국가인터넷정보판공실 ‘네트워크 제품·서비스 보안심사 방법’ 초안 발표
심사 대상, ‘국가안전·공공이익 관련 정보시스템에 쓰이는 중요 제품·서비스’
“당·정부 및 중점 업종, 보안심사 통과 네트워크 제품·서비스 우선 구매해야”

[보안뉴스 온기홍=중국 베이징] 중국 정부가 네트워크(인터넷) 제품과 서비스에 대한 보안심사 제도를 올해 안에 정식 실시한다. 정부 당국은 관련 보안심사를 명문화하는 규정 마련에 착수한 가운데 조만간 최종안을 발표할 계획이다. 특히 중국 정부는 국가안전·공공이익과 관련된 정보시스템에 쓰이는 핵심 네트워크 제품과 서비스를 보안심사 대상으로 정하고, 당과 정부 부서 및 중점 업종은 보안심사를 통과한 네트워크 제품·서비스를 우선 구매하게 한다는 방침을 세워 놓고 있다.

중국 인터넷 관련 정책을 총괄하는 국가인터넷정보판공실은 ‘네트워크 제품과 서비스 보안심사 방법’(이하 ‘방법’)의 초안(총 16개 조항)을 지난 달 초 정식 공개하고 이달 4일까지 한 달 동안 유관 기관·기업과 인사들로부터 의견을 받았다. 인터넷정보판공실은 사회 각계의 의견을 반영한 ‘방법’ 최종안을 완성하고 연내 정식 실시할 예정이다. 판공실은 이 ‘방법’의 실시 시기에 대해 올해로만 밝히고 보다 구체적인 시기는 정하지 않았지만, 하반기가 될 것이란 관측이 많다.

인터넷정보판공실은 “네트워크 제품·서비스의 보안성과 통제가능성은 사용자 이익에 직접 영향을 끼치고 국가안전과 관계가 있다”며, “네트워크 제품·서비스의 보안과 통제가능 수준을 제고하고 공급사슬의 보안 위험을 방지하며 국가안전과 공공이익을 보호하기 위해 ‘중화인민공화국보안법’과 ‘중화인민공화국 사이버보안법’에 의거해 이 ‘방법‘을 제정한다”고 밝혔다. 인터넷정보판공실은 외국의 사례와 방법도 참고했다고 덧붙였다.

‘네트워크 보안심사위원회’ 설립 예정...‘네트워크 보안심사 전문가위원회’도 구성
인터넷정보판공실은 ‘방법’ 실시에 맞춰 유관 정부 부서와 함께 ‘네트워크보안심사위원회’를 설립할 예정이다. 이 위원회는 네트워크 보안심사의 중요한 정책 심의를 맡는다. 또 보안심사 업무를 통일되게 조직하고, 중요한 문제에 대해 여러 정부 부서와 협조한다.

위원회 산하에 설치될 ‘네트워크 보안심사 판공실’은 보안심사를 실시하고, 비정기적으로 네트워크 제품·서비스 제공자(업체)에 대한 보안 평가 보고를 발표하게 된다. ‘네트워크보안심사위원회’는 유관 전문가들을 초빙해 ‘네트워크 보안심사 전문가위원회’도 구성하게 된다. 위원회는 제3자(기관)의 평가를 바탕으로 네트워크 제품·서비스의 보안 위험 및 그 제공자의 보안 신뢰 상황에 대해 종합적인 평가를 진행하게 된다.

인터넷정보판공실은 “네트워크 보안 심사는 행정 승인(심사허가)이 아니라 핵심 네트워크 제품·서비스 구입에 대한 중간·사후 감독관리”라고 설명했다. 그러면서 “기업과 사회의 감독을 결합하고, 제3자(기간) 평가와 정부 감독관리를 결합하며, 실험실 검사측정, 현장 검사, 온라인 모니터링, 배경조사를 결합해 네트워크 제품·서비스 및 그 제공자(업체)에 대해 보안심사를 진행한다”고 덧붙였다.

인터넷정보판공실은 이 ‘방법’에서 “보안심사를 담당하는 제3자 기관은 객관·공정·공평의 원칙을 견지하고 유관 기준을 참고하며, 통제가능성·투명성·신뢰성 등 방면에 중점을 두고서 네트워크 제품·서비스 및 제공자에 대한 평가를 진행하고, 그 평가 결과에 대해 책임을 진다”고 밝혔다.

“네트워크 제품·서비스의 보안성과 통제가능성 중점 심사”
국가안전·공공이익과 관련된 정보시스템에 쓰이는 핵심 네트워크 제품·서비스는 보안심사를 거쳐야 한다고 이 ‘방법’은 명시했다. 또 “중요 정보인프라의 운영자(기관 등)가 구입한 네트워크 제품·서비스는 국가 안전에 영향을 끼칠 수 있으므로 보안심사를 거쳐야 하며, 해당 네트워크 제품·서비스가 국가 안전에 영향을 끼칠지 여부는 해당 중요 정보인프라 보호업무 담당부서가 확정한다”고 규정했다.

인터넷정보판공실은 “결코 모든 네트워크 제품·서비스가 심사를 받아야 하는 게 아니고, 조건이 있다”며, “네트워크 제품·서비스의 보안성과 통제가능성을 중점 심사하게 된다”고 설명했다.

구체적으로는 △첫째, 제품·서비스가 불법적으로 통제, 방해, 운영중단 되는 위험 △둘째, 제품과 핵심 부품 연구개발, 지불, 기술지원 과정 중의 위험 △셋째, 제품·서비스 제공업체가 제품·서비스를 제공하는 편리 조건을 이용해 불법적으로 사용자와 관련한 정보를 수집, 저장, 처리, 이용하는 위험 △넷째, 제품·서비스 제공업체가 사용자의 제품·서비스에 대한 의존을 이용해 불공정한 경쟁을 하거나 사용자의 이익을 해치는 위험 △다섯째, 국가안전과 공공이익을 해칠 가능성이 있는 기타 위험 등이 있는지 여부를 중점 심사한다.

