최근 화두인 4차 산업혁명, 디지털 전환은 정보시스템 관점에서 전 산업의 기존(레가시) 시스템을 클라우드 컴퓨팅 환경으로 바꾸고, IoT 등으로 각종 데이터를 수집·저장해 인공지능으로 기존 서비스를 개선하거나, 새로운 혁신적인 제품·서비스를 제공하는 것이다. 산업 관점으로 볼 때 디지털플랫폼 기반의 서비스 제공 기업, 즉 SaaS(Software as a Service) 기업이 경제를 주도하는 디지털 경제로의 진전을 의미한다. ITIF 보고서(2018)에 따르면 2015년에 국경 간 데이터 흐름의 가치가 상품거래 가치를 처음 초과했고, 향후 10년 동안 세계 경제에서 창출되는 모든 가치의 50%는 디지털로 창출되며, 전 세계 50% 이상의 기업이 클라우드 컴퓨팅을 위한 데이터 흐름에 의존한다고 발표했다. 

이러한 글로벌 디지털 경제화 추세에 세계 각국은 디지털세 도입과 데이터 현지화 정책으로 대응하고 있다. 전자는 디지털 서비스 기업이 해외국가에 물리적인 정보시스템(혹은 사업장)을 설치하지 않고 수익을 창출하더라도 초과 이익의 25%를 세금으로 부과하는 것으로, 올해 10월 개최된 OECD 총회에서 합의돼 2023년부터 본격 시행될 예정이다. 후자는 디지털 서비스 기업의 자국 진입을 규제해 자국 기업의 보호와 육성을 도모하는 디지털 비즈니스 무역장벽이다. 예컨대 어느 한 국가에서 5년간 데이터 규제가 1포인트 증가하면, 총 무역량은 7%, 생산성은 2.9% 감소하고, 다운스트림 가격이 1.5% 인상된다.

본 기고는 과거의 보호 무역주의와 다르게 새롭게 부상하는 데이터 보호주의에 대한 주요 국가들의 정책 동향을 살펴보고, 베트남 시장을 중심으로 관련 법령을 분석해 우리 클라우드 컴퓨팅 서비스(PaaS/SaaS) 기업의 진출방안을 제언하고자 한다.

▶ 데이터 현지화(Data Localization)란, 데이터의 국가간 이동을 규제하는 법률

디지털 경제에서 디지털 서비스 기업은 특정 국가 내에서 생성된 데이터를 수집·저장·처리하는 장소를 어디(자국, 진출 국가 혹은 제3국)로 할 것인지와 이러한 데이터를 타 국가로 이전할 필요가 있을 때 국경 간 데이터 흐름(flow) 문제가 발생한다. 데이터 현지화는 클라우드 컴퓨팅 서비스 등 디지털 서비스 기업이 해외국가에 진출할 때 데이터(원본 혹은 사본)를 반드시 해당 국가에 설치된 서버(IaaS : Infra as a Service)에 저장하거나, 이것을 해당 국가 밖(국경)으로 이동하는 것을 규제하는 법률을 시행하는 것을 말한다. 즉, 자국 내에 생성된 데이터를 수집·저장·처리(데이터 현지화)하게 하고, 이 데이터를 타국으로 이동할 때 정보 주체의 동의 혹은 정부 승인(국경 간 데이터 이동)을 받게 하는 것이다. 대부분 국가는 이러한 2가지 사항을 개인 정보 프라이버시 보호, 데이터 주권, 국가안보 등을 이유로 정당화하는 법률을 제정해 소위 '데이터 보호주의' 정책을 시행하고 있다. 

▶ 데이터 현지와의 규제 방법은 다양... 규제 강도에 따라 구분 

주요 국가가 취하고 있는 규제 방법은 크게 디지털 서비스 기업의 관련 데이터를 반드시 자국 내에 저장하게 하거나(데이터 현지화), 국경 간 데이터 흐름을 제한하는 것으로 구분할 수 있다. 그런데 아래 그림과 같은 변수가 나타난다. 데이터 현지화 규제가 국경 간 데이터 이동을 제한하는 선행 요인으로 작동한다. 즉 규제 강도(데이터 현지화 규제 없음 vs. 있음)에 따라 국경 간 데이터 이전이 자유로움(Free), 조건부 이동 허용, 금지로 구분된다.

또한 아래 표(좌측)와 같이 데이터 저장 장소와 국경 간 이전을 혼합해 보면 규제 없음(①)에서 국경 간 데이터 이전 금지(⑤)까지 규제 강도 기준으로 구분된다. 그리고 아래 우측 표와 같이 로컬 데이터 미러링, 명시적·사실적 로컬 저장·처리 등 기술적 방법을 법률에 반영할 수도 있다. 특히 사실적(De factor) 로컬 저장과 처리 조건은 기업에 매우 불리하다.

