미국의 수출 통제와 경제 제재: EAR, ITAR, OFAC
우리는 무기를 만드는 것도 아닌데 왜 수출 통제가 적용되지? 소프트웨어, 암호화 기술, 반도체도 수출 통제 대상입니다. EAR, ITAR, OFAC 세 가지 체계, Deemed Export(기술을 보여주는 것도 수출), BIS FY2024 벌금 $1.5B. 한국 기업이 가장 과소평가하는 규제를 정리합니다.
기업편 #28 · 읽기 약 10분
이전 글(SOC 2, ISO 27001, HIPAA)에서 보안 인증을 다뤘습니다. 오늘은 한국 기업이 가장 심각하게 과소평가하는 규제 영역인 수출 통제와 경제 제재를 다룹니다.
"수출 통제? 우리는 무기를 만드는 것도 아닌데 왜 해당되지?" 한국 기업에서 가장 흔히 듣는 반응입니다. 하지만 미국의 수출 통제는 무기에만 적용되는 것이 아닙니다. 소프트웨어, 암호화 기술, 반도체, 센서, 통신 장비 등 상업적 용도와 군사적 용도를 모두 가질 수 있는 이중용도(dual-use) 품목에 폭넓게 적용되고, 미국 원산지 기술이 포함된 제품을 제3국에 재수출(re-export)하는 경우에도 적용됩니다. BIS(Bureau of Industry and Security, 미국 산업안보국)는 FY2024에 수출 통제 위반에 대해 총 $1.5B(약 2조 원) 이상의 벌금을 부과했습니다.
미국 수출 통제의 세 가지 체계
미국의 수출 통제는 세 개의 개별 규제 체계로 구성되어 있고, 하나의 거래에 세 가지가 동시에 적용될 수 있습니다.
1. EAR (Export Administration Regulations)
관할: BIS (Bureau of Industry and Security), 상무부 소속
대상: 이중용도 품목(dual-use items) — 상업적 용도와 군사적 용도를 모두 가질 수 있는 제품, 소프트웨어, 기술
핵심 개념: 미국에서 유통되는(in U.S. commerce) 모든 품목은 EAR의 적용을 받을 수 있습니다. 수출 허가(license) 필요 여부는 네 가지 요소로 판단됩니다: (1) 품목(item)의 종류, (2) 목적지(destination) 국가, (3) 최종 사용자(end-user), (4) 최종 용도(end-use). 네 가지 중 하나라도 통제 대상에 해당하면 수출 허가가 필요할 수 있습니다.
품목 분류: 모든 품목은 CCL(Commerce Control List)에서 ECCN(Export Control Classification Number)으로 분류됩니다. ECCN이 부여되지 않는 품목은 EAR99로 분류되어 대부분의 국가로 허가 없이 수출할 수 있지만, 최종 사용자나 최종 용도에 따라 제한될 수 있습니다.
통제 대상 예시: 레이저, 컴퓨터, 암호화 기술, 센서, 항법 장비, 추진 시스템, 통신 장비, 특정 화학 물질, 반도체 등. 한국 기술 기업이 다루는 제품 중 상당수가 여기에 해당할 수 있습니다.
2. ITAR (International Traffic in Arms Regulations)
관할: DDTC (Directorate of Defense Trade Controls), 국무부 소속
대상: 방위 산업 물자(defense articles)와 방위 서비스(defense services) — USML(United States Munitions List)에 등재된 품목
핵심 차이: EAR이 이중용도 품목을 대상으로 하는 반면, ITAR은 군사 전용 품목을 대상으로 합니다. ITAR의 적용을 받는 기업은 DDTC에 등록(registration)해야 하고, 규제가 EAR보다 훨씬 엄격합니다. EAR과 ITAR의 관할이 불분명한 경우에는 국무부에 CJ(Commodity Jurisdiction) 요청을 해서 확인할 수 있습니다.
3. OFAC (Office of Foreign Assets Control)
관할: OFAC, 재무부 소속
대상: 특정 국가, 단체, 개인에 대한 경제 제재(sanctions)
핵심 개념: OFAC은 SDN List(Specially Designated Nationals and Blocked Persons List)를 관리합니다. SDN List에 등재된 개인이나 단체와는 일체의 거래가 금지됩니다. 또한 국가 단위의 포괄적 제재(이란, 쿠바, 북한, 시리아, 러시아의 특정 지역 등)도 시행합니다.
한국 기업이 주의할 것은, 미국 법인을 통해 거래하는 경우 OFAC 제재가 직접 적용되고, SDN List에 있는 개인이나 단체를 거래 상대방이나 직원으로 두는 것 자체가 위반이 될 수 있다는 점입니다.
Deemed Export: 기술을 "보여주는 것"도 수출입니다
한국 기업이 가장 놓치기 쉬운 개념이 Deemed Export(간주 수출)입니다.
미국 내에서 EAR 통제 대상 기술이나 소스코드를 외국인(foreign national)에게 공개하는 것은, 그 외국인의 국적 국가로 수출하는 것과 동일하게 취급됩니다. 예를 들어 미국 사무실에서 한국 국적의 엔지니어가 EAR 통제 대상 기술에 접근하면, 이것은 한국으로의 "수출"로 간주될 수 있습니다.
이것은 채용, 연구실 접근 통제, 비자 유형과 모두 연결됩니다. 최근 BIS는 학술 연구기관과 바이오테크 기업에 대한 deemed export 집행을 강화하고 있습니다.
