모건스탠리, 중국 출장 은행가들에게 제한된 아이폰 지급한 배경

제한된 아이폰의 기능은 어디까지일까

출장용 기기는 은행의 IT 시스템을 통해 엄격하게 관리되며, 일반 업무용 스마트폰보다 기능이 크게 줄어든다.

현재까지 알려진 주요 기능은 다음과 같다.

• 업무 이메일 확인
• 화상회의 및 온라인 미팅 앱 사용

반대로 내부 데이터베이스 접근이나 대용량 파일 다운로드 등 민감한 기업 시스템과 연결되는 기능은 제한되거나 제공되지 않는 것으로 알려졌다. 다만 정확한 기술적 설정은 공개되지 않았다.

이 방식은 기업 보안에서 흔히 쓰는 **‘최소 데이터 원칙(least‑data principle)’**을 따른다. 기기가 분실되거나 검사되거나 해킹되더라도, 그 안에 저장된 정보 자체가 거의 없도록 설계하는 것이다.

배경: 중국의 데이터·사이버 보안 법체계

이러한 정책의 배경에는 지난 10여 년간 중국이 구축한 강력한 데이터 규제 체계가 있다.

대표적인 법률은 다음과 같다.

• 사이버보안법(2017): 중국의 사이버 보안 규제와 데이터 관리 기본 틀을 마련한 법률.
• 데이터 보안법(2021): 데이터의 중요도에 따라 분류하고 해외 이전을 엄격히 규제한다.
• 개인정보 보호법(PIPL, 2021): 개인 데이터 수집과 국외 이전에 대한 규정을 마련했다.

이들 법률은 함께 작동하며 **민감 데이터의 중국 내 보관(데이터 로컬라이제이션)**이나 국경 간 데이터 이전 심사 등을 요구할 수 있다.

또한 일부 분석에 따르면 중국에 저장된 데이터는 국가안보 관련 법적 체계에 따라 당국이 접근할 가능성이 있을 수 있다는 점도 외국 기업들이 우려하는 요소다.

글로벌 금융사들의 공통 전략

모건스탠리의 정책은 개별 사례라기보다 월가 금융사 전반에서 나타나는 구조적 변화의 일부다.

많은 은행들이 다음과 같은 조치를 취하고 있다.

• 중국용 IT 인프라를 글로벌 시스템과 분리
• 내부 데이터 흐름 제한
• 현지 데이터 저장소 구축

일부 금융사는 중국 자회사에 민감한 전략 정보를 공유하지 않는 방식까지 검토하는 것으로 알려졌다.

모건스탠리 역시 이전에 중국의 데이터 접근 규제가 강화되자 기술 개발 인력 200명 이상을 중국 본토에서 홍콩과 싱가포르로 이동시키기도 했다.

지정학이 바꾸는 기업 보안 전략

결국 이런 정책은 단순한 IT 문제가 아니라 지정학적 리스크 관리의 성격을 띤다. 특히 미국과 중국 사이의 기술·데이터 경쟁이 심화되면서 기업의 정보보안 정책도 변화하고 있다.

많은 다국적 기업은 중국 시장을 완전히 떠나는 대신 다음과 같은 **‘리스크 분리 전략’**을 선택하고 있다.

• 기술 시스템 분리
• 민감 데이터 접근 최소화
• 출장 전용 기기 지급
• 중국 인프라와 글로벌 네트워크 분리

이런 흐름 속에서 해외 직원이 특정 국가로 출장할 때 데이터가 거의 없는 ‘클린 기기’를 사용하는 관행은 앞으로 더 일반적인 보안 정책이 될 가능성이 크다.

글로벌 은행 입장에서 목표는 분명하다. 세계 최대 시장 중 하나인 중국과 비즈니스를 유지하면서도, 고객 정보와 전략 데이터를 보호하는 것이다.