
19세기 말 영국에는 '적기조례(Red Flag Act)'라는 법이 있었다. 자동차가 마차보다 빠르게 달리지 못하도록 제한한 이 법은 기존 산업을 보호하려는 의도로 탄생했지만, 결과적으로 영국이 자동차 산업의 주도권을 독일과 미국에 내주는 결정적 계기가 됐다. 기술 변화의 속도보다 규제의 시각이 늦을 때 어떤 일이 벌어지는지를 보여주는 역사적 교훈이다.
최근 '데이터 주권' 논쟁이 다시 불거지고 있다. 개인정보보호위원회는 대주주 변경에 따른 개인정보 처리 영향과 국외 이전 가능성을 점검하기 시작했고, 국회에서는 대규모 개인정보의 국외 이전이 우려되는 인수합병(M&A)에 대해 사전심사를 의무화하는 법안까지 준비되고 있다. 데이터 안보에 대한 관심은 정당하고 필요하다. 그러나 논의가 '자본의 국적'을 중심으로 전개될 때, 우리는 정작 중요한 질문을 놓칠 수 있다. 데이터 주권의 본질은 과연 무엇인가?
국내 주요 대기업과 공기업 대부분은 독일 기업 SAP의 전사자원관리(ERP)를 수십년째 사용하고 있다. 국민 대다수의 스마트폰 연락처는 미국 기업 구글의 클라우드 서버에 자동 저장된다. 업무용으로 흔히 쓰는 줌이나 텔레그램의 데이터도 국경 없는 서버를 오간다. 실제로 국내 민간 클라우드 시장의 70~80%는 이미 해외 빅테크가 점유하고 있다. 그러나 우리는 이를 두고 '데이터 주권을 상실했다'고 말하지 않는다.
이유는 명확하다. 데이터 주권의 핵심은 시스템 소유자의 국적이 아니라, 해당 시스템 안에서 데이터가 어떻게 암호화되고 법적으로 통제되는가에 있기 때문이다. 고객의 동의 없이 데이터를 불법 활용할 수 없도록 하는 법적·기술적 장치가 작동하는지가 진짜 기준이다.
여기서 한 가지 주목해야 할 사실이 있다. 금융위원회는 2025년 12월 발표한 '기관전용 사모펀드(PEF) 제도 개선방안'에서 지나친 규제 강화에 따른 부작용을 다음과 같이 공식적으로 경고했다. 당시 금융위는 “지나친 규제 강화 시 해외 PEF와의 규제차익 등 부작용이 우려되는 만큼, 해외 주요국의 규제 체계에 대한 검토가 선행될 필요가 있다”며 “해외 PEF가 한국 M&A·구조조정 시장 주도권을 보유하게 되어 국부 유출 논란이 심화될 수 있다”고 강조했다.
데이터 규제 설계에서도 동일한 원칙이 적용된다. 자본의 국적을 기준으로 한 과도한 규제는 오히려 규제 사각지대에 있는 외국계 시스템의 영향력을 키우는 역설을 낳는다. 국내 자본이 운용하는 기업에는 엄격한 잣대를 들이대면서, 이미 진입해 있는 해외 시스템은 방치하는 구조가 된다.
더 나아가, 자본 국적 규제는 글로벌 자본 유치 자체를 위축시킨다. 금융위는 같은 문서에서 개선 방향의 기본 원칙으로 '글로벌 스탠더드에 부합하는 규제 정비'와 '공적 규제와 시장 규율의 균형'을 명시했다. 데이터 거버넌스도 마찬가지다. 주주의 국적을 따지는 것이 아니라, 국제적 보안 기준 준수 여부와 법적 통제 체계의 견고성을 심사해야 한다.

국내 기관전용 PEF 시장은 지난 20년간 글로벌 자본과 함께 성장해 왔다. 금융위 자료에 따르면 2004년 도입 이후 누적 4948개 기업에 249조원이 투자됐고, 이를 통한 기업가치 제고 효과는 평균 35%에 달하는 것으로 분석됐다. 그 성장세는 지금도 이어진다.
수많은 외국계 자본이 참여한 이 과정에서 '자본의 국적'을 이유로 한 데이터 유출이 구조적 문제로 부각된 사례는 없다. 공정거래위원회 자료를 보면 최근 3년간 외국계 사모펀드의 국내 기업 인수 규모는 약 75조원에 이르지만, 그 가운데 자본 국적에서 비롯된 데이터 유출 피해가 제도적으로 확인된 적은 없다. '외국 자본이 들어오면 데이터가 위험하다'는 공식이 성립하려면, 이 방대한 투자 이력 속에서 그에 상응하는 피해 사례가 있어야 한다.
물론 PEF가 단기 이익 추구, 피투자기업 가치 훼손, 내부통제 미흡 등의 한계를 드러낸 것은 사실이며, 이를 개선해야 한다는 금융위의 진단도 타당하다. 그러나 이는 자본의 국적과 무관한 거버넌스 문제이며, 해법은 자본 국적 규제가 아니라 투명성과 통제 체계 강화다.
데이터 주권을 논할 때 종종 간과되는 사실이 있다. 글로벌 기관투자자(LP)의 자금을 운용하는 대형 사모펀드 운용사(GP)는 오히려 국내 일반 기업보다 더 엄격한 환경·사회·지배구조(ESG) 및 거버넌스 기준 아래 놓여 있다는 점이다.
