IT Solutions/Security

중국 네트워크 안전법 분석 및 대응 방안 ②

2016.12.20 09:30


지난 원고에서는 중국 네트워크 안전법의 상세 내용에 대해 알아보았는데요. 이번 원고에서는 네트워크 안전법의 대응 방안 및 준비 방안에 대해서 알아보겠습니다.


 네트워크 안전법 대응 방안


앞서 살펴본 바와 같이, ‘네트워크 안전법’은 그 범위가 매우 광범위하고 내용 자체도 포괄적이어서 어떻게 준비해야 할지 막막한 측면이 있습니다. 하지만 다행스러운 점이 있다면, 네트워크 침해 행위와 개인정보 보호 등은 한국에서도 다년간 이슈가 되어 왔던 내용들이어서, 이에 대응하기 위한 경험이 한국 내에 많이 있고, 한국에 본사를 둔 기업들의 경우 중국 내에도 이런 경험을 확산하기 위해 다년간 점검과 이행 등의 노력이 있어왔다는 점입니다. 


법규 내용을 분석해 보면 관리적기술적개인정보의 크게 세 가지 측면에서 준비가 필요해 보입니다. 현재의 상황을 이 세 가지 측면에서 분석해보면 다음과 같은 경향성을 보이고 있습니다. (한국에 본사를 두고 중국에 별도 법인을 둔 외자회사를 기준입니다.) 



※ 기술적인 측면에서는

IT 시스템의 설계•구축 시 본사에서 보안성 검토를 수행한 경우, 법규에 대응하기 위한 기본적인 투자가 되어 있는 경우가 많으나, 운영상 정책 적용 수준의 점검이 필요합니다. 


※ 정책, 인적 관리, 사고 대응체계 수립, 중요 정보분류, 인원 및 조직 등 관리적인 측면에서는

정책서 자체는 만들어져 있는 경우가 많으나, 실제 이에 대한 이행 수준은 미흡한 경우가 많습니다. 


※ 개인정보 관리체계의 경우는

기존에 중국에 관련 기준이 없었기 때문에, 발표된 법규 기준의 개인정보 관리체계 신규 수립이 필요합니다. 아울러, 현재까지 발표된 법규의 내용을 충족시키기 위해, 기술•관리, 개인정보 관리체계 측면에서 해야 할 일들을 개략적으로 정리해보면 다음과 같습니다.


l 중국 네트워크 안전법 대응 방안

 

현재 운영 중인 IT 시스템 내에 개인정보가 포함되어 있지 않다면 ‘네트워크 안보 침해 행위 대응’을 기준으로 해야 할 일들을 정리하고, 개인정보가 포함되어 있다면 ‘개인정보 보호 관리체계’ 항목을 기준으로 해야 할 일들을 추가로 정리해야 합니다.


 법규 시행까지 준비 일정


인터넷 안전법의 시행일자가 2017년 6월 1일로 이제 6개월 정도 남아 있는 반면에, 법에 대한 상세 시행 방안은 아직도 미발표된 내용들이 많이 남아있습니다. 그렇다면, 남아있는 기간 동안 어떤 일정으로 준비하는 게 좋을지 알아보도록 하겠습니다.



우선은 중국에 새로 생기는 법규의 내용들에 대해 내부적으로 공유하고, 법규에 대한 대응을 위한 인원과 조직을 확보해야 합니다. 법규의 내용이 IT, 보안뿐 아니라 개인정보에 대한 내용이 포함되어 있기 때문에, 개인정보를 수집 •활용하는 조직(예를 들어, 인사팀, 마케팅팀, 영업팀 등등)에도 법규의 내용을 전파하고 대응 활동에 함께 참여할 수 있도록 해야 합니다. (법규 위반 시 담당자도 함께 과태료 등 처벌을 받는다는 점을 상기할 필요가 있습니다.)


