중국의 GDPR '네트워크 안전법'..."中 데이터는 中 안에서만 쓰라"
중국의 GDPR '네트워크 안전법'..."中 데이터는 中 안에서만 쓰라"
  • 석대건 기자
  • 승인 2019.05.08 08:38
  • 댓글 0
이 기사를 공유합니다

[디지털투데이 석대건 기자] 중국 네트워크 안전법이 올 2019년 1월을 기점으로 본격적으로 시행된 가운데, 중국 내 영업활동 하는 국내 기업에 대한 데이터 압박이 커지고 있다

중국 네트워크 안전법 37조에 따르면, 핵심 정보 인프라 사업자는 중화인민공화국 내 운영 중에 수집하고 생성된 개인정보와 중요 업무 데이터를 반드시 중국 내 저장하도록 정한다. 

해당 규정은 중국 네트워크안전법이 2017년 6월 1일 발효된 이후, 중국 내에서 활동하는 기업들의 반발로 2019년 1월까지 시행이 연기됐다. 

만약 중국 내 외국 기업이 데이터를 국외로 전송할 경우, 중국 국가네트워크정보기관이 국무원의 관련 부처와 함께 제정한 방법에 따라 보안평가를 진행해야 한다. 보안 평가 과정에서 중국 정부는 당연히 기업 데이터는 들여다보게 된다. 

애플이 구이저우에 아이클라우드(iCloud) 데이터센터를 건설 중인 이유도 보안 평가를 피하기 위한 것과 무관하지 않다.

(사진=소만사)
중국 네트워크 안전법 적용 범위 (사진=소만사)

중국에서 해외 기업이면 다 핵심 정보 인프라?

중국에 진출해 있는 한국 기업들도 발등에 불이 떨어졌다. 이미 중국 네트워크 안전법이 시행된 이상, 기업이 중국 당국이 설정한 기준에 속하지 않아야 하는 게 핵심이다. 

이를 위해 지난 3월, KOTRA 베이징 IT 지원센터와 한국 인터넷진흥원(KISA)은 중국에 진출한 국내 기업 관계자들을 상대로 ‘2019 네트워크안전법 대응 설명회’를 개최하기도 했다. 

중국 네트워크 안전법은 핵심 정보 인프라를 네트워크 안전 등급 보호 제도에 기초하여 중점 보호를 실행한다고 적고 있다.

안전 등급 보호 제도에 따라 기업은 정보 시스템 등급이 나눠지게 된다. 문제는 대부분의 기업이 핵심 정보 인프라에 속한된다는 것. 

KISA 관계자는 “일반적인 기업은 2급으로 지정되지만, 만약 개인정보를 취급할 경우 그보다 높은 수준인 3급으로 결정된다”며, “거의 모든 기업이 해당된다고 볼 수 있다”고 밝혔다.

중국 네트워크 안전법 31조에 따르면, 핵심 정보 인프라는 공공통신과 정보서비스·에너지·교통·수리·금융·공공서비스·전자정무 등 중요 산업과 영역, 그리고 기타의 파괴·기능 상실·데이터 유출이 발생하면 국가 안전․국가 경제와 국민 생활·공공이익에 중대한 손상을 줄 수 있는 시설이다.

(자료=중국 민생은행, 코트라)
정보 시스템 등급 보호의 등급과 관리 기준 (자료=중국 민생은행, 코트라)

중국 내에서도 우려는 있다. 그렇지 않아도 인터넷 규제가 많은 판국에 사업자가 개인정보를 중국 내 의무 보관토록 한다면, 중국 경제에 악영향을 미칠 수밖에 없다는 것. 

현재 중국 정부는 구글과 유튜브, 페이스북 등 미국의 주요 인터넷 서비스와 우리나라의 인터넷 사이트인 다음, 네이버 블로그 등의 접속을 차단하고 있다.

이에 대해 중국 국가인터넷정보판공실은 “해당 규정은 모든 네트워크 사업자가 아니라 주요정보통신기반시설 사업자에 한정되며, 모든 데이터가 아니라 중요데이터와 개인정보에 국한된다”고 법령 해설을 통해 밝혔다.

여기서 중요데이터는 국가 안전과 관련된 데이터이며, 중국 당국의 안전 평가를 통해 결정된다. 물론 개인 정보의 경우는 본인 동의가 있으면, 해외로 반출할 수 있다. 

벌금은 적지만 영업 취소까지 가능...중국 클라우드 쓰게 하려는 목적도

네트워크 안전법이 중국의 첫 정보통신보안 관련 법률이라는 점에서, 또 데이터 경제의 확대 국면에서 쉽게 데이터 주권을 뺏기지 않겠다는 의지로도 보여진다.

중국 네트워크 안전법 규정을 위반할 경우, 벌금은 최대 50만 위안(8,620만 원)으로 벌금 규모는 작다. 하지만 영업 정지, 사이트 폐쇄, 허가 취소 등 추가 처벌이 발생하기 때문에 쉽게 볼 수 없다.

이같은 데이터 주권에 대한 의지는 중국 클라우드 사업자를 위한 지원사격으로도 이해된다. 결국 중국 진출 기업에 장기적으로 영업활동을 하려면 결국 데이터를 옮겨와야 하는데, 클라우드는 그나마 나은 대안이라는 것. 중국 내에서 영업을 하려면 중국 클라우드로 쓰게 하려는 분석이다. 

클라우드 업계 관계자는 중국 네트워크 안전법에 대해 “AWS 등 해외 클라우드 서비스 기업이 크게 힘을 쓰지 못하는 곳이 중국”이라며, “아태지역에서 그나마 유지되고 있는 알리바바와 텐센트의 데이터 영향력을 확보하면서도, GDPR 등 데이터 주권을 강화하는 글로벌 흐름을 따르는 듯한 정책적 계산”이라고 분석했다. 

네이버 뉴스 스탠드에서 디지털투데이를 만나보세요. 디지털투데이 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사