뉴델리에서 인도 정부가 스마트폰 보안 규정을 대폭 강화하는 방안을 추진하고 있다. 이 방안은 제조사들에게 기기 운영을 가능하게 하는 소스 코드(source code)를 정부에 제공하도록 요구하는 것을 포함해, 사전 설치 앱의 제거 허용, 백그라운드에서 카메라·마이크 사용 차단, 자동·주기적 악성코드 검사 등 총 83개 항목의 보안 기준을 제시한다. 다만 애플(Apple), 삼성(Samsung), 구글(Google), 샤오미(Xiaomi) 등 글로벌 기업들은 기밀성·프라이버시 문제와 전례 없는 요구라는 점을 들어 강한 반발을 하고 있다.
2026년 1월 11일, 로이터의 보도에 따르면, 이 계획은 나렌드라 모디(Narendra Modi) 총리의 사용자 데이터 보안 강화 노력의 일환이다. 인도는 세계에서 두 번째로 큰 스마트폰 시장으로 약 7억5천만대(약 750 million)의 휴대전화가 유통되고 있어 온라인 사기와 데이터 유출 증가에 대응하기 위한 조치가 필요하다고 정부는 판단하고 있다.
IT부 장관 S. Krishnan은 로이터에 “업계의 정당한 우려는 열린 마음으로 다루겠다“고 밝히며 “지금으로서는 더 확대해석하기에는 시기상조“라고 말했다. 다만 관련 부처 대변인은 제안에 대해 기술 기업들과의 협의가 진행 중이어서 추가 언급을 할 수 없다고 밝혔다.
핵심 규정과 업계 반발
문서에 따르면 인도 통신 보안 보증 요구사항(Indian Telecom Security Assurance Requirements)의 가장 민감한 조항 중 하나는 소스 코드 접근이다. 소스 코드는 기기가 어떻게 동작하는지 결정하는 기본적인 프로그래밍 명령어와 설계로, 문서에는 소스 코드를 지정된 인도 내 시험소에서 분석하거나 테스트할 수 있다고 적시되어 있다. 또한 기업은 주요 소프트웨어 업데이트 및 보안 패치 출시 전 이를 정부의 National Centre for Communication Security에 통보해야 하며, 센터는 이를 검사할 권한을 갖는다.
애플, 삼성, 구글, 샤오미 및 이들 기업을 대변하는 인도 산업단체 MAIT(Members of All India Trade) 등은 기밀 유지·프라이버시 및 전 세계적 관례 부재를 이유로 반대하고 있다. MAIT가 정부 제안에 대응해 작성한 비공개 문서에는 “이는 불가능하다…기밀성과 프라이버시 때문에“라는 문구가 포함되어 있다. 해당 문서에는 또한 “EU, 북미, 호주 및 아프리카의 주요 국가들이 이러한 요구를 의무화하지 않는다”는 주장도 담겨 있다.
시장 점유율과 배경
시장조사 기관 카운터포인트 리서치(Counterpoint Research)에 따르면 샤오미와 삼성은 구글 안드로이드 운영체제를 사용하는 기기로 인도 시장에서 각각 19%와 15%의 점유율을 차지하고 있으며, 애플은 5%의 점유율을 보유하고 있다. 정부는 지난해 중국산 장비에 대한 스파이 우려로 보안 카메라에 대해 엄격한 시험 규정을 도입한 바 있으며, 지난달에는 일부 국가 운영 사이버 안전 앱을 기기에 강제 설치하는 명령을 철회한 사례도 있다.
구체적 요구사항
문서들이 보여주는 또 다른 요구사항은 다음과 같다. 제조사는 사전 설치된 앱을 사용자가 제거할 수 있도록 소프트웨어를 변경해야 하며, 앱이 백그라운드에서 카메라와 마이크를 무단으로 사용하는 것을 차단하는 기술적 조치를 취해야 한다. 또한 기기에서 자동적·주기적으로 악성코드 검사를 수행하도록 의무화하고, 기기 로그(시스템 활동의 디지털 기록)를 최소 12개월간 기기 내에 저장하도록 요구한다.
