사이버 보안법 올 1월 전격 시행
우리나라의 소프트웨어 기업은 필연적으로 해외 진출을 목표로 하게 된다. 대한민국의 시장 규모와 산업구조를 생각할 때 중소기업일수록, 혹은 혁신과 성장을 지향하는 기업일수록 기회는 글로벌 시장에 있을 수밖에 없기 때문이다.
하지만 그럼에도 우리는 나라 밖의 시장 상황에 의외로 어둡다. 일본, 중국, 동남아를 향해서 이미 수많은 진출 시도와 좌절들이 있었음에도 그 시행착오와 노하우들은 공유되지 않은 채, 오늘도 많은 기업들이 해외의 낯선 길을 지도 없이 헤매고 있다. 한국 기업의 입장에서 현재 가장 핫한 해외시장은 단연 베트남이다. 베트남은 우리나라의 두 배 되는 인구 규모에, 우리나라의 7~80년대를 방불케 하는 고도성장이 한창 진행 중이다. 이미 삼성을 필두로 많은 우리 기업들이 베트남 시장에서 향후 한 세대의 먹 거리를 책임져줄 광맥을 찾아 분투 중이다. 문제는 너무 많은 신규 기업들이 베트남 시장의 화려한 성장세만을 생각하고 사업을 기획한다는 점이다. 베트남은 아직도 당이 시장을 통제하는 공산주의 국가이며, 베트남만의 사회적, 문화적 특수성이 시장질서 위에 군림하는 나라이다. 이런 새삼스러운 사실을 망각한 채 베트남 시장에 안이하게 접근할 경우 우리는 생각도 못한 재앙에 직면할 수 있다.
베트남 SW산업의 생태계가 뒤집힌다
2019년 1월 1일, 베트남에서는 사이버 보안법이 전격 시행되었다. 이에 따르면 베트남에서 활동하는 모든 서비스는 베트남만의 독자적인 규정들을 엄수해야 한다. 새로 만들어진 규정들은 놀랍도록 철저하고 광범위하게 베트남에 진출한 기업들의 일거수일투족을 간섭하고 제한한다. 이를테면 베트남의 중요 정보 시스템은 사이버 보안 평가, 검사 및 인증을 받은 후에 운영 및 사용하도록 규정하였으며, 경우에 따라서는 중요 정보 시스템이 아니더라도 사이버 보안 검사를 실시할 수 있다고 규정하였다(사이버보안법 제24조). 또 개인정보를 수집, 분석, 이용, 처리하는 국내외의 사이버 서비스 제공자 (Cyberspace Service Provider, CSP)는 현지 법인이나 대표사무소를 설립해야 하며, 모든 개인 정보는 베트남 내 서버에만 저장하고 해외 반출이 금지된다(사이버보안법 제26조). 이 데이터 현지화의 보다 근본적인 의미는, 기존에 존재하던 베트남 내 다양한 사이버 상의 법규들을 국외 서비스 기업에게 명시적으로 강제할 기반을 갖추게 된다는 것이다. 예를 들면, 전자상거래와 관련된 법령 52에는 우편이나 운송을 통해 상품을 전달하는 기업은 반드시 베트남 내 지분의 51% 이상을 소유한 현지 파트너를 통해 운송 면허를 취득해야 하며, 결제 역시 NAPAS라는 베트남 고유 시스템을 거쳐야만 하게 된다. 법령 181에는 베트남에서 온라인 광고를 게재하기 위해서는 오로지 베트남 소재의 회사를 통해서 계약할 것을 규정하며, 문화체육관광부에 서면으로 사전 제출해야 한다.
