[단독] 韓 게임사 정보 중국으로... 中 데이터센터 유출 무방비

한국에서 데이터센터를 구축한 중국 IT기업 '텐센트 클라우드'에 대한 정부의 안전망이 취약한 것으로 나타났다. 최근 일본에서 논란을 빚은 '라인' 사태처럼 국내 게임사 고객들의 개인정보를 포함한 데이터가 무방비로 노출될 수 있다는 우려가 나온다.

22일 관련 업계에 따르면 텐센트 클라우드는 2017년 한국 서울에 리전(데이터센터)을 구축해 서비스 중이다. 지난해 말에는 서울 리전에 두 번째 클라우드 가용 영역(Availability Zone·AZ)을 개설한다고 밝히면서 영역을 확장 중이다.

현재 텐센트 클라우드는 효성ITX, 메가존클라우드, 캡클라우드 등과 협력하고 있다. 지난해 1월 한국정보보호관리체계(ISMS) 인증을 획득한 뒤 국내 투자를 확대하면서 게임사 중심으로 시장을 공략하고 있다

메가존클라우드는 국내 최대 MSP(클라우드관리기업) 기업으로 텐센트 클라우드의 파트너사다. 메가존클라우드에는 넥슨, 넷마블, 게임빌, 컴투스, 네오위즈, 카카오게임즈 등 국내 150여 곳의 게임사를 고객사로 확보 중이다. 이들 업체는 메가존클라우드를 통해 네트워크 환경 개선, 게임 서비스 플랫폼 등을 활용하고 있다.

문제는 메가존클라우드가 데이터를 위탁 서비스하는 텐센트 클라우드가 한국 사용자의 정보를 수집해 중국 당국에 제공할 수 있다는 점에서다. 중국은 2017년부터 국가보안법을 통해 기업들이 국가의 정보 수집에 필요한 자료 제공에 협력하는 것을 의무화하고 있다. 

중국 네트워크안전법 제37조에 따르면 핵심 정보 인프라 시설 사업자는 업무 데이터를 해외에서 저장 또는 해외기관 및 개인에게 제공해야 할 경우 안전 평가를 진행해야 한다. 개인정보보호법 제52조에는 "개인정보처리자가 중국 외부의 개인이나 조직일 경우 중국 내에서 개인정보보호 업무를 담당하는 전문 기관 또는 대표를 설정해야 하며, 이들의 명칭 및 연락처 등을 당국에 신고해야 한다"고 정의하고 있다. 데이터안전법 32조에는 "중국 경찰기관이나 국가안전부가 데이터 접근을 요청할 시 관련 조직이나 개인은 협조해야 한다"고 규정했다. 

법안 적용 대상이 외국 기관까지 포함되면서 중국 정부가 데이터를 마음껏 들여다 볼 수 있는 단초를 제공하고 있는 대목이다. 또한 내용 및 용어가 매우 모호하면서 개인정보를 비롯한 핵심 정보를 악용할 가능성도 높은 상황이다.

지난해 도널드 트럼프 전 대통령이 중국의 동영상 공유 앱 '틱톡'을 강제 매각하려던 이유도 여기에 있다. 트럼프 행정부는 미국인의 개인정보가 중국 정부에 넘어가 악용될 수 있다는 이유로 틱톡의 미국 사업체를 매각하라는 행정명령을 내린 바 있다.

텐센트 클라우드 역시 한국 리전에서 데이터가 저장되더라도 중국 당국의 요청이 있을 경우 개인정보를 포함한 자료를 제출해야 한다. 이에 대해 메가존클라우드는 국내 개인정보보호법 기반으로 금융이나 의료법 등 다양한 기준을 따른다는 점에서 문제가 안된다는 입장이다. 

한국 개인정보보호법규(정보통신망법)에는 정보통신서비스 제공자가 국내 이용자의 개인정보를 국외로 이전할 때에는 이용자에게 알리고 동의를 받거나 개인정보 처리방침을 통해 공개해야 한다고 정하고 있다. 즉 텐센트 클라우드가 게임사들을 비롯한 기업들의 정보를 중국에 보고할 경우 이용자 동의 및 공개를 해야되는 구조기 때문에 문제가 없다는 것.

메가존클라우드 관계자는 "개인정보가 위탁 불가능한 데이터는 규제상 클라우드 인증제를 확인받은 사업자만 사용할 수 있다"며 "개인정보 취급 관리는 SLA(서비스 레벨 어규먼트)에 따라 고객과 사업자의 서비스를 가지고 계약한 범위 내에서만 운영한다"고 말했다.

하지만 자료 제공을 의무로 요구할 수 있는 중국 보안법에 대해 국내 기업들이 조치를 취할 수 있는 법적 근거는 없다. 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 5항에 따르면 수탁자는 위탁받은 업무 범위를 초과해 개인정보를 이용하거나 제3자에게 제공해서는 안 된다고 명시한다. 이 마저도 영세한 사업자를 위한 조항으로 텐센트 클라우드와 같은 글로벌 기업에게 적용되지 않는다.

지난해 8월 출범한 개인정보 주체기관인 개인정보보호위원회(개보위)는 해당 사안에 대해서 "중국 보안법은 우리가 판단할 수 있는 사항은 아니다"라는 답변을 했다. 이어 국내 사업자가 해외 클라우드 사업자와의 사업 현황을 파악하기 쉽지 않다는 입장으로 일관했다.

개보위는 개인정보보호 정책과 법제도 관리 기능을 통합한 조직이다. 데이터3법(개인정보보호법·정보통신망법·신용정보법) 시행으로 행정안전부, 방송통신위원회, 금융위원회 등 여러 부처로 분산됐던 개인정보보호 기능이 일관된 국무총리 소속의 장관급 중앙행정기관이다.

개보위와 개인정보보호를 담당하는 과학기술정보통신부 산하 한국인터넷진흥원(KISA) 역시 개인정보 국외 이전과 관련한 국내 개인정보보호 장치가 현재로선 없다고 답했다. KISA 관계자는 "개보위와 해당 문제를 연구하고 개정안을 마련할 계획"이라고 말했다.

전문가들은 각국의 데이터 주권 경쟁이 활발한 상황에서 한국 정부의 미흡한 개인정보보호 수준에 대해 지적한다. 유럽연합(EU)이 2018년부터 개인정보보호규정(GDPR)을 통해 강력한 규제 수위를 높이고 있는 것과 상반된 행보다.

GDPR은 고객의 동의가 있을 때만 기업이 데이터 처리를 할 수 있는 것을 원칙으로 한다. 기업은 데이터를 필요 이상으로 오래 저장할 수 없고 데이터 삭제를 원하는 고객의 요청에도 응해야 한다. 이 규정을 위반할 경우 최대 2000만유로(약 260억원)나 글로벌 매출의 4% 중 많은 금액을 과징금으로 부과받을 수 있다. 우리나라의 개인정보보호법상 최대 벌금(5000만원)의 520배에 달하는 셈이다.

보안업계 관계자는 "국내 게임사들이 보유하고 있는 이용자들의 개인정보가 중국으로 유출될 경우 그 피해는 가능하기 어렵다"면서 "정부가 한국에서 서비스하는 해외 기업들에 대한 실태조사를 강화하고, 국내대리인 제도를 활성화시키는 등 방안을 강구해야 한다"고 조언했다.

한편 아마존웹서비스(AWS), 마이크로소프트(MS), 애저(Azure), 구글, 오라클 등 글로벌 기업들은 한국에 데이터센터를 보유하고 있다. 이들이 국내 클라우드 시장에서 차지하는 점유율은 70% 이상에 달한다.