인도, 스마트폰 소스코드 제출 의무화 검토...애플·삼성·구글 “세계적 전례 없다” 반발

인도 정부 "보안 취약점 직접 검증" vs 업계 "핵심 기밀 유출 위험"
자동 악성코드 검사·로그 1년 저장 의무화, "배터리 광탈·저장공간 부족"
모디 '디지털 안보' 강화...7억5000만대 시장 걸린 규제 전쟁

나렌드라 모디 인도 총리(왼쪽 네번째)가 11일(현지시간) 인도 구자라트주 소므나트 사원에서 열린 소므나트 스와비만 파르브(Somnath Swabhiman Parv) 축제에서 인도국민당(BJP) 현지 지도부로부터 화환을 받고 있다./로이터·연합

인도 정부가 스마트폰 제조사들에게 소스코드(Source Code) 제공, 소프트웨어(SW) 업데이트 사전 보고, 자동 악성코드 검사 등을 의무화하는 고강도 보안 규제를 추진하면서 글로벌 '빅테크' 기업들과 정면으로 충돌하고 있다.

나렌드라 모디 정부가 '디지털 주권'과 '국가 안보'를 명분으로 내세운 이번 조치에 대해 삼성전자·애플·구글·샤오미(小米) 등 주요 기업들은 해당 요구가 기술적 영업 기밀과 사용자 프라이버시를 근본적으로 침해한다며 강력히 반발하고 있다.

2025년 12월 4일(현지시간) 찍은 일러스트레이션에 인도 국기·삼성·애플·구글 로고 및 감시 카메라가 보인다./로이터·연합

◇ 로이터 "83개 보안 기준의 핵심은 '소스코드'… 인도 정부 지정 기관서 검증"

로이터통신은 11일(현지시간) 인도 정부가 추진 중인 '인도 통신 보안 보증 요구사항(Indian Telecom Security Assurance Requirements·ITSAR)' 초안을 입수해 이같이 보도했다. 이 규정은 총 83개에 달하는 광범위한 보안 표준을 포함하고 있으며, 그중 기술 기업들이 가장 민감하게 받아들이는 대목은 '소스코드 접근 권한'이다.

소스코드는 SW를 구동하는 기본 설계도로, 정보기술(IT) 기업에 가장 핵심적인 영업비밀이자 지식재산권(IP)이다. 소식통은 "소스코드 공유는 매우 논쟁적인 사안"이라고 말했다.

새로운 규정에 따르면 스마트폰 제조사는 기기의 '완전한 보안 평가'를 수행해야 하며, 이후 인도 정부가 지정한 현지 시험 기관(labs)이 제조사의 보안 주장을 검증하기 위해 소스코드를 직접 분석하고 테스트할 수 있는 권한을 갖게 된다.
이는 사실상 민간 기업의 핵심 기술 내부를 정부가 들여다보겠다는 의미로 해석된다.

미국 네바다주 라스베이거스에서 열린 소비자 가전 전시회(CES)를 앞두고 4일(현지시간) 진행된 삼성전자 '퍼스트 룩' 행사에서 한 참석자가 삼성 갤럭시 Z 트라이폴드 스마트폰 디스플레이를 접고 있다./AFP·연합

◇ 업계의 격렬한 반발..."비밀 유지와 프라이버시 때문에 불가능"

삼성·애플·구글 등을 대변하는 인도 정보기술제조업협회(MAIT)는 전자정보기술부(MeitY)와의 비공개 회의 문건을 통해 이 같은 제안이 기밀 유지 및 프라이버시 문제로 '불가능하다'는 입장을 전했다.


협회는 "유럽연합(EU)·북미·호주·아프리카의 주요 국가들도 이러한 요건을 의무화하지 않는다"며 인도 정부의 요구가 국제적 통상 규범과 전례를 완전히 벗어났다고 지적했다.

실제로 애플은 2014년부터 2016년 사이 중국 정부의 소스코드 공개 요청을 거부한 바 있으며, 테러 수사 목적의 미국 법
집행기관의 요청에도 응하지 않을 만큼 소스코드 보안을 철저히 유지해 왔다.

