IT Solutions/Security

중국 네트워크 안전법 분석 및 대응 방안 ①

2016.12.19 09:30


작년 여름 무렵에 중국에도 개인정보 보호법이 생긴다는 소식이 나오기 시작했습니다. 그로부터 1년 반 정도가 지난 11월 7일에 ‘그 법’이 전국인민대회에 통과되어 내년(2017년) 6월 1일부터 시행하는 것으로 확정되었습니다.



중국어로 정식 명칭이 ‘网络安全法’ 입니다. ‘网络’는 네트워크를 지칭하는 용어로 한국에서 ‘사이버 안전법’, ‘인터넷 안전법’, ‘네트워크 안전법’, ‘인터넷 정보 안전법’등 여러 명칭으로 분석이 되고 있습니다. 


법의 명칭이 ‘네트워크’를 지칭하는 점에서 알 수 있듯이, 최초에 알려진 것처럼 단순히 개인정보에 대한 보호 목적만을 가지고 있는 것은 아니며, 매우 광범위한 내용을 담고 있어 중국 내에서 사업을 영위하고 있는 기업들은 모두 영향을 받을 수밖에 없습니다.


이제부터 법이 어떤 내용을 담고 있는지, 중국에서 사업을 하는 기업들이 이 법에 대응하기 위해서 어떤 준비를 해야 하는지 알아보도록 하겠습니다. (이하 법의 명칭을 ‘네트워크 안전법’으로 칭하도록 하겠습니다.)


 네트워크 안전법 개요


네트워크 안전법의 적용 범위는 ‘중화인민공화국 경내에서의 네트워크 구축, 운영, 유지, 사용에 있어 보안의 관리 감독은 이 법의 적용을 받도록’ 되어 있습니다. 근래 사용하고 있는 IT 시스템에서 네트워크가 연결되지 않은 시스템은 사실상 무용지물이라는 점을 감안한다면, 그 범위는 굉장히 넓습니다.



일례로, 우리가 흔히 사용하는 홈페이지•웹페이지 뿐만 아니라, 회사에서 사용하는 그룹웨어 시스템, 공장 라인을 가동하는 MES(Manufacturing Executing System, 생산관리시스템), 유통•물류를 관리하는 SCM(Supply Chain Management, 공급망관리시스템) 및 ERP(Enterprise Resource Planning, 전사적자원관리시스템)뿐만 아니라 CCTV를 관리하는 VMS(Video Management System, CCTV 영상통합관제시스템)과 IoT(Internet of Things, 사물인터넷)까지 포함됩니다.


현재 거의 모든 회사의 업무 시스템이 IT 기반으로 운영된다는 점을 고려하면, 비단 IT 기반의 B2C 사업을 하는 기업뿐 아니라 거의 모든 기업이 ‘네트워크 안전법’으로부터 자유롭지 않을 것으로 예상됩니다. 


이는 주요 항목들에 대해 영리를 목적으로 하는 ‘정보 통신 서비스 제공자’를 대상으로 적용범위를 제한한 한국의 ‘정보통신망 이용 촉진 및 정보 보호에 관한 법률’과 비교해도 매우 광범위합니다. 


또한, 법의 관리 감독 대상이 되는 ‘네트워크상에 흘러 다니는 정보’의 범위도 매우 포괄적입니다. 기본적으로 중국 공민의 개인정보뿐만 아니라, ‘네트워크 안전에 해를 끼치는 정보’도 관리 범위에 포함됩니다.


‘네트워크 안전에 해를 끼치는 정보’는 『국가의 안전과 영예, 이익에 해를 끼치고 국가의 정권과 사회주의제도를 뒤엎도록 부추기며, 나라를 분열시키고 국가의 통일을 파괴하도록 부추기며, 테러리즘과 극단주의를 선양하고 민족원한과 민족기시를 부추기거나 폭력과 음란물을 유포하거나 허위정보를 날조하여 퍼뜨려 경제질서와 사회질서를 혼란에 빠지게 하거나 타인의 명예와 사생활과 지적 재산권 및 기타 합법적 권익을 침해하는 활동』(이하 ‘네트워크 안보 침해 행위’라 지칭합니다)에 해당하는 정보입니다.



아울러, ‘네트워크 안전법’을 위반하였을 경우 과태료부터 휴업, 영업허가증 취소, 사이트 폐쇄, 치안관리 처벌까지 받을 수 있으며, 양벌 규정이기 때문에 회사와 담당자(직접 담당하는 주관자, 기타 직접적 책임이 있는 자) 모두 처벌을 받습니다. (법률상 처벌 기준에 회사와 담당자에게 부과되는 과태료가 각각 명시되어 있습니다.)


 네트워크 안전법 상세 내용


이제 네트워크 안전법 내에 어떤 내용들이 담겨 있는지 좀 더 구체적으로 살펴보도록 하겠습니다. 


