데이터 안보와 국제통상: 현안과 시사점

[힘힘]

 데이터 안보와 국제통상: 현안과 시사점

이효영 국제통상경제안보연구부 부교수

발행일 2024-07-03

1. 문제의 제기
2. 최근 주요국의 데이터 안보 규범 도입 현황과 평가
3. 데이터 안보 관련 국제통상 규범과 현안
4. 정책적 고려사항

< 요약> 

○ 디지털 전환의 핵심이며 디지털 시대 산업의 ‘원유’로도 일컬어지는 데이터(data)는 산업경쟁력 확보를 위한 전략적 자원이자 최근 ‘빅데이터 시대’의 도래로 인해 국가안보의 사안으로도 다루어지고 있음. 데이터는 국경간 디지털 서비스 및 상품을 제공하는 수단이자 그 자체로서 거래될 수 있는 자산으로 데이터를 이용한 산업이 급성장하고 있으며 데이터 기반 서비스를 제공하는 디지털 플랫폼 기업들의 글로벌 지배력이 심화되고 있음. 또한 데이터의 훼손, 악용, 조작 등은 국가안보의 사안으로 부상하고 있으며 특히 ‘우려국가’로의 데이터 유출 및 개인정보의 국외 이전을 통한 전략적 자원의 손실 및 국가안보의 위협을 초래할 수 있는 것으로 인식되고 있음.

○ 이에 따라 미국, 유럽연합(EU) 등 주요국은 자국의 데이터 관련 경쟁력 수준 및 관리 체제 등을 고려하며 ‘데이터 안보(data security)’의 강화를 위한 법·제도를 도입하고 있으며, 최근 미-중 기술패권 경쟁의 심화와 함께 데이터 안보를 위한 통상규범의 도입도 자국에게 지역적 및 글로벌 차원에서 유리한 방향으로 추진하고 있음. 이에 따라 본 보고서는 최근 미국과 EU의 데이터 안보 관련 규범화 동향과 내용을 분석하고, 데이터 안보의 주요 정책수단인 데이터 현지화 조치에 대한 최근 현안 소개 및 분석을 통해 우리나라의 데이터 안보 관련 정책 수립 방향에 대하여 시사점을 제공하고자 함. 

1. 주요국의 데이터 안보 관련 규범 도입 현황 및 평가   

○ 미국의 데이터 안보 관련 행정명령 - 2024년 2월 미국 데이터가 특정 국가로 거래되는 것을 제한하는 ‘우려국가에 의한 민감한 대량의 미국인 데이터 및 미국 정부 관련 데이터의 접근 금지’에 관한 행정명령(E.O. 14117)을 통해 ‘우려국가’와의 데이터 거래로 인한 간첩활동, 영향공작, 사이버작전 및 기타 전략적 우위 행사 등 국가안보 우려에 대응하고 미국의 데이터 안보를 강화하기 위한 강력한 조치를 도입함. 이를 통해 미국은 안보적 우려를 제기하지 않는 신뢰할 수 있는 국가와는 ‘데이터의 자유로운 국경간 이전’의 기본 원칙을 준수하되, 안보적 우려가 있는 국가에 대해서는 데이터의 이동과 유출을 제한하는 방식으로 ‘분절화’된 접근방식을 취하고 있는 것으로 평가됨.

○ 미국의 ‘합법적 해외 데이터 활용의 명확화를 위한 법(CLOUD Act)’ - 동 법을 통해 미 사법당국은 자국의 IT 기업의 해외 서버에 저장된 자료를 열람할 수 있는 법적 근거를 마련하게 되었으며, 그동안 해외에 저장되어 있는 데이터에 대한 접근성 부족으로 범죄 조사 원활화 및 클라우드 서비스 등 대규모 데이터 시스템을 활용한 범죄에 효과적 대응이 가능할 것으로 기대하고 있음. 빅데이터를 활용한 글로벌 서비스가 급증하고 있는 상황에서 동법의 제정을 통해 미국은 상대국의 데이터 현지화 조치로 인하여 미국 IT 기업의 역외 데이터 서버에 저장되어 있는 역외 데이터에 대한 접근권 부재로 초래되는 국가안보 리스크를 해결하고자 하며, 결국 동 법을 통해 무역상대국들의 데이터 현지화 조치를 무력화시키는 효과가 있는 것으로 평가됨.  

