<41> 역행하는 정보보호 정책
편집자주
국내 일간지 최초로 2017년 베트남 상주 특파원을 파견한 <한국일보>가 2020년 2월 부임한 2기 특파원을 통해 두 번째 인사(짜오)를 건넵니다. 베트남 사회 전반을 폭넓게 소개한 3년의 성과를 바탕으로 급변하는 베트남의 오늘을 격주 목요일마다 전달합니다.
베트남에서 생활하면 찝찝한 일을 당할 때가 더러 있다. 일면식도 없는 베트남 현지 기업들이 홍보 메시지나 생일 축하 메시지를 개인 휴대전화로 보낼 때가 특히 그렇다. 이들 메시지는 여권과 비자를 보지 않았다면 알 수 없는 개인 신상정보에 기반한다. 여권을 분실한 적도 없으며, 현지 인터넷 사이트나 사회관계망서비스(SNS)에 가입한 적도 없기에, 시시때때로 도착하는 그들의 메시지는 불안감을 준다.
지난해 베트남에서 발생한 '유학원 정보 유출 사건'은 개인정보가 얼마나 쉽게 노출될 수 있는지 보여준 대표 사례다. A유학원은 한국의 대학교로 유학을 보내고 싶어하는 현지 고소득층에 자녀 유학 프로그램을 판매해 단기간에 큰 성공을 거둔 곳이다. 그런데 경찰 수사 결과, A유학원은 개인 신상 및 소득 정보를 '정보 브로커'에게 대량 구매해 이들에게 계획적으로 접근한 것으로 확인됐다. 놀라운 건 브로커의 직업. 그는 베트남 대형 은행에서 근무하는 평범한 은행원이었다. 수많은 고객의 금융·개인정보는 그의 또 다른 돈벌이로 악용됐다.
베트남의 낮은 정보 보안 수준은 지표로 확인된다. 글로벌 사이버보안기업 서프샤크(Surfshark)가 매년 발표하는 '디지털 삶의 지수'(DQL)에 따르면, 지난해 베트남의 DQL은 110개 조사국 중 73위에 머물렀다. 저렴한 물가 덕에 인터넷 비용 항목에서만 51위로 선방했을 뿐, 사이버보안(71위) 등 나머지 정보 인프라 지수는 하위권을 벗어나지 못한 탓이다. 마음만 먹으면, 개인정보쯤은 몇 다리 안 건너도 쉽게 구할 수 있는 나라가 베트남이라는 평가인 셈이다.
그 오명을 씻기 위해 베트남 정부가 팔을 걷어 붙였다. 국회가 2018년 6월 사이버보안법을 제정하더니, 지난해엔 정부가 개인정보보호법 시행령 초안을 마련해 발표했다. 인터넷 정보 유출 범죄자를 잡으려 사이버보안법을 만들었는데, 개인정보에 관한 법적 정의와 기준이 없어 뒤늦게 시행령을 통해 추가 규정을 만든 것이다. 베트남 정보보호의 효시가 될 두 법은 지난해 연말 시작된 총리실의 의견수렴 절차를 거쳐 이르면 올해 상반기에 발효될 예정이다.
과도한 규제에, '매출 5% 벌금' 윽박지르기
국가공권력이 적극적으로 나서 개인정보 유출을 막고 유출범을 강하게 처벌한다고 하니 '찝찝함은 어느 정도 사라지겠구나'라는 안도감이 들었을 즈음, 법안 내용이 공개되면서 혼란스러워졌다. 특히 한국 기업들을 포함해 베트남 현지에 진출한 외국기업들을 중심으로 우려 섞인 목소리가 쏟아졌다.
사이버보안법은 '베트남에서 인터넷과 통신, 이와 관련된 부가가치 서비스를 제공ㆍ이용하는 모든 기업은 위반 혐의 조사를 위한 공안부 요청에 사용자 정보를 즉시 제공해야 한다'(시행령 26조2항)고 규정하고 있다. 공권력이 강한 베트남이라는 점을 감안하면 어느 정도 수긍할 수 있는 부분이다.
문제는 그 뒤를 잇는 조항이다. 시행령 26조3항에는 '베트남인의 데이터 정보를 취급하는 기업들은 해당 정보를 베트남 정부가 정한 기간 베트남 내 저장소에 보관해야 한다'고 못 박고 있다. 전 세계가 클라우드(온라인 저장공간)를 기반으로 데이터에 대한 물리적 장벽을 허무는 현시점에, 베트남은 자국 내에 '정보 울타리'를 치겠다는 얘기다. 여기에 동법 시행령 26ㆍ29조는 저장소 의무 설치 기간을 '공안부 요청 후 12개월 이내'로 쐬기를 박았다.