법에서는 ‘네트워크 운영자’와 ‘핵심정보 인프라 운영자’가 지켜야 될 내용들을 구분해 놓았습니다. (엄밀하게는, 핵심정보 인프라 운영자가 ‘더’ 지켜야 될 내용입니다.) 이런 구분을 기준으로 그 내용을 상세하게 살펴보도록 하겠습니다. 


① 네트워크 운영자


네트워크 운영자는 단순히 네트워크 장비를 운영하는 사람으로 이해하면 안 됩니다. 법 자체가 네트워크를 기준으로 매우 광범위하게 적용 범위를 설정했기 때문에, 네트워크와 연결된 서버, DB, 애플리케이션 등등 IT 장비를 운영하고 사용하는 모든 사람들이 대상이 되어야 합니다. IT 시스템의 운영 업무와 관련된 모든 인원이 포함되고, 일부 내용에 대해서(개인정보, 인터넷 침해 행위 유포 등)는 사용자도 포함하고 있습니다. 


네트워크 운영자가 준수해야 할 내용은 크게 세 가지로 유형으로 구분할 수 있습니다. 


첫 번째로, 네트워크 운영자들은 ‘네트워크 안보 침해 행위’에 대한 긴급 대비책과 대응 및 신고 체계를 의무적으로 갖춰야 합니다. 또한, ‘네트워크 보안 등급제도’가 도입되어, 각 등급별로 명시된 안전 보호 의무를 이행하여야 합니다. 준수해야 할 구체적인 안전 보호 의무의 내용은 다음과 같습니다. (등급에 대한 구체적인 기준 및 각 등급별 상세 준수 내용은 추후 확정 예정)


제 21조. 국가는 네트워크 보안 등급보호제도를 실시한다. 네트워크 운영자는 네트워크 보안 등급보호제도의 요구에 따라 아래에 열거한 안전 보호의무를 이행하여 네트워크가 교란, 파괴 또는 인가 받지 않은 방문을 받지 않도록 하며 인터넷 데이터의 유출, 절취, 왜곡을 방지해야 한다. 

(1) 내부 안전관리제도와 메뉴얼을 제정하고 네트워크 보안 책임자를 지정하며 네트워크 보안 보호책임을 세부화시킨다.

(2) 컴퓨터 바이러스와 사이버 공격, 침입 등 네트워크 보안을 훼손하는 행위를 방비할 수 있는 기술적 조치를 취한다.

(3) 네트워크 운영 상태와 네트워크 보안사건을 모니터링하고 기록하는 기술적 조치를 취하며 규정에 따라 관련 네트워크 일지를 최소 6개월 보존해야 한다. 

(4) 데이터 분류, 중요한 데이터의 백업, 비밀번호 설정 등 조치를 취한다. 

(5) 법률과 행정법규에 규정한 기타 의무

l 네트워크 보안 등급 제도


두 번째로, 중국 공민의 개인정보에 대해 라이프 사이클에 따른 보호조치 기준을 마련하는 등 한국에서 시행되고 있는 ‘개인정보 보호법’ 범위 수준의 개인정보 관리체계가 수립•이행되어야 합니다. 


아직 세부적인 시행 방침이 나오지 않았기 때문에 구체적인 기술적 보호조치의 수준은 한국과 일부 상이할 수 있지만, 법에서 요구하는 관리체계의 범위는 한국의 수준과 매우 유사합니다. 중국에서 정의하고 있는 개인정보의 범위 역시 한국과 매우 유사하며, 식별이 불가하도록 익명화 처리된 개인정보는 범위에서 제외되었습니다. 


제42조. 네트워크 운영자는 자신이 수집한 개인정보를 누설, 변조, 훼손해서는 안된다. (중략) 하지만 특정한 개인의 식별이 불가능한 처리를 거쳤거나 복구 불가한 처리를 거친 것은 제외된다. 


제76조. 본 법안 중의 아래 용어의 의미

(5)개인정보란 전자방식 또는 기타 방식으로 기록한 단독적 또는 기타 정보와 결합하여 자연인 개인의 신분을 식별하는 각종 정보를 말한다. 자연인의 성명, 출생 날짜, 신분증 번호, 개인 생물 식별 정보, 주소 및 전화번호 등이 포함된다.

l 중국 공민의 개인정보 범위


세 번째로, 네트워크 핵심 장비 및 보안장비에 대한 국가 표준 안전 인증 제도가 도입되어, 이 기준을 통과한 제품만 판매가 가능해집니다. 이는 기존 중국의 CCC 인증과는 다른 제도로, 국가 유관기관(국무원과 네트워크 정보부처)에서 인증에 통과한 제품 목록을 제정•공포하게 되어 있습니다.