판공실은 “보안심사에서는 국가안전 및 공공이익에 영향을 끼치는지를 판정하고, 제품과 서비스 사용 후 국가 정권과 주권 안전을 해치는지, 대중의 이익을 해치는지, 국가 경제의 지속가능 발전과 국가의 기타 중대한 이익에 영향을 끼치는지 여부를 주로 살피게 된다”고 설명했다.

네트워크 제품·서비스 보안심사 진행 절차
이 ‘방법’(제8조)은 ‘네트워크보안심사 판공실’에서는 국가 유관 부서의 요구, 전국적 업종 협회의 건의, 시장 (의견) 반영과 기업 신청 등에 근거해 제3의 기관과 전문가들을 모아 네트워크 제품·서비스에 대한 보안심사를 진행하고, 이를 발표하거나 일정 범위 내에서 심사 결과를 통보한다고 명시했다.

또, 금융, 통신, 에너지 등 중점 업종의 주관 부서는 국가 네트워크 보안심사 업무의 요구에 근거해, 해당 업종과 영역의 네트워크 제품·서비스 보안심사 작업을 조직적으로 벌여 나간다는 내용도 담고 있다.

중국정보보안연구원의 줘샤오동 부원장은 “예컨대 전국적인 업종 협회가 연구를 거쳐 특정 제품과 서비스에 심각한 네트워크 보안 취약점이 존재하고 이 취약점이 국가 안전에 영향을 끼친다고 보게 되면, 네트워크보안심사위원회에 이 문제를 반영할 수 있다”고 설명했다. 그는 이어 “심사위원회는 이런 상황이 존재할 것이라고 판단을 내리면, 해당 네트워크 제품과 서비스에 대해 특정 영역에서 사용 시 보안심사를 진행할 수 있다”고 덧붙였다.

“당·정부 및 중점 업종, 보안심사 통과 네트워크 제품·서비스 우선 구매해야”
당과 정부 부서 및 중점 업종은 보안심사를 통과한 네트워크 제품·서비스를 우선 구매해야 하며, 심사를 통과하지 않은 네트워크 제품·서비스를 구매해서는 안 된다고 이 ‘방법’은 명시했다.

줘샤오동 부원장은 “이 규정은 만일 어떤 특정 네트워크 제품·서비스가 국가 안전에 영향을 끼칠 가능성이 있을 경우, 보안심사를 통과할 수 없게 되고 이어 ‘블랙리스트’에 올라 구입할 수 없게 된다는 의미”라며 “다만 당과 정부 부서 및 중점 업종이 구매한 모든 네트워크 제품·서비스에 대해 보안심사를 해야 한다는 게 아니다”고 설명했다.

“네트워크 제품·서비스 제공업체, 사용자 정보 불법 수집·시스템 통제 안 돼”
인터넷정보판공실은 “네트워크 제품·서비스의 보안성과 통제가능성을 중점적으로 심사하게 되는데, 업체는 제품·서비스를 제공하는 편리 조건을 이용해 불법적으로 사용자의 정보를 수집해서는 안 되며, 사용자의 본인 정보에 대한 자주권·지배권을 손상시켜서는 안 된다”고 밝혔다. 또한 업체는 사용자의 시스템 또는 기기를 불법적으로 통제·조작해서도 안 되고, 사용자의 시스템은 사용자 자신이 통제해야 한다고 판공실은 강조했다.

인터넷정보판공실은 이어 “업체는 수많은 사용자의 제품과 서비스에 대한 의존을 이용해 불공정한 경쟁을 하거나 부당한 이익을 꾀해서는 안 된다”며 “예컨대 필요한 보안 서비스 중지, 독점적 경영 등을 해서는 안 된다”고 경고했다.

이와 함께 이 ‘방법’은 “네트워크 제품·서비스 제공업체는 보안심사 작업에 협력해야 한다”며 “제3자 기구 등 유관 기관과 인원은 보안심사 업무 중 알게 된 정보 등에 대해 보안과 비밀유지 의무를 갖게 되며, 그 정보를 네트워크 보안심사 이외의 목적에 사용해서는 안 된다”고 명시했다.

中 인터넷정보판공실 “보안심사, 중국·외국 기업과 제품 평등하게 대할 것”
인터넷정보판공실은 “네트워크 보안심사는 국외 제품의 중국 시장 진입에 장애가 될 수 없다”며 “보안심사 제도의 실시는 사용자의 제품 보안성에 대한 신뢰를 높일 수 있고, 기업 제품 시장의 확대를 촉진할 수 있다”고 밝혔다.

특히 이 보안심사는 국내외 기업과 제품을 평등하게 대하고, 특정 국가와 지역의 제품·서비스를 겨냥하지 않으며, 국외 제품의 중국 시장 진입을 제한하지 않을 것이라고 인터넷정보판공실은 강조했다.

또한 이 보안심사제도 실시는 기업이 제품의 보안성을 증명하고, 사용자의 제품에 대한 신뢰를 제고하는 기회가 될 것이라고 판공실은 덧붙였다.

줘샤오동 중국정보보안연구원 부원장은 “네트워크 보안심사제도는 개방 환경에서 국가 사이버 보안을 수호하는 중요한 수단”이라며 “현 단계에서 중국은 아직 핵심 기술을 돌파하지 못했고 국외 우수한 제품과 서비스를 이용해야 하는데, 반드시 그 제품과 서비스의 보안을 확보해야 한다”고 말했다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>