• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[中 ‘사이버 보안법’ 뭘 담았나 ①] 네트워크·인터넷 보안 총망라 2015.07.27

네트워크 건설·운영·유지보호·사용...네트워크 보안 감독 관리

[보안뉴스 온기홍=중국 베이징] 중국이 이달 자국 내 네트워크(인터넷) 설비와 시설, 운영, 정보데이터, 사용을 망라한 이른바 ‘사이버 보안법’(Cyber Security law)을 내놓아 나라 안팎에서 주목을 받고 있다.


중국 공산당 정부는 이달 1일부터 네트워크와 정보기술·시스템 등에 대한 통제도 포함된 ‘국가안전법(보안법)’을 시행한 데 이어 지난 9일 별도의 ‘사이버(네트워크·인터넷) 보안법’도 처음 발표했다.


중국의 국회 격인 전국인민대표대회(전인대) 상무위원회는 지난달 24일부터 이달 1일까지 열린 제15차 회의에서 ‘중화인민공화국 네트워크 안전법(초안)’을 첫 심의하고 이달 9일 전인대 인터넷 홈페이지를 통해 초안을 공개했다. 전인대는 오는 8월 5일까지 초안에 대해 사회 각계로부터 의견을 받는다. 이어 수렴한 의견을 바탕으로 초안을 수정·보완할 방침이다. 하지만 이전 사례를 볼 때, 이번 초안은 별다른 수정 없이 조만간 공식 시행될 것으로 예상되고 있다.


전인대는 사이버 상에서의 공격과 범죄, 유해정보 확산 위협으로부터 사이버공간 주권과 국가 안보, 사회 공공이익을 지키기 위해 이 법안을 마련했다고 설명했다. 이 법 초안에는 네트워크(인터넷) 설비 시설 보안, 네트워크 운영 보안, 네트워크 데이터 보안, 네트워크 정보보안 등을 총망라하고 있다. 초안은 중국 내 모든 분야의 네트워크, 인터넷, 정보시스템, 통신망, 방송망을 대상으로 정부, 기관, 기업체, 일반 개인이 이행해야 할 역할과 의무를 담고 있다.


초안은 △총칙 △네트워크 보안 전략·기획·촉진 △네트워크 운행 보안 △네트워크 정보 보안 △모니터링 경보와 응급 처치 △법률 책임 △부칙 등 모두 7장 68조로 이뤄져 있다. 초안의 주요 내용을 두 차례에 나눠 싣는다.

‘사이버 보안법’, 입법 취지·적용대상·국가역할

먼저 전인대는 초안에서 “네트워크(사이버) 안전을 보장하고 사이버공간 주권과 국가 안보, 사회 공공이익을 수호하며, 공민·법인·기타 조직의 합법 권익을 보호하고경제사회 정보화의 건전한 발전을 촉진하기 위해 이 법을 제정한다”며 입법 취지를 밝혔다. 이 법은 중국 내 네트워크를 건설·운영·유지보호·사용하고 네트워크 보안을 감독 관리하는데 적용된다.


초안은 ‘네트워크’는 컴퓨터 또는 기타 정보 단말기 및 유관 설비로 구성돼 일정한 규칙과 프로그램에 따라 정보를 수집·저장·전송·교환·처리하는 네트워크와 시스템을 일컫는다고 명시했다.


사이버 보안법은 국가의 역할도 명시했다. 이 법은 “국가는 네트워크 보안과 정보화 발전을 모두 같이 중시하며, 네트워크 인프라 건설을 추진하고, 네트워크 기술 창신과 응용을 장려하며, 완전한 사이버 보안 보장 체계를 갖추고, 사이버 보안 보호 능력을 제고해 나간다”고 밝혔다.


이어 국가는 전 사회의 사이버 보안의식과 수준을 제고하기 위한 조치를 취하고, 전 사회가 사이버 보안을 공동 촉진할 수 있는 양호한 환경을 형성한다고 덧붙였다. 국가는 사이버 상 불법 범죄 단속 방면에서 국제 교류와 협력도 적극 벌인다.


국무원 산하 공업정보화부와 공안부, 기타 유관 부서들은 이 법과 유관 법률, 행정 법규의 규정에 의거해 사이버 보안 보호와 감독관리 업무를 책임지게 된다. 네트워크 관련 조직은 규정에 의거해 사이버 보안 행위 규범을 제정하고, 사이버 보안 보호 수준을 제고해야 한다.