○ EU ‘데이터거버넌스법’ - 그동안 EU 회원국들이 개별적으로 데이터 관리에 관한 법률을 제정하여 EU 역내에서의 데이터 거버넌스 체계가 파편화되어 있어 EU 단일시장으로서 디지털 경쟁력이 성장하지 못하고 있는 상황을 해소하기 위하여 추진됨. 특히 글로벌 디지털 시장 및 데이터 산업에서 미국 IT 기업들의 독점적인 시장지배력이 확대되고 있는 상황에서 EU 회원국들의 데이터 안보를 강화하기 위한 정책적 수단으로서 EU 역내에서의 데이터 공유를 활성화하기 위한 비즈니스 환경을 구축하고자 하는 것으로 평가됨.

○ EU ‘데이터법’ - EU ‘데이터법’은 ‘데이터거버넌스법’과 함께 ‘유럽 데이터 전략’의 일환으로 추진된 주요 입법 이니셔티브 중 하나임. 미국의 거대 IT 기업의 글로벌 데이터 산업에서의 시장지배력 및 데이터의 독점을 견제하기 위한 목적의 데이터 안보 정책수단인 것으로 평가됨. 특히 클라우드 서비스 제공업체들에 대하여 외국의 역외적용 법률로부터 EU 소비자 데이터를 보호하기 위한 의무 규정은 미국으로의 데이터 이전을 규제하고 EU 역내에서의 데이터 저장을 유도하는 데이터 현지화 조치의 효과를 갖고 있는 것으로 평가됨.

2. 데이터 안보 관련 국제통상 규범과 현안

○ 데이터 현지화(data localisation) 조치는 대표적인 데이터 안보 강화를 위한 정책 수단으로서 자국민의 데이터가 역외로 이전 및 역외에서 저장·처리될 경우 해당 데이터에 대한 통제권을 상실하게 된다는 우려에서 비롯됨. 국가별 데이터 현지화 조치는 지속적으로 증가하고 있는 추세이며, 2017년 35개국에서 67건의 데이터 이전 제한 조치가 도입되었다면 2020년에는 62개국에서 144건의 데이터 이전 제한 조치가 도입된 것으로 집계됨.

○ 데이터 현지화와 관련된 국제통상규범은 대부분 디지털무역 관련 규정을 포함하고 있는 지역무역협정(RTA) 및 별도의 디지털무역협정(DTA)을 통해 수립되고 있음. 디지털무역협정에 포함되어 있는 데이터 현지화 금지 규정은 모두 의무 조항 형태로 도입되어 있으며, 일부는 예외 적용이 없는 의무 규정을 통해 강력하게 규제하고 있음. 특히 미국이 참여하고 있는 무역협정인 USMCA 및 미-일 디지털무역협정은 데이터 현지화 금지 조항에 대한 예외를 인정하지 않고 있음. EU는 기본적으로 무역 원활화를 위한 데이터의 국외이전 자유화를 원칙적으로 지지하지만 데이터 국외 이전의 조건으로 높은 수준의 개인정보보호 법제도를 요구하고 있으며 데이터 안보를 위한 충분한 ‘규제 권한(right to regulate)’을 보장하고 있음.

○ 우리나라의 데이터 현지화 조치 관련하여 미국 무역대표부(USTR)는 2021년부터 우리의 CSAP 보안기준에 대하여 미국 클라우드 서비스 제공업체들이 한국의 공공 클라우드 시장에 진출하지 못하도록 하는 무역장벽이라 지적해옴. 우리나라의 CSAP 보안 기준으로 인하여 미국 클라우드 서비스 업체들이 한국 시장 진출을 위한 고유한 클라우드 서비스 제품을 만들어야 하기 때문에 한국의 중앙 및 지방정부부처, 공공기관 및 교육기관으로부터 배제되고 있다고 주장하고 있음. 이외에도 우리나라의 지리 정보 국외반출 제한 조치에 대하여 오랜기간동안 데이터 현지화 조치 및 디지털무역장벽으로서 지적해왔음.