벌금의 규모
수출 통제 위반의 벌금은 다른 규제 위반과 비교해도 극단적으로 높습니다.
EAR 민사 벌금: 위반 건당 $364,992 또는 거래 가치의 2배 중 높은 금액 (ECRA, Export Control Reform Act of 2018 기준)
EAR 형사 벌금: 위반 건당 최대 $1,000,000 + 최대 20년 징역
수출 권한 박탈: BIS는 수출 특권(export privileges)을 완전히 박탈할 수 있습니다. 이것은 사실상 국제 사업을 할 수 없게 되는 것을 의미합니다.
OFAC 벌금: 민사 벌금 건당 최대 $250,000~$1,000,000 이상. OFAC 위반은 미국 금융 시스템에서 배제되는 결과로 이어질 수 있어서 금전적 벌금보다 더 치명적입니다.
참고로 자발적 자진 신고(Voluntary Self-Disclosure)를 하면 벌금이 최대 50%까지 감면될 수 있습니다. 2023년 BIS 메모에 따르면, 자진 신고를 하지 않는 것 자체가 가중 사유로 취급됩니다.
한국 기업이 가장 흔히 빠지는 실수
"우리는 군사 기술이 아니니까 해당 없다"
가장 위험한 오해입니다. EAR은 이중용도 품목에 적용되고, 여기에는 암호화 소프트웨어, 고성능 컴퓨팅, 특정 센서, 통신 기술 등 상업적 기술이 폭넓게 포함됩니다. 한국의 반도체, AI, 사이버보안, 드론, 바이오테크 스타트업은 EAR 적용 가능성을 반드시 확인해야 합니다.
재수출(Re-export)을 모르는 것
미국 원산지 기술이나 부품이 포함된 제품을 한국에서 제3국으로 수출하는 것도 EAR의 적용을 받을 수 있습니다. 미국 원산지 콘텐츠가 일정 비율(de minimis threshold) 이상 포함되면 재수출 시에도 수출 허가가 필요할 수 있습니다. "미국에서 직접 수출하는 것이 아니니까 괜찮다"는 생각은 틀릴 수 있습니다.
SDN List 스크리닝을 하지 않는 것
미국 법인을 통해 해외 고객이나 파트너와 거래할 때, 상대방이 SDN List에 있는지 확인하지 않으면 OFAC 위반이 될 수 있습니다. 특히 중국, 러시아, 이란과 관련된 거래에서 SDN 스크리닝은 필수입니다.
한국 기업의 수출 통제 컴플라이언스 기본
1단계: 해당 여부 확인
자사 제품과 기술이 EAR의 CCL(Commerce Control List)에 해당하는지 확인하세요. 확인이 어려우면 BIS에 품목 분류 요청(Classification Request)을 제출할 수 있습니다. 대부분의 일반 소프트웨어와 소비자 제품은 EAR99로 분류되어 큰 제한 없이 수출할 수 있지만, 확인 없이 가정하는 것은 위험합니다.
2단계: 거래 상대방 스크리닝
모든 해외 거래 상대방(고객, 벤더, 파트너)에 대해 OFAC의 SDN List, BIS의 Entity List, Denied Persons List 등 미국 정부의 제한 목록을 확인하세요. BIS의 Consolidated Screening List(통합 스크리닝 목록)를 사용하면 한 번에 여러 목록을 검색할 수 있습니다.
3단계: 내부 컴플라이언스 프로그램 구축
BIS는 기업에 수출 통제 컴플라이언스 프로그램(Export Compliance Program, ECP)을 구축할 것을 권고합니다. 기본 요소는 경영진의 책임(management commitment), 리스크 평가, 교육, 기록 보관, 내부 감사, 위반 시 시정 조치입니다.
4단계: 전문가 자문
수출 통제는 분류(classification) 단계부터 고도의 전문성이 필요합니다. 자사 제품이 통제 대상에 해당될 가능성이 있다면, 수출 통제 전문 변호사의 자문을 받는 것을 권합니다. 특히 반도체, AI, 사이버보안, 바이오테크 분야는 최근 미국 정부의 집행 강도가 높아지고 있으므로 주의가 필요합니다.
(다음 글 예고: AI 규제의 현재와 미래: 미국 AI 규제와 한국 AI 기본법)
참고 자료
- Daeryun Law, "Export Administration Regulations: How to Stay Compliant with U.S. Export Controls" (daeryunlaw.com/us, April 2026)
- GFLO Consultancy, "Export Administration Regulations (EAR) in the US" (gflolaw.com, April 2026)
- Envoy, "What is Export Administration Regulations (EAR) Compliance?" (envoy.com, February 2026)
- Kiteworks, "Export Administration Regulations (EAR): A Guide on How to Comply" (kiteworks.com, January 2025)
- Cornell University, "Export Controls: Regulations and Overview" (researchservices.cornell.edu)
- FD Associates, "March 2026 Export Controls and Compliance Updates" (fdassociates.net, April 2026)
- Morgan Lewis, "US International Trade and Investment: Key Shifts in 2025" (morganlewis.com, January 2026)
본 뉴스레터는 일반적인 법률 정보 제공을 목적으로 합니다.
개별 사안에 대한 법률 자문을 대체할 수 없으니,
구체적인 법률 문제는 Venture Pacific Law Group(info@ventureplg.com)으로
문의 주시기 바랍니다.