업계 문서에는 정기적인 악성코드 검사가 기기 배터리를 크게 소모할 수 있고, 소프트웨어 업데이트에 대해 정부 승인을 받는 것은 “즉각적인 배포가 필요하므로 현실적이지 않다”는 우려도 포함되어 있다. 또한 “1년치 로그 이벤트를 저장할 공간이 기기 내에 충분치 않다“는 지적도 있었다.
기술적·법적 쟁점
스마트폰 제조사들이 소스 코드를 극도로 보호하는 것은 잘 알려져 있다. 과거 애플은 2014~2016년 중국의 소스 코드 제출 요청을 거부했으며, 미국 법 집행기관도 소스 코드 확보에 실패한 사례가 있다. 인도의 제안은 기기 제조사에게 완전한 보안 평가를 요구하고, 이후 인도 내 시험소들이 기업의 주장 내용을 소스 코드 검토 및 분석으로 확인할 수 있도록 하는 것을 골자로 한다.
이는 취약점 분석(vulnerability analysis)과 소스 코드 리뷰(source code review)를 공식적으로 의무화하는 것인데, 용어 설명이 필요한 독자를 위해 덧붙이면, 취약점 분석은 시스템 내 보안 취약점(해커가 악용할 수 있는 결함)을 탐지하는 절차이며, 소스 코드 리뷰는 프로그램의 설계·구현상 문제를 확인하기 위해 코드 내용을 직접 검토하는 것이다. MAIT 등은 이들 절차가 영업비밀과 사용자 프라이버시 문제를 야기할 수 있다고 주장한다.
향후 일정과 법적 구속력 여부
보안 기준 초안은 2023년에 작성되었으며, 현재 정부는 이를 법적 효력을 지닐 수 있도록 도입하는 방안을 검토 중이다. IT부와 기술 기업 임원들은 추가 협의를 위해 화요일 회의를 가질 예정이라고 소식통들은 전했다. MAIT는 지난주에 해당 제안을 철회해달라고 요청한 것으로 알려졌다.
실무적 영향과 경제적 함의—전문가적 관점
이 같은 규제 강화는 단기적으로 글로벌 제조사들에게 준수 비용(compliance cost)을 증가시키고, 소프트웨어 업데이트 배포 지연이라는 리스크를 초래할 가능성이 크다. 제조사들이 소스 코드를 제출하거나 정부의 검사·승인을 받아야 하는 절차가 늘어나면, 기업은 운영체제·앱의 업데이트 주기를 조정해야 할 수 있다. 이는 보안 패치의 신속한 배포를 저해해 사용자 보호에 역효과를 낳을 위험이 있으나, 반대로 정부의 중앙적 검증으로 인해 특정 악성 행위나 데이터 유출을 사전에 차단할 수 있다는 장점도 있다.
또한 정기적 악성코드 검사가 장치 배터리 소모를 증가시킬 수 있다는 MAIT의 지적은 실사용자 경험에 미치는 직접적 영향이다. 만약 소비자 불만이 증가하면 기기 판매에 부정적 영향을 미칠 수 있고, 이는 샤오미·삼성·애플 등 주요 업체의 인도 내 매출 성장률에 일정 부분 부담으로 작용할 수 있다. 다만 규제 준수 비용이 제품 가격에 전가될 경우에는 장기적으로 중저가 기기 시장에서의 경쟁구도가 변화할 수 있다.
투자 관점에서는 규제 불확실성이 기업 평가에 단기적 부담으로 작용할 수 있으나, 규정이 명확히 정착되고 협의가 마무리될 경우에는 인도 시장 내 신뢰성 제고가 오히려 장기적 이익으로 작용할 가능성도 있다. 특히 보안 관련 서비스·시험소 운영·인프라 구축을 담당하는 국내외 기업들에게는 신규 사업 기회가 창출될 수 있다.
결론
인도의 제안은 글로벌 기술기업들이 민감하게 여기는 소스 코드 접근권과 소프트웨어 통제권을 둘러싼 새로운 분쟁의 시작을 알린다. 정부는 사용자 데이터 보호와 온라인 사기·유출 방지를 명분으로 규제 강화를 추진하고 있으나, 업계는 기밀성·프라이버시·기술적 현실성 문제를 제기하고 있다. 향후 IT부와 기술 기업 간 협의 결과, 그리고 정부의 법적 도입 여부가 인도 스마트폰 시장의 경쟁구도와 소비자 경험에 중대한 영향을 미칠 전망이다.
