중국의 데이터 안보 전략은 자국에서 수집된 데이터를 국가의 법률 및 거버넌스 구조에 종속하는 데이터 주권(data sovereignty) 강화에 집중되어 있다. 이는 데이터에 대한 국가의 통제력을 강화하는 조치로서 국가의 중요 데이터와 클라우드 컴퓨팅 등 데이터 관련 기술 및 산업을 보호하고 나아가 해당 분야의 경쟁력을 키우기 위한 데이터 국지화(data localisaion)의 형태로 나타난다.

중국의 데이터 안보 전략을 분석한 리우(Jinhe Liu) 칭화대 연구원은 특정 국가가 발전된 기술과 산업을 가지며 동시에 시급한 안보위협에 직면해있지 않을 때 데이터의 자유로운 유통을 지향하며, 이러한 내부적-외부적 조건을 갖추지 못할수록 데이터를 통제하려는 행태를 보인다고 주장한다. 이러한 시각에서 그는 중국의 데이터 국지화가 그 내부적 특성과 외부적 환경을 고려한 합리적 선택이라고 주장한다. 그 근거로서 ⓐ 초국적 데이터 유통 규제 정도와 ⓑ ICT 개발지수(기술 및 산업 발전을 나타내는 지표) 및 사이버 안보 위협점수(위협을 받는다고 느끼는 정도) 간 상관관계에 주목하여, 높은 ICT 개발지수와 낮은 사이버 안보 위협점수를 나타내는 국가-주로 서방 및 자유민주주의 선진국-들은 초국적 데이터 유통을 지향한다는 점을 제시한다.

리우의 연구는 데이터 국지화를 추구하는 중국과 같은 비민주주의 국가들의 행태를 설명하는 데에는 분명한 유용성을 가진다고 볼 수 있다. 그가 주목한 중국에 관한 분석에서 드러낸 바와 같이, 중국 내부적으로 국가안보의 개념은 사이버 안보 문제와 데이터 안보 문제에 상당한 영향을 미치며, 자유민주주의 국가에 비해 국가안보가 개인의 프라이버시나 민간기업의 기밀정보보다 더 우선시 된다. 이는 중국의 내부적 특성에 해당되는 부분이다. 동시에 중국은 사이버 안보 위협이 국가와 사회에 심각하고 다양한 위협을 가하고 있다고 인식한다. 즉 중국 정부의 시각에서 사이버 안보나 데이터 안보와 관련한 문제는 코펜하겐 학파가 이야기하는 정치적 안보와 사회적 안보를 동시에 위협하는 요인인 것이다. 이러한 내부적 특성과 위협인식은 주로 국가안보가 정권안보나 특정 엘리트 집단의 생존과 동일시되는 권위주의 국가들에게도 어렵지 않게 발견된다.

그러나 리우의 연구는 크게 두 가지 오류를 지닌다. 먼저, 초국적 데이터 유통 규제 정도와 ICT 개발지수 및 사이버 안보 위협점수 간 상관관계에 따른 주요 국가들의 위치를 파악하는 단계에서 특정 국가 또는 국가군의 사이버 안보 위협인식을 제대로 파악하지 못하는 오류를 범하고 있다. 특히 호주와 서유럽 선진국들이 대표적인 예인데, 리우에 의하면 호주와 유럽연합 내 주요 국가들은 높은 ICT 개발지수와 낮은 사이버 안보 위협점수를 가진다. 그러나 2016년 전후로 호주는 자국이 심각한 사이버 안보 위협에 당면해있다고 인식하면서 여러 정책문건을 통해 이러한 위협인식을 분명히 드러내 오고 있다. 특히 중국발 사이버 공격과 지적재산, 개인정보 등 중요 데이터 탈취 행위에 심각한 우려를 표하면서 미국과 발을 맞춰 사이버 안보 분야에서의 반중연대를 주도하고 있다. 이는 중국발 사이버 공격과 데이터 탈취 행위가 자국의 정치적 안보와 사회적 안보를 위태롭게 하는 내정간섭 위협과 밀접하게 연관되어 있다는 인식에서 비롯된 행태이다.

