[디지털데일리 김문기 기자] 오는 13일부터 열리는 국정감사에서 외산 스마트기기의 보안관리 체계가 다시 쟁점으로 부상할 전망이다. 최근 샤오미(대표 레이 쥔)를 둘러싼 보안 논란이 잇따르면서, 정부의 사후관리 부재와 개인정보 해외 이전 통제의 한계가 제도 전반의 구조적 허점으로 지적되고 있어서다.

샤오미는 올해 한국법인 ‘샤오미테크놀로지코리아’를 설립하며 공식 유통과 AS 체계를 정비했다. 국내 판매의 투명성이 높아졌다는 평가도 있었지만, 실제 데이터 관리와 보안 관제 기준은 여전히 불분명하다. 샤오미의 글로벌 개인정보 처리방침에는 '데이터가 제3국으로 이전될 수 있다'는 조항이 명시돼 있으며, 국내에서 수집된 이용자 정보가 어떤 국가의 서버에서 저장·처리되는지는 공개되지 않았다. 한국법인이 생겼다 해도, 데이터 통제권이 해외 본사에 머물러 있다면 감독당국의 실질적 관리 권한은 제한적이다.

이 같은 우려는 최근 글로벌 사례들로 구체화됐다. 샤오미는 지난달 운영체제 ‘하이퍼OS(HyperOS) 3’의 일부 기기를 지원 대상에서 제외하고, 중국 국경절 기간 동안 업데이트를 일시 중단한다고 공지했다. 연동 서비스 ‘미 커넥트(Mi Connect)’ 앱에서는 인증 로직 취약점이 발견돼 미국 국가취약점데이터베이스(NVD)에 CVE-2024-45347로 등록됐다. 취약점 공개 이후에도 신속한 보안패치나 사용자 공지는 이뤄지지 않았다는 비판이 제기됐다. 국내 이용자 입장에서는 자신이 쓰는 기기의 보안상태를 확인하거나, 보완 시점을 예측할 방법이 없는 상황이다.

KC(국가통합인증) 제도의 한계도 뚜렷하다. KC는 전자파·무선 적합성을 출하 전 검증하는 ‘정태적 인증’ 체계다. 제품이 출시된 이후 운영체제나 클라우드 구조가 바뀌더라도 재인증 의무가 없어, 인증 마크가 부착된 상태로 보안 리스크가 누적될 수 있다. 업계 전문가는 “KC는 출하 시점의 안전을 보증할 뿐, 사용 기간의 보안을 담보하지 않는다”며 “운영체제 변경이나 암호화 구조 개편 시 제조사가 정부에 변경 신고를 하고 표본 검증을 받는 제도가 필요하다”고 지적한다.

개인정보의 국외 이전 문제는 더 복잡하다. 개인정보보호법은 해외 서버로 데이터가 이전될 때 사전 고지와 동의, 보호조치를 의무화하고 있으나, 데이터의 저장·처리 권한이 해외 본사에 있을 경우 감독기관의 실질적 제재는 어렵다. 이용자가 동의 절차를 거쳐도 이후 데이터가 어느 국가에서 어떤 기준으로 관리되는지 확인할 방법이 없다.

보안패치의 불연속성은 소비자 피해로 직결된다. 샤오미를 비롯한 일부 외산 제조사들은 중저가 스마트기기의 보안패치를 1~2년 내 종료하는 경우가 많다. 이후 취약점이 발견돼도 대응이 이뤄지지 않아, 악성코드 감염이나 개인 데이터 유출 위험이 상존한다. 유럽연합(EU)은 사이버 회복력법(CRA)을 통해 디지털 제품에 최소 5년간의 보안패치 제공을 의무화했지만, 한국은 여전히 권고 수준에 머물러 있다. 정부는 내년 상반기 ‘디지털 제품 보안관리제’ 입법예고를 예고했지만, 산업계 부담과 소비자 보호 사이의 균형을 어떻게 맞출지가 관건이다.

국회 과학기술정보방송통신위원회(과방위)는 올해 국감 주요 현안 중 하나로 사이버보안 이슈를 이미 예고한 바 있다. 실제로 과방위는 최근 비공개 개인정보 유출 사고를 계기로 ‘보안점검 TF’를 구성했고, 해킹·정보보호 관리체계 전반을 점검하겠다고 밝혔다. 보안 관리체계 전반을 점검하는 과정에서 외산 스마트기기의 데이터 이전 및 사후관리 문제가 함께 논의될 가능성이 크다.

또한 한민수 의원(더불어민주당)이 발의한 정보통신망법 개정안, 김장겸 의원의 이동통신보안법안 등도 침해사고 대응과 이용자 알림 의무를 강화하는 내용을 담고 있다. 이번 국감에서 이들 법안이 논의될 경우 샤오미 사례가 구체적 질의의 근거로 등장할 가능성이 있다.

업계 관계자는 “국감은 제도적 허점을 드러내는 무대이기도 하다”며 “국외 서버 통제, 인증 사후관리, 보안패치 의무화 같은 쟁점은 외산 기업을 넘어 전체 산업 신뢰 문제로 이어질 수 있다”고 말한다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -