말레이시아 정부는 2024년 연초부터 잠재 위협에 대비하기 위해 사이버 보안에 대한 높은 수준의 전문성을 유지해야 한다고 강조했다. 말레이시아 정부는 사이버 보안을 강화하기 위해 여러 이니셔티브를 시행했는데, 사이버보안 전문가 육성 프로그램이나 해외 전문 인력 유치, 말레이시아 AI파크 조성을 위한 투자 유치, 그리고 사이버 보안법 2024 시행 등이 있다. 특히 말레이시아 정부는 최근 사이버보안을 강화하기 위한 법안을 잇따라 발의하고 있어 우리 진출 기업들의 모니터링이 필요한 시점이다. 

사이버 보안법 도입 배경

스태티스타 통계에 따르면, 2024년 1월 기준 말레이시아는 아시아에서 인터넷 보급률이 가장 높은 국가로 97.4%를 기록했으며, 한국(97.2%)보다 높은 수준이다. 말레이시아의 인터넷 사용자 수는 2023년에 3300만명에 달했는데 이는 말레이시아 전체 인구의 약 96%에 해당한다. 말레이시아의 인터넷 보급률이 높은 배경으로는 인터넷 접근성이 높고 저렴한 인터넷 비용이 있다.

한편 말레이시아인의 사이버 보안에 대한 인식도는 낮은 수준이다. 디지털부 산하 국가 사이버 보안 전문 기관인 사이버시큐리티 말레이시아(Cyber Security Malaysia)에 의하면 2023년 온라인 사기가 가장 많이 발생한 국가는 말레이시아다. 사이버보안 말레이시아가 발표한 사이버 보안 사고 유형 중 가장 많은 유형은 온라인 사기로 약 4천 건에 달했다. 다음으로는 콘텐츠 관련 보안 사고, 악성 코드 배포 등이 뒤를 이었다.

<2023년 말레이시아 사이버 보안 사고 건수, 범죄 유형별>

 [자료: 사이버시큐리티 말레이시아, Statista]

사이버보안 전문업체 Cisco의 2024 사이버 보안 준비도 지수(Cybersecurity Readiness Index)에 따르면 말레이시아의 조직 중 2%만이 최신 사이버 보안 위험에 대응하는 데 필요한 '성숙한' 수준의 준비도를 갖추고 있는 것으로 나타났다. 개인 차원에서는 말레이시아 인터넷 사용자의 약 40%가 사이버 범죄를 경험했지만, 18.9%만이 관련 당국에 신고했다. 사이버 공격의 피해를 입은 사람들 중 대다수는 문제를 확대하지 않거나 자신을 보호하기 위한 추가 조치를 취하지 않았는데, 사이버 보안 위협의 심각성에 대한 인지도가 낮은 것으로 볼 수 있다.

말레이시아 정부는 말레이시아인의 사이버보안에 대한 인식을 제고할 필요성을 느끼고 있다. 사이버 보안에 대한 정부의 규제는 조직이 따라야 할 명확한 지침, 표준 및 관행을 확립함으로써 전반적인 보안을 개선하는 데 도움이 될 수 있으며, 추후 개인 대상 인식 제고 교육까지 이어질 것으로 예상된다.

말레이시아 사이버 보안 담당 주요 부처

말레이시아에는 국가 사이버 보안 및 데이터 보호를 담당하는 3개의 주요 기관이 있다. 먼저 사이버보안 말레이시아(CSM)는 디지털부 산하 국가 사이버 보안 전문 기관으로 디지털 시스템의 취약성을 줄이고 동시에 사이버 공간에서 말레이시아의 자립을 강화하기 위해 사이버 보안 혁신 주도 서비스, 프로그램 및 이니셔티브를 제공하는 역할을 담당한다.

둘째, NACS(National Cyber Security Agency)는 사이버 보안 분야 최고의 전문가와 자원을 조정하고 통합하여 말레이시아의 사이버 보안 대응 능력을 강화하는 것을 목표로 하는 국가 기관이다. 사이버 보안법 2024의 세부 기준과 시행은 NACSA의 공식 웹사이트에서 발표될 예정이다.

마지막으로 사이버 보안에 있어 개인 정보 보호도 빼놓을 수 없는 부분이다. JPDP(Jabatan Perlindungan Data Peribadi, 개인 데이터 보호부)는 통신 멀티미디어부(KKMM) 산하 기관입니다. JPDP는 말레이시아에서 개인정보 보호법(Personal Data Protection Act, PDPA)를 시행하고 규제하는 책임이 있다. PDPA는 주로 상업적 거래에서의 개인 데이터 처리 및 개인 데이터 오용 방지와 관련있다.

말레이시아 정부의 최근 사이버 보안 관련 3가지 정책

말레이시아 정부에서 최근 중점적으로 추진하고 있는 사이버 보안 관련 정책은 크게 ①사이버 보안법 2024, ②개인정보보호(개정) 법안 2024, ③소셜 미디어 및 인터 메시징 서비스 라이선싱의 세 가지로 정리할 수 있다.

①사이버 보안법 2024

사이버 보안법 2024는 국가 사이버 보안을 강화하기 위한 법안으로 2024년 8월 26일에 발효되었다. 사이버보안법 2024에서는 국가 사이버 보안 기관(NACSA) 최고 경영자의 의무와 권한과 국가중요정보기반시설(NCII. National Critical Information Infrastructure) 부문과 NCII 기관의 장의 기능과 의무, NCII에 영향을 미치는 사이버 보안 위협 및 사이버 보안 사고의 관리를 규정하고 있다. 또한 사이버보안 서비스 제공 업체의 라이선스의 발급과 관련 규제를 총괄하고 있다. 이 법에 따른 규정에는 (i) 사이버 보안 위험 평가 및 감사 기간 규정 2024, (ii) 사이버 보안 사고 통지 규정 2024, (iii) 사이버 보안 서비스 제공업체 라이선스 규정 2024 및 (iv) 사이버 보안 범죄 가중 규정 2024가 포함된다.

i) 사이버 보안 위험 평가 및 감사 규정

위험 평가 및 감사 기간 규정은 국가 중요 정보기반 시설 (NCII) 기관이 다음과 같은 해당되는 분야에서 사이버보안 위협 또는 사이버보안 사고에 노출될 수 있는 사이버보안 취약성을 점검하도록 강제하고 있다. NCII의 사이버보안 위험 평가 대상 분야는 아래의 표와 같다. 

<사이버보안 위험 평가 대상 NCII 분야>

[출처 : 말레이시아 사이버 보안법 2024]

NACSA의 최고경영자인 메갓 주하이리는 NCII 기관 구체적인 목록이 기밀 사항으로, 사이버 공격의 표적이 되는 것을 방지하기 위해 NACSA 웹사이트를 포함한 어떠한 플랫폼에도 공개되지 않을 것이라고 밝혔다. 대신, 참고를 위해 얼마전에 NACSA 웹사이트에는 부문별 책임자 목록을 공개 했다.

모든 NCII 기업은 매년 최소 한번씩 종합적인 사이버 보안 위험 평가를 실시해야 하고, 또한 NCII 기업은 2년마다 감사를 받아야 한다. 필수 위험 평가 및 감사를 수행하지 않으면 최대 20만 링깃(USD 43,549)의 벌금, 최대 3년의 징역 또는 두 가지 모두에 해당하는 처벌을 받을 수 있다.

ii) 사이버 보안 사고 통지 규정

NCII 기관은 사이버 보안 사고를 발견하면 국가 사이버 조정 및 지휘 센터 시스템(NC4 시스템)을 통해 즉시 관련 기관(NACSA의 최고 경영자 및 해당 NCII 부문 책임자)에 알려야 한다. 사이버보안 사고의 성격, 심각성, 발견 방법 등의 추가 정보는 사고 발견 후 6시간 이내에 통지해야 하며, 사고로 미치는 영향 및 사고에 대응하여 취한 조치 등의 추가 세부 정보는 최초 통지 후 14일 이내에 제출해야 한다. 사이버 보안 사고를 관계 당국에 알리지 않는 위반 행위에 대한 처벌은 최대 20만 링깃(9.26.자 기준 USD 48,410)의 벌금, 3년 이하의 징역 또는 두 가지 모두에 처해질 수 있다.

iii) 사이버 보안 서비스 제공업체 라이선스

사이버 보안법 2024는 사이버보안 서비스 제공업체에 대한 라이선스 제도를 도입한다. 대상이 되는 기업으로는 사이버 보안 운영 모니터링 서비스와 모의 사이버 보안 해킹 서비스 등을 모두 포함한다. 단, 사이버보안 서비스의 주체가 정부기관이거나, 개인이 소속 회사에 제공하는 경우나, 말레이시아 해외에서 사이버보안 서비스가 제공되는 경우에는 본 규정이 해당되지 않는다. 

<사이버보안법 2024 사이버보안 서비스 제공업체 라이선스 규정>

라이선스는 일반적으로 규제 기관이 사이버 보안 활동을 보다 효과적으로 감독하고 모니터링할 수 있는 프레임워크를 제공하고, 사이버보안 제공업체를 관리 감독할 수 있게 한다. 이러한 라이선스 규정을 준수하지 않으면 최대 50만 링깃(USD 120,350)의 벌금과 최대 10년의 징역형 등 엄중한 처벌을 받을 수 있다 .

② 개인정보보호법 개정안 (PDPA) 2024

사이버보안법 외에도 최근 말레이시아정부는 사이버보안을 강화하기 위해 개인정보보호법 개정을 추진 중이다. AI의 보편화로 기술 발전이 빨라지면서 개인 정보 보호에 대한 요구가 늘어났기 때문이다. 개인정보 보호법 개정안은 2024년 7월 31일에 말레이시아 상원에서 통과되었으며, 왕실의 동의를 받은 후 디지털부 장관이 관보에 공고할 예정이다.

개인정보보호법 개정안은상업적 거래에서 개인 데이터를 처리하는 조직 또는 개인에게 모두 적용된다. 여기에는 개인의 개인 데이터를 수집, 저장 또는 처리하는 비즈니스, 회사 및 조직이 포함된다. 개인정보보호법 개정안의 주요 내용은 다음과 같다. 개인정보보호법 개정안은 데이터 보호 책임자 임명을 규정하고 있다. 책임자는 개인정보 보호 사고가 발생하는 경우 즉시 보고해야 하며, 보고하지 않을 시 최대 25만 링깃의 벌금(USD 60,000)이나 최대 2년의 징역형, 혹은 두 가지 모두에 처해질 수 있다. 또한 개정안은 기술적 타당성과 데이터 형식의 호환성을 전제로 데이터 주체의 데이터 이동권을 도입한다는 내용을 담고 있다. 개정안의 섹션 5에서는 개인정보보호 침해 범죄에 대해 벌금을 30만 링깃에서 100만 링깃으로 인상하고 징역형을 최대 2년에서 3년으로 늘리는 등 처벌을 강화하고 있다.

이 외에도 개정안은 기존 법안의 용어를 업데이트하였는데, '데이터 사용자(Data User)'라는 용어를 EU의 GDPR 등 다른 국가의 표준과 맞추기 위해 "데이터 컨트롤러(Data Controller)"라는 용어로 대체하였다. 다음으로 '민감 개인정보(sensitive personal date)'의 정의에 개인의 신체적, 생리적 또는 행동적 특성의 기술적 처리에서 생성되는 데이터인 '생체인식 데이터(biometric data)'도 포함하도록 수정하였다.

개정안에서는 국가 간 데이터 전송에 대한 화이트리스트 제도는 폐지하였다. 개인정보는 말레이시아와 유사한 법률을 가지고 있거나 동등한 수준의 개인정보 보호를 보장하는 국가로 전송될 수 있다. 마지막으로 사망한 개인의 데이터는 법의 적용 범위에서 제외된다. 일부 기업은 곧 데이터 유출 발생 시 데이터 유출 알림(Data Breach Notification)을 사용할 수 있는 데이터 보호 책임자(Data Protection Officer)를 두어야 한다. 말레이시아는 데이터 유출의 즉각적인 보고 및 완화를 위해 DBN 시스템을 도입했다. DPO는 특정 기준을 충족하는 기업에 한해서 지정하면 되는데, 기준은 아직 개발 중이며 추후 PDPA의 하위 규정에 포함될 예정이다.

③ 소셜미디어 및 메신저 서비스 라이선스 의무화

말레이시아 통신 멀티미디어 위원회(Malaysian Communications and Multimedia Commission, MCMC)는 2024년 8월 1일에 소셜미디어와 메신저 서비스를 제공하는 플랫폼에 ASP(C) (Applications Services Providers Class) 라이선스를 의무화하는 규제 프레임워크를 발표했다. 라이선스 의무화는 소셜미디어와 메신저 서비스에서 발생하는 온라인 사기, 사이버 괴롭힘, 아동 대상 성범죄 등 사이버 범죄의 억제를 목표로 한다.

이에 따르면 2025년 1월 1일부터 최소 800만명 이상의 사용자를 보유한 모든 소셜미디어 및 메신저 서비스 플랫폼은 라이선스를 발급받아야만 말레이시아에서 서비스를 제공할 수 있다. 라이선스 요건을 갖추지 않을 경우 위법이며, 유죄 판결 시 최대 50만 링깃의 벌금 및/또는 5년 이하의 징역형에 처해질 수 있으며, 유죄 판결 후 위반 행위가 계속되는 매일 또는 하루의 일부에 대해 1,000 링깃의 추가 벌금이 부과될 수 있다.

시사점 

말레이시아 정부가 최근 관련 법안을 많이 발표함에 따라 사이버 보안에 대한 인식이 높아지고, 사이버 보안 솔루션의 수요가 늘어날 것으로 예상된다. 말레이시아의 사이버보안 정책이 싱가포르와 인도네시아 같은 주변 국가들과 매우 유사하다는 점에서, 말레이시아의 정책 방향을 미리 예측할 수 있다.

우리나라 기업이 현지에서 사업을 운영할 경우 알아야 할 사항이 두 가지 있다. NCII 분야에 해당하는 기업은 사이버 보안 위험 평가 및 감사 규정 법안을 준수해야 한다. 앞에서 언급된것처럼 매년 최소 한 번 종합적인 사이버 보안 위험 평가를 실시해야 하며, 2년마다 감사를 받아야 한다. 또한 간접적으로 IT 서비스를 제공하는 국내 기업에게도 영향을 미칠 수 있다. 함께 일하는 현지 말레이시아 파트너사가 신경 써야 할 부분이다. 특히, 사이버 보안 운영 모니터링 서비스와 모의 사이버 보안 해킹 서비스를 제공하는 기업은 10월1일부터 라이선스를 신청을 해야 한다.

현지 언론에서는 정부 기관이 PDPA 법에서 제외된 것에 대해 불공평하다는 비판이 이어지고 있다. 개인정보 보호(수정) 법안에는 연방 및 주 정부에 PDPA 적용을 확대하는 수정안이 포함되지 않았다. 말레이시아와 싱가포르는 세계에서 유일하게 개인정보 보호 법령에 면책 조항을 포함한 국가들이다. 국제 사이버 보안 기업과 아마존 같은 대기업들은 말레이시아가 해당 조항을 삭제하지 않은 것에 대해 놀라움을 표명했다. 글로벌 기업들은 경쟁력을 높이고 사이버 보안을 강화하기 위해 이 면책 조항이 없어야 한다고 주장한다. 정부 소유의 막대한 개인정보 데이터가 악용될 수 있는 위험이 있으며, ESG요소와도 관련이 있기 때문이다. 다만 말레이시아 정부는 이와 관련하여 공식 입장을 밝히지 않아 추이를 모니터링할 필요가 있다. 

자료:  사이버 시큐리티 말레이시아 공식 홈페이지, JPDP 공식 홈페이지, NASCA 공식 홈페이지, MyCERT 공식 홈페이지, JPDP페이스북 공식계정, Statista 통계, 등 KOTRA 쿠알라룸푸르무역관 종합