한류 등 문화콘텐츠를 다루는 국내 기업이라면 법령 72를 주목해야 한다. 콘텐츠 관리자는 베트남에 거주하는 현지인이어야 하며, MIC 소셜 네트워크 관련 라이선스를 취득해야 한다. 아울러 데이터 보존과 사용자 인증, 콘텐츠 관리 등에 대한 세세한 규정들을 준수함과 동시에, 사이버 보안법 8조에서 명기한 유해 콘텐츠가 게시되어선 안 되며, 정부 감독 기관의 수사 요청 시 관련 정보를 제공해야 한다. 콘텐츠에는 베트남 정부가 규정한 정치, 역사, 도덕 등 관련 분야의 가이드라인을 엄수해야 하는데, 베트남 정부의 공식 입장을 모른 채 특정 사안에 대해 별 생각 없이 언급한 것만으로, 해당 콘텐츠는 엄중한 법적 제제의 대상이 될 수 있다.
이렇듯 사이버 보안법은 정부의 산업 통제와 베트남 자국 기업 육성을 목적으로 모든 해외 기업의 활동에 무거운 패널티를 가하게 된다. 문제는 한국 기업들 대다수가 이런 변화를 아예 인지 못하고 있으며, 심지어 관련 정부 기관조차도 사이버 보안법의 시행 사실과 세부 조항들, 그리고 사업별 실행 상황에 대해 아직까지 제대로 파악하지 못하고 있다는 점이다. 미국, 일본, 캐나다, 유럽 각국 등 베트남에 진출해 있는 여러 선진국들의 경우 2018년에 사이버 보안법이 국회에서 통과된 후로 각종 채널들을 통해 정부 차원의 우려와 항의를 전달한 바 있다. 종사 분야별 법령 파악과 법적 대비 등 기업 차원에서의 대처도 해외 글로벌 기업들은 이미 구체적으로 대응 중이다. 반면에 베트남에 진출한 한국 기업들은 베트남 정부의 공격적 정책 앞에 사실상의 지원도, 보급도 없이 무방비로 노출된 상황이다.
베트남은 생각보다 어렵고, 더 어려워질 수 있다
필자가 베트남에서 진행하는 여러 사업 중 하나는 한국 서비스 기업들에게 베트남의 오프쇼어 개발 파트너를 매칭시키는 일이다. 특히 매칭 과정에는 해외에 진출하려는 국내 기업이 진행해야 하는 현지화 과정 전체를 단계별로 프로세스화 하였으며, 수십 여 기업들의 현장 경험을 바탕으로 한 현지화 지도를 자체 개발해 놓았을 만큼 전문성에 자부심을 갖고 있다. 그런 필자 또한 현지 법규 파악이 일부 미비한 경우, 난데없이 소환되어 문제 혐의 조사를 받기도 한다. 분명 한국에서라면 아무런 문제가 없을 만한 행동도, 국가와 문화가 다르면 상황 역시 달라지기 마련이고, 효율적인 활동을 위해 암묵적으로 활용하는 임시 조치들도 엄밀히 말해 불법인 경우가 많다. 보다 빠른 처리를 위해 별 생각 없이 진행한 일이 때로는 강제 추방과 재입국 금지 조치에 해당하는 범법 행위일 수도 있다. 안타까운 것은 이러한 위험 요소를 민간 기업의 해외 진출을 장려하는 국가 기관에서조차 인지하지 못하고, 심지어 권장하고 있다는 사실이다. 해당 해프닝들이 발생된 이후 내가 문제를 제기할 때까지 관계자들은 그것이 불법이라는 사실 자체를 모르고 있었다. 베트남 시장은 화려한 성장세에 있는 만큼 국내에서는 생각지도 못 했을 위험요소 또한 도사리고 있다. 이를테면 외국기업이 베트남에서 돈을 버는 건 자유지만, 번 돈을 베트남 바깥으로 반출하는 일이 생각보다 간단치 않다. 실제로 얼마 전 한국 중소SW기업이 베트남 사업으로 인해서 흑자 부도의 위기를 맞았다. 한국에서의 사업은 적자이고 베트남 사업은 흑자인데, 베트남에서 수익을 한국으로 송금하지 못해 어려움을 겪었다. 대표사무소는 사무소를 청산하는 시점에만 자금을 본국으로 송금할 수 있고, 현지 법인을 세웠다 해도 법인 결산이 끝나고 세금을 납부한 후 인보이스를 발행하되, 인보이스 내용을 세무 당국으로부터 검토 받는 등의 과정을 거쳐야만 자금 송금이 가능하다. 심지어 한국 정부기관의 현지 대표 사무소조차도 이러한 사항을 숙지하지 못하여 예산 환수 과정에서 큰 낭패를 본 일이 있다.