마찬가지로 유럽연합 국가, 특히 독일과 프랑스 등도 미국의 거대 IT기업의 데이터 독점이 유럽 시민의 데이터 안보에 위협이 되고 있다고 인식한다. 2019년 11월 피터 알트마이어 독일 경제장관은 유럽연합 집행위원회에 구글과 페이스북 등 유럽 시장을 독점하고 있는 온라인 플렛폼에 강경 노선을 추진할 것을 촉구하면서 “유럽이 개발·운영하는 클라우드컴퓨팅 시스템이 유럽의 디지털 주권을 회복하는 데 도움이 될 것”이라고 주장하였으며, 메르켈 총리 역시 2019년 11월 독일 고용주협회컨퍼런스에서 “유럽연합이 독자적인 데이터 플랫폼을 개발해 구글, 마이크로소프트, 아마존 등 미국 대형 IT기업들의 클라우드 서비스에 대한 의존도를 낮춰야한다…너무 많은 기업이 자사의 모든 데이터를 미국 기업에 아웃소싱하고 있다…데이터에서 만들어지는 부가가치 상품들이 미국에 의존해 만들어지는 게 좋은지 확신할 수 없다”며 미국 기업으로부터 자국 데이터 주권 보호를 강조한 바 있다. 한편 프랑스도 동일한 위협인식에 근거해 2019년 12월 구글이 검색광고 시장에서 우월적인 지위를 남용했다며 과징금(1억5천만 유로)을 부과하였고, 2020년 3월에는 애플이 시장우월적 지위를 남용해 자국 소매업체들의 정상적인 가격 경쟁을 방해했다 하여 과징금(11억 유로)을 부과하였다. 따라서 리우의 연구는 호주, 프랑스, 독일 등 주요 민주주의 선진국의 사이버 안보 위협인식을 제대로 파악하지 못한다는 오류를 지닌다.

또한 리우는 호주, 프랑스, 독일의 초국적 데이터 유통 규제의 정도 역시 단순히 특정 국제기구나 협약 또는 레짐에 대한 참여 여부만을 고려해 측정하고 있다는 오류를 지닌다. 호주는 APEC의 국경간 프라이버시 규칙(CBPR) 가입국인가 동시에 데이터 무역을 지지하는 CPTPP 참여국으로서 데이터 유통을 둘러싼 국제규범 논의에 사실상 참여하고 있으며, 동시에 자국 기업들의 성장에 자유로운 데이터 이동이 필요하다는 경제적 이해관계에 따라 자유로운 데이터의 이동을 지지하고 있다. 그러나, 전술한 바와 같이 호주는 높은 사이버 안보 위협인식을 바탕으로 데이터 주권론을 앞세워 데이터 국지화 조치를 위한 법제 마련에 힘써오고 있다. 데이터 국지화뿐만 아니라 중국과 비슷하게 중앙정부에 해당하는 연방정부의 데이터 통제력을 강화하는 데에도 주력하고 있다. 예로, 2020년 7월 로버트(Stuart Robert) 정부서비스 장관은 호주 정부가 민감한 데이터의 국외 유출을 방지하고자 해당 데이터를 호주 영내 데이터 센터에만 보관하게끔 강제하는 새로운 데이터 주권 규칙을 발표하였다. 그보다 이른 2018년 12월에는 정부 기관이 민간기업들에 사용자 메시지 데이터의 암호화 해제를 강제할 수 있도록 하는 <지원및접근법 2018)>이 제정되기도 하였는데, 해당 법의 골자는 정보기관과 법 집행기관이 국가안보적 필요에 따라 통신 서비스 제공업체의 암호화된 통신 메시지에 언제든지 접근할 수 있도록 ‘암호화 백도어(encryption backdoor)’ 설치를 강제하는 것이다.

마찬가지로 프랑스와 독일 역시 유럽 차원의 데이터 시민주권을 보호한다는 목표하에 데이터 지역화(data regionalisation)를 위한 다양한 법제를 마련해오고 있다. 특히 미국의 거대 IT기업의 데이터 독점을 위협으로 보는 인식을 바탕으로 유럽일반개인정보보호법(GDPR)을 통해 제3국으로의 개인정보 이전을 위한 ‘적정성 평가’를 수립하여 유럽의 데이터 주권 보호에 앞장서고 있다. 이러한 조치는 역내 단일시장화와 소극적 대외 개방을 지향하는 것으로 해석된다. 또한 프랑스와 독일은 유럽연합 차원에서 ‘유럽형 클라우드 서비스’ 구축 역시 주도해왔다. 2013년 미국 정보 당국이 사찰 프로그램 ‘프리즘’을 이용하여 마이크로소프트와 구글 등 미국 기업의 클라우드 서비스를 통해 개인정보를 불법적으로 수집해온 사실이 폭로됨에 따라 EU 차원에서 대안이 모색되었고, 2019년 10월 프랑스와 독일은 유럽 내 데이터를 이용, 수집, 공유할 수 있는 클라우드컴퓨팅 인프라의 자체적 개발을 추진하는 ‘가이아-X’ 프로젝트에 착수할 것을 발표하였다.

이렇듯 리우의 연구가 가지는 한계를 통해 알 수 있는 사실은 데이터 국지화가 중국을 비롯한 비민주주의 내지는 권위주의 국가만의 전략이 아니며, 민주주의 국가들 역시 데이터 문제를 안보의 시각에서 이해하고 접근하려는 모습를 보이고 있다는 것이다. 민주주의 선진국들은 경제적 이해관계나 규범적 의식에 따라 데이터의 초국적 유통을 지지하면서도 자국의 국가안보적 상황과 자국민의 프라이버시 등을 고려해 데이터 국지화나 지역화를 추진하는 이중적인 행태를 보인다. 이러한 이중적 행태는 데이터 안보에 관한 국제규범과 거버넌스가 확립되지 않는 한 앞으로도 지속될 가능성이 크다. /끝/