[기고] 중국 네트워크 안전법 적발사례와 우리기업의 참고사항(2)

자료원 : 雪球 通信信息报


중국 정부의 네트워크 안전에 대한 규제가 점점 강화되고 있는 추세이다. 최근에 확인한 내용으로는 택배업무의 경영허가증을 연장하려면 반드시 정보시스템 보안등급증서를 제출해야만 연장이 가능하다고 한다. 보안등급증서의 획득이 기업의 정상적인 경영의 기본조건이 된 것이다. 어떤 분야까지 어떻게 적용될지는 당장의 확인은 힘들지만 점진적으로 기타 업종에도 적용될 가능성이 클 것으로 보인다.

제출서류 리스트 내 포함된 '보안등급증서'

자료원 : 국가우정국

2019년 중국의 네트워크 안전법 관련 법규 집행도 마찬가지로 본격화 되고 있다. 아래는 2019년 네트워크 안전법 집행에 관한 몇 가지 이슈사항을 정리한 내용이며, 우리 한국기업들이 보안등급 업무를 추진함에 있어 도움이 되었으면 한다.



2019년 1월부터 *중앙왕신판(网信办), 공신부, 공안부, 시장감독관리총국 4개 부처는 개인정보보호 강화를 위한 전국적인 개인정보의 불법수집 및 사용에 관한 APP 단속을 집중 시행했다. 이번 단속기간은 총 12개월로, 온라인 기업과 플랫폼을 상대로 이렇게 장기간 단속을 진행하기는 처음이다.
* 중앙왕신판 : 国家互联网信息办公室의 약칭으로, '11년 설립된 중국정부의 인터넷정보 관련 정책수립 및 지도, 감독기관


자료원 : 신화사(新华社)

6월 11일까지 APP 전문 단속반에 접수된 5,500여건의 의심사례를 근거로 300여개의 APP에 대해 엄격한 평가를 진행했다. 그 중 사용자가 많고 문제가 비교적 엄중한 30여개의 APP에 대해 시정통보를 내렸으며, 즉시 시정을 하지 않은 P사 등 3개 업체에 대해 추가 면담을 진행하고 최종 시정명령을 내리기도 하였다.



금년 2월, 상하이 리챵(李强) 당서기 주재로 열린 '상하이시 네트워크 안전 및 정보화위원회 회의'에서는 시진핑 총서기의 "네트워크 강국"의 사상을 철저하게 관철하고 네트워크 보안을 탄탄하게 구축하여 중국 창립 70주년을 성공적으로 맞이하자는 내용이 골자였다.

현재 상하이시 왕신판(网信办)의 경우 공안국과 통신관리국 등 해당 집행기관을 동원하여 네트워크 안전검사를 대폭 강화 중에 있으며, 1분기까지 11,888개 사이트를 모니터링하여 안전사고 발생 리스크가 높은 133개 업체를 대상으로 별도의 안전통보를 진행하였다.


최근 중앙 왕신판(网信办)은 공안부, 시장감독관리총국과 연합하여 전국적인 인터넷 사이트 보안에 관한 집중 단속을 실시하고 있으며, 집중 단속기간은 올해 5월부터 12월까지이다. 이번 단속의 주요 특징은 사이버 보안의무를 이행하지 아니하거나 보안사건이 발생한 사이트 운영자에 대한 처벌수위를 높이는 등 사이트의 보안관리에 대한 수준을 전폭적으로 강화하도록 촉구하는데 목적을 두고 있다.

통신관리국과 공안기관은 네트워크 안전법에 근거하여 네트워크 보안의무를 잘 수행하지 못하거나 사이트 변조, 대량 개인정보 유출, 백도어 삽입 등 네트워크 안전에 취약한 사이트, 그리고 개인정보의 불법수집 및 판매 사이트에 대해 해당 내용의 경중에 따라 휴업, 사이트 폐쇄, 비안(등록허가) 취소 등 행정처벌을 가하고 있으며 해당기업의 처벌 내용을 국가기업신용정보 공식 사이트에 공시하고 있다.

2019년 4월, 텐진시에 소재한 B사의 경우 네트워크 안전법을 위반하여 해당 사이트의 임시폐쇄 조치와 더불어 30만 위안의 벌금 등 행정처벌을 받기도 하였다. 이것이 바로 중국 네트워크 안전법 실시 이래 최고의 이슈가 되었던 "블랙홀"사건이다.


자료원 : 中青团中央(논란이 된 B사의 국기 저작권 사용의 비판 및 논쟁점화)

해당 사건은 4월 10일, 인류 역사상 처음으로 관측된 블랙홀 사진의 공개 이튿날, 텐진시 소재 대형 사진저작물 공급업체인 B사가 블랙홀 이미지에 자사 저작권 표시를 해서 사이트에 공개하면서 시작되었다. "블랙홀" 뿐만 아니라 많은 브랜드 기업의 로고, 심지어 중국의 국기, 국장 이미지 마저 사이트 내에서 저작권이 표시가 되어 유료 판매가 되고 있는 것이 확인되어 논란을 일으켰다. 이 사건으로 인해 해당 기업은 연속으로 주가가 폭락하였으며, 거래 중지로 3일만에 50억 위안의 시가총액이 증발되었다.