믿을만한 지원 및 한국기관은 없다
한국인이 베트남에서 사업을 한다는 것이 이렇다. 정부기관의 도움은 제한적인데다가 기관의 가이드라인을 따르더라도 오히려 그 때문에 문제가 생길 소지가 있으며, 문제가 생길 경우 대부분 혼자의 힘으로 수습해야 한다. 기업도 정부도 베트남에서 사업을 한다는 것의 특수성을 제대로 파악하지 못하고 있으며, 일부 기업들이 악전고투해서 이룩해 낸 성과도 파편화되어 사회적으로 공유되지 못하는 상태이기 때문이다.
사이버 보안법 문제가 가시화 되었을 때 나는 다시금, 어쩔 수없이 독자적으로 대처해야 했다. 베트남 시장 상황이 발칵 뒤집히게 생겼고, 심상찮은 사태에 많은 글로벌 기업들이 숨 가쁘게 대책을 마련하는 와중인데, 거기에 믿을만한 지원이나 가이드를 줄 수 있는 한국기관은 없었다. 결국 국내 업무를 중단시키다시피 하고 베트남에 장기간 체류하면서, 해당 법안 제정에 관여한 인물들을 일일이 찾아 만나고, 관련 감독기관 조사관들과 인터뷰를 진행했으며, 각 기업의 법률 대응 책임자들을 만나 대책을 교환했다. 사이버 보안법은 시행령 상에서 아직 미 공개된 내용이 있으며, 공개된 내용들도 개인이 쉽게 구할 수 있는 것이 아니다. 또한 해당 법조문을 구해서 분석한다고 해서 그것만으로 대처할 수 있는 것도 아니다. 법조문을 모두 읽고 숙지했다 해도, 해당 법령이 적용되는 분야의 실무 경험이 없을 경우 조문의 실제 맥락과 적용 방식을 완전히 오독할 수 있기 때문이다. 그렇기 때문에 법안 관련자, 감독 조사관, 실무 수행자를 모두 만나야만 개별 법령의 의미를 정확하게 파악할 수 있었다. 필자는 IT 관련분야와 베트남 시장상황에 정통한 편이고 기업의 베트남 현지화에 대해선 전문가라 자처하지만, 그럼에도 관련된 사항들을 정확히 파악하기 위해 한동안 생업을 접어야 했다. 지금 막 베트남 시장에 진입한 중소기업이라면 독자적으로 사이버 보안법 문제에 대처한다는 게 현재로선 불가능하다고 봐야 할 것이다. 어쨌든 어렵사리 발품을 팔고 직원들을 고생시킨 결과 사이버 보안법으로 인한 변화가 생각 이상으로 엄중하고, 그 대처가 까다로우며, 주요 글로벌 기업들은 이미 현지 법인을 만드는 등 발 빠른 대응에 들어갔음을 알게 됐다. 아직까지 대처가 미흡한 한국 기업들의 경우 지금이라도 서둘러 준비하지 않는다면 큰 어려움에 처할 가능성이 높다. 한국의 정부 기관은 이제 막 사이버 보안법의 시행 사실을 파악하고 심각성을 인지한 상황으로, 그것이 민간 기업에 미치는 구체적인 영향과 대처법, 그리고 정부 차원에서 대응해야 할 부분에 대해서는 아직까지 확실한 방향을 잡지 못 하고 있는 것이 현실이다.
[출처]
- 관련기사 :
http://www.itdaily.kr/news/articleView.html?idxno=95793