네트워크 핵심장비 및 보안장비의 적용 대상은 향후 세부기준을 통해 확정될 예정이지만, 인증을 통과하지 못하면 판매 자체가 불가하기 때문에 향후 정보시스템 구축•운영 시에는 인증 획득 여부를 반드시 고려해야 합니다. 


기존 운영 중인 장비까지도 인증을 획득한 장비로 교체해야 하는지는 아직 확정되지 않았지만, 핵심정보 인프라로 지정될 경우에는 현재 운영 중인 장비까지 교체되어야 하는 것으로 판단됩니다.


제65조. 핵심정보인프라시설의 운영자가 본 법안의 제35조 규정을 어기고 보안 심사를 거치지 않았거나 보안 심사에 통과되지 않은 인터넷 제품이나 서비스를 사용할 경우, 주관 부처는 사용정지 명령을 내리고 구매 금액의 1배 ~ 10배의 벌금을 부과하며, 직접 책임 인원과 기타 직접 책임자에게 만 위안 ~ 10만 위안의 벌금을 부과한다.

l 핵심정보 인프라 운영 시 네트워크 핵심 장비 및 보안 장비 미사용 처벌 내용


② 핵심정보 인프라 운영자

핵심정보 인프라로 지정될 경우, 위에서 언급된 네트워크 운영자가 지켜야 할 항목들은 공통적으로 준수하고, 이외에 추가로 준수하여야 할 기준들이 있습니다.

우선, 핵심정보 인프라 운영자는 앞서 언급한 네트워크 보안 등급제도 중 가장 상위 레벨로 지정이 되어, 준수해야 할 기준이 가장 엄격한 수준으로 정해지게 됩니다. 또한, 핵심정보 인프라 운영자로 지정될 경우 운영 중 발생되는 개인정보 등 중요한 데이터는 중국 경내에 보관해야 합니다. 이는, 기존에 운영 중인 IT 시스템에 대한 재구축을 필요로 할 가능성이 매우 높아, 이에 대한 business impact가 매우 커질 수 있을 것으로 예상됩니다.

제37조. 핵심정보인프라시설 운영자가 중화인민공화국경내에서 운영하여 수집한 개인정보와 중요한 데이터는 중국경내에 저장해야 한다. 업무수요로 중국경외로 제공해야 할 경우 국가인터넷정보부서와 국무원의 관련 부서가 제정한 방법에 따라 안전성평가를 진행해야 한다.

법률, 행정법규에 별도의 규정이 있을 경우 그 규정에 따른다.

l 핵심정보 인프라 운영자 데이터 경내 보관 요건


또한, 핵심정보 인프라에 지정될 경우 국가가 그 안전 수준에 대해 지속적으로 점검•모니터링 할 수 있도록 근거 규정이 마련되어 있어, 이에 대한 대응도 필요합니다.

제35조. 핵심정보인프라시설의 운영자가 인터넷제품과 서비스를 구매할 때 국가안보에 영향을 미칠 가능성이 있을 경우, 반드시 국가인터넷정보부서 및 국무원해당조직의 국가안보심사를 거쳐야 한다. 


제38조. 핵심정보인프라시설의 운영자는 반드시 자체로 또는 네트워크보안서비스기구에 위임하여 자신의 네트워크의 안전성과 가능한 위험에 대해 해마다 최소 1회 검사평가를 진행해야 하며, 평가상황과 개선조치를 해당 핵심정보인프라설비안전보호 담당 기관에게 제출해야 한다. 


제39조. 국가인터넷정보부처는 핵심정보인프라시설의 안전보호에 대해 아래의 조치를 취하도록 해당 부서를 총괄적으로 조절시켜야 한다. 

(1)핵심정보인프라시설의 안전위험성에 대해 추출 검사를 진행하여, 개선조치를 제출하여야 한다. 필요 시 네트워크보안서비스기구를 의뢰하여 네트워크에 존재하는 안전위험에 대해 검사평가를 진행해야 한다.

l 핵심정보 인프라 지정 시 당국 관리 감독 항목



핵심정보 인프라에 해당되는 기관•회사는 ‘영역 및 기타의 파괴, 기능 상실, 또는 데이터 유출로 국가의 안전, 국가계획과 국민 생활, 공공이익이 심하게 손해 받을 가능성이 있는 시설’로 명시되어 있어, 그 범위가 아직은 모호합니다. (상세한 범위와 보호 방법은 향후 국무원에서 제정 예정) 핵심정보 인프라에 지정될 경우, 사업에 지대한 영향을 미칠 수 있는 변경이 필요할 수 있어, 이에 대한 지속적인 모니터링이 필요합니다. 


지금까지 중국 네트워크 개요와 상세 내용에 대해 알아보았는데요. 다음에는 네트워크 안전법의 대응 방안 및 준비 방안에 대해 알아보겠습니다.


글 | LG CNS 보안컨설팅팀



해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.




저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로