2019년 상반기부터 우리 한국기업 또한 보안등급을 준비하기 시작했다. 화장품제조업체 O사는 5월부터 보안등급 심사업무를 진행 중에 있으며, 기타 기업들도 마찬가지로 보안요구가 한층 더 업그레이드 되어 적용되는 2.0 표준(지난 1차 기고문 내 설명)에 대해 충분히 숙지하고 이해해야 한다.


네트워크 안전법과 관련, 외자기업의 경우 2가지 불편한 점이 존재한다.

첫째, 중요 데이터나 개인정보를 중국 내 저장해야 함에 따라 한국에 서버가 있다면 중국으로 서버를 이전 해야한다. 서버를 이전할 경우 막대한 비용과 인력이 투입이 되게 된다. 이에 따라 재중 한국기업은 주로 중국 내 서비스를 지원하는 클라우드 서버를 이용하고 있으며, AWS(아마존), MS 애저를 주로 이용하는 편이다.

둘째, 모든 기업은 네트워크 안전법에서 규정한 보안등급을 받아야 한다. 특히 시스템이나 업무별로 보안등급을 받아야 하며, 만약 소프트웨어와 하드웨어가 동일하면 보안등급을 받고 나서 모든 중국법인의 사용이 가능하다. 예를 들면 고객관리(CRM) 시스템을 전 중국법인이 동일한 소프트웨어와 하드웨어를 사용한다면 상하이 법인이 보안등급을 취득 후 중국 내 모든 법인이 함께 사용 가능하다. 하지만 동일하지 않다면 법인별로 사용하는 시스템에 보안등급을 별도로 취득 해야한다.

서버 이전의 경우 많은 재중 한국기업이 이전을 완료하거나 준비 중에 있지만 보안등급 관련해서는 관련 정보의 이해도가 낮아 어려움을 겪고 있다. 보안등급 관련 우리기업들 외 다른 외자기업과 로컬기업의 상황은 어떠한지 알아보기 위해 상하이 보안등급기관(上海计算机软件技术开发中心)에 보안등급 준수사례를 확인차 알아보았다. 아래표는 중국 로컬기업과 외자기업의 사례이다.





자료원 : 上海计算机软件技术开发中心

현재 크고 작은 대부분의 재중 한국기업들은 보안등급을 받지 못한 상태이다. 최근 코로나19로 인해 유예기간을 두고 있지만 보안등급을 결국 받지 못하면 법적 제재가 따를 수 있다.

중국 내 모든 기업은 네트워크 안전법에 규정된 보안등급(1등급-5등급)을 받아야 한다. 우리 기업의 경우 2등급이나 3등급을 받아야 하며, 1등급은 개인이나 소규모 사업장에 해당된다. 3등급 이상부터는 매년 등급심사를 진행해야하며 심사비용과 인력이 필요하며 미리 사전에 잘 준비해야 한다.

상하이의 경우 보안등급 심사를 하는 회사와 기관은 5개 정도로 파악되며 모두 공기업에 속한다고 볼 수 있다. 등급심사 기관은 주로 로컬기업 중심으로 단속을 진행하고 있으며, 상반기에는 게임회사나 P2P회사를 중점적으로 단속하고 있다. 요즘은 호텔이나 병원도 집중 단속하고 있는 것으로 보이며 보안등급 심사를 받지 않고 영업을 지속할 경우 영업허가증 취소와 영업정지를 당할 수도 있다.

중국 네트워크 안전법은 대한민국의 개인정보보호법이나 정보통신망법, 유럽의 GDPR(개인정보보호규정)과 유사한 성격의 법률이다. 이러한 기업과 국가의 정보보호 체계구축은 세계적인 추세이며, 중국은 2017년 6월 해당 안전법을 정식으로 발효하였다. 제정된 기본 법률을 기반으로 여러 가지 "의견"과 "상세규정"은 도입을 통한 시행착오와 경험을 통해 다듬어지고 있다. 참고로 2.0 표준은 2019년 5월 13일 발표되었고, 12월 1일부터 시행되고 있다.

끝으로 본 기고문을 통해 우리 재중 한국기업들이 네트워크 안전법에 대한 법률적 해석의 이해도를 높이고 향후 어떻게 대응해야 하는 지 고민할 수 있는 계기가 되었으면 좋겠다.

참고자료: AZ글로벌 블로그(blog.naver.com/az-glbal), 아이요넷 신동욱 대표 블로그(blog.naver.com/meet21c), SK 인포섹 블로그(blog.skinfosec.com), 中倫법률사무소 천지홍 변호사 '<사이버 보안법>시행 전 기업 준비사항' 자료, 법무법인 지평 김은주 변호사 '네트워크 안전법 법률규정 및 해석' 자료, 법무법인 태평양 김성욱 변호사 '중국 네트워크 안전법의 시행과 한국기업의 대응'


※ 이 원고는 외부 전문가가 작성한 정보로 KOTRA의 공식 의견이 아님을 알려 드립니다.