의무 보관 범위도 광범위하다. △생년월일 △전화번호 △신분증 번호 등 기초 신상정보는 물론, 이들 정보가 동기화돼 생성된 인터넷 기록과 정보 대상자와 연결된 인터넷상 친구 및 관련 그룹 정보까지, 사실상 모든 인터넷 활동과 관련된 영역이 보호 대상으로 규정됐다. 베트남 내에서 각각 휴대폰과 자동차 판매 1위 자리를 지키고 있는 삼성전자와 현대차는 물론, 현지 판매망을 가진 모든 한국기업들이 사이버보안법의 올가미 안에 들어갈 수밖에 없는 구조다.
단지 보관만 해야 한다면, 초기 저장소 투자 비용만 부담하면 될 일이다. 그러나 사이버보안법에 뒤를 이은 개인정보보호법은 '정부 통제 우선'이라는 베트남의 행정 문화를 여지없이 드러낸다. 개인정보보호법 시행령 21조는 베트남 정보의 국경 간 이동이 필요한 모든 기업에 해당 행위를 하기 전 반드시 공안부에 서면 승인을 받도록 명시했다. 승인 주체는 공안부 산하 사이버범죄예방국에 설립될 개인정보위원회가 맡으며, 위원장은 공안부 부국장이 겸직한다. 사실상 대다수 외국기업들을 공안의 지배력 안에 두겠다는 의미로 해석된다.
법 위반 시 벌금 또한 만만찮다. 사이버보안법 관련 지시를 거부하거나 개인정보보호법을 준수하지 않으면 단일 행위당 최소 1,000만 동(약 50만 원), 최대 8,000만 동(약 500만 원)의 벌금이 부과된다. 나아가 개인정보보호법은 '정보의 국경 간 이동에 대한 규정을 반복해 어기거나 행위의 고의성과 악의성이 있을 경우, 해당 기업의 베트남 내 매출액의 5%를 벌금으로 부과한다'고 규정하고 있다.
김경섭 법무법인 로고스 베트남 법인장은 "신종 코로나바이러스 감염증(코로나19) 시대의 대다수 기업 영업이익이 전체 매출의 5%를 넘기기도 어려운 상황에서 실제로 5%를 모두 적용해 벌금을 부과하긴 어려울 것"이라며 "해당 조항은 결국 두 법의 운용 과정에서 발생할 추가비용, 이른바 '담당자 뒷돈'을 활성화시키는 장치로 기능할 것으로 보인다"고 우려했다. 법이 베트남 공안들이 '뒷돈'을 챙기는 수단으로 전락할 수 있다는 뜻이다.
韓 "가만히 앉아 당하진 않을 것"
우리 정부와 기업은 즉각 대처에 나섰다. 우선 주베트남 한국 대사관은 지난해 4월과 11월 한국기업들의 의견을 수렴해 베트남 정부에 두 차례 의견서를 제출했다. "두 법이 현 조항대로 시행되면 외국인직접투자(FDI) 기업들의 부담이 커지고, 이 경우 베트남의 외자 유치에도 장애가 발생할 수 있다"는 취지를 담았다.
한국 대사관은 두 법에 더욱 강경한 반대 입장을 밝히고 있는 주베트남 미국 대사관과의 공동 대응도 이어가고 있다. 양국은 이달 중 '베트남 사이버보안ㆍ개인정보보호법의 문제점'에 관한 합동 세미나를 개최, 베트남 정부를 압박할 계획이다. 신상열 주베트남 한국대사관 과학기술정보통신관은 19일 "두 법이 '정보보호와 국가안정의 조화'라는 목표로 만들어졌지만, 현장에선 통제 자체에 집중될 가능성이 높다"며 "이런 우려를 불식시키기 위해 베트남 정부는 현지 재외공관의 의견을 충분히 수렴해야 한다"고 강조했다.
발등에 불이 떨어진 현지 한국 정보통신기술(ICT) 기업들도 분주한 모습이다. 그간 개별 경영활동에 집중하던 이들은 지난해 11월 주베트남 한국 ICT기업 협의회를 발족, 사이버보안법 등 ICT 현안과 관련한 베트남 정부의 움직임에 맞춰 공동 대응하기로 했다. 협의회에는 진출기업과 유관기관 등 50여 곳이 참가하고 있다. ICT 엔지니어링 전문 컨설팅 기업인 아이커머스 비나의 조규하 법인장은 "베트남 법규와 정책이 워낙 예측 가능성이 낮다 보니 현지 업계의 우려가 매우 크다"면서도 "손 놓고 그저 결과를 기다리기보다 협의회를 중심으로 가용한 모든 라인을 동원해 사이버보안법 관련 리스크를 최소화해 나갈 것"이라고 밝혔다.
기사 URL이 복사되었습니다.
댓글0