3. 정책적 고려사항

○ 각국의 국익에 기반한 데이터 안보 정책 추진 - 미국과 EU 등 주요국이 최근 도입하고 있는 데이터 안보 관련 조치는 각국의 글로벌 데이터 산업에서의 경쟁력 및 글로벌 시장에서의 위치에 따라 다른 목적 및 형태로 전개되고 있음. 미국은 전세계적으로 증가하고 있는 데이터 현지화 조치에 대응하기 위하여 자국 기업이 보유하고 있는 역외 데이터에 대한 접근권을 확보하고 데이터 산업 경쟁력을 유지하기 위하여 국내 규제권한의 역외적용(extraterritoriality)을 위한 제도를 도입하고 있음. EU는 미국 거대 IT 기업의 경쟁력 확대를 견제하기 위하여 유럽 내에서의 ‘데이터 단일시장’ 구축 및 데이터 공유 활성화를 통한 디지털 산업의 성장을 지원하고 유럽 기업의 데이터 시장 진입 및 경쟁력 확보를 위한 여지를 마련하고자 하고 있음. 우리나라도 데이터 안보의 관점에서 ‘데이터의 국경간 이전 자유화’의 기본 원칙하에 국가안보의 필요에 따라 ‘우려대상국’에 대한 데이터 유출의 위험에 대하여 안보·경제·사회적 인식을 제고하고, 필요시 이에 대한 적절한 대응을 할 수 있도록 국내법적 근거를 마련할 필요가 있음. 
○ 데이터 현지화 조치의 확산에 대한 미국의 새로운 접근방식 대응 - 미국은 그동안 디지털무역 관련 국제통상규범의 수립을 통해 무역상대국들의 데이터 현지화 조치의 도입을 금지하고자 하였으나, 이는 지역적 차원에서의 통상규범 수립을 위한 노력에 그치고 있어 한계가 있음. 이에 따라 미국은 주요 무역상대국의 데이터 현지화 조치를 무력화하는 방식으로 자국 기업의 데이터에 대한 접근권을 확보하는 형태로 접근방식의 변화를 보이고 있음. 반면, 우리나라의 공공데이터에 대한 데이터 안보 정책인 공공기관 클라우드 보안 정책에 대하여 미국은 디지털무역장벽으로서 문제 제기를 하고 있으나, 미국의 CLOUD 법은 미국인의 데이터를 역외에서 저장 및 처리하고 있는 경우 미국당국의 접근권을 명시하고 있어, 우리나라의 자국민 데이터 및 국가정보를 다루고 있는 정책 및 제도에 대하여 미국법의 역외적용을 통해 무력화시킬 수 없는 것으로 평가됨.

○ 공공이익 및 공공안전을 보장하기 위한 데이터 거버넌스 도입 동향 - 우리나라는 「공공데이터의 제공 및 이용 활성화에 관한 법률(약칭 ‘공공데이터법’)」이 제정되어 시행중이며, 이에 따라 공공데이터의 이용에 대한 기본원칙으로서 ‘공공이익’을 고려한 데이터의 활용 지침을 마련하고 있음. 공공데이터 이용에 관한 국가안보 사안을 ‘공공이익’의 범주에 해당하는 것으로 법률적으로 명시하고 있어 주요국의 데이터 거버넌스 추진 방향과 일맥상통하는 것으로 평가됨. 이에 따라 공공데이터와 관련하여 ‘공공이익’ 및 ‘공공안전’의 중요성에 대해 우리나라와 주요국들이 동일한 방향성을 추구하고 있다는 점을 상기하며 미국이 우리와의 통상현안으로서 제기하고 있는 디지털무역장벽 문제에 대한 대응 및 협상 전략을 마련할 필요가 있음. 

*붙임 참고

https://www.ifans.go.kr/knda/ifans/kor/pblct/PblctView.do?csrfPreventionSalt=null&pblctDtaSn=14342&menuCl=P01&clCode=P01&koreanEngSe=KOR&pclCode=&chcodeId=&searchCondition=searchAll&searchKeyword=&pageIndex=1