中 IT보안강제인증제 내달 실시...업계 기술 유출 비상

중국 정부가 내달 1일부터 외국 기업의 정보기술(IT)보안강제인증제(ISCCCㆍIT Security China Compulsory Certification)를 시행하기로 함에 따라 우리나라 IT 제품의 기술유출에 비상이 걸렸다.

IT보안강제인증제는 중국 당국이 외국 기업으로부터 조달 받는 8개 분야의 13개 IT 관련 제품군에 대해 자체적으로 보안인증을 하겠다는 것으로, 이를 수용할 경우 수출 기업은 제품의 소스코드 등의 핵심 기술을 중국 당국에 공개해야 한다.

주요 품목은 통신안전, 데이터 안전, 콘텐츠 안전 등이며 주요 제품에는 안전격리와 정보교환 제품, 네트워크 해킹 스캐너 제품, 안전심사 제품 등이 해당된다. 대상 분야는 정부조달로 한정하고 국영기업(SOE)은 포함시키지 않는 방향으로 가닥을 잡았다.

더욱 심각한 문제는 이처럼 종류가 정해져 있음에도 해석하기에 따라 다양한 IT기기로 범위가 확대될 수 있다는 점이다. 예를 들어 방화벽을 쓰는 시스템은 네트워크로 연결되는 게임기와 인터넷TV(IPTV) 등으로, 보안운영 시스템 내장 제품은 휴대폰과 노트북 등으로 확대 적용될 수 있다. 이는 정보보안 강제인증의 파급이 일파만파 커질 수 있음을 의미한다.

글로벌 방식에서는 핵심 기술 유출 등을 우려해 각국이 자국 제품을 인증하면 상대국에서 이를 인정하는 방식을 취하고 있다. 강제인증제가 시행되고 이를 거부할 경우 중국 정부에 관련 제품을 납품하는 것은 사실상 불가능해진다.

◆ 주요국가 반발 심해 

중국의 이같은 결정에 미국ㆍ일본ㆍ유럽연합(EU) 등 주요국가들이 강력히 반발하고 있다. 당초 지난해 5월부터 시작할 예정이었던 이 제도를 1년 뒤로 미룬 것도 이들 국가가 공조해 강력하게 대응했기 때문이다.

지난 3월 제네바에서 열린 세계무역기구(WTO)ㆍ기술표준(TBT) 위원회에서도 중국의 정보보안제품 강제인증제도는 주요 화두로 떠올랐다.

실제 WTOㆍTBT 위원회 공식회의에서 일본과 EU는 중국이 국영기업을 제외하는 정부조달 범위로 적용대상을 축소한 것에 대해 긍정적으로 평가하면서도 여전히 불명확한 부분이 많다는 의견을 개진했다. 또 국제표준과 부합하지 않는 점과 소스코드 공개에 따른 기술정보 유출에도 우려를 나타냈다. 특히 EU는 중국과 지속적인 대화를 개별적으로 요청하고 있다.

일본은 가장 크게 우려하는 문제는 제록스ㆍ캐논 등 자국 IT업체들의 피해 외에도 중국에 소스코드를 공개했다가 역으로 그 소스코드를 통해 자국 시장 보안 시스템이 공격받을 가능성이 크다는 점을 지적했다.

미국도 일본ㆍEU의 의견을 지지하며 공립학교나 병원과 같은 준국영기업 성격의 기관들이 해당되는지 여부와 같이 정부조달 범위가 여전히 불명확하다는 점을 강조했다.

이에 대해 중국은 이 규정은 정부조달에 해당되므로 더 이상 TBT 위원회에서 논의되지 않기를 희망하며 양자협의나 다른 채널을 통해 계속 대화하겠다는 입장을 나타내고 있다. 중국 정부는 여러 국가들의 대응에 대해 오히려 내정간섭으로 해석해 불만을 갖고 있는 것으로 전해졌다.

따라서 중국의 ISCCC에 대한 양자채널 협의가 더욱 확대될 것으로 전망된다.

한국과 일본은 양자협의를 통해 중국 정보보안제품 강제인증과 관련한 공조활동을 위한 의견을 교환하고 불명확한 정부조달 범위 및 해외 업체들에 대한 불평등한 대우 등에 대해 계속 의견을 제기할 필요성이 있음을 공유했다.

특히 EU 측은 중국 기술규제에 대한 대응전략을 우리에게 소개하면서 향후 공조를 제안하고 있다. 정부의 한 관계자는 "그 전까지는 미국ㆍ일본과만 협력해왔지만 이제 공조대상의 폭을 더욱 넓히게 됐다"고 설명했다.

◆ 정부 국내 IT업계 뚜렷한 대책 없어 전전긍긍

중국의 이번 강제 인증제 실시로 국내 업계 피해가 예상되지만 실제적으로 뾰족한 대책이 없는 상황이다.

지난해 우리나라 IT기업들의 대중 수출액은 전년보다 2.7% 증가한 501억달러(현재 환율 적용 약 55조6,000억원)에 달한다. 하지만 강제인증이 IT기기 전 분야로 확대될 경우 수출이 크게 위축될 수밖에 없다. 특히 88억7,000만달러에 달하는 휴대폰은 적용대상이 확대될 경우 1순위로 꼽히는 분야다. 자칫 대중 수출에 심각한 차질을 빚을 수도 없다.

지경부 기술규제대응과 유중현 주무관은 “1차적으로 중국에 진출해 있는 보안업계의 피해가 예상 된다”면서 “현재 대책을 마련하고 있지만 외교적인 문제가 될 수 있는 사안이라 쉽지 않은 것이 사실이며, 정부차원의 입장정리가 선행되어야 구체적으로 대응할 수 있을 것” 이라고 밝혔다.

당장 피해가 예상되는 보안업계도 뚜렷한 대책이 없기는 마찬가지다. 기술유출을 막자면 최악의 경우 중국시장 철수도 검토해야하지만 쉽지않은 상황이다.

안철수연구소 측은 “현재는 우선 추이를 지켜보자는 입장” 이라면서 “구체적인 대응은 추후 결정할 것”이라면 답답한 심정을 토로했다.

SGA 측은 “사업을 철저히 현지화한데다 중국 정부 인증을 이미 받은 상태라 큰 피해는 없을 것”이라면서도 “다른 소프트웨어 업체의 피해가 있을 수 있다”며 우려를 표시했다.

정길현 지식정보보호산업협회 부장은 "단기적으로 관련 업계에 피해가 예상된다"며 "특히 신규로 중국시장에 진출하려고 준비했던 국내기업들이 위축될 수 있다”고 우려하며 “차후 협회 차원의 대책을 강구하고 있다”고 말했다.

삼성전자와 LG전자 등 국내 IT기업들은 바짝 긴장하고 있다. 삼성 LG등 삼성전자는 현지법인을 통해 중국 정부에 구체적인 내용을 문의하며 상황파악에 나서는 등 촉각을 곤두세우고 있다. LG전자 역시 중국법인을 통해 최근 중국 정부에서 제시한 가이드라인 등을 입수해 검토작업을 벌이고 있다.