6월 총무성 성령 개정, 내년 여름 시행…통신장비·PC·서버·클라우드까지 규제 확대
|
이번 조치의 본질은 단순한 '보안 강화'가 아니다. 일본 정부가 중앙부처 조달 단계에서 사실상 진행해온 중국산 IT기기 차단을 지방정부까지 확장하는 것이다. 정부 관계자들은 이미 국가사이버통괄실과 경제산업성 인증 체계에 중국 제품이 포함돼 있지 않아, 새 제도가 시행되면 지자체 조달에서도 중국산이 사실상 배제될 것이라고 보고 있다. 일본 정부는 2018년 말부터 화웨이와 ZTE를 사실상 겨냥한 정부조달 배제 방침을 잡았고, 이후 중앙부처 조달에서 이를 지속해 왔다.
총무성은 단순히 새 장비 조달만 통제하는 데 그치지 않고, 지자체가 이미 도입한 중요 장비에 대해서도 안전성 조사를 진행할 계획이다. 별도 상담창구를 설치해 지자체 조달을 지원하는 방안도 포함됐다. 이는 지방정부가 디지털 전환 과정에서 값싼 장비나 외산 클라우드를 개별 판단으로 들여오던 구조를 중앙정부 인증 체계 아래로 묶겠다는 뜻에 가깝다.
|
일본이 지자체 조달을 정조준한 이유는 지방정부가 다루는 정보의 성격 때문이다. 지자체는 주민등록·세금·복지 같은 민감한 개인정보를 광범위하게 보유하고 있을 뿐 아니라, 자위대나 주일미군 기지가 있는 지역의 경우 안보 관련 정보까지 함께 관리하는 경우가 있다. 요미우리는 일본 정부가 특히 이런 지점 때문에 '위험한 제품'의 지방 유입을 막으려 한다고 전했다.
이 배경에는 일본 정부의 더 큰 판단이 깔려 있다. 일본 총무성 전문가회의 보고서는 국가와 지자체 시스템이 네트워크로 연결돼 있어, 지자체가 사이버공격을 받으면 피해가 정부기관으로 파급될 가능성이 크다고 분석했다. 국가사이버통괄실의 연차보고서도 정부기관 전반이 클라우드화와 원격업무 확산 속에서 공통된 위협에 노출돼 있다고 짚고 있다. 즉 일본은 이제 지자체를 행정 말단이 아니라 국가 사이버안보의 취약 고리로 보기 시작한 셈이다.
실제로 일본은 2024년 10월 지자체 정보보안 가이드라인을 개정했고, 올해 4월부터는 개정 지방자치법에 따라 모든 지자체에 사이버보안 기본방침 수립·공표 의무가 부과되는 흐름에 들어갔다. 이번 조달 인증 의무화는 그 연장선에서 나온 후속조치로 읽힌다. '디지털 전환'과 '보안'을 분리하지 않고, 조달 단계부터 국가가 직접 걸러내겠다는 구조 변화다.
일본 정부의 이런 조치는 한국에도 시사점은 적지 않다. 일본이 문제 삼는 것은 단순한 중국산 장비의 원산지가 아니라, 공공망 조달이 국가 공급망 보안과 직결된다는 점이다. 특히 지자체와 공공기관이 보유한 주민정보, 군 관련 시설 주변 정보, 클라우드 행정망이 중앙정부와 연결돼 있다는 점에서 일본은 '중앙부처만 막아서는 부족하다'는 결론으로 가고 있다. 한국 역시 공공·지자체 조달망을 값과 성능 중심의 행정 구매가 아니라 국가 사이버안보의 1차 방어선으로 다시 봐야 한다는 경고성 사례로 읽힌다.