▶ 세계 주요 국가별 정책 동향... 중국은 엄격·미국은 자유·한국은 중간

주요 국가별 데이터 현지화 정책 동향은 세계적으로 2017년에 35개국(67건 제한 조치)에서 2021년 62개국(144건)으로 4년 동안 2배(건수) 이상 증가하고 있다. 주요 국가별 데이터 현지화 정책에 대한 태도를 살펴보면 옹호 그룹(적색), 태도 유보 그룹(흑색), 조건부 허용(초록, 오렌지)그룹으로 각각 구분된다. 즉 ICT 개발 수준이 높고(낮고), 사이버 보안 위협이 낮은(높은) 국가에서 자유로운 데이터 흐름을 선호(금지)하는 태도를 보인다.

구체적으로 매우 엄격한 규제를 시행하는 국가는 중국(Security first), 베트남, 인도, 러시아, 터키 등이다. 반면 자유로운(free) 국가는 미국, 벨기에, 네덜란드 등 유럽(Privacy first)과 일본, 대만 등이다. 중간 수준의 덜(less) 제한적인 나라는 한국을 포함해 영국, 싱가포르, 스페인, 스웨덴 등이다.

아세안(ASEAN) 국가는 관련 법률 부재(라오스, 캄보디아, 브루나이, 미얀마)와 법률 제·개정 단계 그룹(베트남, 인도네시아, 필리핀, 태국)으로 구분된다. 단, 말레이시아와 싱가포르는 국가 전략 수립, 분야별 규제, 국제협력, 인지도 제고 등에서 앞서가고 있다.

우리나라는 개인정보 보호법, 클라우드 컴퓨팅법 고시 등 조건부 현지화 정책으로 중상위에 위치하는 것으로 파악된다. 구체적으로 디지털 비즈니스 용이성 지수(EDDB: Ease of Doing Digital Business)는 2.86/5.0으로 중위권, 디지털 무역 엄격성 지수(DTRI: Digital Trade Restrictiveness Index)는 15위(65개국)에 위치한다. 특히 2019년에 개정된 개인정보 보호법은 국내에 사무소가 없는 외국 기업의 경우 규정을 준수를 담당하는 현지 법인(한국 기업)을 지정하게 해 국내기업과 파트너십 체결로 진출할 것을 요구한다. 혹은 공간 정보의 국외 이동은 금지하고 있다.

▶ 베트남 데이터 현지화 정책 현황... 디지털 서비스 기업 최소 1대 이상의 서버 설치

베트남의 데이터 현지화 관련 법령은 인터넷법 개정안(정보통신부)과 개인 정보 보호법 제정안(공안부)이 의견수렴 중이고, 사이버 보안법(공안부)은 2019년부터 발효되었다. 요약하면 베트남에 서버 1대 설치(인터넷법), 원본 데이터 베트남 저장(사이버 보안법, 개인 정보 보호법), 국경 간 데이터 이전 허용 조건이 핵심이다.

구체적으로 디지털 서비스 기업은 베트남에 최소 1대 이상의 서버를 설치해야 한다. 사이버 보안법은 결제 서비스 등 10개 유형 중에 어느 하나에 해당하고, 베트남에 필수 보관 자료를 수집·이용·분석·처리하는 경우와 같이 4개 조건 모두에 해당하면, 베트남에 반드시 원본 데이터를 저장하고 현지사무소를 설립해야 한다. 개인 정보 보호법은 베트남 개인 데이터는 명시 조건(4개 조건 모두 충족)과 예외 조건(4개 조건)에 해당할 때, 베트남 영토 밖으로 이전할 수 있다.

또한 베트남 공안부는 사이버 보안법 행정 명령(Decree 15/2020/NĐ-CP)으로 사이버 보안법 26.3조에 따라 베트남에 데이터를 저장하지 않거나, 지사 또는 대표 사무소를 설립하지 않는 회사는 최대 2억 VND(약 8,600 달러) 규모의 벌금에 처하는 등 데이터 현지화 관련 위반, 사용자 데이터 관련 위반 시 제재를 시행하고 있다. 마찬가지로 개인정보 보호법 위반도 정보 주체 동의 위반, 개인정보 처리 고지 관련 위반, 개인정보 보호 조치 위반, 국가 간 데이터 이동 관련 위반 등 제재가 시행되고 있다.