루웨이빙(盧偉氷) 샤오미 사장이 2025년 12월 25일 중국 베이징(北京)에서 열린 '샤오미 17 울트라 바이 라이카' 출시 행사에서 연설하고 있다./EPA·연합

◇ 배터리 급속 소모·저장공간 부족 등 기술적 현실성 결여

인도 정부의 83개 보안 표준에는 소스코드 공개 외에도 기술적으로 구현이 어렵거나 사용자 경험(UX)을 심각하게 저해할 수 있는 조항들이 다수 포함돼 있다. 대표적인 쟁점 사항은 △사전 설치 애플리케이션 삭제 허용 △앱의 백그라운드 카메라·마이크 접근 차단 △자동·정기적 멀웨어(악성코드) 검사 △주요 SW 업데이트·보안 패치 사전 통보 △시스템 활동 기록(로그) 데이터 12개월 저장 등이다.

업계는 정부가 요구하는 '정기적인 멀웨어 검사'가 스마트폰 배터리를 상당히 소모한다고 지적했다.

또한 보안 패치나 주요 업데이트를 배포하기 전에 정부 기관인 '국가통신보안센터(NCCS)'에 미리 통보하고 테스트를 거치게 하는 절차도 도마 위에 올랐다. 보안 위협에 대응해 즉각적으로 이뤄져야 할 패치가 관료주의적 절차로 인해 지연될 수 있다는 것이다.

협회는 "SW 업데이트는 신속하게 배포돼야 하므로 정부 승인을 구하는 것은 '비현실적'"이라고 비판했다. 모든 로그 데이터 보관 요구에 대해서도 "기기에 1년치 로그 기록을 저장할 충분한 공간이 없다"고 지적했다.

◇ 인도 전자정보기술부 "아직 법제화 전...업계와 협의 진행"

인도 매체 인디아뉴스네트워크는 이번 규제의 주도권이 기존 통신부(DoT)에서 전자정보기술부로 넘어갔다고 전했다. 통신부는 네트워크 인프라 보안을, MeitY는 모바일 단말기 보안을 전담하는 것으로 역할이 분담됐다는 설명이다.

전자정보기술부는 아직 법제화 이전 단계로 업계와 협의가 진행 중이라며 진화에 나섰다.

S. 크리슈난 차관은 로이터에 "업계의 정당한 우려는 열린 마음으로 해결할 것"이라며 "더 깊이 해석하는 것은 시기상조"라고 말했다.

한 관리는 "ITSAR 표준에 따라 MeitY가 휴대전화 관련 안전 문제를 다루도록 권한을 부여받았으며, 업계 관계자들과 원활하게 대화하고 있다"고 말했다.

판카즈 모힌드루 모바일가전협회(ICEA) 회장도 "정부가 업계와 이러한 논의를 하는 것은 지극히 정상적이고, 당장 우려할 만한 이유는 없다"며 "협의 과정이 개방적이고 투명하다"고 말했다.

◇ 모디 총리의 강행 의지와 7억5000만 시장 경쟁 업계의 딜레마

하지만 모디 총리는 급증하는 온라인 사기와 데이터 침해 사고를 막기 위해 강력한 보안 대책이 필요하다는 입장을 고수하고 있다. 인도는 현재 약 7억5000만대의 스마트폰이 사용되는 세계 2위의 거대 시장이다. 시장 조사기관 카운터포인트 리서치에 따르면 샤오미(19%)·삼성(15%)·애플(5%) 등이 치열한 점유율 경쟁을 벌이고 있다.

글로벌 기업들에게 인도는 포기할 수 없는 핵심 시장이지만, 이번 규제가 현실화될 경우 감수해야 할 리스크가 너무 크다는 것이 딜레마의 핵심이다.

이번 사태는 단순한 보안 정책의 문제를 넘어선다. 인도 정부는 과거에도 국영 사이버 보안 앱 설치를 의무화하려다 감시 우려로 철회한 바 있으며, 중국의 스파이 행위를 우려해 보안 카메라에 대한 엄격한 테스트 규칙을 강행하기도 했다.