이 법은 어떤 개인이나 조직이든 네트워크(인터넷)을 이용해 국가안보를 해치고 테러리즘·극단주의·민족증오·민족멸시를 퍼뜨리며 음란 정보를 전파하고 타인을 모욕·비방하며 사회질서를 어지럽히고 타인의 지식재산권을 침해해서는 안 된다고 강조했다.


사이버 보안 전략·기획·촉진

법 초안은 2장에서 사이버 보안과 관련한 전략과 기획, 촉진에 대한 내용을 담았다. 전인대는 초안에서 국가의 사이버 보안 전략 제정은 사이버 보안의 기본 요구와 주요 목표를 명확하게 보장하고, △사이버 보안 보장체계 완전화 △사이버 보안 보호 능력 제고 △사이버 보안 기술과 산업 발전 촉진 △사이버 보안에 대한 전 사회의 공동 참여·보호 추진을 위한 정책 조치 등을 제시한다고 명시했다.


국무원 산하 통신·라디오TV·에너지·교통·수리·금융 등 분야의 주관 부서와 기타 유관 부서는 국가 사이버 보안 전략에 의거해 국가안보 및 국가계획민생 중점 분야, 중요 영역과 관련된 사이버 보안 계획을 편성해 실행해야 한다.


국가는 사이버 보안 표준체계를 수립하고 완전하게 해야 한다. 국무원 산하 표준화 행정 주관 부서와 기타 유관 부서는 사이버 보안 관리 및 네트워크 제품·서비스, 운행 보안과 관련된 국가 표준과 업계 표준을 제정하고 시의적절하게 수정해야 한다.


국무원·성·자치구·직할시 정부는 중점 사이버 보안 기술 산업과 프로젝트를 지원하고 투입을 늘리며, 네트워크 보안 기술의 연구개발·응용과 보급도 지원해야 한다. 또 네트워크(인터넷) 기술 지식재산권을 보호하며, 연구기관·연구소·대학·기업이 국가 네트워크 보안 기술 관련 창신 프로젝트에 참여하는 것을 지원해야 한다.


각 급 정부와 유관 부서는 일상적인 사이버 보안 선전 교육을 실시하고, 대중 매체도 사회를 대상으로 사이버 보안 선전 교육을 진행해야 한다. 국가는 기업과 고등 교육기관, 직업학교 등 교육훈련기관이 사이버 보안 관련 교육과 훈련을 실시하는 것을 지원하며, 여러 방식을 통해 사이버 보안 기술 인재를 양성하고 사이버 보안 기술 인재 교류도 촉진한다.


네트워크 운영 보안

국가는 ‘네트워크 보안등급 보호 제도’를 실행한다. 네트워크 보안 등급 보호의 구체적인 방법은 국무원이 규정한다. 그리고 네트워크(인터넷) 운영자(업체)는 네트워크 보안등급 보호 제도의 요구에 의거해 다음과 같은 보안 보호 의무를 이행해야 한다. 동시에 네트워크 간섭과 파괴, 또는 권한이 부여되지 않은 접속을 받지 않을 것을 보장해야 하며, 네트워크 데이터 유출 또는 절취, 변조를 방지해야 한다.


첫째, 네트워크 운영자는 내부 보안 관리 제도와 조작 규정을 제정하고 네트워크 보안 책임자를 확정하며 네트워크 보안·보호책임을 실행해야 한다. 둘째, 컴퓨터 바이러스와 네트워크 공격, 네트워크 침입 등 네트워크 보안을 해치는 행위에 대한 기술 조치를 취한다. 셋째, 네트워크 운행 상태를 기록·추적하고, 네트워크 보안 사건을 모니터링·기록하는 기술 조치를 취하며, 규정에 의거해 네트워크 일지를 보존한다. 넷째, 데이터 분류와 중요 데이터 백업과 암호화 등 조치를 취한다. 다섯째, 법률과 행정법규 규정의 기타 의무를 이행한다.


이 법은 “네트워크 운영자는 네트워크의 소유자·관리자, 나아가 타인이 소유 혹은 관리하는 네트워크를 이용해 유관 서비스를 제공하는 네트워크 서비스 제공자를 가리킨다”며 “기초통신운영자, 네트워크 정보서비스 제공자, 중요정보시스템 운영자 등을 포함한다”고 명시했다.


네트워크 제품과 서비스는 유관 국가표준과 업계 표준에 부합해야 한다. 네트워크 제품·서비스 제공자는 악성 프로그램을 설치해서는 안된다. 해당 제품·서비스에 사용자에 대한 정보 수집 기능이 있으면, 제공자는 이를 사용자에게 알리고 동의를 받아야만 한다. 해당 네트워크 제품·서비스에 보안 결함과 취약점 등 위험이 존재할 때엔 즉시 사용자에게 고지하고 보완 조치를 취해야 한다. 제공자는 네트워크 제품·서비스에 대해 지속적으로 보안 유지보호를 하고, 규정 혹은 당사자 약정 기간 안에 이를 중지해서는 안 된다.


네트워크 중요 설비와 네트워크 보안 전용 제품의 경우, 유관 국가표준과 업계표준의 강제성 요구에 따라, 자격을 갖춘 기관에서 실시하는 보안 인증 합격 또는 보안 검사 요구에 부합한 후에야 판매가 가능하다. 국가 인터넷통신 부서는 국무원 유관 부처와 함께 네트워크 중요 설비와 네트워크 보안 전용 제품 목록을 제정·공포하고, 보안 인증과 보안 검사의 결과를 상호 승인해 중복 인증과 검사를 피한다.


네트워크(웹사이트, 소셜미디어 등) 운영자는 사용자를 위해 네트워크 접속과 도메인 등록 서비스를 처리하며, 유선전화·이동전화 등의 ‘입망’(망 접속) 수속을 맡는다. 사용자를 위해 정보 발표 서비스도 제공한다. 네트워크 운영자는 사용자와 협의 체결 또는 서비스 제공을 확인할 시에는 사용자에게 실명 신분정보를 제공하도록 요구해야 한다. 사용자가 실명 신분정보를 제공하지 않으면, 네트워크 운영자는 해당 사용자에게 유관 서비스를 제공해서는 안 된다. 국가는 안전하고 편리한 전자 신분인증 기술의 연구개발을 지원하며, 각 전자 신분인증 기술 간의 상호 승인과 통용을 추진한다. 


네트워크 운영자는 네트워크 보안 사건 응급 대비책을 제정해야 하며, 시스템 취약점, 컴퓨터 바이러스, 네트워크 침입, 네트워크 공격 등 보안 위험을 즉시 처리해야 한다. 네트워크 보안을 해치는 사건이 발생 시 즉각 응급 대비책을 개시해야 하며, 상응하는 보완 조치를 취하고, 규정에 의거해 유관 주관 부서에 보고해야 한다.


어떤 개인이나 조직이든 타인의 네트워크에 침입하고 정상 기능을 방해하며 네트워크 데이터(네트워크를 통해 수집·저장·전송·처리·생산하는 각종 전자 데이터)를 절취하는 등 네트워크 보안에 해를 끼치는 활동을 해서는 안 된다. 또 이러한 활동을 하는 툴과 제작방법을 제공해서도 안 된다. 타인의 네트워크 안전에 해를 끼치는 활동에 대해 기술지원, 광고 확산, 금전 지급결제를 제공하는 것도 금지된다.


수사기관은 국가안보와 범죄 수사의 필요를 위해 법률규정에 따라 네트워크 운영자에게 필요한 지원과 협조를 요구할 수 있다. 국가는 네트워크 운영자 간의 네트워크 보안 정보 수집·분석·통보·응급처리 등 방면의 협력을 지원하며, 네트워크 운영자의 보안 보장 능력 제고를 지원한다.


또 유관 분야 조직이 해당 분야의 네트워크 보안, 보호 규범과 협력 기제를 갖추고, 네트워크 보안 위험에 대한 분석 평가를 강화하며, 정기적으로 회원들에게 위험 경고를 진행하면서 회원들이 네트워크 보안 위험에 대응하게 하는 것을 지지하고 협조한다.


