.

유럽의 모든 IT 관리자는 GDPR을 인식하고 있지만 이 광범위한 데이터 기밀보호 규칙에 관한 관심은 중국에서도 높다. 삭스는 일부 중국 기업은 GDPR에 크게 우려했으며 발효 하루 전까지 준수할 방법을 알아내느라 분주히 움직였다고 전했다.

삭스는 "어느 기업은 모든 사용자에게서 개인정보보호 정책의 동의를 받아야 한다는 말에 당혹감을 표현하기도 했다. 유럽으로 사업을 확장 중인 기업도 있는데, 이들이 과연 GDPR을 준수할 수 있을까? 가능한지 여부조차 잘 모르겠다"고 말했다.

중국 정부와 기업의 신경전
알리바바 클라우드(Alibaba Cloud)의 EMEA 지역 총책임자는 최근 본지와의 인터뷰에서 구글 클라우드 플랫폼, AWS와 같은 클라우드 거대 기업에 맞선 공격적인 유럽 시장 확장 계획을 공개했다.

이 인터뷰에서 예밍 왕은 중국의 블랙 프라이데이인 '싱글 데이'에 초당 36만 건의 트랜잭션을 처리하고 핀테크 앱인 앤트 파이낸셜(Ant Financial)의 5억 명 이상 사용자를 지원하는 알리바바의 방대한 운영 규모에 대해 설명했다.

알리바바, 텐센트(Tencent)와 같은 기업은 중국 밖으로 진출하려는 야심을 공공연하게 드러내고 있다. 이번 주 알리페이(Alipay)는 2018년 20곳의 신규 유럽 시장으로 진출한다고 발표했다. 그러나 삭스는 이런 민간 기업과 중국 정부 사이에 내수 시장과 해외 시장에서의 사업 활동에 대한 "신경전"이 계속 진행 중이라고 말했다.

삭스는 "알리바바, 텐센트 측과 대화를 나눴는데, 이들은 중국의 비교적 폐쇄된 생태계 내부에서 활동하다가 글로벌 시장에서 어떻게 대처할 지에 대해 매우 어려워한다"고 말했다.

삭스는 "알리바바와 같은 기업은 유럽 시장과 아시아 시장을 주시하고 있다. 뚫고 들어가기가 어려운 시장이다. 그리고 중국 정부도 있다. 시진핑은 지난 4월 연설에서 사이버 영역에 관한 자신의 비전을 밝혔는데, 크고 강한 중국 인터넷 기업의 필요성을 재차 강조했다. 이전 연설에서 시진핑은 알리바바, 텐센트, 화웨이를 구체적으로 언급한 바 있다. 이는 중국이 가진 글로벌 야심의 일부다"고 설명했다.

삭스는 이어 "나는 중국 기업과 중국 정부가 신경전을 벌이는 중이라고 생각한다. 중국 기업과 정부를 동일체로 보는 시각도 있다. 알리바바 창업자인 잭 마는 '누군가를 사랑한다고 해서 그 사람과 꼭 결혼해야 한다는 의미는 아니다'라는 말로 정부와의 관계를 정확히 설명한 적이 있다"고 말했다.

삭스는 이들 기업의 성공은 중국 정부의 지원이 있어야만 가능하다고 덧붙였다. 동시에 민간 투자금을 받아 운영되는 민간 기업이기도 하다.

삭스는 "글로벌 시장에서 이들 기업의 성공은 중국 정부가 그 길을 막지 않아야만 가능하다"면서, "사이버보안 법을 보면 기업을 대상으로 한 매우 엄격한 규제 도구다. 데이터 해외 전송을 통제할 때 그 영향을 가장 크게 받는 것은 알리바바다"고 말했다.

삭스는 "알리바바는 유럽과 아시아 시장에서 공격적으로 사업을 확장하고자 한다. 중국 외부로 데이터를 보낼 수 없다면 어떻게 사업을 확장하겠는가? 기업과 정부가 신경전을 벌일 수밖에 없다"고 말했다.

중국의 데이터 기밀 보호법, 미국과의 인터넷 경쟁 
중국의 막강한 국력이 인터넷 자체에 대한 경쟁 모델을 제공할 수도 있다. 서구에서는 적어도 표면적으로는 개방적이고 민주적인 모델이 사용돼 왔다(2013년 에드워드 스노든 폭로에서 확인된 바와 같은 광범위하고 은밀한 사용자 염탐이나 최근 미국에서 망 중립성의 종말 등을 생각해보자).

그러나 미국의 영향권 밖에 있는 국가들은 중국을 인프라 및 인터넷 액세스 관리의 본보기로 삼을 가능성이 있다. 삭스는 며칠 후 이와 관련된 논문을 발표할 예정이다.

최근 베트남(Vietnam)은 중국 모델을 거의 그대로 모방한 사이버보안 법을 성문화했다. 탄자니아(Tanzania) 또한 중국 사이버 담당 관료들과의 긴밀한 협조를 통해 검열 도구부터 데이터 현지화 및 표준 도입에 이르기까지 자체적인 디지털 경제 체제를 개발했다.

삭스는 "인터넷에서 처음으로 대안 경쟁 모델이 나왔다고 생각한다"면서, "중국 자본의 투자를 받은 국가들은 중국 정부의 인터넷 감독 방법을 모범삼아 학습하기 시작했다"고 말했다.

삭스는 "중국의 사이버 정책 모델은 많은 국가에게 매력적으로 보인다. 인터넷을 자국 시민을 상대로 한 무기로 사용할 수 있다. 증오 연설이나 미얀마(Myanmar)에서의 소셜 미디어를 사용한 종족 학살 부추기기 등을 생각해 보자. 이들 국가에서는 중국 정부의 방식이 매력적일 수 있다"고 설명했다.

삭스는 "과장하고 싶지는 않다. 중국 정부가 서구 사회가 주도하는 인터넷 모델에 맞서기 위한 종합적인 계획을 두고 있다고는 생각하지 않는다"면서, "각국에서 자체적으로 행동하면서 이런 도구의 매력을 발견하는 경우도 있고, 탄자니아와 같이 모델 확산을 위한 더 직접적인 관계와 영향력이 존재하는 경우도 있을 것이다"고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.