“외국계가 잠식한 클라우드… 우리 국민정보 유출 우려”

규제 완화 개정안, 감독 규정 허술
내년부터 신용정보 등 저장 허용… 외국계 빅4 국내시장 70% 점유
美-中당국, 문서-메일 열람 가능… 한국 ‘데이터 주권’ 침해할수도
정보 접근 차단 등 보완책 필요

내년부터 금융 회사들이 ‘클라우드(인터넷상에 자료를 저장하고 필요할 때마다 프로그램 추가 설치 없이 이용할 수 있는 서비스)’에서 개인신용정보 등 민감한 정보를 활용할 수 있게 되는 가운데 국내 클라우드 시장을 잠식하고 있는 외국계 기업들에 대한 정부의 관리, 감독 규정이 허술하다는 지적이 나오고 있다.

15일 한국클라우드산업협회에 따르면 아마존웹서비스(AWS), 마이크로소프트(MS), 구글, IBM 등 외국계 빅4 사업자들의 국내 클라우드 시장 점유율은 70%를 넘어서는 것으로 나타났다. 올해 3분기(7∼9월) 전 세계 클라우드 시장에서 이들 기업의 점유율 60%(시장조사기관 시너지리서치그룹)보다 높은 수준이다.

금융 당국은 금융 회사와 핀테크 기업이 개인신용정보, 고유식별정보를 처리하는 중요정보 처리시스템도 클라우드를 활용할 수 있도록 하는 내용의 ‘전자금융감독규정’ 개정을 추진 중이다. 현재는 비(非)중요정보에 한해서만 클라우드로 처리할 수 있다. 이 때문에 금융 회사들은 인공지능(AI), 빅데이터 등을 활용한 상품, 서비스 개발에 개인신용정보를 활용할 수 없어 제약이 뒤따랐다. 개정안이 통과되면 의견 수렴 과정을 거쳐 내년 1월부터 시행된다.

문제는 미국, 중국 등 외국 정부가 한국에 저장된 금융 정보를 열람하거나 접근해도 이를 막을 수 있는 방안이 마련되지 않았다는 점이다. 일례로 미국 클라우드법은 수사기관이 클라우드 기업의 해외 서버에 저장된 메일, 문서, 기타 통신 자료 등을 열람할 수 있도록 권한을 부여하고 있어 현지 당국이 합법적으로 우리 국민의 정보를 감시할 수 있는 상황이다.

아울러 개정안에는 정보처리시스템의 국내 설치를 규정하고 있기는 하지만 관리시스템까지 포함하는지는 불명확하다. 관리시스템의 국내 설치를 의무화하지 않으면 국내에 관리 인력을 둘 의무가 없어 정보유출 등 문제가 발생해도 해외에 있는 담당자가 대응해 조치가 지연될 우려가 크다.

무엇보다도 개인정보 유출 등 사고 발생 시 국내법 적용과 집행의 한계가 존재한다. 과학기술정보통신부 산하 기관인 한국인터넷진흥원(KISA)에서도 “해외 클라우드 사업자는 클라우드 서비스를 제공할 때 개인정보보호 등 국내 관련 법규를 따르지 않을 수 있고, 이 경우 국내법에 따라 개인정보가 보호받지 못할 수 있다”고 경고하고 있다.

전문가들은 해외 당국의 국내 저장 금융정보의 열람 가능성을 막으려면 해외 사업자의 ‘국내 소재 금융 데이터’ 접근을 차단할 수 있는 규정을 마련해야 한다고 조언한다. 특히 해외 사업자에 대한 당국의 실질적인 규제 집행력이 먼저 확보돼야 한다는 것이다.

황재훈 연세대 경영학부 교수는 “정부가 외국계 기업들을 감독할 수 있는 시스템이 없는 것이 문제”라면서 “자칫 데이터 주권을 잃을 수도 있는 만큼 법 개정에 신중한 접근이 필요하다”고 강조했다.

신무경 기자 yes@donga.com