[보안 실무] 데이터 국외 이전, 법적 요구사항과 실무 사이의 '회색 지대'

최근 기업들의 업무 환경이 SaaS(Software as a Service) 중심으로 급격히 재편되면서, 우리가 다루는 개인정보는 이미 국경을 자유롭게 넘나들고 있습니다. 하지만 보안담당자 입장에서 '국외 이전'이라는 키워드는 여전히 복잡한 법적 요구사항과 실질적 통제 불가능 사이의 아슬아슬한 줄타기와 같습니다.

오늘은 국내외 데이터 국외 이전의 법적 요건을 정리하고, 실무에서 마주하는 현실적인 한계들을 짚어보겠습니다.

---

1. 국내외 데이터 국외 이전의 법적 메커니즘

과거 우리나라의 개인정보 보호법은 정보주체의 '별도 동의'를 국외 이전의 거의 유일한 통로로 삼았습니다. 하지만 2023년 9월 개정법 시행 이후, 글로벌 스탠다드에 맞춰 그 경로가 5가지로 다양화되었습니다.

국외 이전이 가능한 5가지 요건

1. 정보주체의 별도 동의: 가장 확실하지만, 사용자 경험(UX)을 해치고 운영 리소스가 많이 듭니다.
2. 계약 이행 및 편의 증진을 위한 위탁/보관: (개인정보에 한함) 처리방침에 공개하거나 이메일 통지 시 별도 동의 없이 가능합니다.
3. 개인정보 보호 수준 동등성 인정(적정성 결정): 우리나라와 동등한 수준의 보호 체계를 가진 국가(예: EU 등)로의 이전은 자유롭습니다.
4. 개인정보 보호 인증(ISMS-P 등): 국내 인증을 받은 자가 국외로 이전하는 경우입니다.
5. 국가 간 조약/협정: 국가 간 합의된 바에 따르는 경우입니다.

---

2. 글로벌 SaaS 도입과 '위탁'의 딜레마

법령상으로는 깔끔해 보이지만, 실제 Atlassian, Notion, Slack 같은 글로벌 SaaS를 도입할 때 보안담당자는 혼란에 빠집니다.

"AWS는 괜찮다는데, Notion은 왜 안 될까?"

개인정보보호위원회(개보위)의 해석에 따르면, AWS 같은 IaaS는 인프라 제공자가 데이터에 접근할 수 없다면 '단순 보관'으로 보아 비교적 규제에서 자유롭습니다. 하지만 서비스 제공자가 데이터에 접근 가능한 구조인 SaaS는 '개인정보 처리위탁' 관계가 형성될 가능성이 매우 높습니다.

• DPA(Data Processing Addendum)의 한계: 대부분 글로벌 기업은 표준 계약서인 DPA를 제공하지만, 서명이 생략되거나 자사 약관 준수를 강요하는 경우가 많습니다. 이것이 국내법상 유효한 '문서에 의한 위탁 계약'으로 인정받을 수 있을지 늘 검토 대상입니다.
• 통제권의 실종: 국내법은 위탁자가 수탁자를 '실질적으로 통제'할 것을 요구합니다. 하지만 우리가 Notion이나 Slack의 서버실을 실사하거나 설정값을 강제할 수 있을까요? 사실상 SOC2 보고서 열람으로 갈음하는 것이 현실인데, 이는 법적 요구사항인 '실질적 통제'와 대치되는 지점입니다.

---

3. 보안담당자의 시선: 보이지 않는 위협과 제도적 변화

사고 모니터링과 국가적 리스크

국외로 이전된 데이터의 가장 큰 취약점은 '가시성'입니다. 사고가 발생해도 해당 기업의 공지가 있기 전까지는 인지하기 어렵습니다.

특히 특정 국가(예: 중국)의 경우, 국가 보안법 등에 의해 기업이 보유한 데이터를 정부가 합법적으로 열람할 수 있는 근거가 존재합니다. 이는 기업 대 기업의 계약(DPA)이나 기술적 암호화만으로는 해결할 수 없는 정치·지정학적 리스크이며, 보안담당자가 가장 우려하는 대목이기도 합니다.

동등성 인정 제도, 득과 실

최근 도입된 '동등성 인정' 제도는 불필요한 팝업 동의를 줄였다는 점에서 긍정적입니다. 하지만 동의 절차가 생략되면서 정보주체가 자신의 데이터가 어디로 가는지 알기 위해서는 스스로 처리방침을 찾아 헤매야 하는 '열람의 파편화'가 발생했습니다. 편의성과 투명성 사이의 새로운 트레이드오프(Trade-off)가 생긴 셈입니다.

---

4. 실무자를 위한 가이드: 무엇을 챙겨야 하나?

현실적인 제약 속에서도 보안 준거성을 확보하기 위해 다음 세 가지는 반드시 체크해야 합니다.

1. DPA 및 약관 현행화: 글로벌 서비스 이용 시 제공되는 DPA를 확보하고, 국내 개인정보 보호법의 필수 기재 사항(위탁 업무 목적, 재위탁 제한, 안전성 확보 조치 등)이 포함되어 있는지 대조해야 합니다.
2. 보완적 통제 수단 마련: 물리적 점검이 불가능하므로, 상대측의 SOC2, ISO27001 인증서를 정기적으로 수집하고 내부 위험평가 보고서에 기록으로 남겨야 합니다.
3. 데이터 분류의 철저화: 국외로 나가는 데이터 중 민감정보나 고유식별정보가 포함되지 않도록 마스킹하거나, 전송 전 필터링하는 기술적 조치를 선행해야 합니다.

---

마치며

데이터 국외 이전은 이제 선택이 아닌 생존의 문제입니다. 하지만 법과 현실 사이의 간극은 여전히 보안담당자의 몫으로 남아 있습니다. 규제 당국에서도 글로벌 클라우드 환경에 맞는 보다 실질적이고 구체적인 가이드를 제시해주길 기대해 봅니다.