금융위도 이 점을 인식하여, 국내 PEF 개선방안에서 글로벌 스탠더드를 기준점으로 삼았다. 미국 SEC는 GP의 고의적 법령 위반 시 등록을 취소할 수 있고, EU는 중대한 사모펀드 규제법(AIFMD) 위반 시 인가를 취소한다. 이처럼 글로벌 시장에서 활동하는 대형 운용사는 자국 규제뿐 아니라 투자자가 소재한 각국의 기준을 동시에 충족해야 한다.
국내 제도 역시 같은 방향으로 빠르게 강화되고 있다. 금융당국은 2025년 12월 중대한 위법을 저지른 GP를 단 한 번의 위반으로도 시장에서 퇴출하는 '원스트라이크 아웃' 도입을 예고했고, GP 대주주 적격요건을 금융회사 수준으로 신설했으며, 일정 규모 이상 운용사에는 준법감시인 선임을 의무화했다. 인수 기업의 자산·부채와 유동성까지 정기적으로 당국에 보고하도록 하는 장치도 포함됐다.
데이터 유출은 기업의 고객 신뢰와 규제 리스크를 동시에 훼손하며, 결과적으로 투자 자산의 가치를 직접 깎는다. 글로벌 LP에 보고해야 하는 ESG 기준과 데이터 거버넌스 요건은 이런 구조로 인해 국내 일반 기업보다 엄격하게 작동하는 경우가 많다. '외국 자본=데이터 위험'이라는 단순 도식은 이 현실을 반영하지 못한다.
M&A 과정에서 데이터 국외 이전 가능성을 사전에 점검하는 제도는 필요하다. EU의 GDPR과 미국 CFIUS 강화 추세가 보여주듯, 글로벌 스탠다드도 같은 방향을 향하고 있다. 한국도 제도를 마련해야 한다. 실제로 현재의 기업결합 심사는 공정위의 경쟁제한성 판단과 금융당국의 자본 적격성 심사를 중심으로 이뤄질 뿐, 대규모 개인정보의 국외 이전 가능성을 검증하는 별도 절차는 비어 있다. 외국계 PEF 인수 건의 80% 이상이 평균 한 달 안에 간이심사로 승인되는 현실이 이를 보여준다.
다만, 금융위원회가 PEF 규율에서 '글로벌 스탠다드에 부합하는 방향'과 '공적 규제·시장 규율의 균형'을 강조했듯, 데이터 M&A 심사 제도도 같은 원칙 위에 설계돼야 한다. 심사의 기준은 자본의 국적이 아니라 데이터 통제 체계여야 하며, 핵심은 세 가지다.
'인수 기업이 ISO 27001, SOC 2 등 국제 보안 표준을 준수하는가' '데이터 접근 권한이 계약과 법령에 의해 명확히 분리되어 있는가' '고객 동의 없는 이전이 기술적·법적으로 불가능한 구조인가'.
아울러, B2C 대규모 개인정보 플랫폼과 B2B 기업 데이터 수탁 처리자에게 동일한 심사 기준을 적용하기는 어렵다. 전자는 수천만 이용자의 개인정보를 직접 보유하고 있어 위험도가 높은 반면, 후자는 고객 기업과의 계약 관계와 위탁 처리 규제 체계 안에 이미 놓여 있다. 이 구분이 입법 과정에 반영돼야 실효성 있는 제도가 만들어진다.
참고할 만한 사례도 있다. 프랑스가 자국 정보기관의 데이터 처리 사업에서 미국 팔란티어를 자국 기업으로 교체하기로 한 결정의 명분은 '자본이 미국계라서'가 아니라, 미국의 역외 관할권에 데이터 통제가 종속될 수 있다는 우려였다. 데이터 주권 강화의 글로벌 흐름조차 그 본질은 '국적'이 아니라 '통제권과 관할권'을 향하고 있다.
데이터 안보는 중요하다. 그러나 중요한 문제일수록 정확한 진단이 먼저다. 금융 당국조차 '자본 국적 기준 규제'가 오히려 외국 자본의 시장 지배를 강화하는 역설을 낳는다고 경고하는 마당에, 데이터 주권 논의가 같은 함정에 빠져선 안 된다.
국내 PEF 시장 20년의 역사가 보여주듯, 글로벌 자본은 위협이 아니라 기업 성장의 지렛대가 될 수 있다. 핵심은 그 자본의 국적이 아니라, 어떤 통제 체계 아래서 작동하느냐다.
진정으로 데이터 주권을 지키고 싶다면, 자본의 국적을 심사할 것이 아니라 시스템 통제 체계를 심사해야 한다.
글로벌 스탠더드에 부합하는 빈틈없는 데이터 거버넌스 체계를 갖추고 이를 제도로 뒷받침하는 것, 그것이 디지털 시대의 실질적 데이터 주권이다.
윤석빈 서강대 AI·SW 대학원 특임교수 seokbin7@gmail.com
〈필자〉트러스트 커넥터의 대표이자 서강대 AI·SW 대학원 특임교수, 동국대 국제 정보보호대학원 교수로 블록체인과 인공지능(AI)의 융합, 그리고 웹 3.0 생태계 확장에 주력하는 IT 전문가다. 기술과 인문학, 그리고 사람을 연결하는 '신뢰의 연결자(Trust Connector)' 역할을 자신의 정체성으로 삼고, 이를 비즈니스와 학계에서 실현해나가고 있다. 한국오라클과 한국IBM 등 IT 업계 경력을 바탕으로 현재 블록체인 및 AI 분야에서 깊이 있는 인사이트를 제공하고 있다.