상기와 같은 베트남의 데이터 현지화 관련 법령이 현재 의견수렴 중에 있다는 것을 고려하더라도 법령 상호 간에 충돌로 모호하게 되어 있다. 즉, 이러한 규정은 앞에서 살펴본 사실적 로컬 저장과 처리(De facto local storage & processing) 규제 방법이다. 이것은 법령에 엄격한 데이터 이전 요구 사항(사전 승인과 명시적 동의)을 포함하고, 데이터 이동에 대해 법적으로 불확실하게 데이터를 로컬에 저장하게 명시하는 것이다. 따라서 베트남의 규제 방법과 위반 시 제재(벌금 등), 그리고 베트남 정부 당국의 자의적 해석과 임의적 집행이 결합될 때 우리 기업이 난처한 상황과 위험에 빠질 수 있다. 

▶ 우리 PaaS/SaaS 기업의 베트남 진출방안은? 베트남 관련 법률 상황을 주시 

따라서 우리 기업이 베트남 진출방안을 다음과 같이 제안한다. 첫째, 우리 기업은 베트남의 관련 법률에 대한 제정·개정 상황을 예의 주시해야 한다. 둘째, 현재 상황에서 우리 기업의 베트남 진출방안이다. 우리 기업은 클라우드 솔루션을 온 프레미스(On-Premise 또는 라이선스)로 베트남에 판매할 때는 현재의 데이터 현지화 조건을 회피할 수 있다. 왜냐하면 우리 기업은 베트남 고객에게 관련 솔루션을 패키지로 설치하거나 커스터마이징(패키지 수정)하는 것이므로 데이터 현지화 관련 규정을 지킬 의무가 없어지기 때문이다. 따라서 본 기고에서는 라이선스 판매는 제외하고 디지털 서비스(SaaS, PaaS) 기업의 진출방안을 제언한다.

우리 기업의 베트남 진출방안은 크게 현지사무소를 설립하는 직접투자(FDI)와 자사의 솔루션을 베트남 시장에 판매하거나 기술적 지원을 담당하는 현지 기업(파트너)과 제휴해 판매하는 방법, 그리고 국내외에 설치된 IaaS를 활용해 온라인 서비스를 제공하는 세가지 방안이 있다. 전자는 우리 중소기업이 부담할 비용 등을 고려할 때 현실적으로 어려운 대안이다. 따라서 베트남 현지에 IaaS를 운영(기술)하며 판매(마케팅) 활동을 수행할 수 있는 베트남 현지 기업을 파트너로 구축해 진출하는 것이 가장 바람직하다. 마지막 대안인 온라인 서비스로 제공하기 위해서는 베트남 관련 법령을 반드시 검토해야 한다. 즉, 베트남 내에 원본 데이터 저장 조건 기준으로 대략 6가지 IaaS 활용 방안이 가능해 이 중에서 어느 하나를 선택하면 된다.

하지만 현재 베트남에서 의견수렴 중인 법령이 초안 그대로 결정된다고 가정하면, 우리 SaaS 기업은 베트남 기업 중에서 IaaS 운영(기술)과 판매(마케팅) 활동을 담당할 현지 기업(VNPT, FPT, CMC 등)과 파트너십으로 진입하는 모델(③)이 가장 바람직하다. 물론 이 경우에 사전에 파트너사의 기술력 등을 면밀하게 검토할 필요가 있다.

또한 우리 PaaS 기업은 베트남 SaaS 기업을 주요 고객으로 서비스를 제공하기 위해 베트남 파트너에게 PaaS를 설치하면 된다. 이때, 우리 PaaS 기업과 베트남 파트너 간에 커뮤니케이션과 베트남 고객에 대한 기술지원 등은 온라인으로 처리해 우리 기업의 기술진이 베트남에 상주할 필요가 없게 되면 비용을 줄일 수 있다. 한편 우리 SaaS 기업은 베트남에 이미 진출한 PaaS 기업을 활용하면 동반 진출이 가능하다. 이 경우에도 우리 SaaS 기업은 한국에서 온라인으로 서비스 개발·테스트·배포·업데이트·운영이 가능해 베트남에 기술 인력 파견 등 투자(비용) 부담이 획기적으로 경감된다. 예를 들면 국내에서 PaaS를 서비스하고 있는 N사는 이미 일본 시장에 200여 고객사를 확보한 파트너와 협업해 일본 IaaS 기업(퍼블릭 클라우드)에 PaaS를 설치(일본 전국에 6개 지역)하고 서비스 중으로 이미 기술적 실증이 완료되었다.