[금융경제신문=한주경 기자] 최근 아사히신문이 네이버계열 무료 통신 앱인 라인(LINE)의 고객 개인정보가 중국으로 유출됐다는 의혹을 제기한 것처럼 국내 게임사 고객들의 개인정보를 포함한 데이터가 무방비로 노출될 수 있다는 우려가 나온다. 한국에서 데이터센터를 구축한 중국 IT기업 ‘T 클라우드’는 물론 중국정부와 관련된 클라우드에 대한 정부의 안전망에 대한 안정성에 의혹이 제기돼 한국정부의 대책이 요구되고 있다.

22일 관련 업계에 따르면 넥슨, 넷마블, 게임빌, 컴투스, 네오위즈, 카카오게임즈 등 중국에 서비스를 하는 국내 기업들이 늘고 있는 가운데 한국 사용자의 정보를 수집해 중국 당국에 제공할 수 있다는 우려가 높은 실정이다. 중국은 2017년부터 국가보안법을 통해 기업들이 국가의 정보 수집에 필요한 자료 제공에 협력하는 것을 의무화하고 있다.

중국 네트워크안전법 제37조에 따르면 핵심 정보 인프라 시설 사업자는 업무 데이터를 해외에서 저장 또는 해외기관 및 개인에게 제공해야 할 경우 안전 평가를 진행해야 한다. 개인정보보호법 제52조에는 “개인정보처리자가 중국 외부의 개인이나 조직일 경우 중국 내에서 개인정보보호 업무를 담당하는 전문 기관 또는 대표를 설정해야 하며, 이들의 명칭 및 연락처 등을 당국에 신고해야 한다”고 정의하고 있다. 데이터안전법 32조에는 “중국 경찰기관이나 국가안전부가 데이터 접근을 요청할 시 관련 조직이나 개인은 협조해야 한다”고 규정했다.

법안 적용 대상이 해외에 있는 기관 및 개인까지 포함되면서 중국 정부가 데이터를 마음껏 들여다 볼 수 있는 것 아니냐는 우려가 생기는 대목이다. 내용 및 용어 또한 매우 모호해 중국 정부가 언제든 개인정보를 비롯한 핵심 정보를 악용할 가능성이 높다는 우려다.

지난해 도널드 트럼프 전 대통령이 중국의 동영상 공유 앱 ‘틱톡’을 강제 매각하려던 이유도 미국인의 개인정보가 중국 정부에 넘어가 악용될 우려가 있다는 이유 때문이다.

국회 외교통일위원회 소속 국민의힘 태영호 의원 역시 지난해 주중국 대사관 국정감사에서 ‘미중패권 경쟁 구도 속 중국의 스파이 전략’에 대해 문제를 제기하고 우리 정부의 대응책을 요구했다.

태영호 의원은 “틱톡 애플리케이션의 경우 미국에서 이미 트럼프 대통령이 행정명령까지 내리고 우리나라에서도 틱톡사용자가 300만명을 넘고 있는 상황에서 중국의 국가 정보법이나 사이버 보안법을 보면 중국공산당이 개인과 기업에서 수집한 정보를 자유롭게 열람하거나 취득할 수 있게 되어 있다”고 지적했다.

실제로 최근에 틱톡이 수집한 우리 국민의 개인 정보가 불법 수집돼 유출된 바 있다. 틱톡은 국내 이용자의 개인 정보를 미리 알리지 않고 중국, 미국, 싱가포르 등의 서버에 옮겨 저장한 사실도 드러났다. 이 때문에 틱톡은 방송통신위원회에 과징금 1억8600만원 처분을 받았다.

이 때문에 중국 클라우드 서비스가 한국 사용자의 정보를 수집해 중국 당국에 제공할 수 있다는 점에서 한국에 진출한 중국의 대형 클라우드 서비스에 대한 우려가 커지고 있다. 이에 최근 국내에서 활발한 클라우드 사업을 펼치고 있는 중국의 한 정보기술업체 관계자는 “중국 관련법은 중국 관내 기업이자 중국인에 대한 정보를 수집하고 있어 한국인에 대한 정보는 정보 수집 대상이 되지 않을 뿐만 아니라 한국에 진출해 있는 중국기업은 중국법이 아닌 한국법을 적용 받기 때문에 한국에 있는 클라우드 데이터 정보가 중국으로 넘어갈 가능성이 전혀 없다”며 “우려는 우려일 뿐”이라고 일축했다.

한국 개인정보보호법규(정보통신망법)에는 정보통신서비스 제공자가 국내 이용자의 개인정보를 국외로 이전할 때에는 이용자에게 알리고 동의를 받거나 개인정보 처리방침을 통해 공개해야 한다고 정하고 있다. 즉 중국계 기업이 게임사들을 비롯한 기업들의 정보를 중국에 보고할 경우 이용자 동의 및 공개를 해야 되는 구조기 때문에 문제가 없다는 것.

하지만 자료 제공을 의무로 요구할 수 있는 중국 보안법에 대해 국내 기업들이 조치를 취할 수 있는 법적 근거는 없다. 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 5항에 따르면 수탁자는 위탁받은 업무 범위를 초과해 개인정보를 이용하거나 제3자에게 제공해서는 안 된다고 명시하고는 있지만 개인정보를 제3자에게 제공하지 않았다는 것을 명확하게 확인하기 어렵다는 한계가 있다.

지난해 8월 출범한 개인정보 주체기관인 개인정보보호위원회(개보위)와 개인정보보호를 담당하는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)은 개인정보 국외 이전과 관련한 국내 개인정보보호 장치가 현재로선 없다는 답변이다. KISA 관계자는 “개보위와 해당 문제를 연구하고 개정안을 마련할 계획”이라고 전했다.

보안업계 관계자는 “국내 게임사들이 보유하고 있는 이용자들의 개인정보가 중국으로 유출될 경우 그 피해는 가늠하기 어렵기에 유럽과 미국의 적극적 대처를 보고, 우리도 우리 국민의 개인정보 보호와 기업정보 보호에 만전을 기해야 한다”고 강조했다.