단기적으로는 17년 법규 시행일까지 유관 인원들이 참여하는 TF를 만들어 대응해야겠지만, 법규가 시행되는 내년 6월 1일이 끝이 아니라 그 이후로도 법규의 내용이 상시 준수될 수 있도록 관리할 수 있는 체계로 만들어야 합니다. 


법규에 대응하기 위한 주체와 인원이 정해졌으면, 17년 6월까지 해야 할 일들을 다음과 같이 단계적으로 나누어 정리해 볼 필요가 있습니다. 


● 1 단계 (~ 16년 말) 

우선적으로 법규 대응을 위한 조직과 인원이 확정하고, 유관 인원들에게 법규의 내용과 중요성을 공유해야 합니다. IT 조직에서는 앞서 기술한 대응 방안 및 법규 내용을 기준으로 현재 운영 중인 시스템에서 잘 되고 있는 내용과 잘 안되고 있는 내용들을 구분해서, 향후 어떤 일들을 해야 하는지 정리하도록 해야 합니다. 


개인정보를 다루는 조직에서는 현재 수집하고 있는 개인정보 항목들이 어떤 것들이 있고, 이 중 업무를 위해 반드시 필요한 개인정보와 불필요한 개인정보를 분류하는 작업을 시작해야 합니다. 


● 2 단계 (17년 1월 ~ 17년 5월)

17년 1월에는 그 시점까지 확정되는 상세 시행방안이 포함된 법률 내용을 기준으로, 법규 대비 GAP 분석을 디테일하게 수행해야 합니다. GAP 분석 시 주의할 사항은 회사 내 운영 중인 시스템 •서비스를 기준으로 빠짐없이 분석해야 합니다. GAP 분석이 완료되면, 그 결과를 바탕으로 약 4개월의 기간 동안 개선 활동을 수행해야 합니다. 

 

 

특히, 개인정보 보호에 대해서는 기존에 구축되어 있는 관리체계가 없을 확률이 큰데요. 이 경우 4~5개월 내에 신규 관리체계를 만들어 운영을 시작해야 하므로 IT•보안•개인정보를 처리하는 부서들 간의 적극적인 협업 체계를 만드는 것이 매우 중요합니다.


● 3단계 (17년 6월 ~ ) 

법규가 시행되는 시점에서 이행점검을 수행하여야 합니다. 이행점검을 하는 목적은 개선활동이 얼마나 잘 진행이 되었는지 점검하는 목적도 있겠지만, 법률 시행 시기에 맞춰서 법규에 대해 회사에 남아있는 Compliance Risk를 식별하는 것이 더욱 중요합니다. 


법규에 맞춰서 100% 준비가 잘 되어 있다면 문제가 없겠지만, 현실적으로 여전히 남아 있는 이슈들이 있을 수 있고, 그런 이슈들을 모두 식별하여 Risk를 관리할 수 있는 방안을 수립해야 합니다. 또한, 5개월 동안 준비해서 만들어 놓은 법률 대응체계가 지속적으로 유지될 수 있도록 운영방안을 정리하는 것도 매우 중요합니다. 

 

 

이상으로, 중국에서 새로 만들어진 “네트워크 안전법”의 내용과 대응 방안, 그리고 법규 시행 전까지 준비할 일정에 대해 살펴보았습니다. 법률 시행시기는 얼마 안 남았고, 구체적인 내용이 확정되지 않아 혼란스러울 수도 있겠지만, 구체적인 내용 확정될 때까지 미루기에는 해야 할 일들이 너무 많습니다. 


따라서, 현재 확정된 내용을 기준으로 우선 대응 방안을 수립해서 준비해 나가되, 관련 정보를 지속적으로 수집하여 변경되는 내용을 신속하고 유연하게 준비 과정에 반영할 수 있도록 해야 합니다. 


또한, 법규가 시행되면 회사의 관리적•기술적 보호조치와 개인정보 관리체계가 지속적으로 변경•유지되어야 하므로, 이런 작업이 일회성으로 끝나지 않고 항시적으로 운영될 수 있도록 해야 합니다.  


글 | LG CNS 보안컨설팅팀



해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.




저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로