[손승우의 지식재산통찰] 개인정보는 어떻게 국가안보의 무기가 됐나
최근 미국 정부가 데이터 유출을 안보 위협으로 규정하며 틱톡(TikTok)의 미국 사업부 매각을 강제한 사건은 글로벌 데이터 안보 갈등의 단면을 잘 보여준다. 이 같은 움직임은 갑작스러운 것이 아니다. 이미 2019년 미국 외국인투자심의위원회(CFIUS)는 성적 지향, 위치정보 등 민감정보의 중국 정부 노출을 우려해 중국 쿤룬에 데이팅 앱 ‘그라인더(Grindr)’의 지분 전량 매각을 명령한 바 있다. 이처럼 과거 군사기밀에 집중됐던 안보의 개념은 이제 데이터 자체로 확장되고 있다.

미국은 CFIUS를 통해 외국 자본의 투자와 인수합병을 심사하며, 최근 그 대상을 핵심 기술과 인프라를 넘어 민감정보로까지 확대했다. 지난 4월 중국 정부가 메타(Meta)의 자국 인공지능(AI) 스타트업 ‘마누스(Manus)’ 인수를 불허한 사건 역시 데이터와 기술을 전략 무기화하는 글로벌 추세를 고스란히 보여준다. 현재 일본은 ‘일본판 CFIUS’ 도입을 추진 중이며, 유럽연합(EU) 역시 외국인 투자 심사 시 민감정보 통제 가능성을 명시하는 등 규제를 강화하고 있다.

AI 시대에 대규모 데이터는 AI 개발의 원천이자 국가 경쟁력을 좌우하는 전략 자원이다. 실제 국내에서도 수천만 명의 이용자를 보유한 플랫폼과 데이터 기업이 해외 자본에 잇달아 인수되며 데이터 주권 유출 우려가 현실이 됐다. 하지만 우리 법제는 아직 사각지대에 놓여 있다. 개인정보 보호법은 정보 주체의 권리 보호에만 치중할 뿐 해외 이전이 국가안보에 미치는 영향을 통제하지 못한다. 산업기술보호법과 외국인투자 촉진법 역시 기술·방산물자·국가기밀 중심이어서 민감한 개인정보 자체를 안보 차원에서 심사하는 체계가 미흡하다.

이러한 상황에서 최근 산업통상부가 ‘외국인투자 촉진법 시행령’ 개정을 통해 국가안보 심의 대상에 개인정보를 포함하는 방안을 추진하는 것은 주목할 만하다. 국제적 흐름을 반영한 의미 있는 시도인 셈이다. 그러나 해결해야 할 과제도 적지 않다. 우선 심사 대상이 지나치게 확대되면 해외 투자 유치가 위축될 가능성이 있다. 또한 어떤 개인정보와 데이터가 국가안보에 영향을 미치는지, 이를 안보 심사 대상으로 삼아야 할 근거와 기준을 마련해야 한다. 그리고 심사 절차가 지체돼 기업 활동에 부담을 주지 않도록 데이터와 안보 모두를 이해하는 전문 인력 및 조직을 충분히 확보해야 한다.

CFIUS가 성공한 것은 50년 이상의 경험, 재무부를 중심으로 한 범정부 협업 체계, 그리고 수백 명 규모의 전문 인력이 뒷받침됐기 때문이다. 데이터 안보 심사 역시 산업부만의 과제가 아니라 개인정보보호위원회, 과학기술정보통신부, 국가정보원, 외교부 등 관계 부처의 유기적 협력이 전제돼야 한다.

국가안보의 경계는 변하고 있다. 과거 철강과 석유였던 전략 자산의 자리를 이제는 반도체와 AI, 데이터가 대신하고 있다. 외국 자본이 핵심 기술과 중요 인프라뿐 아니라 민감 정보를 확보하려는 경우, 우리는 이를 단순한 투자 문제가 아니라 경제 안보 관점에서 바라볼 필요가 있다. 한국형 데이터 안보 심사체계 구축은 더 이상 선택이 아니라 필수다.