‘중요정보인프라’ 운영 보안

국가는 △공공통신·라디오TV 전송 서비스를 제공하는 기초정보네트워크 △에너지·교통·수리·금융 등 중요 분야와 전력공급·급수·의료위생·사회보장 등 공공 서비스 영역의 중요 정보 시스템 △군사 네트워크 △시(市)급 이상 국가 기관 등 정무 네트워크 △사용자 수가 많은 네트워크 서비스 제공자가 소유 혹은 관리하는 네트워크와 시스템(이하 중요정보인프라)를 중점 보호한다. 중요정보 인프라의 보안, 보호 방법은 국무원이 제정한다.


국무원 통신·라디오TV·에너지·교통·수리·금융 등 업계의 주관 부처와 국무원 기타 유관 부서(이하 중요정보 인프라 보안, 보호업무 책임부서)는 국무원 규정 직책에 따라 중요정보 인프라의 운영 보안, 보호업무를 지도·감독한다.


중요정보 인프라 운영자는 다음과 같은 보안, 보호 의무를 이행해야 한다. 첫째, 전문적인 보안관리 기구와 보안관리 책임자를 세우고, 책임자와 중요 직위의 인력에 대해 보안 배경을 심사한다. 둘째, 정기적으로 해당 인력에 대해 네트워크 보안 교육과 기술훈련, 기능 심사를 한다. 셋째, 중요 시스템과 데이터베이스에 대해 재난 대비 백업을 진행한다. 넷째, 네트워크 보안 사건 응급 대비책을 제정하고 정기적으로 조직적인 훈련을 실시한다. 다섯째, 법률·행정법규 규정의 기타 의무를 지킨다.


또한 중요정보 인프라 운영자는 네트워크 제품·서비스를 구매할 때 반드시 제공자와 보안 비밀보호 합의서를 체결해, 보안과 비밀보호 의무 및 책임을 명확하게 해야 한다.


중요정보 인프라 운영자는 네트워크 제품·서비스 구매할 경우, 국가 안보에 영향을 미칠 수도 있으므로 국가 인터넷통신 관련 부서와 국무원 유관 부서의 보안 심사를 통과해야 한다. 구체적인 방법은 국무원이 규정한다.


중요정보 인프라 운영자는 운영 중 수집·생산한 공민(국민) 개인정보 등 중요 데이터를 중국 역내에 저장해야 한다. 업무 필요 때문에 국외에 저장 혹은 국외의 조직이나 개인에게 제공하는 게 필요할 경우에는, 반드시 국가 인터넷통신 관련 부서와 국무원 유관 부처가 제정한 방법에 의거해 보안성 평가를 진행해야 한다.


공민 개인정보는 전자 혹은 기타 방식을 써서 기록한 공민의 성명, 출생일자, 신분증 번호, 개인 생물 식별정보, 직업, 주소, 전화번호 등 개인 신분 정보, 그리고 기타 단독 혹은 다른 정보와 결합해 공민 개인신분을 식별할 수 있는 각종 정보를 일컫는다고 이 법은 명시했다.


아울러 중요정보 인프라 운영자는 반드시 자체 또는 전문 기관에 위탁해 네트워크의 보안성 및 존재 가능성이 있는 위험에 대해 매년 최소 한 차례 검사 평가를 진행한다. 이어 검사 결과 및 개량 조치에 대한 네트워크 보안 보고를 제출해야 한다.


국가 인터넷통신 관련 부서는 유관 부서와 협조하고 협력 기제를 마련해야 한다. 또 중요정보 인프라의 보안 보호에 대해 다음과 같은 조치를 취할 수 있다. 첫째, 중요정보 인프라의 보안 위험에 대해 표본 검사를 진행하고 개량 조치를 제출하며, 필요 시에는 전문 검증검사기관에게 네트워크에 존재하는 보안 위험에 대한 검사 평가를 위탁할 수 있다.


둘째, 정기적으로 중요정보 인프라 운영자가 네트워크 보안 응급 대응 훈련을 하도록 조직하며, 중요정보 인프라의 네트워크 보안 사건에 대한 대응 수준과 협력능력을 향상시킨다. 셋째, 유관 부서, 중요정보 인프라 운영자 및 네트워크 보안 서비스 기구, 유관 연구기관 간의 네트워크 보안 정보 공유를 촉진한다. 넷째, 네트워크 보안 사건의 응급 처리 및 복구 등에 대해 기술지원과 협조를 제공한다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>